Securite RX 5

75
La sécurité à l’usage des PME et des TPE 16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 1/75 La sécurité à l’usage des PME et des TPE 16 août 2005 Centre français de réflexion sur la sécurité des systèmes d’information Collection Ténor – etna France Ouvrage collectif sous la direction de Gérard Péliks Ont contribué jusqu’à aujourd’hui à la rédaction de ce livre : Marie-Agnès Couwez, Alexis Ferrero, Alain Germain, Michèle Germain, Pierre Gojat , Michel Habert, Mauro Israel , Gérard Peliks, FLorent Thiery

Transcript of Securite RX 5

Page 1: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 1/75

La sécurité à l’usage des PME et des TPE

16 août 2005

Centre français de réflexion sur la sécurité des systèmes d’information

Collection Ténor – etna France

Ouvrage collectif sous la direction de Gérard Péliks

Ont contribué jusqu’à aujourd’hui à la rédaction de ce livre :

Marie-Agnès Couwez, Alexis Ferrero, Alain Germain, Michèle Germain, Pierre Gojat, Michel Habert, Mauro Israel, Gérard Peliks, FLorent Thiery

Page 2: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 2/75

LA SECURITE..........................................................................................................1

1 POURQUOI SECURISER SON SYSTEME D’INFORMATION ? ..............................................................................6 1.1 POURQUOI ET POUR QUI CE LIVRE EST ECRIT ? .................................................................................................................. 6 1.2 MENACES SUR VOTRE INFORMATION ET SUR VOTRE TRESORERIE.................................................................................. 6

1.2.1 L’information, un bien précieux qu’il faut protéger...................................................................................................6 1.2.2 Des menaces et des cibles qui évoluent.........................................................................................................................7 1.2.3 Cheval de Troie, phishing et pharming.........................................................................................................................8 1.2.4 Botnets et soit extorsions de fonds, soit dénis de services.........................................................................................8

1.3 LES ENJEUX ET CHIFFRES CLES DE LA SECURITE................................................................................................................ 9 1.4 DEPENDANCE TECHNOLOGIQUE ET COMPETIVITE DES PME FRANÇAISES..................................................................... 9 1.5 LES FONDAMENTAUX DE L 'INTELLIGENCE ECONOMIQUE ................................................................................................ 9 1.6 POURQUOI INVESTIR DANS UN ENVIRONNEMENT DE CONFIANCE ? ................................................................................ 9

1.6.1 Un enjeu pour les dirigeants d'entreprise ....................................................................................................................9 1.6.2 Les risques financiers.......................................................................................................................................................9 1.6.3 Enjeux économiques et pérennité de l'entreprise........................................................................................................9 1.6.4 Le cadre juridique.............................................................................................................................................................9 1.6.5 Le facteur humain.............................................................................................................................................................9 1.6.6 Cas pratique.......................................................................................................................................................................9

1.7 LA CYBERCRIMINALITE : LES PME SONT -ELLES A L'ABRI ?........................................................................................... 9 1.8 SPYWARE , PHISHING, VIRUS.... MEME COMBAT................................................................................................................. 9 1.9 LES MENACES SUR VOTRE MESSAGERIE............................................................................................................................ 10 1.10 LES MENACES SUR VOTRE WEB......................................................................................................................................... 10 1.11 LES MENACES SUR LA DISPONIBILITES DE VOS INFORMATIONS..................................................................................... 10

1.11.1 Les attaques par déni de service distribué............................................................................................................10 2 LES ELEMENTS MATERIELS ET LOGICIELS DE LA SECURITE.....................................................................11

2.1 L’AUTHENTIFICATION.......................................................................................................................................................... 11 2.1.1 L'authentification forte pour la sécurisation des accès............................................................................................11 2.1.2 La gestion des identités..................................................................................................................................................11

2.2 DISSIMULER L’INFORMATION............................................................................................................................................. 13 2.2.1 Les principes du chiffrement.........................................................................................................................................13 2.2.2 Les principes des réseaux privés virtuels ...................................................................................................................13 2.2.3 La stéganographie..........................................................................................................................................................13

2.3 LE MEILLEUR COMPROMIS COUT/FONCTIONNALITE GRACE AUX COUPES-FEUX TOUT EN UN................................... 14 2.4 LES APPLIANCE MULTI FONCTION POUR LES PME .......................................................................................................... 14 2.5 SECURISER LA NAVIGATION INTERNET ............................................................................................................................. 14

2.5.1 Les cookies.......................................................................................................................................................................14 2.5.2 Extension de la méthode d’apprentissage à d’autres domaines.............................................................................17 2.5.3 Conclusion.......................................................................................................................................................................17

2.6 LE CONTROLE ET LE FILTRAGE DU CONTENU................................................................................................................... 17 2.7 SE SECURISER PAR DES LOGICIELS LIBRES ?..................................................................................................................... 18

2.7.1 Les caractéristiques des logiciels libres.....................................................................................................................18 2.7.2 Les principaux logiciels libres......................................................................................................................................19 2.7.3 Les apports des logiciels libres à la sécurité.............................................................................................................21 2.7.4 Les embûches liées à l’utilisation des logiciels libres (et comment les éviter) ....................................................23 2.7.5 Bilan..................................................................................................................................................................................25

3 LES SERVICES ...........................................................................................................................................................................27 3.1 CONCILIER SECURITE ET SIMPLICITE D'ADMINISTRATION.............................................................................................. 27 3.2 LES ASPECTS DE NOMS DE DOMAINES SUR INTERNET ..................................................................................................... 27 3.3 ANALYSE DE RISQUES.......................................................................................................................................................... 27

Page 3: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 3/75

3.4 POLITIQUE DE GESTION DE VULNERABILITES ET DES CORRECTIFS ............................................................................... 27 3.5 PLANS DE CONTINUITE D'ACTIVITE.................................................................................................................................... 27 3.6 LE DEPLOIEMENT DES PATCHS............................................................................................................................................ 27 3.7 LA DETECTION D’INTRUSIONS............................................................................................................................................. 27 3.8 EXTERNALISER SA SECURITE ?........................................................................................................................................... 27

3.8.1 Externaliser la veille stratégique.................................................................................................................................27 3.8.2 Externaliser la détection d’intrusions.........................................................................................................................27 3.8.3 Externaliser la gestion des outils de sécurité.............................................................................................................27 3.8.4 Externaliser la sauvegarde des données.....................................................................................................................27 3.8.5 Externaliser le site Web institutionnel ........................................................................................................................27 3.8.6 Pourquoi et comment confier le contrôle de votre sécurité à un partenaire de confiance ?.............................27

3.9 LES NOUVELLES INFRASTRUCTURES DE SECURITE ORIENTEES SERVICE...................................................................... 27 3.9.1 La sécurité du système d’information de l’entreprise..............................................................................................28 3.9.2 Les infrastructures de sécurité .....................................................................................................................................28 3.9.3 Le niveau de service de la sécurité ..............................................................................................................................28 3.9.4 Services et domaines......................................................................................................................................................29 3.9.5 La gestion des services...................................................................................................................................................29 3.9.6 Les évolutions des infrastructure.................................................................................................................................30 3.9.7 La consolidation..............................................................................................................................................................30 3.9.8 La consolidation appliquée à la sécurité....................................................................................................................32 3.9.9 Exemple d’une démarche de sécurité orientée service pour une TPE/PME ........................................................36 3.9.10 Etude de cas................................................................................................................................................................37 3.9.11 Conclusion..................................................................................................................................................................39

4 QUELQUES APPLICATIONS DEVANT ETRE SECURISEES .................................................................................40 4.1 L’ENTREPRISE SANS FIL....................................................................................................................................................... 40

4.1.1 L’informatique sans fil « Wi-Fi » .................................................................................................................................42 4.1.2 La téléphonie sans fil DECT.........................................................................................................................................43 4.1.3 La téléphonie sans fil Wi-Fi (VoWiFi) ........................................................................................................................46 4.1.4 Autres................................................................................................................................................................................47 4.1.5 Et pour conclure…..........................................................................................................................................................48

4.2 TOIP ET SECURITE............................................................................................................................................................... 48 4.3 LA SIGNATURE ELECTRONIQUE........................................................................................................................................... 48

4.3.1 Les deux piliers de cette technologie...........................................................................................................................48 4.3.2 La signature électronique en théorie...........................................................................................................................50 4.3.3 La signature électronique en pratique........................................................................................................................51 4.3.4 Mais est-ce bien légal et reconnu ? .............................................................................................................................51 4.3.5 L’avenir de la signature électronique.........................................................................................................................52

4.4 LA SECURITE DES OUTILS NOMADES.................................................................................................................................. 52 4.4.1 L’ordinateur portable.....................................................................................................................................................52 4.4.2 Le PDA .............................................................................................................................................................................52 4.4.3 Les téléphones mobiles..................................................................................................................................................52

5 L’ASPECT HUMAIN DE LA SECURITE..........................................................................................................................57 5.1 COMMENT INFLUER SUR LES COMPORTEMENTS A RISQUES ? ........................................................................................ 57 5.2 LA SECURITE, UN ETAT D'ESPRIT........................................................................................................................................ 57 5.3 QUELLE POLITIQUE DE SECURITE POUR UNE PME ? ....................................................................................................... 57

5.3.1 Objectifs principaux.......................................................................................................................................................57 5.3.2 Diagnostic rapide :.........................................................................................................................................................58 5.3.3 Une politique de sécurité digne de celle des plus grands........................................................................................58 5.3.4 Avoir recours aux savoir-faire externes, ....................................................................................................................59 5.3.5 Nouveaux outils communicants de productivité personnelle..................................................................................60 5.3.6 Une politique de sécurité des PME proportionnée aux enjeux, pragmatique et agile.......................................60

6 L’ASPECT ECONOMIQUE DE LA SECURITE.............................................................................................................61 6.1 LA GESTION DE CRISE POUR UNE PME PMI..................................................................................................................... 61 6.2 ASSOCIEZ VOTRE BUDGET SECURITE A VOS ENJEUX....................................................................................................... 61

Page 4: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 4/75

7 L’ASPECT JURIDIQUE DE LA SECURITE....................................................................................................................62 7.1 LES NOUVELLES REGLES JURIDIQUES DE LA CYBERCRIMINALITE: VICTIME DONC RESPONSABLE........................... 62 7.2 A QUI S’ADRESSER APRES UNE ATTAQUE ? ...................................................................................................................... 62

8 DIX MESURES CONCRETES POUR SECURISER VOTRE PME CONNECTEE .............................................63 8.1 CE QUE VOUS N'AVEZ PEUT -ETRE PAS ENCORE:............................................................................................................... 63 8.2 CE QU'IL FAUT RENFORCER:................................................................................................................................................ 64 8.3 RENFORCEMENT DES METHODES: ...................................................................................................................................... 65 8.4 PROTECTION DES DONNEES: ............................................................................................................................................... 67 8.5 CONCLUSION : ...................................................................................................................................................................... 67

9 BIBLIOGRAPHIE ET REF ERENCES ................................................................................................................................69 9.1 GENERAL ............................................................................................................................................................................... 69 9.2 JURIDIQUE ............................................................................................................................................................................. 69 9.3 LES POINTEURS DE MAURO ISRAEL................................................................................................................................... 69

10 GLOSSAIRE ................................................................................................................................................................................72 10.1 ACRONYMES......................................................................................................................................................................... 72 10.2 DÉFINITIONS.......................................................................................................................................................................... 72

11 CONTRIBUTIONS A L’ECRITURE DE CE LIVRE .....................................................................................................74

Page 5: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 5/75

Page 6: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 6/75

1 POURQUOI SECURISER SON SYSTEME D’INFORMATION ?

1.1 POURQUOI ET POUR QUI CE LIVRE EST ECRIT ? Auteur : Marie-Agnès Couwez, [email protected]

Un seul objectif, ambitieux certes, à ce livre :

Chers lecteurs, devenez ACTEURS !

Connaissez et maîtrisez les risques, les nuisances, liés à l’usage de vos ordinateurs en réseau, de votre messagerie, de l’internet.

Ce livre est destiné aux très petites, petites et moyennes entreprises (TPE et PME) qui ne disposent pas en interne de personnel spécialiste de ces questions.

Et pourtant, elles doivent mettent en œuvre, gérer et sécuriser au quotidien leur réseau informatique, de nouveaux outils technologiques, et l’ensemble des réseaux de communication qui constituent aujourd’hui la base de l’activité de production, de gestion et de développement d’une entité.

Compte tenu de la similitude en matière d’organisation qui peut exister avec des collectivités locales de petites tailles, ce livre leur est aussi destiné, hormis ce qui pourrait relever de spécificités dues à leur caractère public.

Dans la société de l’information actuelle, le poste informatique de voilà quelques années est devenu « système d’information » de part ses interconnexions. L’entreprise échange des informations avec ses salariés, ses clients, ses fournisseurs, au moyen de la messagerie, donc de l’Internet, d’un Intranet ou d’un Extranet. Elle communique aussi avec des outils multi fonctions comme le téléphone portable ou l’assistant personnel (PDA) et se lance maintenant dans la téléphonie sur Internet (VoIP).

Elle utilise quotidiennement des applications qui lui permettent de se développer et d’assurer sa gestion. Avec ce livre, nous souhaitons :

w Attirer votre attention sur les ressources critiques pour votre activité

w Indiquer les principaux risques et nuisances liés à l’usage des technologies

w Vous fournir des éléments de réponse dans chaque cas.

Et maintenant un mini quiz :

w Avez-vous au moins un ordinateur, portable ou fixe, connecté à un réseau ?

w Utilisez-vous une messagerie ?

w Votre entreprise est-elle en réseau ?

w Utilisez-vous des connections sans fil (WiFi) ?

w Avez-vous un site internet ?

Si vous répondez oui à au moins une de ces questions, ce livre est fait pour vous !

1.2 MENACES SUR VOTRE INFORMATION ET SUR VOTRE TRESORERIE Auteur : Gérard Péliks (EADS) [email protected]

1.2.1 L’information, un bien précieux qu’il faut protéger L’information, celle que vous détenez sur votre poste de travail ou qui est disponible en interne sur le système d’information de votre entreprise, et celle qui transite sur les réseaux, avec et sans fils, est un bien souvent précieux, parfois stratégique pour la bonne marche de vos affaires. Mais cette

Page 7: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 7/75

information est exposée à des convoitises et à d’inavouables desseins et présente en plus des vulnérabilités. Elle doit impérativement être protégée en fonction de son importance.

Des menaces la guettent, des attaques se déclenchent, venant de l’Internet, mais aussi de vos réseaux internes, pour la voler, la détourner, porter atteinte à son intégrité ou simplement pour la lire si elle est confidentielle. La question n’est pas de savoir si votre information va être attaquée, elle le sera, mais bien de savoir comment les contre-mesures, que vous avez mises en place pour la protéger, se comporteront avant pendant et après ces attaques. Aujourd’hui, l’espérance de vie d’un système d’information, sans protection suffisante, accessible par un réseau public, est évaluée à quelques minutes à peine avant que les informations ne soit compromises dans leur existence ou leur intégrité.

Vous doutez encore de l’ampleur du danger ? Installez un firewall personnel correctement configuré sur votre poste de travail connecté à l’Internet et mesurez le temps avant que ne se produise une scrutation des ports de votre PC par des accès extérieurs qui cherchent les vulnérabilités de votre configuration et vous en serez convaincu ! Vous avez un firewall personnel et vous n’avez jamais constaté d’attaques ? Votre firewall n’est sans doute pas correctement configuré ou la base de signatures de votre antivirus n’est pas à jour. Et ne déduisez pas que vous êtes personnellement visé. La pêche aux postes de travail vulnérables se fait parfois de manière aléatoire sur des plages d’adresses de l’Internet, parfois elle est systématique sur toutes les adresses visibles. Les vulnérabilités trouvées feront, dans un deuxième temps, l’objet d’attaques adaptées et parfois dévastatrices. Alors que dire si votre PC n’est pas correctement protégé ? Vous ne serez même pas au courant qu’il est sous le contrôle à distance d’un hacker qui épie vos frappes claviers, vos transactions sur la toile, ce que vos affichez à l’écran. Ce qui peut vous arriver de mieux est finalement que l’attaque, si elle réussit, détruise votre système d’information mais les attaques ont évolué et le but recherché n’est plus de détruire vos informations et vos serveurs mais de les utiliser à vos dépends.

1.2.2 Des menaces et des cibles qui évoluent Les motivations des attaquants, et donc leurs cibles, évoluent rapidement. Il n’y a pas si longtemps, mais c’est déjà la préhistoire de la cyber criminalité, l’attaquant voulait prouver à quel point il était compétent et asseoir sa notoriété sur les dégâts qu’il causait autour de lui. En choisissant un réseau bien protégé et si possible dont les conséquences de l’agression ne laissaient pas la presse indifférente, il prouvait également son courage, parfois son inconscience. Mais les attaques étaient déclenchées à partir de la toile, parfois à des milliers de kilomètres de chez vous, là où les lois du pays où réside le site attaqué ne s’appliquent pas et la plupart du temps sous de fausses identités. Comment alors ces cybercriminels pourraient-ils être inquiétés ?

C’était l’époque de l’éclosion des premiers virus qui gagnèrent rapidement en vitesse de propagation et en complexité, se jouant des antivirus en changeant de signature et en se tapissant au plus profond de vos fichiers. C’était aussi celle de l’ingénierie sociale qui vous encourageait, pendant la lecture de votre messagerie, à cliquer sur une pièce jointe exécutable pour activer le virus qui bien entendu ne vous voulez pas du bien et le propager à vos listes de distribution de messagerie, et alors vos correspondants ne vous voulaient plus du bien. Ensuite vinrent les vers, plus subtils, plus sournois car ils s’insinuaient en silence dans votre système d’information sans action nécessaire de votre part si ce n’est d’avoir connecté votre PC au réseau public et parfois même privé. Le but de ces menaces devenues désuètes aujourd’hui était de détruire vos informations et se propager pour perpétuer plus loin les méfaits programmés.

Les menaces sont encore très présentes mais la finalité des attaques a pris un nouvel essor et une nouvelle vigueur. Les cybercriminels aujourd’hui ne s’intéressent plus tellement à votre système d’information mais à votre porte-monnaie ou plutôt ce qu’il contient, et surtout à la trésorerie de votre entreprise. Là où il y a de l’argent, il y a les pirates. Là où les sommes sont considérables, ils y mettent les moyens. Et ces moyens sont sophistiqués et souvent le fait de mafias pour qui ce n’est pas la beauté du concept qui motive les attaques mais parce qu’il est à priori plus rentable, et moins dangereux, d’attaquer les systèmes d’information d’une banque par exemple que de braquer une de ses succursales. Voici venu l’époque des attaques feutrées, sans bruit, sans publicité et exécutées par des pirates hautement compétents. Pour des attaques à très grande échelle ils utilisent des

Page 8: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 8/75

hommes de mains, population anonyme et mouvante qui disparaît pour réapparaître ailleurs, pour lancer d’autres attaques.

1.2.3 Cheval de Troie, phishing et pharming Pour bien appréhender les nouvelles tendances des attaques, analysons comment procède le virus bugbear qui préfigure bien leur nouvelle cible et leur nouveau but. Le virus bugbear ne porte pas de charge létale mais se cache dans votre poste de travail après avoir installé un cheval de Troie qui est un logiciel qui va écouter les frappes sur votre clavier. Tant que vous n’utilisez pas votre poste de travail pour dialoguer avec votre banque, bugbear sommeille mais dès que vous tapez le nom de votre banque, et bugbear a dans sa base les noms de plusieurs centaines d’établissements financiers, il se réveille et vous écoute, car vous présentez alors de l’intérêt pour lui. Il enregistre vos transactions et les achemine vers son auteur indélicat par le réseau. Vous pouvez vous entourer de dispositifs de sécurité, vous pouvez chiffrer vos transactions, elles n’échapperont pas à ce « keylogger »1 qui prend l’information que vous entrez à sa source, c’est à dire directement sur les touches que vous pressez sur votre clavier. Vous comprendrez aisément que mots de passe et codes clients n’ont plus de secret pour le hacker à l’écoute.

Mais ce virus, pour agir, doit être au préalable avoir contaminé votre poste de travail. Il y a plus efficace ! Le phishing ou hameçonnage. Cette technique repose sur trois impostures. La première imposture est l’appât. Vous recevez un courriel qui semble venir par exemple de votre banque. Les fonts, les couleurs, les logos, le style du message sont ceux de votre banque, rien ne manque, à part que … ce message ne vient pas de votre banque. La deuxième imposture est l’hameçon. Le courriel vous avertit que votre banque est désolée mais suite à un problème informatique, des données ont été corrompues alors pour ne pas perdre les facilités qu’elle vous offre en ligne, vous devez cliquer sur un hyperlien pour ouvrir une page Web et ressaisir les données perdues de votre compte, afin que le problème soit réglé au plus vite. Vous remplissez les formulaires et les hackers sont satisfaits car bien entendu le site où vous étiez n’était pas le site de votre banque mais celui du hacker à qui vous avez donné donc les informations confidentielles sur votre compte. La troisième imposture est l’utilisation de votre identité pour vider votre compte. Cette attaque devient de plus en plus fréquente et peut détruire la confiance que l’utilisateur doit éprouver face au Web avant qu’il n’accepte de faire des transactions en ligne. Comme pour le commerce traditionnel, le commerce électronique repose sur la confiance entre l’acheteur et le vendeur, aussi les bases mêmes du commerce électronique sont ébranlées.

Mais cette attaque pour réussir requiert que d’une part vous n’ayez pas détruit le premier courriel de phishing sans le lire, d’autre part que vous ayez cliqué sur l’hyperlien proposé, et enfin que vous ayez entré les renseignements demandés par la page Web du hacker. Il y a plus efficace ! le pharming. Cette attaque, très technique, repose sur une vulnérabilité qui affecte certains serveurs de noms. Dans le monde IP, l’être humain préfère converser en adresses sous forme de texte telles que ma-banque.com alors que les machines comprennent les adresses binaires comme 192.1.1.3. Pour satisfaire les utilisateurs et les machines, les serveurs de noms convertissent les adresses textes en adresses binaires et inversement. Des tables de correspondances sont créées dynamiquement et restent, un certain temps, en mémoire des serveurs. Alors que croyez-vous qu’il arrive si on parvient à corrompre ces tables pour qu’à ma-banque.com corresponde une adresse binaire qui n’est plus celle de la banque mais bien celle d’un hacker ? Gagné, quand vous pensez aller sur le Web de votre banque, vous vous retrouvez sur le Web du hacker qui aura bien sûr imité celui de votre banque et c’est à lui que sont routées vos transactions. Imparable pour vous et fructueux pour le hacker !

1.2.4 Botnets et soit extorsions de fonds, soit dénis de services Après le cyber-vol à la tire, examinons maintenant des cyber-attaques plus brutales et qui n’ont pas pour but de vous extorquer des fonds à votre insu mais carrément avec votre consentement … forcé en utilisant le chantage, les botnets. De la contraction des mots robot et network, les botnets sont des attaques sophistiquées et concertées qui déclenchent des ondes de choc dont il est difficile, si on en est la cible, de se relever. Supposez que des milliers de postes de travail contaminés par un

1 Programme espion qui enregistre les touches que vous appuyez sur votre clavier

Page 9: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 9/75

virus, un ver ou autre malware deviennent des postes zombies qui se mettent spontanément, à l’insu de leur propriétaire, sous le contrôle d’un serveur maître, quelque part sur la toile et attendent ses ordres. Supposons maintenant que ce serveur soit contrôlé par un hacker qui n’a qu’une commande à lancer pour que tous les PC zombies à l’écoute déclenchent des attaques vers une cible unique. Et supposons enfin que le hacker propose ses services à des êtres malfaisants qui lui commandent de déclencher des attaques de telle ampleur, sur telle cible, peut-être sur le serveur Web institutionnel de votre entreprise. Nous avons brossé le tableau d’un botnet.

L’attaquant loue un temps d’utilisation d’un botnet pour lancer une attaque sur une cible pour qui la disponibilité du réseau est impérative pour mener les affaires en ligne, un site Web de jeux ou d’enchères par exemple. Bien sûr le prix de location dépend de la cible visée et du temps d’utilisation. A l’heure dite, le serveur commande aux postes de travail répartis dans le monde, et à l’insu de leurs propriétaires, d’envoyer chacun 10 000 demandes d’accès sur la cible. Des milliers de PC lançant chacun 10 000 transactions sur la cible … il serait étonnant que celle ci parvienne à poursuivre ses affaires dans le cyber-espace, durant cette tornade. Ensuite on passe à la phase de chantage. L’individu malfaisant averti le propriétaire de la cible qu’il recommencera et cette fois beaucoup plus violemment et longtemps à moins qu’une somme d’argent conséquente et en petites coupures, dont les numéros ne se suivent pas, lui soit versée. Le monde réel des mafieux rejoint le cyber-espace des hackers. La cyber-criminalité se professionnalise !

A ne pas négliger, la petite attaque qui consiste à chiffrer des fichiers d’un poste de travail cible puis de proposer à son propriétaire la clé de déchiffrement de ses fichiers moyennant finance. Mais dans quel monde vivons-nous ? !!! Il est préférable d’en être conscient.

1.3 LES ENJEUX ET CHIFFRES CLES DE LA SECURITE Auteur : Jean-Philippe Bichard (NetCost&Security) [email protected]

1.4 DEPENDANCE TECHNOLOGIQUE ET COMPETIVITE DES PME FRANÇAISES

1.5 LES FONDAMENTAUX DE L'INTELLIGENCE ECONOMIQUE Auteur : Jean-Philippe Bichard (NetCost&Security) [email protected]

1.6 POURQUOI INVESTIR DANS UN ENVIRONNEMENT DE CONFIANCE ? Auteur : Eléonore Estadieu (MSI) [email protected]

1.6.1 Un enjeu pour les dirigeants d'entreprise

1.6.2 Les risques financiers

1.6.3 Enjeux économiques et pérennité de l'entreprise

1.6.4 Le cadre juridique

1.6.5 Le facteur humain

1.6.6 Cas pratique

1.7 LA CYBERCRIMINALITE : LES PME SONT-ELLES A L'ABRI ? Auteur : Franck Franchin (France Télécom) [email protected]

1.8 SPYWARE, PHISHING, VIRUS.... MEME COMBAT Auteur : Yann Berson (Webwasher) [email protected]

Page 10: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 10/75

1.9 LES MENACES SUR VOTRE MESSAGERIE

1.10 LES MENACES SUR VOTRE WEB

1.11 LES MENACES SUR LA DISPONIBILITES DE VOS INFORMATIONS

1.11.1 Les attaques par déni de service distribué

Page 11: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 11/75

2 LES ELEMENTS MATERIELS ET LOGICIELS DE LA SECURITE

2.1 L’AUTHENTIFICATION

2.1.1 L'authentification forte pour la sécurisation des accès Auteur : Loïc Caradec (ActivCard) [email protected]

2.1.2 La gestion des identités Auteur : Marie-Agnès Couwez, [email protected]

Dans ce chapitre, ce terme désigne la gestion des utilisateurs d’un système d’information. Nous ne traiterons pas ici de la maîtrise des éléments d’identités que chaque internaute est susceptible de laisser sur internet.

Que recouvre cette appellation et quelle est l’importance de ce processus pour la sécurité de l’entreprise ?

L’identité recouvre trois sortes de données :

w les informations nominatives, telles que définies par la CNIL

w le profil de l’utilisateur : sa fonction, le service auquel il est rattaché, ses domaines d’intervention…

w les habilitations de l’utilisateur.

Le cycle de vie d’une identité comporte trois états : la création, la maintenance, la révocation.

La gestion de l’identité renvoie à plusieurs problématiques :

w garantir l’accès sécurisé aux applications,

w organiser, techniquement et opérationnellement, le processus de gestion des identités et les procédures de mise à jour,

w calculer le coût financier que représente la gestion de ce processus, qu’il s’agisse de solutions manuelles (temps consacré à cette tâche) ou de solutions techniques (coût d’achat, d’implémentation, de gestion).

De la même manière qu’une société contrôle les accès physiques à ses locaux, qu’il s’agisse de ses employés, de ses clients ou de ses fournisseurs, elle doit s’assurer que toute personne qui se connecte à son système d’information et à ses applications est dûment autorisée à le faire.

Le développement du nomadisme, du télétravail, des interconnexions avec les réseaux des clients ou fournisseurs multiplie les points de vulnérabilité du réseau. L’entreprise est donc amenée à mieux contrôler et à renforcer l’authentification des utilisateurs (le plus souvent par simple identifiant et mot de passe) et à définir précisément les droits d’accès aux applications.

Ce qui est relativement simple pour le contrôle des accès physiques aux différents espaces, bureaux, ateliers, s’avère beaucoup plus compliqué dans le cas présent. Une des raisons principales est l’organisation de l’informatique et l’historique de cette organisation.

En effet, les applications de l’entreprise se sont développées séparément, sur plusieurs années, afin de répondre à des besoins métiers et de gestion : les ressources humaines, la comptabilité, les bases de données clients…

Si certaines ont pu être regroupées dans un progiciel de gestion intégrée (PGI), les messageries, les applications web, se sont rajoutées au fil du temps.

Ces applications n’ont pas été conçues pour communiquer entre elles et rendent difficile l’interopérabilité, quand ce n’est pas impossible. Elles possèdent leur propre base de données utilisateurs (appelée référentiel ou annuaire) avec les outils de gestion intégrés. Chaque référentiel

Page 12: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 12/75

associe à un utilisateur des informations d’identité nominative, un identifiant et un mot de passe, des privilèges en fonction de ses besoins métier. Ces derniers définissent le niveau d’usage, de l’accès en simple consultation au droit d’écriture et de modification, ou au contraire à l’absence totale de droit.

Ainsi, les informations relatives à l’identité et aux droits attribués à chacun sont disséminées dans plusieurs référentiels, ce qui rend difficile le contrôle global de la qualité et de la cohérence des informations. Comment repérer les erreurs, les doublons, comment mettre à jour rapidement les informations en cas de changement (recrutement, nouvelle fonction et droits associés, départ d’un salarié). Avec, en corollaire, le défaut de sécurité qui peut en résulter dans le contrôle d’accès aux ressources de l’entreprise.

Si celles-ci ont pris l’habitude depuis longtemps de bien cloisonner certaines applications comme la comptabilité ou la paye (seuls les salariés habilités y ont accès), les règles sont souvent beaucoup moins bien définies pour l’accès aux bases commerciales ou marketing.

Afin d’automatiser ce processus, la technologie des annuaires de type LDAP (Lightweight Directory Access Protocol) s’est développée à partir de 1996. Ce protocole permet d’accéder à une base de données centralisée (ou annuaire) qui prend en charge les authentifications et les habilitations de chaque application.

D’autre part, la sécurité de l’accès aux applications peut s’appuyer sur une authentification unique de type Single Sign On (SSO), surtout pour des services internet, qui évite les authentifications multiples aux utilisateurs. Ce système a plusieurs avantages : la simplification d’usage pour l’utilisateur (en réduisant les couples identifiant/mot de passe), de traitement pour l’administrateur (gestion centralisée des droits), une meilleure sécurité (dans le cas où l’application comporterait une faille)…

Deux solutions s’offrent aux moyennes entreprises, sachant que les plus petites auront forcément recours à la deuxième solution en raison de leur volume à traiter et du rapport coût /volume :

w soit la mise en œuvre d’un processus automatisé de gestion des identités sous forme d’annuaire LDAP qui permet de mettre à jour une seule base de données

w soit la gestion manuelle des contrôles d’accès et de tous les changements qui peuvent affecter un compte utilisateur.

Les deux solutions ont toutefois un coût financier.

Dans le premier cas, c’est celui de l’implémentation de la solution technique et organisationnelle. Dans le second, c’est le temps passé par un administrateur réseau (ou la personne en charge) à gérer les comptes utilisateurs sur les différentes applications et sur l’ensemble du système d’information.

Toutefois, il ne faut pas limiter le raisonnement à ces seuls paramètres car la vraie question aujourd’hui pour toute structure est de savoir comment elle maîtrise ses connections, comptabilise ses utilisateurs, décide et surveille qui accède à quelle information, quand et où.

La sécurité a un prix, tout comme la qualité, même si une bonne organisation peut réduire ce prix.

Cinq questions à vous poser :

w combien de temps faut-il pour qu’un nouveau salarié reçoive l’accès aux ressources dont il a besoin ?

w cet accès délivré, êtes-vous certain que ce salarié ne puisse accéder à des applications qui ne sont pas de son domaine d’action (par exemple : le stagiaire en marketing que vous venez d’accueillir, accède-t-il aux documents stratégiques de votre prochaine campagne qui débute dans six mois ?)

w cette même question peut se décliner pour des acteurs externes qui ont accès à votre système d’information : contractants (consultant, équipe de développement ou de maintenance…), clients, partenaires, fournisseurs…

Page 13: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 13/75

w sous quel délai sont désactivés tous les accès et les droits d’un salarié qui quitte votre entreprise

w combien d’identifiants et de mots de passe différents sont nécessaires à vos salariés pour accéder aux applications ?

2.2 DISSIMULER L’INFORMATION

2.2.1 Les principes du chiffrement

2.2.2 Les principes des réseaux privés virtuels

2.2.3 La stéganographie Auteur : Gérard Péliks (EADS) [email protected]

Article écrit pour Netcost&Security

Pour assurer la confidentialité des informations sensibles qui transitent entre deux réseaux sûrs, en empruntant un réseau public tel l’Internet, chiffrer ces informations est une bonne solution. Cela consiste à rendre au moyen d’un algorithme de brouillage et en utilisant une clé de chiffrement, cette information incompréhensible jusqu’à ce qu’elle soit déchiffrée à l’autre bout du réseau, connaissant l’algorithme de chiffrement et la clé de déchiffrement.

Suivant la taille des clés et les algorithmes utilisés, cette méthode pourrait être considérée comme parfaite si elle ne pêchait sur un point : si l’information est chiffrée, c’est justement qu’elle présente un intérêt donc il peut être utile à ceux à qui on cache cette information de mettre en action les moyens de calcul pour la déchiffrer.

Si l’information chiffrée incite ceux à qui elle est dissimulée d’essayer de découvrir quel secret elle renferme, autant ne rien cacher pour éviter d’attirer l’attention sur cette information ! Mais il n’est pas question non plus de laisser passer cette information en clair sur un réseau non sûr ou de l’archiver sur un média qui pourrait être lu. La stéganographie, à ne pas confondre avec la sténographie, répond à cette faiblesse. La stéganographie est l’art de dissimuler une information en clair dans un message en clair qui paraîtra anodin et cachera l’information sensible qu’il contient. Un texte paraîtra banal et sans intérêt sauf si par exemple on lit un mot sur trois, ou le cinquième mot de chaque phrase.

Un exemple littéraire célèbre de stéganographie nous est donné par un échange épistolaire entre George Sand et Alfred de Musset. George Sand envoie à Alfred de Musset un poème merveilleux de romantisme et de pureté mais lu une phrase sur deux, le poème apparaît comme n'étant pas si romantique, et plutôt pour le moins direct. Alfred de Musset répondit à son amie George Sand par un autre poème, également pure merveille de romantisme, mais en lisant seulement le premier mot de chaque vers, le poème devenait une proposition plutôt indécente. Et George Sand répondit à cette invitation par deux vers utilisant la même clé, lire le premier mot de chaque vers, qui donnait le renseignement demandé :

Cette grande faveur que votre ardeur réclame

Nuit peut-être à l'honneur mais répond à ma flamme.

On trouve un autre exemple de stéganographie dans le film d’Alfred Hitchcock, le rideau déchiré, où des secrets d’état transitent vers les pays de l’Est dissimulés dans une partition musicale. En fait dans la partition, une seule note noire qui aurait du être blanche contenait miniaturisée toute l’information d’un aéronef, nous étions à l’époque en pleine guerre froide. Seule une personne connaissant bien toutes les notes de cet opéra aurait pu s’apercevoir de la supercherie, et encore fallait-il qu’il ne pensât point que la noire au lieu de la blanche était une simple erreur et disposât d’un microscope électronique pour visualiser l’information (textes, équations, schémas) cachée dans la note.

Ne peut-on penser qu’une banale bande vidéo enregistrée de Ben Laden où il est question de combats contre le Satan, mais rien de très concret, ne cache en arrangeant les mots, en décodant

Page 14: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 14/75

les images ou même en analysant les fréquences de la parole, des annonces très concrètes comme des objectifs à détruire ? La CIA y pense bien sûr et ces bandes sont analysées dans leurs moindres détails.

En poussant plus loin la stéganographie-mania, des analystes essayent de trouver dans la bible des messages cachés et affirment que la bible révèlera tout l’avenir de l’humanité à ceux qui en possèdent les clés. Laissons à ces auteurs la responsabilité de leurs affirmations mais il faut reconnaître que certaines sont troublantes à moins que le hasard des mots ne soit expliqué par la science des statistiques. On ne pourrait rêver d’un meilleur média pour véhiculer des informations cachées qui traversent les siècles.

Donnons un exemple un peu plus technique, très employé : dissimuler l’information sensible dans une image banale comme vos photos de vacances ou vos portraits de famille. Une image est constituée de pixels qui sont des points élémentaires colorés par un niveau de bleu, de vert et de rouge. Chaque pixel est formé d’un octet (8 bits) pour le bleu, un octet pour le vert et un octet pour le rouge. La combinaison de ces trois couleurs fondamentales donne le point coloré. Supposons qu’on réserve le dernier bit de chacun des 3 octets de chaque pixel pour constituer un message caché. La dégradation de l’image sera imperceptible. On peut ainsi utiliser le huitième de la taille de l’image pour cacher un message. Bien malin est celui qui se doute qu’une image d’un paysage de vacances, envoyé, par messagerie en pièce jointe à un partenaire, contient caché la liste de prix d’une gamme de produits avec les remises consenties à ce partenaire.

On pourrait penser que l’opération est séduisante sur le plan technique mais difficile à réaliser dans la pratique ? Il n’en est rien, il suffit d’utiliser l’int erface conviviale d’un outil de stéganographie, on en trouve des gratuits sur l’Internet. Pour ma part, j’utilise Steganozorus et j’ai fait passer bien des messages secrets dans les images que j’attache à certains de mes courriels et je n’ai vu personne chercher des messages cachés dans mes photos de vacances.

2.3 LE MEILLEUR COMPROMIS COUT/FONCTIONNALITE GRACE AUX COUPES-FEUX TOUT EN UN Auteur : Dominique Meurisse (Netasq) [email protected]

2.4 LES APPLIANCE MULTI FONCTION POUR LES PME

2.5 SECURISER LA NAVIGATION INTERNET

2.5.1 Les cookies Auteur : Florent Thiery, (INT-Evry) [email protected]

2.5.1.1 Description Les cookies sont de petits fichiers crées par certains sites web lors de leur consultation. Ils sont stockés sur le poste de travail consultant le site, à la demande du site, de la même façon que les fichiers constituant les pages web. Contrairement aux images et aux fichiers html qui sont stockés en vue de la re-consultation du site (on parle de cache), ces cookies servent à sauvegarder certaines données personnelles, comme la modification des préférences utilisateur (par exemple dans le cadre d'un Webmail) ou encore le contenu du panier sur un site d'achat en ligne.

Lorsque l’internaute revient sur le site, le navigateur Internet lit le cookie et en extrait les informations afin de restaurer les paramètres contenus dans le cookie. Les cookies permettent de pallier à la non-persistance des personnalisations éventuelles des sites Internet (le protocole http ne possède pas de fonctions propres à garder une trace temporelle des actions des utilisateurs).

Malgré l'utilité évidente de ces petits fichiers (stockés au même endroit que les fichiers Internet temporaires, fichiers html ou images), on peut en détourner le but primaire à des fins de traçage des internautes.

Page 15: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 15/75

Précisons que cela ne dépasse pas une atteinte à la vie privée : contrairement aux idées reçues, un cookie ne peut pas transmettre de virus. Ils ont une date d’expiration, une limitation en taille de stockage et très peu de pouvoirs : il ne s’agit que d’un simple fichier texte, donc non exécutable.

Voici les informations pouvant être mémorisées par un cookie :

w la date et l’heure de la visite sur un site Web

w les valeurs entrées dans divers champs, par exemple lors d’un sondage

w une information personnelle comme un nom d’utilisateur et son mot de passe

Beaucoup de cookies sont des compteurs (de visite…).

Citons les "tracking cookies", type le plus commun de cookies malveillants qui permettent à une entité (souvent une régie publicitaire) de suivre les sollicitations d'un utilisateur sur la toile, par exemple ses intérêts commerciaux (types de produits consultés,...) afin de lui proposer de la publicité ciblée ou tout simplement de revendre ces informations, par exemple à une régie publicitaire ou au pire à ses concurrents.

Un exemple de ces organismes est la compagnie DoubleClick, qui grâce à un vaste réseau de sites contenant des bannières qui déposent des cookies sur les disques durs des internautes, peut dresser des statistiques sur les sites les plus fréquentés par les employés d’une entreprise par exemple.

Il s'agit donc la plupart du temps d'une atteinte à la vie privée que peu de gens apprécient. Dans le cadre d’une entreprise, le problème de l’anonymat est particulièrement sensible : une entreprise concurrente a donc potentiellement le pouvoir d’avoir des informations (si ces informations existent, alors elles sont très probablement à vendre…). Le problème est que par défaut, les cookies sont acceptés sans le moindre commentaire de la part des navigateurs internet.

2.5.1.2 La méthode de l’apprentissage Théorie

La meilleure façon de se protéger des cookies est de particulariser son système pour qu’il s’en méfie. Durant une période d'apprentissage, l'utilisateur doit refuser ou accepter les cookies avec discernement. La méthode est simple: régler son navigateur Internet de telle sorte qu'à chaque fois qu'un site web demande à stocker un cookie, le navigateur Internet sollicite la permission de l'utilisateur. Plusieurs choix sont alors proposés: accepter définitivement (ne choisir cela que lorsqu'on est sûr de la provenance et de l'utilité d'un cookie), accepter de façon temporaire (à choisir lorsque le site semble avoir besoin d'un cookie, mais que l'on ne sait pas très précisément lequel), refuser et refuser de façon permanente.

Ce choix nécessite un minimum de réflexion. Lorsque le navigateur Internet demande la permission pour créer ou modifier un cookie, il indique aussi l'adresse du site web qui en fait la demande. En lisant cette adresse, il est possible dans la majorité des cas de décider; voici quelques exemples:

w ad.adserver.com ; cette adresse est particulièrement louche: ad fait presque toujours référence à une publicité (ad pour « advertising »), on comprend sans trop de difficultés qu'il s'agit d'un cookie à but commercial; il est donc recommandé de bloquer ce cookie de façon permanente. Ainsi, la prochaine fois que l'on consultera un site affilié à cette régie, le cookie sera automatiquement rejeté.

w webmail.site.com : il s'agit sans aucun doute d'un cookie utile, nécessaire à l'utilisation d’une boîte de courrier électronique en ligne (webmail). Ce cookie stockera vraisemblablement le nom

Page 16: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 16/75

d’utilisateur, le mot de passe et diverses options sélectionnées par l’utilisateur, afin de lui permettre de revenir consulter sa boîte mail sans tout devoir retaper.

w hit.counter.com: il s'agit d'un autre type de cookies, qui servent à l'audit de trafic des sites web. Il s'agit dans une certaine mesure d'une atteinte à la vie privée... C'est un choix personnel de l'accepter ou non.

Cette méthode peut sembler relativement contraignante, mais elle est très utile, et avec le temps elle devient un réflexe. La stratégie à adopter est à adapter au site consulté. Pour la plupart des sites, refuser le cookie ne bloque pas la navigation. Les sites qui ont BESOIN de cookies sont:

w les sites requérant une authentification par login/mot de passe (forums, webmails,…). Le cookie permet alors de naviguer sur le site sans obligation de se réauthentifier à chaque fois qu’on y accède.

w les magasins en ligne: les cookies sont utilisés pour stocker l'identité de l'utilisateur, ainsi que les produits ajoutés au panier lors d’une navigation.

Pour la quasi-totalitéé des sites web, on peut sans risque refuser les cookies. Parfois cela bloquera la navigation sur ces sites mais il est alors toujours possible de revenir en arrière en supprimant la règle d’interdiction du cookie.

Pratique : les cas Firefox et Internet Explorer

Les deux navigateurs les plus utilisés dans le monde informatique sont sans conteste Firefox et Internet Explorer. Les deux proposent la possibilité d'activer cette méthode.

Pour Firefox, menu Outils > Options > Vie privée > Cookies, cocher « autoriser les sites à créer des cookies », puis dans la liste déroulante « Conserver les cookies », choisir « demander à chaque fois ». Noter le bouton « exceptions » qui contient la liste des sites autorisés ou interdits, et par laquelle on peut retourner en arrière.

Pour Internet Explorer, Panneau de configuration > Options Internet > Confidentialité > Avancé > Cocher « Ignorer la gestion automatique des cookies ». Ensuite, pour les paranoïaques on peut demander pour tout, mais en général demander pour les cookies tierce partie sera suffisant (il s’agit des cookies demandés par un autre site que celui qu’on visite, comme par exemple celui créé par les bannières de DoubleClick présentes sur la page que vous visitez).

2.5.1.3 Détection et suppression Il est possible de détecter et d'effacer facilement les cookies malveillants. Il existe des logiciels qui ont une version gratuite, comme Adaware et Spybot (entièrement gratuit), qui permettent aussi de détecter et d'effacer les spywares/adwares/malwares. Malgré le fait récent que les antivirus commerciaux commencent à traiter ce type de menace, ces logiciels spécialisés disposent de plus de maturité et, globalement, d’efficacité. Il est conseillé d'effectuer environ une fois par semaine une vérification du système.

2.5.1.4 Dans le cadre d’une entreprise ? Une telle méthode est surtout applicable par le particulier, soucieux de sa confidentialité, ou par l’utilisateur qui maîtrise les fonctionnalités avancées de son navigateur. Le désagrément engendré par le début de l’application de cette méthode est très souvent la source de son abandon. D’un autre côté une entreprise peut difficilement exiger de ses employés qu’ils passent du temps à se demander si tel cookie est nécessaire ou non (d’autant plus qu’en théorie ceux-ci ne soient pas supposés passer leur journée à surfer sur la toile)…

Il est possible de constituer puis de déployer la liste des règles concernant les cookies (obtenue par apprentissage) les plus nuisibles pour l’entreprise, par exemple pour Firefox il suffit de remplacer le fichier cookies.txt situé dans le répertoire du profil utilisateur par un fichier distribué par l’entreprise.

Il existe aussi des solutions logicielles (commerciales) qui effectuent ce choix automatiquement. Cela ajoute bien sûr un logiciel de plus sur le poste de travail.

Page 17: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 17/75

2.5.2 Extension de la méthode d’apprentissage à d’autres domaines

2.5.2.1 Langages scripts et orientés web Internet s’est amélioré autour de nombreuses technologies destinées à le rendre plus puissant, mais donc plus dangereux: javascript, les applets java, microsoft activeX (par ordre croissant de dangerosité)…

Il est souvent possible d’adopter la méthode décrite ci-dessus pour ces technologies, par exemple javascript. La plupart des menus dynamiques et listes déroulantes fonctionnent avec javascript. Il est déconseillé de désactiver javascript car beaucoup de sites Internet l'utilisent et ne sont pas consultables sans.

Il existe une possibilité particulièrement intéressante offerte par une extension de Firefox, appelée noScript, qui permet d’adopter l’approche de l’apprentissage décrite ci- dessous. Celle ci désactive javascript par défaut, mais permet par un simple clic de le réactiver au besoin, temporairement ou de façon permanente pour chaque site, de la même façon que la méthode de prévention décrite ci-dessus pour les cookies.

Concernant activeX, Firefox n’est tout simplement pas compatible ; seul Internet Explorer l’est, ce qui en fait un navigateur Internet très vulnérable. Il est donc conseillé de n’utiliser Internet Explorer que sur des sites de confiance. Quant aux applets Java, il n’y a pas beaucoup de possibilités d’amélioration de la sécurité sinon de mettre à jour régulièrement Java et d’éviter d’utiliser la machine virtuelle de Microsoft (utilisée par Internet Explorer par défaut).

Néanmoins certains Antivirus et pare-feux proposent une fonction de surveillance de ces scripts et langages, permettant d’adopter le même type de méthode sélective.

2.5.2.2 Pare-feux Certains pare-feux logiciels, comme le pare-feu intégré à Windows XP ou Kerio Personal Firewall (gratuit) utilisent grandement la méthode d’apprentissage, principalement dans le domaine de l’autorisation d’accès à Internet par les applications (choix souvent binaire, bloquer/débloquer). Lors du premier lancement d’une application, le système demande à l’utilisateur si elle doit recevoir l’autorisation d’accès à l’Internet…

2.5.3 Conclusion

Ce court texte relatif à la navigation Internet peut être lu de deux façons :

w d’une part comme des règles simples à effectuer permettant d’augmenter le degré de protection de la vie privée lors de la consultation de sites web face aux cookies

w d’autre part cette approche (l’apprentissage) est une méthode applicable à divers domaines de la sécurité, comme le javascript ou même les spywares, virus, pare-feux... Cette méthode est la plus élégante car elle cumule légèreté et efficacité.

A partir du moment où l’on met en place un dispositif destiné à prévenir l’utilisateur et à lui demander la permission (par exemple d’exécuter un logiciel, de stocker un cookie…), et que ce choix est mémorisable et réversible, après une période d’apprentissage on dispose d’un réglage sécuritaire relativement fin et adapté, que l’on peut même dans la majorité des cas (cela dépend de la solution logicielle choisie) propager dans l’ensemble du parc informatique de l’entreprise. La méthode est très souple et intuitive, et permet de ne pas se noyer dans la multitude d’automatismes contenus dans les logiciels dédiés, dont l’efficacité et la transparence restent en général assez confuses.

Comme souvent en sécurité, qui peut le plus peut le moins : n’activez des fonctionnalités avancées que lorsqu’elles sont strictement nécessaires …

2.6 LE CONTROLE ET LE FILTRAGE DU CONTENU Auteur : Gabriel Gross (Dolphian) [email protected]

Page 18: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 18/75

2.7 SE SECURISER PAR DES LOGICIELS LIBRES ? Auteur : Alain Germain (Idsoft) [email protected]

2.7.1 Les caractéristiques des logiciels libres Introduction :

Sur Internet, si vous lancez une recherche avec GOOGLE avec l’expression « logiciel libre », vous obtenez 798000 réponses.

Alors, marginal le phénomène logiciel libre ? Pas vraiment….

En tous cas, à défaut d’utilisation généralisée, on en parle beaucoup.

Plutôt que de rédiger cette partie de l’ouvrage dans un style doctoral (qui a dit ennuyeux ?), j’ai préféré un mode plus vivant sous forme de questions-réponses ce qui, à mon avis, présente 2 avantages :

• indiquer modestement que cet exposé est forcément incomplet, • rendre la lecture plus vivante et plus concrète.

Toutes les questions évoquées ci après, je me les suis posées à un moment ou à un autre.

L’avantage que vous avez sur moi, c’est de trouver immédiatement les réponses dans les pages qui suivent tandis qu’il m’a fallu plusieurs jours ou plusieurs semaines pour arriver au même résultat.

Qu’est ce qu’un logiciel libre ? :

Selon l’AFUL (Association Francophone des utilisateurs de Linux et des logiciels libres) :

« sont considérés comme libres des logiciels disponibles sous forme de code source, librement redistribuables et modifiables selon les termes d’une licence de type GPL ou avoisinante ».

On trouve souvent dans la littérature anglo-saxonne le terme « Open Source ». En fait « Logiciel libre » en est la traduction francophone.

Qu’est que la licence GPL ? :

« Licence GPL » est la traduction francophone de « General Public License ».

C’est un ensemble de règles qui définit les droits et les devoirs des concepteurs, distributeurs et utilisateurs des logiciels libres. (Il existe d’autres formes de licences dérivées mais la GPL est très souvent utilisée).

Cette licence est l’équivalent (sur le plan juridique), des « conditions générales d’utilisation » que l’on trouve en tous petits caractères avec les logiciels propriétaires du commerce mais, à la différence de celles ci, qui cherchent à restreindre par tous les moyens vos droits d’utiliser, diffuser, recopier le logiciel, la licence GPL cherche, au contraire, à étendre les conditions d’utilisation dans le respect des droits fondamentaux des concepteurs et des utilisateurs.

Quelles sont les principales caractéristiques communes des logiciels libres ?

Les conditions détaillées sont disponibles (en anglais) sur le site :

www.opensource.org

Pour faire simple : • liberté de diffuser et d’utiliser le logiciel sous réserve de diffuser également les termes de la

licence qui le gère. • liberté de connaître le fonctionnement détaillé du logiciel par le code source qui doit être

diffusé (ou mis à disposition, par exemple sur Internet) par le concepteur.

On verra plus loin les conséquences de cette règle en terme de sécurité. • liberté de modifier ou d’intégrer tout ou partie d’un logiciel libre existant dans son propre

logiciel à condition d’étendre les règles de la licence du logiciel d’origine au logiciel « enveloppe ».

Page 19: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 19/75

Un logiciel libre est -il gratuit ? :

Pas forcément…

Mais comme un logiciel libre qui emploie des composants libres et gratuits (provenant de Linux par exemple) ne peut être lui-même que gratuit, on conçoit que le nombre de logiciels libres payants soit singulièrement limité.

Par contre les services associés à ces logiciels (supports de distribution, manuels, assistance technique, développements spécifiques, formation, etc…) sont en général rémunérés.

Comment est -il possible que des logiciels diffusés gratuitement offrent des performances identiques ou meilleures que celles de logiciels du commerce ? :

Difficile à croire mais pourtant c’est vrai !

Les équipes de développement des projets importants sont loin d’être pléthoriques (une dizaine à une centaine de personnes au maximum) mais sont extrêmement compétentes dans leur domaine.

Les recettes proviennent de dons de particuliers ou d’entreprises, de ventes de produits dérivés et surtout de prestations spécifiques permettant d’assurer un revenu correct aux participants.

Il est clair qu’au royaume des logiciels libres, l’appât du gain n’est pas le moteur principal de motivation.

De plus et par le biais d’Internet, beaucoup de bénévoles répartis dans le monde entier (plusieurs milliers dans le cadre de projets importants) apportent leur contribution en réalisant des travaux annexes mais absolument indispensables tels que les tests logiciels, l’administration des versions successives, la réalisation de la documentation, les traductions, le packaging, etc…

La seule motivation de ces personnes est d’apporter leur pierre à l’édification de l’entreprise commune (toute ressemblance avec les contributeurs du présent ouvrage ne serait pas fortuite).

2.7.2 Les principaux logiciels libres

2.7.2.1 applications système, réseaux Je suppose que vous voulez parler de Linux ? :

En effet, mais pas uniquement. Il existe d’autres systèmes d’exploitation (FreeBSD par exemple) mais leur diffusion reste marginale.

Le développement de Linux a été entrepris en 1991 par un étudiant à l’université d’Helsinki, Linus Torvalds qui souhaitait construire un nouveau système d’exploitation en s’inspirant du système Unix qui existait déjà depuis plus de trente ans.

Son travail a attiré l’attention de très nombreux universitaires dans le monde entier qui, grâce à l’ Internet, ont apporté leur pierre à l’édifice et permis d’obtenir ce qu’est Linux aujourd’hui.

Même si la diffusion de Linux reste encore modeste, il est des secteurs où sa part de marché est importante. Environ 25% des serveurs Internet fonctionnent sous Linux. Dans les autres secteurs, la progression de Linux est variable mais elle est générale. De plus en plus de personnes apprécient la qualité des logiciels libres, la sécurité et la gratuité.

Il faut absolument citer deux logiciels libres utilisés pour les applications réseaux :

• « Samba » » est un logiciel utilisé dans un réseau local pour relier des postes de travail dans des environnements hétérogènes (Linux, Windows, Apple, etc…). Il est vraiment incontournable dès qu’il s’agit de faire dialoguer et échanger plusieurs machines en local.

• « Apache » est un logiciel serveur Web. Aujourd’hui, 60% des serveurs Web utilisent ce logiciel pour gérer les échanges.

En fait, sans Internet, Linux n’existerait peut être pas et sans Linux et les logiciels libres, la révolution Internet n’aurait sans doute pas eu lieu.

Page 20: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 20/75

2.7.2.2 applications généralistes (Web, bureautique, multimédia) Existe-il- des logiciels libres fonctionnant sous Windows ? :

De plus en plus de développeurs proposent des versions de leurs logiciels libres fonctionnant également sous Windows.

La plus grosse partie du travail de développement se trouve dans la définition des caractéristiques et la programmation des fonctionnalités; ceci se fait indépendamment du système d’exploitation sur lequel le logiciel sera réalisé.

L’adaptation du logiciel à un système vient en tout dernier et consiste à apporter quelques retouches spécifiques, à compiler le programme avec les bibliothèques de chaque système et à élaborer les procédures d’installation.

Cette conception multi-systèmes permet une diffusion beaucoup plus large des logiciels pour la plus grande satisfaction des utilisateurs et des développeurs.

Puis-je retrouver, dans les logiciels libres, l’équivalent des logiciels commerciaux que j’utilise? :

Plusieurs centaines d’applications libres sont disponibles.

Plutôt que de tenter de dresser une liste exhaustive, je préfère indiquer quelques logiciels que j’utilise au quotidien et dont je garantis la qualité de réalisation et la richesse des fonctions.

• « Firefox » est un navigateur Web extraordinaire. Occupant peu de volume en mémoire, très rapide, il est extrêmement sécurisé : il n’accepte pas les « contrôles Active X » susceptibles de contenir des codes nuisibles. Il est possible de lui adjoindre un grand nombre de « plugs -ins » pour améliorer ses possibilités (en particulier « Adblock » qui permet de bloquer l’affichage de pages ou de messages de publicités ).

• « Thunderbird » est un logiciel de messagerie très convivial et très bien sécurisé. Il dispose en standard d’un module de filtrage des « spams » par auto-apprentissage. Après quelques jours, il est capable de rejeter entre 95 et 99% des messages polluants.

• « Open Office » est une suite complète d’outils bureautiques comprenant un traitement de texte, un tableur, un logiciel de présentation et en prime, un outil de dessin. Bien qu’il utilise un mode de stockage des données différent de celui de la suite « Office » de Microsoft, il est capable de récupérer tous les documents générés sous « Word », « Excel » et « Powerpoint ». Par contre si les documents comportent des « macros », celles ci ne seront pas récupérées ce qui est plutôt une bonne chose car elles sont parfois un vecteur important de transmission de codes nuisibles.

• « MySql » est un gestionnaire de bases de données, concurrent crédible de « Access ». • « Gimp » est logiciel de retouches et de traitement d’images.

• « Mplayer » est un lecteur multimédia qui lit à peu près tous les formats audio et vidéo. • « K3B » permet de graver tous les formats de CD (données, musique, etc..)

2.7.2.3 applications spécifiques Si j’envisage une migration sous Linux, puis-je continuer à utiliser les logiciels spécifiques que j’avais fait développer pour mes propres applications? :

Tout dépend de quelle façon et avec quel langage, ces logiciels ont été développés.

Si ceux ci ont été développés en « langage C » ou en « Java » vous n’aurez sans doute pas de gros problèmes pour les adapter sous Linux (Linux lui-même est développé en « langage C »).

Dans les autres cas, la charge de travail nécessaire est à établir au cas par cas.

Si le travail est important ou que vous ne pouvez pas disposer du code source, il reste peut-être une solution :

Il est existe un logiciel libre spécialisé « Wine » qui permet de faire fonctionner sous Linux des logiciels développés pour Windows.

Page 21: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 21/75

Le résultat n’est pas garanti. Vous pouvez avoir une compatibilité totale, pas de fonctionnement du tout ou perdre certaines fonctionnalités. Dans tous les cas, cela vaut la peine d’essayer…

2.7.3 Les apports des logiciels libres à la sécurité

2.7.3.1 sécurité système Pouvez vous m’expliquer pourquoi un système Linux serait plus sûr qu’un système Windows ? :

Au départ, Windows a été conçu comme un système à interface graphique, intuitif, facile à utiliser de manière à séduire le plus grand nombre possible de personnes. A cette époque cet objectif n’était pas si facile à réaliser compte tenu des possibilités limitées des matériels et il a été nécessaire de faire des sacrifices et des compromis sur certaines caractéristiques (dont les aspects de sécurité).

En bref, Windows a été bâti comme un système convivial mais peu protégé et tous les ajouts ultérieurs concernant la sécurité ont consisté à corriger les failles, au fur et à mesure de leur découverte, par des rustines logicielles.

Pour être objectif, des progrès importants ont été réalisés (avec XP SP2 en particulier) mais il faudra attendre la sortie du prochain système d’exploitation de Microsoft (Longhorn) pour bénéficier (je l’espère !) d’un système véritablement sécurisé.

Au contraire, Linux prend en compte les impératifs de sécurité dès la rédaction du cahier des charges. « Linux doit être un système multi-tâches et multi-utilisateurs où toutes les données et toutes les applications de chaque personne sont gérées sans risques et sans interférences ».

Le développement de Linux s’est fait à partir de ces principes qui n’ont jamais été transgressés au cours de l’évolution du système.

Tout au plus a-t-on ajouté des utilitaires graphiques conviviaux pour faciliter la gestion de la sécurité.

Comment la sécurité des données et des applications est-elle gérée au quotidien sous Linux ? :

C’est un des aspects importants de la sécurité et tout à fait représentatif de la manière dont Linux traite ce genre de questions, c’est à dire de façon simple et compréhensible.

Linux connaît quatre catégories possibles d’intervenants possibles (n’oublions pas que Linux est un système multi-utilisateurs) :

• « l’administrateur ». Il a droit de vie et de mort sur toutes les données, tous les programmes et les paramètres du système. L’accès au statut d’administrateur est protégé par un mot de passe qu’il est vivement conseillé de conserver en lieu sûr car en cas d’oubli, il est extrêmement difficile d’accéder au système (et ne comptez pas sur moi pour vous expliquer comment faire…)

• « les utilisateurs ». Chacun possède son propre ‘espace’ où il gère ses données et ses programmes comme il l’entend.

• « les groupes d’utilisateurs ». Plusieurs utilisateurs ayant des objectifs communs (travaillant sur un même projet) peuvent avoir intérêt à partager des applications et des données.

• « les autres ». Les autres personnes connectées au système avec qui des échanges ponctuels peuvent être souhaitables.

Par ailleurs Linux connaît quatre types d’accès aux données et aux applications : • pas d’accès du tout ( !) • accès en consultation

• accès en écriture • accès en exécution (pour les programmes).

La gestion des droits se résume pour un utilisateur à définir pour chaque fichier lui appartenant (donnée ou programme) les autorisations qu’il accorde ou non à chaque catégorie d’intervenant.

Page 22: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 22/75

Rassurez-vous ! Il existe des options par défaut et des outils conviviaux de gestion de ces droits, mais le principe est simple et cela fonctionne très bien.

2.7.3.2 sécurité Internet Dans la liste des logiciels libres fonctionnant sous Linux, je n’ai pas vu de programmes antivirus. Est-ce un oubli ? :

Mauvaise nouvelle : Il n’y a pas de logiciels antivirus sous Linux.

Bonne nouvelle : Il n’y a pas besoin de logiciels antivirus car il n’y a pas de virus sous Linux.

On justifie souvent cette absence de virus par la raison suivante :

L’objectif des individus malfaisants qui élaborent les virus est de nuire au plus grand nombre ; or, la diffusion de Linux, à ce jour, (hormis quelques secteurs évoqués précédemment) reste minime par rapport au grand frère Windows d’où le désintérêt des « hackers ».

Je pense que la véritable raison est autre :

En dehors des « amateurs » qui trouvent très amusant d’afficher une tête de mort sur l’écran d’un PC distant en même temps qu’on reformate le disque dur, aujourd’hui, la motivation principale des pirates est de prendre le contrôle des micros à des fins illicites tels que envois de « spams », déclenchement de dénis de service, etc…

Pour cela il faut accéder au système ce qui est tout à fait impossible sous Linux (à moins d’être connecté à Internet avec le statut « administrateur » ce qui est une erreur gravissime).

Il reste bien sûr possible de nuire à un utilisateur en modifiant certains de ses fichiers et répertoires mais les conséquences, pour désagréables qu’elles soient, restent limitées.

Par conséquent, et pour pas mal de temps encore, la navigation sur Internet sous Linux avec des logiciels libres offre un niveau de sécurité exceptionnel.

2.7.3.3 sécurité d’utilisation Pourquoi aurais-je plus confiance dans des logiciels libres que dans des logiciels commerciaux de fournisseurs connus ? :

Essentiellement pour des raisons de confidentialité…

Vous avez l’assurance qu’un logiciel libre ne comporte pas de parties de code cachées qui vont collecter, à votre insu, des informations sur votre configuration, vos fichiers, vos habitudes de surf sur Internet pour les rediffuser à des tiers dans des buts inavoués.

L’obligation faite, dans le cadre des logiciels libres, de diffuser ou rendre disponible l’intégralité du code source, dissuade toute entreprise ou développeur mal intentionné d’attenter à votre vie privée à votre insu.

De plus, comme la modification des logiciels libres est autorisée, il serait tout à fait possible et légal de supprimer ou contourner cette partie de code.

Il n’est pas question d’examiner personnellement les codes sources des programmes ; mais en cas de doute, soyez assurés que d’autres personnes le feront et s’il s’avère que des codes malveillants sont inclus dans un logiciel applicatif, l’information sera diffusée très rapidement et le logiciel ne survivra pas très longtemps à cette découverte.

Les logiciels libres sont-ils exempts de bugs ? :

Non. La présence de bugs dans les développements informatiques est inévitable quelles que soient les précautions prises et la qualité des tests pratiqués mais le comportement des logiciels fonctionnant sous Linux se démarque fortement de celui observé sous Windows.

Avec Windows, vous avez sûrement été déjà confronté à l’écran bleu vous informant qu’une erreur s’est produite et même l’appui simultané des touches Ctrl + Alt + Sup ne suffit pas à débloquer le système. Il ne reste plus qu’à basculer rageusement l’interrupteur secteur du micro avec les risques de pertes d’informations qui en résultent.

Page 23: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 23/75

Avec Linux, ce cas de figure est tout bonnement impossible car chaque logiciel fonctionne dans sa propre zone mémoire sans empiéter sur les programmes voisins et surtout pas sur la zone système.

Si un logiciel se trouve bloqué (à la suite d’un bug ou d’une erreur de manipulation), les autres programmes continueront de fonctionner normalement.

Il existe d’ailleurs, une commande de Linux (le « killer » symbolisé dans l’interface graphique par une tête de mort) qui permet de détruire n’importe quel processus en cours (bloqué ou pas).

Au pire, si c’est l’interface graphique qui est concerné par le blocage, il suffit de passer Linux en mode caractère par appui d’une touche du clavier et arrêter ensuite correctement le système d’exploitation sans perte de données.

2.7.3.4 sécurité de maintenance et d’évolution Puis-je bénéficier des évolutions et des améliorations des logiciels libres ? :

Bien sûr. La plupart des logiciels libres proposent de se connecter périodiquement sur leur site pour vérifier si une nouvelle version ou une mise à jour du logiciel est disponible.

Si vous consultez le site de téléchargement d’un logiciel libre, vous allez être surpris par le nombre de versions différentes proposées.

On distingue en général les versions « bêtas » (dont le développement n’est pas figé et quoi font encore l’objet de tests) et les versions « stables » (que l’on considère comme suffisamment débuguées pour être utilisées sans risque majeur de disfonctionnement).

Dans tous les cas, chaque version est accompagnée de la liste complète des erreurs corrigées, des nouvelles fonctionnalités ainsi que des contraintes éventuelles d’environnement.

La transparence est totale. A vous de choisir les nouvelles fonctionnalités qui vous intéressent et le niveau de « risque » que vous pouvez consentir.

En contrepartie, si vous découvrez un bug dans une application, transmettez le problème au développeur sur son site Internet. Vous aurez ainsi la satisfaction de participer également à la vie de la communauté des logiciels libres.

Existe- il une assistance à l’installation, à l’utilisation, au dépannage des logiciels libres ? :

C’est une caractéristique spécifique de la communauté des logiciels libres.

Quel que soit votre problème, vous n’êtes jamais seul.

Il existe un grand nombre de sites Internet (y compris, bien sûr, celui des développeurs du logiciel que vous voulez utiliser) qui proposent des tutoriaux et des forums d’aide et d’assistance.

Commencez par chercher si d’autres utilisateurs n’ont pas rencontré les mêmes difficultés que vous et comment celles-ci ont été résolues.

Si vous ne trouvez pas de réponse, n’hésitez pas à exposer votre problème (anonymement, si vous le souhaitez). Vous serez surpris du nombre de personnes qui vont se mobiliser pour essayer de vous aider bénévolement.

2.7.4 Les embûches liées à l’utilisation des logiciels libres (et comment les éviter)

2.7.4.1 aspects techniques J’ai entendu dire que Linux était très difficile à installer ? :

Le temps où Linux fonctionnait uniquement en ligne de commande (c’est à dire avec des commandes incompréhensibles par un non-initié tapées au clavier sans souris et sans écran graphique) fait définitivement partie du passé.

De plus, l’installation est considérablement simplifiée si vous utilisez une « distribution » Linux.

Qu’est ce qu’une « distribution » Linux ? :

Une « distribution » Linux est un ensemble de logiciels comprenant :

Page 24: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 24/75

• un système Linux,

• une interface graphique (ou plusieurs), • un automatisme d’installation et de paramétrage du système, • des utilitaires de gestion du système,

• un certain nombre de logiciels applicatifs.

Plusieurs sociétés proposent ce genre de « distributions » ; les plus importantes sont « Mandriva » (anciennement « Mandrake »), « Red Hat » et « Suse » mais il en existe beaucoup d’autres.

Les logiciels peuvent être téléchargés sur Internet ou sont disponibles sous forme d’ensemble de CD accompagnés d’une notice d’utilisation vendus pour une somme modique dans des boutiques informatiques.

Je conseille vivement d’utiliser une de ces distributions. L’installation de Linux devient un jeu d’enfant (ou presque…) ; les opérations un peu délicates telles que le partitionnement du disque dur se font en toute sécurité. Le paramétrage du système (langage, utilisateurs, reconnaissance des périphériques) se réalise de façon très conviviale.

Comment fait-on l’installation des logiciels applicatifs ? :

Auparavant, l’installation d’application comprenait un certain nombre d’étapes :

• compilation du code source, • recherches des « dépendances » (sous-programmes), • liaison des dépendances,

• configuration, • installation des modules.

Un vrai cauchemar ! De quoi décourager la personne la plus motivée !

Ces étapes existent toujours mais les créateurs de « distributions » ont incorporé dans celles-ci des utilitaires d’installation et de désinstallation qui automatisent complètement les différentes opérations.

La très grande majorité des concepteurs de logiciels libres diffusent maintenant leurs programmes sous une forme compatible avec ces utilitaires d’installation/désinstallation (les « paquetages »).

La coexistence de Linux et Windows sur un même micro est-elle possible ? :

Tout à fait ! Si vous possédez un micro-ordinateur équipé de Windows et que vous disposez d’une dizaine de gigaoctets disponibles sur le disque dur vous pouvez créer une « partition » supplémentaire pour accueillir Linux et ses applications.

Bien entendu, les deux systèmes ne fonctionnent pas simultanément ; c’est au démarrage du micro-ordinateur que l’utilisateur choisit le système d’exploitation qu’il veut utiliser.

A noter que Linux est parfaitement capable de lire et d’écrire des informations sur la partition réservée normalement à Windows.

L’inverse n’est pas vrai. Windows ignore complètement l’existence de Linux sur le même disque dur.

Les périphériques (imprimantes, scanners, modems, etc...) que j’utilise avec Windows fonctionneront-ils également avec Linux ? :

Les constructeurs de périphériques fournissent avec leur matériel des petits programmes appelés pilotes (ou drivers) et qui servent au dialogue entre le périphérique et le système d’exploitation.

La plupart des constructeurs élaborent à la fois des pilotes pour Windows et pour Linux. Il arrive néanmoins que pour des matériels anciens (ou trop nouveaux !) ou à diffusion très limitée, les pilotes Linux ne soient pas disponibles et dans ce cas le périphérique ne pourra pas fonctionner normalement.

Il est indispensable, dans le cas d’une migration vers Linux, de vérifier que ces pilotes existent et de les télécharger depuis les sites Internet des constructeurs.

Page 25: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 25/75

2.7.4.2 aspects migratoires Quelle stratégie utiliser pour migrer vers les logiciels libres ? :

Il n’y a pas de réponse générale à cette question.

La stratégie est à étudier au cas par cas en fonction de vos impératifs d’exploitation et des caractéristiques du parc installé.

La migration d’un parc de quelques machines peut généralement être réalisée en fin de semaine (pendant l’arrêt de l’activité). Le changement est quasiment transparent pour le fonctionnement de l’entreprise.

A l’opposé, dans une entreprise fonctionnant 7 jours sur 7 et 24 heures sur 24, on préférera probablement migrer poste par poste même si l’opération totale couvre plusieurs semaines.

Il faut avoir à l’esprit que Linux gère parfaitement des réseaux hétérogènes comportant des machines équipées de systèmes d’exploitation différents.

Néanmoins à terme, l’homogénéité du parc est souhaitable pour faciliter la maintenance et les évolutions.

Dans tous les cas, définissez précisément et clairement la stratégie que vous allez utiliser et vérifiez, avant le début de la migration, que vous disposez bien de tous les composants logiciels nécessaires.

2.7.4.3 aspects psychologiques De quels problèmes parlez-vous ? Vous m’aviez dit que les programmes tournant sous Linux ressemblent énormément à leurs homologues fonctionnant sous Windows ? :

C’est vrai ! Non seulement les fonctionnalités sont les mêmes mais l’ergonomie est très voisine. L’utilisation de la souris et des raccourcis claviers sont identiques.

Le fonctionnement de Linux en mode caractère est révolu (sauf, éventuellement pour l’administrateur du système).

Néanmoins, ne sous estimez pas l’impact psychologique et la résistance au changement.

Personne ne vous dira en face qu’il est frustré parce qu’il n’a plus la photo de son dernier-né comme fond d’écran ou qu’il ne peut plus faire sa partie quotidienne de « Démineur » ou de « Solitaire » après le déjeuner.

En lieu et place vous risquez de vous heurter à une critique vague mais systématique (« Ca ne fonctionne pas… », « Je ne peux plus travailler aussi rapidement… », etc…).

Pour éviter ce genre de désagréments, prenez les devants.

Expliquez aux futurs utilisateurs du nouveau système les avantages pour votre entreprise et pour eux-mêmes.

Si possible, trouvez un ou deux « volontaires » curieux de nature et ouverts aux nouveautés et aux évolutions à qui vous prodiguerez une formation détaillée.

Ces personnes apprécieront de jouer le rôle de « pionniers » et seront ultérieurement en mesure d’aider et conseiller leurs collègues pour les problèmes courants et répétitifs.

2.7.5 Bilan

Dans quels cas, le passage aux logiciels libres est-il souhaitable ? :

Une configuration avec deux postes de travail autonomes utilisant des logiciels bureautiques standards ne requiert sans doute pas une décision de basculement rapide.

C’est néanmoins une opportunité de tester les logiciels libres pratiquement sans risques de perturbations.

Page 26: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 26/75

N’oublions pas qu’il est parfaitement possible de faire coexister deux systèmes d’exploitation (Linux et Windows) sur le même micro-ordinateur ; A chaque démarrage, l’utilisateur sélectionne le système qu’il souhaite activer.

La population directement concernée par une migration semble plutôt celle des entreprises disposant de cinq à plusieurs dizaines de postes de travail reliés entre eux par un réseau local.

Dans ce cas, les gains en terme de sécurité et d’économies de fonctionnement sont les plus rapides et les plus substantiels.

La migration vers les logiciels libres me semble intéressante mais j’aimerais en faire l’expérience sans toucher au système existant. Est ce possible ? :

Oui, bien sur !

Une première solution consiste à utiliser certains logiciels libres disponibles sous Windows (bureautique, navigateurs, …) pour juger de leurs avantages et ensuite les désinstaller si nécessaire (A la différence de certains logiciels commerciaux, tous les logiciels libres que je connais proposent une option de désinstallation et ne laissent aucune trace sur le micro-ordinateur).

Bien évidemment dans ce cas, vous ne bénéficierez pas des avantages de sécurité que vous apporte Linux mais vous pourrez au moins juger de la richesse et de la qualité des fonctionnalités offertes.

Une autre solution consiste à utiliser une « distribution amovible » (Knoppix par exemple). Il s’agit d’un CD-ROM sur lequel se trouve un système Linux, une interface graphique et une quinzaine de logiciels d’applications générales.

Il suffit de placer le CD-ROM dans le lecteur et de démarrer le micro-ordinateur et celui ci va charger automatiquement le système Linux en mémoire sans rien installer sur le disque dur.

Les seuls inconvénients sont que les temps de chargement des logiciels sont assez longs (puisque chargés depuis le CD-ROM et non du disque dur) et que les paramètres ne sont pas conservés (à moins de disposer d’une clé USB) à l’arrêt du système.

A l’extinction du micro, il ne reste aucune trace de Linux ou des programmes sur le disque dur.

Comment dois-je procéder, en cas de décision de migration, pour avoir le maximum de chances de réussite ? :

Cette question est essentielle, c’est pourquoi je l’ai gardée pour la fin…

Il y a un certain nombre d’étapes clés qui doivent être systématiquement réalisées même si certaines peuvent être faites très rapidement :

• Description précise et quantitative de l’existant (parc micro, réseaux, logiciels utilisés… ) et prévisions d’évolution à court terme (un an).

• Recherche des logiciels nécessaires.

• Elaboration d’une stratégie de déploiement. • Chiffrement des dépenses et des économies prévues et validation des choix. • Mise en œuvre.

• Validation des résultats.

Cette démarche peut être entreprise : • Soit par vous-même si vous disposez d’un peu de temps et si vous avez quelques

connaissances en informatique. • Soit en déléguant ce travail à la personne de votre entreprise qui s’occupe habituellement

du système informatique (sous réserve qu’elle soit curieuse et réceptive aux idées d’évolutions et qu’elle dispose de quelques disponibilités).

• Soit en faisant appel à un conseil extérieur qui vous apportera sa compétence et son expérience en toute objectivité et sécurité (cette solution s’impose pratiquement dès que la taille et les conséquences stratégiques sont importantes).

Page 27: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 27/75

3 LES SERVICES

3.1 CONCILIER SECURITE ET SIMPLICITE D'ADMINISTRATION Auteur : Thierry Rouquet (ARKOON Network Security) [email protected]

3.2 LES ASPECTS DE NOMS DE DOMAINES SUR INTERNET Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected]

3.3 ANALYSE DE RISQUES Auteur : Eleonore Sichel -Dulong (EXEDIS) [email protected]

3.4 POLITIQUE DE GESTION DE VULNERABILITES ET DES CORRECTIFS Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected]

3.5 PLANS DE CONTINUITE D'ACTIVITE Auteur : Eleonore Sichel -Dulong (EXEDIS) [email protected]

3.6 LE DEPLOIEMENT DES PATCHS Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected]

3.7 LA DETECTION D’INTRUSIONS Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected]

3.8 EXTERNALISER SA SECURITE ?

3.8.1 Externaliser la veille stratégique Auteur : Jean-Marc Beignon (E=(SC)2) [email protected]

3.8.2 Externaliser la détection d’intrusions Auteur : Pierre Gojat (France Télécom SCE/DGC) [email protected]

3.8.3 Externaliser la gestion des outils de sécurité

3.8.4 Externaliser la sauvegarde des données Auteur : Pierre Gojat (France Télécom SCE/DGC) [email protected]

3.8.5 Externaliser le site Web institutionnel Auteur : Pierre Gojat (France Télécom SCE/DGC) [email protected]

3.8.6 Pourquoi et comment confier le contrôle de votre sécurité à un partenaire de confiance ? Auteur : Gérald Souyri (Thales Security Systems) gerald.souyri@thales -security.com

3.9 LES NOUVELLES INFRASTRUCTURES DE SECURITE ORIENTEES SERVICE Auteur : Michel Habert (Netcelo) [email protected]

Page 28: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 28/75

3.9.1 La sécurité du système d’information de l’entreprise

La sécurité est vitale pour un système d’information (SI) sur lequel repose le fonctionnement de l’entreprise. Son rôle est de protéger le système d’information et de le maintenir à l’état opérationnel. Elle constitue un des piliers de l’intelligence économique considérée comme un enjeu de compétitivité et qui peut se définir comme la protection et la maîtrise de l’information sous toutes ses formes.

L’entreprise s’ouvre au monde extérieur. La prise en compte des nouvelles techniques: internet, réseaux à hauts débits, mobilité, convergence est essentielle pour sa compétitivité et sa productivité. Elle doit également s’adapter aux changements et aux évolutions qui sont de plus en plus fréquents, en effet les nouvelles techniques sont mises de plus en plus rapidement sur le marché. Le système d’information doit être agile et flexible pour s’adapter en permanence à toute forme de changement : organisationnelle, technique, fonctionnelle,...

La prise en compte de la sécurité d’un système d’information doit être globale, multi-niveaux et de bout en bout. C’est la chaîne de liaison depuis l’utilisateur jusqu’à l’application qui doit être sécurisée. Enfin, la sécurité ne se résume pas à acquérir et à mettre en service des équipements de sécurité. La sécurité ce sont également des processus. La sécurité demande au-delà de l’administration, un suivi qui se traduit par des contrôles, une supervision et une surveillance constants. Ces tâches sont lourdes, complexes et coûteuses à mettre en œuvre car elles doivent être assurées de manière permanente.

3.9.2 Les infrastructures de sécurité Une infrastructure c’est l’ossature d’un système qui comprend un ensemble de services qui agit dans des domaines : traitements, réseau, données, sécurité, applications. On peut distinguer ainsi dans un système d’information, plusieurs types d’infrastructures. Un des avantages d’une approche de type infrastructure est de traiter un domaine dans sa globalité.

Une infrastructure de sécurité globale, multi-niveaux et de bout en bout concerne tous les acteurs et toutes les ressources du système d’information : utilisateurs, administrateurs, équipements, réseaux internes et externes. Nous utilisons la terminologie de CPE (Customer Premise Equipment) pour désigner de manière générique un équipement informatique. Un système d’information est composé de CPEs connectés à des réseaux (LAN, SAN, WAN).

Pour assurer la sécurité, des fonctions de sécurité sont intégrées aux équipements.

Pour disposer d’une gestion globale de la sécurité dans une configuration d’entreprise étendue constituée de plusieurs sites et de points d’extrémité distants, l’infrastructure de sécurité formée de l’ensemble des fonctions de sécurité des CPEs implique l’existence d’un système de pilotage centralisé appelé Centre d’Opérations de Sécurité (SOC). Ce système va également apporter des services complémentaires de sécurité pour compléter les fonctions de sécurité des équipements (CPEs) , par exemple des services de PKI, d’annuaire, …

3.9.3 Le niveau de service de la sécurité

Que recouvre la sécurité ? Si on utilise comme définition de la sécurité : la protection et le maintien du SI à l’état opérationnel conformément aux exigences d’un objectif de niveau de service, la sécurité dépasse le cadre de la protection, elle comprend également la disponibilité des ressources, les performances et plus généralement la qualité de service qui correspond à un fonctionnement conforme à un niveau de service attendu mesurable grâce à des indicateurs.

L’élaboration par l’entreprise d’une politique de sécurité a comme but de définir précisément quel est l’objectif de niveau de sécurité pour le système d’information. Elle permettra la mise en place d’une sécurité adaptée aux besoins de l’entreprise.

Page 29: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 29/75

3.9.4 Services et domaines

Une approche service nécessite une modélisation d’un système sous la forme de services. Cette modélisation commence au niveau de l’expression des besoins qui devra être faite en termes de service.

Sur les plans techniques et fonctionnels des services seront définis sur la base du regroupement en « services » de fonctions fortement couplées. La règle de base pour distinguer deux services est qu’ils soient faiblement couplés sinon ils doivent être regroupés.

Une deuxième étape est le regroupement de services proches sur le plan fonctionnel en domaines. Un domaine sera supporté par une infrastructure. Une infrastructure de sécurité supporte des domaines de sécurité composés de services de sécurité.

Prenons l’exemple du domaine de la surveillance.

Une infrastructure globale de surveillance va supporter toutes les fonctions de surveillance regroupées en services pour tous les domaines du système d’information : traitements, réseaux, données.

Figure 1: Les infrastructures orientées service

On peut raisonner de manière identique pour d’autres services de sécurité comme l’identification, les contrôles d’accès, la protection périmétrique, la supervision, la sécurité réseau, la sauvegarde des données.

La sécurité globale du SI va ainsi se traduire par un ensemble d’infrastructures orientées service classées en domaines.

3.9.5 La gestion des services Un autre aspect des services est la gestion des services. La gestion des services est formalisée par la Méthode ITIL (Information Technology Infrastructure Library). Le « Service Management » représente le cœur de la méthode ITIL qui définit les besoins clients en terme de services. Cette méthode est complétée par la norme BS 15000 (British Standard for IT Service Management) destinée à garantir l’utilisation effective des meilleures pratiques en gestion de services pour une organisation.

Les principes de base d’ITIL sont :

w Focalisation client: qui doit être au centre des préoccupations.

w Cycle de vie : Les attentes en terme de services doivent prendre en compte toutes les phases d’une entité depuis sa création jusqu’à sa disparition.

w Processus : L'approche processus permet de garantir une qualité de service au moindre coût.

La gestion des services inclut principalement le support des services et la délivrance des services. Elle se traduit par des services professionnels (help-desk), ainsi que par des services et des

Surveillancesystème

Surveillanceréseau

Surveillancesécurité

Ressourcessystème

Ressourcesréseau

Ressourcessécurité

Infrastructure de surveillance

Toutes les ressources

Surveillanceapplications

Ressourcesapplications

Surveillancesystème

Surveillanceréseau

Surveillancesécurité

Ressourcessystème

Ressourcesréseau

Ressourcessécurité

Infrastructure de surveillance

Toutes les ressources

Surveillanceapplications

Ressourcesapplications

Domaine de la surveillance

Surveillancesystème

Surveillanceréseau

Surveillancesécurité

Ressourcessystème

Ressourcesréseau

Ressourcessécurité

Infrastructure de surveillance

Toutes les ressources

Surveillanceapplications

Ressourcesapplications

Surveillancesystème

Surveillanceréseau

Surveillancesécurité

Ressourcessystème

Ressourcesréseau

Ressourcessécurité

Infrastructure de surveillance

Toutes les ressources

Surveillanceapplications

Ressourcesapplications

Domaine de la surveillance

Page 30: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 30/75

processus qui seront intégrés au centre d’opérations des services pour le traitement des incidents, la correction des problèmes, la gestion des configurations, les mises à jour, les nouvelles versions, la gestion du niveau de service, la disponibilité, la gestion de la capacité, la continuité des services et la gestion financière.

3.9.6 Les évolutions des infrastructure Les infrastructures des systèmes d’information bénéficient aujourd’hui de l’avancée des techniques dans de nombreux domaines : processeurs de plus en plus puissants, réseaux LAN et WAN à haut débit, réseaux sans fil, connectivité planétaire grâce à l'Internet, capacités de stockage de plus en plus importantes, environnements d’intégration (ESB) et architectures orientées service (SOA). Ces avancées facilitent les évolutions des systèmes d’informations. La démarche de consolidation est essentielle pour optimiser ces évolutions.

3.9.7 La consolidation Consolider consiste à regrouper des ressources dispersées dont l’utilisation n’est pas forcément optimisée et à les réduire si possible en une seule ressource dont l’utilisation sera optimisée et plus aisée à gérer..

La consolidation est facilitée par des techniques comme:

w La convergence,

w L’intégration de services,

w La virtualisation,

w les environnements d’intégration et les architectures orientés service

w les services administrés.

La convergence

La convergence c’est par exemple utiliser un seul type de réseau : IP pour transporter tout type d’informations : données, voix, video. Mais elle concerne également les protocoles de communication, les infrastructures de traitement (stations et serveurs), les applications, les interfaces graphiques.

La convergence a pour but de simplifier les infrastructures et elle exploite les nouvelles techniques comme par exemple les réseaux à haut débit. Dans le domaine des échanges sécurisés, les VPN IPSec construits sur des réseaux IP économiques vont permettre à des PME/TPE de déployer des réseaux d’interconnexion à haut débit sécurisés. Les nouvelles techniques de SAN iSCSI qui utilisent le protocole IP vont utiliser des équipements IP standards qui vont démocratiser le SAN et les rendre plus simples à déployer et à administrer. La sécurité IPSec du paquet IP est applicable aussi bien aux applications SAN iSCSI que pour des interconnexions de site ou des accès distants.

L’intégration de services

Nous allons prendre l’exemple de l’intégration de services de type réseau et sécurité dans un seul appareil pour assurer à la fois la connectivité et la défense d’un site.

De plus en plus on voit apparaître sur le marché des CPE avec une architecture tout-en-un.

Exemples :

Un appareil de sécurité réseau multi-services : routeur, firewall conçu pour la défense d’un site intègrera des services réseau : interfaces LAN/WAN, routage, QoS et des services de protection: firewall, VPN IPSec/SSL, IPS (anti-virus réseau), inspection de contenu d’applications.

Les architectures tout-en-un optimisent le nombre d’équipements et facilitent les interactions des fonctions regroupées dans un seul appareil, par exemple :

w une détection d’attaque dans un routeur va déclencher la fermeture de l’accès WAN qui a fait l’objet de l’attaque,

Page 31: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 31/75

w l’appareil effectuera des corrélations d’évènements générés par les différents modules fonctionnels pour ne transmettre que l’information strictement nécessaire.

La virtualisation

La virtualisation consiste à fournir aux utilisateurs des ressources logiques qui sont construites via un niveau d’abstraction de virtualisation à partir de ressources ou de fractions de ressources physiques dédiées ou mutualisées.

Virtualiser s’applique à tout : des serveurs, des postes de travail, des processeurs, des entrées/sorties, des systèmes d’exploitation, des réseaux, du stockage, des firewalls, des middleware (ex SAP ACC et Oracle 10g), des infrastructures.

Prenons l’exemple de la virtualisation d’un réseau WAN par un VPN IPSec.

Un CPE (routeur VPN) sur les sites A et B d’une entreprise permet de construire un VPN (réseau entièrement logiciel) sécurisé IPSec en recouvrement sur une infrastructure physique de réseaux d’accès et d’interconnexion opérateurs. Ce VPN donne l’illusion aux deux sites interconnectés qu’ils sont reliés par un réseau local Le VPN se traduit par un tunnel sécurisé dont les extrémités se trouvent sur chaque CPE et qui traverse de bout en bout les réseaux de transport IP empruntés.

Figure 2: Virtualisation de réseaux WAN

La virtualisation réseau par VPN IPSEC apporte comme avantages :

w Un découplage complet des sites de l’entreprise vis à vis des réseaux IP physiques qui seront utilisés. Le SI devint ainsi complètement indépendant des réseaux de transport IP utilisés et des opérateurs de ces réseaux.

w un VPN sécurisé va permettre de sécuriser de manière uniforme avec une seule technique de sécurité qui est la sécurité standard du paquet IP: IPSec les échanges sur tout réseau de transport IP : LAN, WAN, SAN.

Les nouvelles architectures d’intégration orientées service

Les nouvelles architectures d’intégration (ESB) orientées service (SOA) qui sont des collections de services permettent de développer de nouveaux services qui s’intègrent à l’existant. Ces architectures permettent d’intégrer facilement des processus, des interfaces de présentation, des interfaces avec des systèmes existants, des services applicatifs, et rendent aisées les évolutions grâce à des outils puissants comme les plates-formes et les outils J2EE ou .NET qui minimisent les développements techniques et permettent de se concentrer sur les développements fonctionnels.

L’usage de ces techniques facilitera le développement de systèmes d’administration et de suivi de la sécurité intégrant toutes les composantes de l’administration d’un SI y compris la sécurité.

BackboneOpérateur Xcpe cpeSite A Site BBackbone

Opérateur Y

VPNRéseau de collecte

Réseau de collecte

internet

cpe cpeSite A Site BTunnel sécurisé

BackboneOpérateur Xcpe cpeSite A Site BBackbone

Opérateur Y

VPN

BackboneOpérateur Xcpe cpeSite A Site BBackbone

Opérateur Y

VPNRéseau de collecte

Réseau de collecte

internet

cpe cpeSite A Site BTunnel sécurisé

Page 32: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 32/75

Si on revient sur l’exemple d’infrastructure de surveillance, l’avantage d’une plate-forme J2EE ou .NET est d’apporter techniquement des composants et des services communs utilisés pour faciliter le développement du logiciel de surveillance du centre d’opérations.

Les services administrés

Un des problèmes de l’administration de la sécurité et de son suivi est : qui est derrière la console. La sécurité demande une supervision et une surveillance constantes et des experts pour remédier aux problèmes qui peuvent survenir. Disposer d’équipes d’administrateurs et d’experts représente un coût élevé pour une TPE ou une PME.

Une solution économique est le service administré qui mutualise pour plusieurs entreprises l’exploitation de leur sécurité.

Les avantages qu’apporte un service de sécurité administré à une entreprise sont les suivants :

w fiabilité en terme de suivi de la sécurité opérationnel 24h/24, de mises à jour, d’expertise apportée par des spécialistes du domaine de la sécurité.

w permet à l’entreprise de se concentrer sur son cœur de métier,

w faibles coûts de fonctionnement, l’entreprise est totalement déchargée du souci d’administrer, superviser et surveiller la sécurité,

w faibles coûts d’investissements : pas d’investissements en outils d’administration et même équipements de sécurité qui peuvent être loués avec une formule abonnement mensuel,

Un système d’administration et de suivi de la sécurité mutualisé géré par un prestataire de services de sécurité encore appelé « opérateur réseau » est composé de partitions, chacune affectée aux ressources administrées du SI d’une entreprise cliente.

Figure 3: Système d'administration et de suivi mutualisés

3.9.8 La consolidation appliquée à la sécurité La table suivante décrit une solution de sécurité réalisée après une démarche de consolidation.

Table 1: solutions avec consolidation

Services de sécurité Exemples de solutions

Système d’administrationet de suivi mutualisé

Partitions

réseau

Centred’opérationsmutualisé

Système d’administrationet de suivi mutualisé

Partitions

InformationsEntreprise

B

réseau

Centred’opérationsmutualisé

InformationsEntreprise

A

InformationsEntreprise

C

Ressources del’entreprise B

Ressources del’entreprise A

Ressources del’entreprise C

Système d’administrationet de suivi mutualisé

Partitions

réseau

Centred’opérationsmutualisé

Système d’administrationet de suivi mutualisé

Partitions

InformationsEntreprise

B

réseau

Centred’opérationsmutualisé

InformationsEntreprise

A

InformationsEntreprise

C

Ressources del’entreprise B

Ressources del’entreprise A

Ressources del’entreprise C

Page 33: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 33/75

Gestion des identifications/ authentifications

- Utilisation de certificats qui banalisent l’identification des utilisateurs et des équipements

- Unifier les opérations d’identification et d’authentification des utilisateurs : Single Sign On.

Gestion des accès - Zonage réseau

- Annuaire centralisé pour gérer les droits et rôles des acteurs.

- Utilisation de cartes à puce

Protection des données - Chiffrement VPN (IPSec/SSL) des données échangées sur les réseaux.

- Sauvegarde-archivage réseau.

- Chiffrement des données critiques des points d’extrémité (fichier, répertoire, disque).

Défense de site - Protection périmètrique : utilisation de CPE multi-services à la frontière LAN/WAN qui protège le site: firewall, IDS, IPS, VPN, inspection du trafic applicatif

- contrôles d’admission réseau pour les accès des points d’extrémité au site.

Défense des points

d’extrémité :

- Accès sécurisé au poste de travail : identification/authentification ( exemple : utilisation de carte à puce cryptographique).

- Protection périmètrique: firewall, prévention d’intrusion, inspection de contenu : anti-virus, anti-spy -ware, anti-spam.

- Protection des données: chiffrement, sauvegardes.

- Protection du système : analyse comportementale.

Disponibilité - Redondance pour les composants réseau, stockage et traitements.

- Actions sur le trafic et la QoS réalisée par CPE multi-services.

Administration

Supervision

Surveillance

Services de sécurité

Processus de sécurité

Centre d’opérations centralisé et intégré basé sur des politiques et une architecture orientée services.

- Support des fonctions d’administration : Approvisionnements, configurations dynamiques, gestion des mises à jour.

- Supervision des machines, des systèmes, des applications, remise à l’état opérationnel après disfonctionnement

- Surveillance :

Collecte des évènements générés par les CPEs, analyse de ces évènements et corrélations, génération d’alertes et construction de rapports.

- Services de sécurité

PKI, Stockage pour sauvegardes, annuaire,

- Processus de sécurité

Workflow intégrés au système d’administration centralisé et qui déroulent de façon automatisée sur événement ou action opérateur des tâches. Par exemple renouveler les certificats d’un appareil dont les certificats vont arriver à échéance.

Page 34: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 34/75

Détails de réalisation

Consolidation de l’accès

Utilisation de cartes à puces avec différents types de lecteurs possibles comme une clé USB pour centraliser les contrôles d’accès des utilisateurs au SI.

Figure 4: Consolidation de la sécurité d’accès

Consolidation de la sécurité de points d’extrémité

Une forme de consolidation est l’utilisation d’un agent de sécurité qui contrôle les logiciels de sécurité du poste pour par exemple autoriser le poste à se connecter au SI de l’entreprise.

Figure 5: Consolidation administration de défense de point d'extrémité

Consolidation de la Défense de site

Page 35: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 35/75

Utilisation d’un appareil multi-services qui assure les fonctions de défense de site :VPN ; firewall multi-niveaux, prévention d’intrusion (anti-vi rus réseau), inspection de code applicatif, QoS, gestion de trafic.

Figure 6: Consolidation de la Défense de site

Consolidation de l’interconnexion sécurisée

L’utilisation d’ IPSec et de SSL permet de sécuriser les échanges sur les réseaux internes IP (LAN, SAN) et WAN à l’échelle de l'Internet et par tout type de réseau d’accès filaire ou sans fil, avec une sécurité robuste uniforme.

Figure 7: Consolidation de l’interconnexion sécurisée WAN

Consolidation de l’administration de la sécurité Regroupement de services mutualisés:

w administration : approvisionnement, configuration dynamique, mises à jour

w supervision

w surveillance

w contrôles : audit de vulnérabilités,

w PKI,

w Annuaire,

w Stockage pour sauvegarde,

w Processus automatisés : gestion du cycle de vie de cartes à puce, de certificats, d’alertes, de reprise d’activité. ..

Page 36: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 36/75

Une console déportée permet d’opérer ces services sans complexité. Cette console peut être déléguée à un prestataire de l’entreprise. Dans ce cas, l’entreprise peut se limiter à disposer d’une console de supervision.

Figure 8: Consolidation de l’administration de la sécurité

3.9.9 Exemple d’une démarche de sécurité orientée service pour une TPE/PME Nous allons nous placer dans le cas où l’entreprise confie sa sécurité à un opérateur de sécurité prestataire de solutions de sécurité clé en main y compris l’administration et le suivi.

Table 2 : les étapes

Etape 1:

Audit du SI

Cette étape fait l’objet d’un état des lieux du SI de l’entreprise. Elle consiste à inventorier :

- l’organisation : les sites de l’entreprise (siège, agences,..), les types de communication, la typologie et le nombre d’utilisateurs.

- Les accès réseaux : la bande passante, les besoins d’usage, pour les utilisateurs internes et externes.

- Les équipements de traitement : serveurs, stations, unités de stockage, ..

- Les besoins spécifiques au métier de l’entreprise.

Etape 2:

Politique de

sécurité

Elaboration de la politique de sécurité qui formalise le niveau du service de sécurité attendu pour le SI.

Etape 3:

Choix des

techniques

Identification des processus, des services et des fonctions/mécanismes de sécurité en adéquation avec le niveau de sécurité requis.

Quelques exemples:

Services de sécurité

Page 37: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 37/75

- identification/authentification

- protection des accès : gestion des rôles, des droits, zonage,

- protection des données : sauvegarde, chiffrement, sécurité des échanges réseau

- défense des sites et des points d’extrémité : firewall, IPS (anti-virus), inspection des données des applications,.., analyse comportementale, tests de vulnérabilités

- fonctionnement (disponibilité, performances, ..)

- administration

- supervision

- surveillance

Processus de sécurité

- gestion du cycle de vie des mots de passe, des cartes à puce, des certificats,

- gestion des utilisateurs, administrateurs et de leurs droits,

- gestion des remises à l’état normal du système après un incident (traitements liés aux alertes (exemple réactivation après désactivation, remise en service d’un composant après défaillance, reprise d’activité après un désastre).

- gestion du cycle de vie de l’information.

Etape 4 :

Consolidation et implémentation

- Etude des solutions de sécurité pour les domaines à couvrir,

- Choix des matériels et des logiciels de sécurité,

- Construction de l’infrastructure.

Etape 5 :

Mise en service

- Enregistrement des politiques dans le système d’administration,

- Installation et approvisionnement des CPEs,

- Activation de la console de service.

Etape 6 :

Opérations, maintenance et assistance

- Opérations réalisées à partir d’une console de service,

- Maintenance des équipements,

- Assistance en ligne dans les plages horaires et journalières prévues dans le contrat de service.

3.9.10 Etude de cas Cas d’une PME avec les caractéristiques suivantes :

w Un site central : des postes fixes et connectés en WI-FI, des serveurs, un SAN iSCSI avec une unité de stockage,

w Deux sites secondaires interconnectés au siège de l’entreprise

w Des commerciaux qui se connectent au siège de l’entreprise lors de leurs déplacements avec des PC portables.

w Des partenaires et des clients qui se connectent à partir de postes non maîtrisés

Table 3 : solutions

Page 38: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 38/75

Réseau interne site central Une infrastructure IP LAN, SAN

Sécurité IPSec sur SAN

VPN IPSec sur LAN WI-FI

Réseaux externes VPN IPSec pour interconnexion de sites et accès distants

VPN SSL pour accès distants à partir de postes non maîtrisés.

Défense et disponibilité du site central Une passerelle de sécurité multi-services sur le site central qui centralise les fonctions de défense du site central en interne et en externe, qui est un point de terminaison des tunnels VPN et qui gère la qualité de service du trafic des applications.

On pourra également envisager une redondance des équipements et des accès pour un taux de disponibilité élevé en cas de défaillance.

Défense des sites secondaires

Un routeur VPN multi-services sur chaque site secondaire qui assure les fonctions de défense du site en interne et en externe et qui est un point de terminaison des tunnels VPN

Défense des points d’extrémité Logiciels de sécurité gérés par un agent qui les contrôle et qui autorise si les contrôles sont bon les connexions réseau du point d’extrémité.

Centre d’opérations des services Centre d’opérations externalisé qui télé-administre, supervise, surveille et rend des services de sécurité : PKI , annuaire, processus automatisés de sécurité, audits de vulnérabilité, assistance.

Une console de service sur le site central permet au client d’opérer les services sans complexité. Ces opérations peuvent être déléguées à un prestataire

Page 39: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 39/75

Figure 9 : Exemple de configuration

3.9.11 Conclusion Une infrastructure de services de sécurité mise en place après une démarche de consolidation est une réponse à une recherche de solution de sécurité globale. En faisant appel à des solutions complètes comprenant des services de sécurité administrés rendus par un centre d’opérations externalisé, les TPE et PME disposeront de solutions de sécurité robustes à l’état de l’art, les libérant des choix des techniques à utiliser et des tâches liées à l’expertise, à l’administration et au suivi de la sécurité.

Page 40: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 40/75

4 QUELQUES APPLICATIONS DEVANT ETRE SECURISEES

4.1 L’ENTREPRISE SANS FIL Auteur : Michèle Germain (ComXper) [email protected]

L’entreprise sans fil… Et si on enlevait les fils ?

Ce qui suit va un peu au-delà de la stricte sécurité et aborde « tout ce qu’il faut savoir et faire pour que ça marche », ce qui est tout de même une sorte de sécurité.

§ De bonnes raisons…

Ils servent à véhiculer les signaux électriques qui transportent voix et données jusqu’aux postes téléphoniques et informatiques… mais leur installation coûte cher et, au fond, sont-ils vraiment nécessaires ?

De plus en plus, on parle de « sans-fil », de « Wi-Fi », et la petite entreprise qui se crée et qui peut être amenée à plus ou moins court terme à quitter ses locaux pour de plus vastes, peut légitimement se poser la question de l’opportunité d’investir dans un câblage.

Indépendamment de l’aspect coût, l’installation dans un immeuble classé peut être soumise à des règles contraignantes sur le câblage et cela donne un intérêt supplémentaire au sans-fil.

§ Pour qui ?

Nous avons cité l’attrait du sans fil pour la TPE, mais bien sûr le sans-fil s’adresse à tout type d’entreprise. A partir d’une certaine importance, l’entreprise pourra miser sur des solutions mixtes en utilisant le sans fil en complément d’un réseau filaire classique pour ouvrir un service de mobilité interne ou encore pour desservir des zones qui ne peuvent être cablées, par exemple en extérieur.

§ Quels fils ?

Ce peut être les fils du téléphone (l’autocommutateur – ou PBX) ainsi que ceux du réseau informatique (le routeur local).

Le raccordement au réseau public est impérativement filaire, en général via une liaison ADSL qui permet de véhiculer à la fois voix et données et qui après filtrage se ramifie en :

§ une ligne téléphonique vers un poste téléphonique ou vers l’autocommutateur § une ligne informatique vers le routeur ADSL.

Une ligne ADSL est suffisante pour couvrir les besoins informatiques d’une TPE, mais pas ses besoins téléphoniques, puisqu‘elle ne peut supporter qu’une seule communication téléphonique à la fois. Aussi, on pourra la réserver au fax et prendre quelques lignes téléphoniques simples qui se raccorderont à l’autocommutateur.

C’est en aval de l’autocommutateur et en aval du routeur que peut commencer le monde du sans-fil.

Page 41: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 41/75

Filtre ADSL

Réseauinformatique

local

Réseautéléphonique

local

Réseaux sans-fil

Ligne ADSL

RouteurADSL FAX

PBX

Réseau Public

Lignes téléphoniques (RNIS ou analogiques)

§ Les risques

Les inconvénients connus de la radio sont d’une part son aptitude à franchir les limites géographiques de l’entreprise et d’autre part sa sensibilité aux perturbations externes.

Contrairement à un réseau filaire dont la distribution est strictement limitée par l’emplacement des prises et qui offre un service de qualité constante, la radio diffuse, traversant sans vergogne les limites de l’entreprise, et est soumise à des aléas de transmission liés à la topologie des lieux, à l’environnement, même parfois… à la météo.

Donc, en plus des risques inhérents aux réseaux filaires, l’usager sans fil va être confronté à des soucis de confidentialité, d’intégrité, de non intrusion et de permanence de service apportés par la radio.

La suite de ce chapitre montrera au lecteur qu’il ne s’agit nullement d’un scénario catastrophe et que bien utilisée, la radio apporte à l’utilisateur un niveau de sécurité acceptable, conforme à ses attentes.

§ L’informatique sans fil

Dans le domaine tertiaire, le seul intérêt est l’absence du câblage. Par contre dans d’autres domaines, le réseau sans-fil est un facteur majeur de l’amélioration de l’efficacité du travail.

On peut citer un certain nombre d’exemples : § dans un entrepôt, inventaire avec PDA en relation avec le serveur central

§ dans un garage, téléchargement des documents de maintenance, consultation du stock de pièces, en cours de travail

§ La téléphonie sans fil

Outre l’absence de câblage, l’intérêt est l’appareil sans -fil par lui-même, laissant l’usager libre de ses mouvements.

Une solution consiste à utiliser un service de téléphonie sans fil sur un autocommutateur. Parmi les technologies proposées, nous retiendrons : § le DECT § le WLAN, basé sur des techniques Wi-Fi ou autres.

Chacune a ses particularités et répond de manière différente aux impératifs de la téléphonie qui sont : § la confidentialité des communications

Page 42: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 42/75

§ la qualité des communications

§ la permanence de service § la gestion de la mobilité.

4.1.1 L’informatique sans fil « Wi-Fi »

4.1.1.1 Définition Point n’est besoin de présenter le Wi-Fi… Grâce à lui on peut maintenant trouver des accès sans fil à l’Internet quasiment n’importe où, y compris au café du coin. La plupart des ordinateurs récents sont équipés de base d’un circuit Wi-Fi.

Le Wi-Fi a fait son entrée chez les particuliers, alors, pourquoi pas aussi dans la PME ?

Wi-Fi est le nom usuel de la norme IEEE 802.11 qui se décline en différentes variantes. La plus récente et maintenant la plus utilisée est 802.11g qui fonctionne dans la bande de fréquences 2,4 GHz. Des compléments à la norme 802.11 apportent des services additionnels au service de base, tel le 802.11i pour la sécurité.

Le 802.11g peut délivrer un débit efficace de l’ordre de 20 Mbits/s2, donc de toutes façons supérieur à ce que pourra délivrer la liaison ADSL.

§ Topologie

Il existe deux topologies de réseaux

§ le réseau avec infrastructure § le réseau « ad-hoc »

Le premier, comme son nom l’indique, utilise des points d’accès radio (autrement dit des bornes) répartis sur une infrastructure filaire.

Le second est totalement dénué d’infrastructure, chaque terminal pouvant relayer les communications vers les autres terminaux du réseau.

Bien que tentante, la structure ad-hoc présente dans son état actuel un certain nombre d’inconvénients : § L’extinction d’un terminal risque de compromettre l’intégrité du réseau et d’isoler des

terminaux § Un terminal qui ne trafique pas est tout de même sollicité par des communications en transit,

et s’il est alimenté sur batteries, trouver celles-ci déchargées au moment d’établir une communication pour son propre compte

§ Le réseau ad hoc est particulièrement vulnérable aux attaques en déni de service qui visent à saturer les tables de routage et rendre le réseau inefficace. De plus, le principe ad hoc qui consiste à accueillir en tant que nœud du réseau tout terminal qui se trouve à portée, rend la sécurisation particulièrement délicate.

4.1.1.2 Disponibilité du service § Portée

Un point d’accès 802.11g couvre typiquement 15 à 70 mètres selon les conditions de propagation. En fait les informations de couverture données par les constructeurs et par la presse doivent être prises avec précautions. Un facteur essentiel est l’environnement, la portée étant directement impactée par la topologie des lieux (espace dégagé ou non) et sa nature (présence de murs de béton, armatures et mobilier métallique). Il faut savoir aussi que le débit décroît rapidement avec la distance ; la liaison radio peut être maintenue sur une portée plus longue mais avec un service dégradé.

2 On annonce parfois un débit de 54 Mbits/s pour 802.11g. Il s’agit du débit brut de la liaison radio, donc avec les messages et en-têtes propres au protocole. Ceux-ci supprimés, il reste en principe environ 22 Mbits/s pour les données utiles (débit efficace).

Page 43: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 43/75

§ Qualité de transmission

Le 802.11 est très sensible aux perturbations radio. De plus il opère dans une bande de fréquence dite ISM (Industry Scientific and Medical) qui, comme son nom l’indique a été prévue pour supporter un peu de tout, mais pas spécialement des réseaux de transmission de données. Il faut donc s’attendre à des perturbations venant d’objets aussi divers que des télécommandes et des fours à micro-ondes. Une sage précaution consiste à ne pas mettre les points d’accès radio trop près de ces équipements.

4.1.1.3 Sécurité On a dit beaucoup de choses sur la sécurité, ou plutôt sur l’insécurité, du Wi-Fi. Sa mauvaise réputation est en fait venue d’utilisateurs inconséquents qui n’ont pas estimé le problème à sa juste valeur, d’autant moins aidés par le fait que le mécanisme standard mis à disposition dans les premières implémentations (le WEP) favorisait la facilité d’installation plutôt que la sécurité et était largement insuffisant.

Des progrès ont été faits depuis cette époque de pionniers malheureux, tout d’abord grâce à la sensibilisation des utilisateurs à la problématique de la sécurité, et ensuite par l’avènement du standard 802.11i qui a enfin doté le Wi-Fi de mécanismes d’authentification et de chiffrement sérieux.

Bien évidemment, les techniques proposées sur les réseaux filaires (VPN, firewall, etc.) s’appliquent aux réseaux sans fil. Il sera largement fait état dans cet ouvrage des mille et une façons de sécuriser son réseau avec ou sans fil et le lecteur pourra également se reporter à l’ouvrage « La Sécurité à l’usage des Décideurs »(Réf. 1), dans la même collection

4.1.1.4 Recommandations d’installation Il est fortement recommandé d’utiliser un réseau d’infrastructure avec un ou plusieurs points d’accès radio de mettre en œuvre des mécanismes de sécurité efficaces.

A l’échelle d’une TPE, un routeur Wi-Fi raccordé à une ligne ADSL et se comportant comme un point d’accès radio peut être suffisant. Ceci réduit le câblage d’infrastructure à sa plus simple expression. La plupart des routeurs du commerce offrent une ou plusieurs interfaces LAN filaires… au cas où… et intègrent un firewall.

La position des points d’accès est choisie en fonction des zones à couvrir en intérieur et en extérieur, pourvu que ceci reste dans le domaine privé, et en s’écartant des brouilleurs (portes télécommandées, fours à micro-ondes…).

Il est recommandé de déclarer sur le routeur les adresses MAC des terminaux de l’entreprise afin d’interdire l’inscription de terminaux étrangers. La configuration des terminaux doit aussi interdire le mode ad-hoc afin de bloquer des attaques par rebond.

Il convient également d’être vigilant lors du retour dans l’entreprise de postes nomades qui ont pu être infectés lors de leurs déplacements et il est recommandé d’apporter un soin particulier à leur sécurisation.

Enfin, le label Wi-Fi garantit l’interopérabilité de produits de constructeurs différents pour un même niveau de la norme (attention notamment à des produits 802.11a qui sont aussi Wi-Fi mais qui fonctionnent dans une autre bande de fréquence et sont parfaitement incompatibles avec les 802.11b et g).

4.1.2 La téléphonie sans fil DECT

4.1.2.1 Définition Le DECT est une norme européenne de téléphonie sans fil, largement utilisée pour des services de téléphonie sans fil en entreprise et en résidentiel. C’est la norme utilisée par la plupart des téléphones sans fil grand public. Il s’agit d’une technologie mature qui a maintenant fait ses preuves.

Le DECT est conçu pour la phonie et bien que le standard intègre des services de transmission de données (fax, Internet, e-mail), les services offerts ne vont guère au-delà du SMS.

Page 44: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 44/75

4.1.2.2 Disponibilité du service § Portée

Une borne DECT peut couvrir 50 à 300 mètres selon les conditions de propagation et, selon les offres des constructeurs, supporte typiquement 4 à 12 voies radio, donc autant de communications simultanées. Une borne unique peut être suffisante pour couvrir environ une dizaine de bureaux, mais pour des raisons de permanence de service, il est conseillé d’en mettre au moins deux dont les couvertures pourront ou non se superposer.

§ Qualité de la phonie

Au point de vue immunité radio, le DECT utilise des fréquences qui lui sont propres (bande 1,9 GHz) et n’est donc pas brouillé par d’autres équipements radio électriques qui utiliseraient la même bande de fréquences comme le Wi-Fi.

Bien que le DECT possède une très bonne immunité aux interférences, des perturbations sont toujours possibles. Aussi, le DECT intègre des processus dynamiques d’allocation de canal libre et non brouillé, ce choix étant modifiable en cours de communication pour garantir la meilleure qualité possible.

§ Partage du spectre radio

La bande passante est divisée en 120 canaux radio qui ouvrent une capacité de 120 communications simultanées (tous réseaux et toutes bornes en un lieu donné, sachant que de toutes façons le trafic ouvert à une entreprise en un lieu donné est limité à la capacité radio des bornes qui lui appartiennent et qui couvrent ce lieu). Une communication occupe un plein canal à elle seule et pendant toute sa durée (on parle de « mode circuit »). Une fois la limite de 120 canaux atteinte, le réseau n’accepte plus de communication supplémentaire, ce qui garantit le maintien de la qualité des communications déjà établies.

§ Permanence de service

La capacité de 120 canaux est par contre partagée dynamiquement entre les différentes installations en présence. Il n’est donc pas exclu, bien que rare vu la capacité disponible, qu’une entreprise sature temporairement le réseau au détriment des autres. Toutefois, ceci ne pouvant se produire que dans les zones où les réseaux se recouvrent, le déplacement d’une borne suffit généralement à éliminer cet inconvénient.

4.1.2.3 Sécurité Il n’est pas impossible, surtout dans un contexte d’immeubles de bureaux, que des réseaux DECT se chevauchent. Pour garantir l’indépendance et la sécurité des flux de communication, le standard DECT intègre de manière native des mécanismes d’enregistrement, d’authentification mutuelle et de chiffrement qui offrent un très bon niveau de protection.

§ Enregistrement des terminaux

Un poste DECT ne peut trafiquer sur un réseau que s’il a été préalablement enregistré3 sur ce réseau. Ceci est une opération d’exploitation qui se déroule sur une borne spécialement déverrouillée le temps de l’enregistrement et au cours de laquelle le terminal et la borne échangent les éléments secrets issus de l’identifiant du réseau et du numéro de série du terminal qui en permettront l’authentification.

Si deux installations d’entreprises différentes sont proches, le mécanisme d’authentification garantit que les postes s’inscriront uniquement sur le réseau qui leur est autorisé. Il n’est donc pas possible à une entreprise d’héberger à son insu des postes d’une installation extérieure à la sienne.

Un terminal perdu ou volé peut être « désenregistré » de l’installation. Il ne pourra plus s’y inscrire.

3 Attention à ne pas confondre « enregistrement » qui associe un terminal à un réseau et « inscription » qui associe un terminal à une borne radio.

Page 45: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 45/75

§ Authentification

L’authentification du terminal est demandée lors de chaque accès au réseau (inscription, communication). Elle utilise la clé calculée pendant la phase d’enregistrement (cf. ci-dessus). L’identité du terminal est elle-même chiffrée, afin de garantir une meilleure confidentialité. La clé utilisée pour chiffrer la communication est calculée au cours de l’authentification.

§ Confidentialité

Les communications sont chiffrées au moyen d’une clé calculée lors de l’authentification et donc, recalculée et changée lors de toute nouvelle communication ou inscription.

Les différentes clés utilisées (authentification, trafic) sont calculées simultanément par le réseau et les terminaux, à partir d’un algorithme commun et réputé inviolable. A aucun moment, une clé n’est échangée sur l’interface air.

§ Intégrité

Les bornes radio sont des constituants du PBX et gérées par l’exploitant technique du PBX. La présence de bornes non désirées est de ce fait impossible.

4.1.2.4 Services § Services téléphoniques

Le standard DECT définit les services téléphoniques de base. Le terme DECT/GAP se réfère à un sous-ensemble du protocole qui définit le minimum indispensable pour garantir l’interopérabilité d’équipements de constructeurs différents et intègre des procédures d’échappement vers des services supplémentaires (keypad/display) propriétaires.

§ Mobilité

Un usager sans fil étant susceptible de se déplacer, le DECT supporte de manière native les fonctions de hand-over et de roaming.

Le roaming permet à l’usager de disposer du même niveau de service en tout point de son réseau (à ne pas confondre avec la fonction de roaming international du GSM).

Le hand-over permet de maintenir une communication en cours, soit en changeant de borne radio au cours des déplacements de l’usager, soit en changeant de canal radio si celui qui est couramment utilisé est soumis à des perturbations radioélectriques.

Un terminal peut (volontairement !) être enregistré sur plusieurs installations. Par exemple, si l’entreprise est implantée sur différents sites, l’usager pourra utiliser son téléphone partout.

4.1.2.5 Recommandations d’installation Les bornes DECT se raccordent au PABX par des fils. Là il n’est pas possible de faire autrement, mais pour une entreprise de faible superficie, le nombre de bornes étant inférieur au nombre de postes d’usagers, le gain sur le câblage reste conséquent.

Il convient de ne pas mettre les bornes n’importe où et de choisir des endroits qui donneront la meilleure couverture radio. Il existe à cet effet des outils d’aide à l’installation qui permettent de disposer les bornes de manière optimale.

Même s’il n’y a pas de risque au point de vue confidentialité, il est préférable de positionner les bornes afin de minimiser les émissions radioélectriques hors de l’entreprise : pas besoin de partager la capacité de trafic avec les voisins. D’’autre part il ne faut pas perdre de vue qu’il est interdit d’émettre en DECT dans le domaine public, donc dans la rue (par contre, il est autorisé de couvrir les parties extérieures du domaine privé, par exemple les parkings).

Les bornes et terminaux peuvent être de constructeurs différents, pourvu qu’ils satisfassent la norme DECT/GAP, ce qui est en général le cas. L’interopérabilité est garantie au niveau des fonctions prévues par cette norme, à l’exclusion bien sûr de fonctions propriétaires développées au-dessus de cette norme.

Page 46: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 46/75

Enfin, par sécurité, il est recommandé de garder une ligne filaire sur l’autocommutateur sur laquelle il sera possible de brancher un poste téléphonique filaire en cas d’indisponibilité du réseau sans fil. Cette prise pourra raccorder le fax en temps normal.

4.1.3 La téléphonie sans fil Wi-Fi (VoWiFi)

4.1.3.1 Définition La VoWiFi s’adresse essentiellement aux entreprises qui ont fait le choix du réseau informatique sans fil et qui désirent fédérer voix et données sur le même réseau.

Bien sûr la phonie numérisée n’est guère qu’une suite de 1 et de 0, mais transporter la voix sur IP ne se fait pas tout à fait comme transporter de la donnée : § Si des paquets de données arrivent dans le désordre ou avec plus ou moins de retard, ce

n’est pas grave : l’extrémité réceptrice les remettra dans l’ordre et on n’aura que perdu un peu de temps sur la transmission. Par contre il est impératif de ne rien perdre en cours de route.

§ Pour la voix, c’est différent. La perte de paquets n’a d’autre conséquence que de dégrader la phonie, mais à moins d’en perdre vraiment beaucoup, le message délivré est audible et compréhensible. Par contre, le temps de transmission est particulièrement critique. Une communication téléphonique est interactive et un temps d’attente excessif la rend, dans un premier temps énervante, dans un deuxième temps inexploitable. Le délai maximum supportable est de 400 ms, sachant qu’au-delà de 120 ms, la communication cesse d’être « confortable ».

Donc, le grand mot est lâché, quand il s’agit de transmettre de la phonie – ou de la vidéo – la contrainte n° 1 est la QoS (qualité de service).

4.1.3.2 Disponibilité du service § QoS

A l’heure actuelle, le standard 802.11e qui définit la QoS sur Wi-Fi est toujours à l’étude à l’IEEE, mais nombre de constructeurs proposent d’ores et déjà des solutions basées sur des protocoles propriétaires ou des drafts du 802.11e.

On peut charger un réseau de transmission de données : le débit sera considérablement ralenti, mais tout finira par passer. Ceci n’est pas acceptable pour la phonie.

Le principe de la QoS repose sur une priorisation des flux et une réservation de la bande passante nécessaire aux transactions temps réel de phonie. Lorsque le trafic entrant devient trop important, le réseau met en œuvre des mécanismes de contrôle d’accès (CAC)

§ Portée et immunité radio

Ce qui a été dit au sujet des réseaux informatiques au point de vue portée et transmission radio s’applique à la voix sur Wi-Fi.

4.1.3.3 Sécurité Bien sûr, tous les moyens de sécurisation des réseaux Wi-Fi sont applicables, mais ils ont l’inconvénient d’ajouter du délai, ce qui, on l’a vu, se traduit par une gêne au niveau de l’audition. Constructeurs et organismes de normalisation contribuent actuellement à optimiser la sécurisation de ce point de vue.

Le protocole 802.11i qui, on l’a vu, introduit des mécanismes plus puissants basés eux -mêmes sur des processeurs plus puissants réduisant le délai de transmission, est bien adapté à la voix sur Wi-Fi.

Page 47: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 47/75

4.1.3.4 Services § Services téléphoniques

Comme en voix sur IP (VoIP), la voix sur Wi-Fi (VoWiFi) est traitée par un iPBX qui assure les services téléphoniques. Par conséquent, les services offerts par une installation Wi-Fi n’ont pas de raison d’être différents de ceux d’une installation filaire de téléphonie sur IP.

§ Mobilité

Une autre contrainte est la gestion correcte de la mobilité, notamment du hand-over. Le standard 802.11 à l’origine conçu pour de la donnée n’intègre pas de base le traitement de la mobilité propre à la phonie.

En attendant un complément 802.11k toujours à l’étude, les constructeurs ont de nouveau développé des protocoles propriétaires de hand-over. Malgré tout, ces hand-over s’exécutent souvent de manière perceptible par les usagers de la communication (contrairement au hand-over du DECT qui est lui parfaitement inaudible).

4.1.3.5 Recommandations d’installation Tout ce qui a été dit pour le réseau informatique peut être répété ici, à une petite différence près qui concerne l’interopérabilité.

On l’a vu, beaucoup de mécanismes, dont le hand-over et la QoS sont actuellement basés sur des protocoles propriétaires dont l’interopérabilité n’est nullement garantie. Il est donc recommandé de s’assurer préalablement de la compatibilité des équipements choisis.

4.1.4 Autres

4.1.4.1 Le GSM Une solution triviale consiste à faire abstraction du PBX et d’utiliser le GSM. Outre le coût d’exploitation qui peut rapidement devenir prohibitif, cette solution n’offre que des services téléphoniques basiques. Elle est loin du niveau des services habituels en téléphonie d’entreprise.

Le GSM peut néanmoins suffire pour couvrir des besoins élémentaires et un faible trafic, ou encore les besoins d’une entreprise dont les collaborateurs sont la plupart du temps à l’extérieur.

4.1.4.2 Bluetooth Bluetooth n’est pas seulement utilisé pour raccorder des oreillettes et des souris sans fil. Le standard prévoit plusieurs puissances d’émission, dont une puissance de 100 mW qui permet de couvrir des distances de l’ordre de 100 mètres.

Bluetooth est bien adapté au transport de la voix, dans le sens où il partage le canal radio selon les applications : § Les communications de phonie reçoivent pour toute leur durée un sous-canal utilisé en mode

« circuit » avec une bande passante constante assurée § Les communications de données utilisent ce qui reste du canal en mode paquet.

Des implémentations intéressantes de PBX sans fil en Bluetooth ont déjà été réalisées.

La sécurité est généralement basée sur des mécanismes d’enregistrement similaires à ceux du DECT. De son côté, le standard Bluetooth intègre des mécanismes de chiffrement et d’authentification d’un bon niveau de sécurité et présente par ailleurs une bonne immunité aux perturbations radio. Il faut néanmoins savoir que, surtout à ce niveau de puissance, Bluetooth présente des risques d’interférence avec le Wi-Fi, par conséquent la cohabitation n’est pas recommandée.

Compte tenu des limitations du standard, notamment la limite de deux communications simultanées sur un même point d’accès, le PBX Bluetooth ne peut s’adresser qu’à de très petites entreprises.

Page 48: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 48/75

4.1.5 Et pour conclure…

Les 8 commandements : § Ne pas sous-estimer la problématique sécurité quand on aborde le sans-fil § Pour du sans-fil limité à la voix, adopter le DECT

§ Privilégier la VoWi-Fi conjointement au WLAN § Disposer les bornes ou points d’accès de façon à avoir une couverture connexe des lieux § Disposer les bornes et points d’accès de façon à limiter les émissions en dehors de l’enceinte

de l’entreprise, et particulièrement sur le domaine public § Privilégier le réseau avec infrastructure plutôt que le réseau ad-hoc § Protéger les moyens de configuration

…Garder quand même un poste filaire, même dans un placard, afin de l’avoir à disposition en cas d’indisponibilité du réseau radio

4.2 TOIP ET SECURITE Auteur : Frédéric Hubert (Thales) : [email protected] et Alexis Ferrero (Orbitiq) [email protected]

4.3 LA SIGNATURE ELECTRONIQUE Auteur : Gérard Péliks (EADS) [email protected]

4.3.1 Les deux piliers de cette technologie

Pour comprendre la signature électronique il est nécessaire de connaître quelques rudiments sur deux technologies : le hachage et le chiffrement asymétrique.

w Le hachage transforme une chaîne de caractère de longueur quelconque en un nombre de longueur fixe appelé le condensat ou empreinte. Par exemple une fonction de hachage transformera la chaîne de caractères « la sécurité à l’usage des PME et des TPE » en le condensat « 23425463 ». Cette même fonction de hachage transformerait l’ensemble de ce livre en le condensat « 74538242 ». Bien entendu, à partir du condensat, il n’est pas possible de retrouver la chaîne de caractère correspondante, mais là n’est pas le but. On peut supposer que si le condensat est de longueur suffisamment élevée, chaque chaîne de caractères traitée par la fonction de hachage donnera un condensat différent. Ainsi ce condensat caractérise la chaîne de caractères qui l’a créé. Si l’on change ne serait-ce qu’un espace ou une virgule dans la chaîne de caractères, le condensat résultant du traitement par la fonction de hachage sera complètement différent.

Ici la longueur du condensat est de 8 chiffres

w Le chiffrement asymétrique repose sur un couple de clés, une clé privée détenue par un utilisateur et une clé publique correspondant à la clé privée, qui peut être distribuée à tout le monde.

Page 49: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 49/75

Une bi-clé : la clé privée que l’utilisateur garde

et la clé publique correspondante que l’utilisateur distribue

L’utilisateur garde prudemment sa clé privée, qui doit rester connue de lui seul, si possible sur un média tel qu’une carte à puce. La clé publique correspondante, qui comme son nom le laisse supposer n’est pas un secret, peut être distribuée largement à tous ceux qui en ont besoin. Il n’est pas possible, à partir d’une clé publique de reconstituer la clé privée correspondante. Quand quelqu’un chiffre avec une clé publique, seul le détenteur de la clé privée correspondante pourra déchiffrer le message. Quand l’utilisateur chiffre un message avec sa clé privée, tous ceux qui possèdent la clé publique correspondante pourront déchiffrer ce message, et seront sûrs que le message a été chiffré par l’utilisateur puisqu’il est le seul à posséder la clé privée à laquelle la clé publique correspond. C’est ce dernier principe qui est utilisé dans la signature électronique.

Ici le message en clair est chiffré avec la clé privée de l’utilisateur

Le message chiffré est déchiffré avec la clé publique de l’utilisateur correspondant à sa clé privée

Le problème est de prouver que la clé publique d’un utilisateur est bien celle de cet utilisateur et correspond donc bien à la clé privée qu’il détient. Ceci est rendu possible par un certificat. La clé publique est envoyée dans un certificat prouvant, en particulier l’identité de son propriétaire (celui qui détient la clé privée correspondant à la clé publique) et ses dates de validité. Ce certificat est signé par une autorité de certification à qui tout le monde fait confiance.

Page 50: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 50/75

La clé publique est distribuée dans un certificat qui atteste ses dates de validité

et son appartenance à celui qui détient la clé privée correspondante

4.3.2 La signature électronique en théorie

Les deux notions, hachage et chiffrement asymétrique étant comprises, la signature électronique d’un document est d’une agréable simplicité.

Le condensat chiffré est ajouté au message et constitue sa signature

On passe le message à signer par l’algorithme de hachage qui donne un consensat qui caractérise ce message. Si ne serait-ce qu’un accent du message est changé ensuite, le condensat obtenu par le même algorithme de hachage sera différent. On chiffre ce condensat par la clé privée du signataire pour obtenir un condensat chiffré. Seul le signataire peut effectuer cette opération puisqu’il est seul à posséder cette clé privée qui caractérise donc le signataire. On envoie le message avec son condensat chiffré. Ni le message, ni le condensat ne sont ici confidentiel.

Si le condensat déchiffré correspond au condensat recalculé, la signature est établie

Page 51: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 51/75

Le certificat du signataire envoyé par lui ou trouvé dans un annuaire électronique de certificats contient la clé publique du signataire (correspondant donc à sa clé privée) et contient aussi l’algorithme de hachage utilisé pour calculer le condensat ainsi que l’identité du signataire. On passe le message par l’algorithme de hachage pour obtenir un nouveau condensat du message reçu. Grâce à la clé publique, on déchiffre le condensat chiffré accompagnant le message. Si le condensat déchiffré obtenu est le même que le condensat recalculé, le message est réputé avoir été signé .

Qu’a t’on prouvé en signant un document ?

w Que le document n’a pas été modifié car cela se serait vu sur le condensat recalculé.

w Que le signataire est bien celui qu’il prétend être car lui seul a pu chiffrer le condensat avec la clé privée que lui seul détient, car le condensat chiffré joint au message a été déchiffré par la clé publique du signataire trouvée dans un certificat lui-même signé par une autorité de confiance.

w Il est aussi possible d’inclure une fonction d’horodatage qui donnera la date de la signature.

4.3.3 La signature électronique en pratique Même si l’aspect théorique de la signature électronique a pu paraître un peu complexe, son utilisation pratique est très simple, la seule tâche pour l’utilisateur est de demander un certificat à une autorité réclamant l’usage de cette signature, telle que le greffe du tribunal de commerce de Paris ou l’administration fiscale. En même temps que le certificat, votre clé privée vous sera donnée et sera placée soit sur un support sécurisé comme une carte à puce ou une clé USB, soit sur votre disque, mais alors protégé par un mot de passe. Où mettre le certificat ? Le problème ne se pose pas, on vous fournit un utilitaire qui, exécuté s’occupe de placer le certificat et la clé privée là où il faut pour que par exemple votre navigateur ou votre logiciel de messagerie puissent signer votre document par un simple clic de votre souris.

4.3.4 Mais est-ce bien légal et reconnu ?

Il est bien évident qu’une signature électronique accompagnant un document n’aurait pas grande valeur si elle n’avait de reconnaissance légale par le pays d’où elle est émise et par le pays où elle est lue. La directive européenne du 13 décembre 1999 sur le cadre communautaire pour les signatures électroniques reconnaît à la signature électronique la même valeur légale que la signature papier. Un document dématérialisé, signé électroniquement est ni plus, ni moins légal que le même document sous format papier et paraphé au stylo. Cette directive européenne a été transposée en France dans la loi 2000-230 du 13 mars 2000 et dans le décret d’application 2001-272 du 30 mars 2001. Les autres pays de l’Union européenne ont pour la plupart aussi adopté cette directive européenne dans leurs législations.

Reste une petite précision qui a son importance, nous avons vu que l’authenticité du signataire est attestée par un certificat, qui rappelons, contient la clé publique correspondant à la clé privée que seul le signataire détient. Qui et dans quelles conditions le certificat est délivré déterminent la validité de la signature. Pour qu’une signature électronique soit reconnue comme légale, il faut que le certificat soit qualifié. Le certificat est qualifié si par exemple on ne vous le décerne qu’en main propre après avoir constaté de visu que vous êtes bien celui que vous prétendez être et après fourniture par exemple d’un extrait du KBIS pour authentifier votre société. Les responsabilités des prestataires de services de certification électronique délivrant des certificats électroniques qualifiés sont précisées par l’article 33 de la loi 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

Page 52: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 52/75

4.3.5 L’avenir de la signature électronique

4.4 LA SECURITE DES OUTILS NOMADES

4.4.1 L’ordinateur portable

4.4.2 Le PDA Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected]

4.4.3 Les téléphones mobiles Auteur : Alexis Ferrero (Orbitiq) [email protected]

Introduction

La téléphonie mobile, dite aussi cellulaire (plus précisément GSM dans une majeure partie du monde dont l'Europe) est tellement banalisée, que l'on se préoccupe rarement des problèmes de sécurité qui peuvent y être associés.

C'est pourtant un mode de communication radio ainsi que numérique. Or, au titre de technologie radio, la téléphonie mobile présente donc les faiblesses de tout système dont le média est intrinsèquement partagé, dont les transmissions sont en diffusion, et pour lequel il est extrêmement aisé de capter et suivre les échanges des équipements voisins, voire d'intercepter les requêtes de connexions/authentification, pour tromper le terminal …et son usager.

Naturellement le GSM a été prévu dès sa conception pour intégrer un certain nombre de mécanismes de sécurité, que nous allons rappeler brièvement, l'UMTS allant plus loin dans ce sens. Mais des failles existent malgré tout, permettant différents types d'actions malveillantes.

Un des intérêts particuliers du piratage du GSM réside dans le coût des communications. Le vol d'identité (au sens de la carte SIM) peut être également une activité lucrative. Naturellement l'écoute illégale, l'"impersonation" (imposture consistant à prendre la place d'un autre) sont aussi des motivations significatives quand il s'agit d’intercepter des informations critiques (économiques, financières, stratégiques) échangées par des téléphones mobiles.

Par ailleurs, la complexification des terminaux, leurs systèmes d'exploitation de plus en plus élaborés représentent aussi un risque croissant. En effet, tous les téléphones récents (Smart-Phone, Java-Phone, etc.) savent envoyer et recevoir des SMS et MMS, la plupart savent exécuter de petits programmes, certains peuvent envoyer et recevoir des e-mails, jouer des mp3, voire des séquences vidéo.

Toutes ces capacités implicitement numériques associées à l'exécution du code d'un petit programme sont autant de vulnérabilités potentielles qui ne pourront malheureusement que tendre à se développer, donnant probablement lieu à une nouvelle génération de virus, vers et autres formes d'actions malveillantes véhiculés par un élément d'information contaminé.

Aspects Radio :

Le GSM incorpore plusieurs mécanismes de sécurité :

w un dispositif d'authentification (qui, comme nous allons le voir, a pour principal défaut d'être mono-directionnel jusqu'à la 3G (téléphonie cellulaire dit de 3ème génération, l'UMTS en Europe)

w un dispositif de confidentialité qui protège les données (conversation) d'une simple écoute sur le média

Les deux dispositifs sont liés à l'authentification du terminal par sa carte SIM (Subscriber Identification Module) qui possède un petit processeur et sait donc répondre à une sollicitation algorithmique.

La carte SIM héberge :

Page 53: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 53/75

w un numéro unique à l'échelle mondiale de chaque utilisateur (15 chiffres au plus), l’IMSI, dont l'accès est protégé par un mot de passe (le PIN)

w et Ki, la clé racine de cryptage d’une longueur de 128 bits. Cette clé racine n'est pas lisible à partir de la carte SIM, et n'est connue que du système central d'authentification

Lorsqu'un terminal cherche à se connecter à un réseau en présentant son numéro unique, le réseau lui lance un défi en lui proposant un nombre aléatoire de 128 bits qu'il doit combiner avec la clé racine selon les algorithmes A3 et A8 pour produire 2 secrets partagés (respectivement SRES (32 bits) et Kc (64 bits)). Le premier secret permet au réseau de s'assurer de la détention effective de la clé racine (Ki), et donc authentifie le terminal. Le deuxième secret (Kc) sert à crypter les communications, en l'occurrence avec l'algorithme polynomial A5.

Sécurité du GSM

Enfin, n'oublions pas que GSM utilise un mode à saut de fréquence (FH : Frequency Hopping, ce qui correspond à changer de canal radio en permanence (217 fois par seconde) selon une séquence convenue) dont la séquence offre un niveau de sécurité complémentaire.

La première faiblesse perceptible du système GSM réside dans le fait que si le terminal s'authentifie vis-à-vis du réseau, le réseau, lui, ne s'authentifie pas auprès du terminal. Ceci signifie qu'une première possibilité d'attaque peut consister à tromper le terminal en s'insérant devant le réseau "réel" et donc à intercepter tous les échanges (tout en les retransmettant à la volée vers le réseau "réel" ce qui permettra de faire suivre les réponses d'authentification, puis la signalisation et les communications téléphoniques en tant que telles). La technologie G3 (UMTS) corrige ce point avec une authentification symétrique entre le terminal et le réseau.

Dans la pratique, plusieurs options existent pour les algorithmes A3 et A8, mais les implémentations courantes ne sont, volontairement, pas les plus robustes. D'une part ces implémentations possèdent des failles connues qui peuvent être exploitées par des attaques de type force brute, D'autre part l'utilisation des algorithmes est volontairement sous-optimale (ceci pour des raisons de sécurité nationale par exemple). Enfin le code de contrôle d'intégrité des données, nécessaire étant donné le caractère relativement imparfait des transmissions radio, apporte une certaine redondance des informations transmises, laquelle correspond implicitement à une légère dégradation du niveau de protection.

La conséquence est qu’il est possible de prendre entièrement la place du véritable terminal, en émission comme en réception en captant et en recalculant la clé racine de ce terminal à l’aide d’une station de base pirate qui génère des demandes d’authentification particulières.

Dans la pratique, cela signifie que pour "casser" la sécurité d'un terminal (anonymat, authentification, confidentialité) il est généralement nécessaire de disposer d'une "fausse" station de base (dite Rogue) pour s'intercaler entre un terminal et la vraie station de base en configuration « man-in-the-middle » (voir schéma), ce qui n'est pas nécessairement à la portée de tous les pirates, mais

Page 54: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 54/75

positionne le GSM comme une solution suffisamment sécurisée pour une utilisation courante, mais pas comme un support fiable d'échanges d'informations stratégiques.

Attaque « man in the middle »

UMTS

Les fonctionnalités de sécurité de l'UMTS sont principalement basées sur celle du GSM :

w authentification de l'abonné

w confidentialité de l'identité de l'abonné

w SIM déplaçable d'un terminal à l'autre

w cryptage de l'interface radio

L'UMTS ajoute cependant quelques fonctionnalités ou améliorations, comme un algorithme de cryptage renforcé. De plus l'implémentation des algorithmes d'authentification et la confidentialité de l'abonnement sont plus strictes.

w protection contre l'utilisation de fausse station de base, via une authentification mutuelle

w extension du cryptage de l'interface air, pour couvrir la partie filaire de la station de base à l'interface du contrôleur de station de base (RNC)

w éléments de sécurité (clé de cryptage et d'authentification) protégées dans le réseau en stockage et en transmission

w mécanisme de mise à jour des fonctionnalités de sécurité

Les spécifications UMTS définissent 5 groupes de fonctionnalités de sécurité :

w Sécurité d'accès au réseau 3G, contre les attaques de la partie radio

w Sécurité du domaine réseau, pour protéger les échanges signaux de contrôle et données entre les nœuds réseau de l'opérateur (partie filaire)

w Sécurité du domaine utilisateur, protégeant l'accès au terminal

w Sécurité du domaine application, protégeant l'échange de messages entre les domaines utilisateur et opérateur

w Visibilité et configurabilité de la sécurité, à destination de l'utilisateur lui-même

Page 55: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 55/75

Les spécifications UMTS apportent les fonctionnalités de sécurité et de confidentialité utilisateur suivantes :

w Confidentialité de l'identité de l'utilisateur, en ne permettant pas l'observation sur la partie radio du numéro unique d'un utilisateur connecté à un service

w Confidentialité de la localisation de l'utilisateur, en ne permettant pas de déceler sur la partie radio l'arrivée ou la présence d'un utilisateur

w Traçabilité de l'utilisateur, en ne permettant pas de déduire à partir d'observation sur la partie radio les services qu’il exploite

On réalise ainsi que les spécifications d'UMTS sont significativement plus riches que celles du GSM pour offrir un mode de fonctionnement plus robuste contre les pirates, mais aussi et surtout pour éviter l'écoute passive qui permet de suivre les mouvements et les utilisations des abonnés, sans nécessairement essayer de casser leurs codes ou de prendre leur place.

GPRS

Le GPRS exploite une architecture légèrement différente, car la connexion du terminal cumulant potentiellement plusieurs canaux (time-slot radio), les paquets peuvent être distribués sur plusieurs stations de base, pour aboutir au système d'authentification central (SGSN dans ce cas) et est donc une source supplémentaire de faiblesse potentielle. Le mode de fonctionnement du GPRS étant différent, certains algorithmes de chiffrement employés, comme l'A5, étant plus récents, la sécurité de l'ensemble reste cependant du même ordre que celle du GSM.

De même que mentionné précédemment, cette sécurité est d'un niveau suffisant pour la majorité des applications, mais peut apparaître incomplète pour des échanges critiques. Dans ce cas, l'utilisation de tunnels chiffrant (VPN) permet cependant simplement de renforcer les mécanismes d'origine (au détriment de la bande passante, inévitablement).

Aspects Numériques :

En tant que terminal numérique, avec capacité de traitement et de stockage, les téléphones récents présentent tous une vulnérabilité plus ou moins proportionnelle à la richesse de leurs fonctionnalités et de leurs logiciels. Ainsi, les téléphones basés sur un système d'exploitation Windows de Microsoft incorporent un ensemble, certes complet et ergonomique, mais cible probable d'attaques à venir. Car le niveau de risque reste généralement lié à la complexité (les failles sont mathématiquement plus nombreuses si le nombre de lignes de code est plus important) et à la généralisation du système (la cible étant d'autant plus homogène et bien connue, y compris des pirates, qu'elle est effectivement très répandue).

Les moyens potentiels de contracter virus, vers ou de subir d'autres types d'attaques sont donc semblables à ce qu'elles sont dans le monde des ordinateurs et équipements réseaux câblés, sachant que les opérateurs mobiles, de par la limitation du débit, sont restés assez présents sur la surveillance du trafic, éventuellement via des proxy plus ou moins intelligents qui peuvent contrôler le trafic tout en le retransmettant. Ces équipements ayant pour rôle d'adapter les flux de data aux spécificités de délai et de fiabilité de l'environnement cellulaire sont à des endroits stratégiques pour incorporer des fonctions de sécurité.

WAP

Le WAP (Wireless Application Protocol) présente en tant que protocole multi-niveau se substituant aux couches IP courantes (TCP/UDP ; TLS ; HTTP) les mêmes risque que les protocoles IP standard. Ainsi TLS (Transport Layer Security) a un équivalent en WAP : WTLS (Wireless TLS), disponible depuis la version 1.1, et inchangé en 1.2, même si elle était rarement implémentée au début. Naturellement, si le WAP doit servir à l’accès à des services payant après authentification, il est indispensable que le fournisseur de service ait intégré les mécanismes disponibles pour protéger ses servi ces et ses clients de toute utilisation frauduleuse ou abusive. Tout comme pour les nœuds télécom de l'operateur mobile, des solutions de sécurité spécifiques ont été développées ces dernières années pour permettre d'améliorer le niveau de sécurité et de robustesse du WAP.

Bluetooth

Page 56: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 56/75

La technologie Bluetooth n'est pas spécifique au téléphone cellulaire, mais tous les modèles de téléphones avancés ont aussi cette capacité de communication sans-fil (en plus de l'infrarouge généralement). Hors c'est un port d'accès supplémentaire, plus ou moins bien contrôlés. La technologie Bluetooth intègre implicitement des mécanismes de sécurité, par ailleurs nativement plus complets que le WiFi au niveau du cryptage, mais le téléphone peut aussi être configuré pour être tout le temps visible, voire accessible (prêt à recevoir) au risque de récupérer ainsi un fichier porteur d'un virus. La configuration et l'usage de l'option Bluetooth doivent donc être gérés avec prudence, car les échanges passent assez facilement inaperçus.

A titre d'information, le premier vers pour Symbian (système d'exploitation ouvert pour SmartPhone, utilisé par Nokia principalement, mais aussi Sony-Ericsson, Motorola et Panasonic) date de juin 2004, et se propageait via Bluetooth

Risque Attaque Contre-mesure

Détournement de service usurpation d'identité vol de session répudiation

authentification et autorisation, identités temporaires, cryptage, protection d'intégrité

Déni de service (DoS) authentification et autorisation mutuelles,

Révélation d'information : identité de l'utilisateur, position, contenu de paquets data

attaque passive (eavesdropping) cryptage, identités temporaires

Manipulation de message attaque "man in the middle" (cf schéma)

Authentification mutuelle, protection d'intégrité, cryptage

Page 57: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 57/75

5 L’ASPECT HUMAIN DE LA SECURITE

5.1 COMMENT INFLUER SUR LES COMPORTEMENTS A RISQUES ? Auteur : Pierre-Luc Refalo (Comprendre et Réussir) [email protected]

5.2 LA SECURITE, UN ETAT D'ESPRIT Auteur : Jean-Marc Beignon (E=(SC)2) [email protected]

5.3 QUELLE POLITIQUE DE SECURITE POUR UNE PME ? Auteur : Pierre Gojat (France Télécom SCE/DGC) [email protected]

La politique de sécurité pour une TPE ou une PME est un préalable indispensable pour éviter d'exposer son entreprise à des risques multiples, complexes, inconnus et pour éviter d'avoir à subir des dommages. Elle l'est également pour éviter un déploiement désordonné de mesures de protection tout aussi multiples, complexes et chères que les dangers qui les ont généré. Ce qui rend l'élaboration de cette politique particulièrement délicate pour les petites entreprises est le peu de ressources disponibles, qu'il s'agisse du budget souvent limité , du peu de temps disponible ou de la compétence nécessaire qui est rare .

Ces trois considérations préliminaires sont des motifs légitimes pour réagir. Une politique de sécurité doit pourtant s'efforcer d'anticiper, de réduire la part de l'incertitude de fixer des orientations et des priorités pragmatiques. Trois grandes familles de lignes directrices pour développer la sécurité peuvent être proposées :

5.3.1 Objectifs principaux La politique de sécurité d'une PME visera toujours à augmenter le niveau de confiance partagée (avec ses Clients, fournisseurs, partenaires, etc.) Il lui faut pour cela prendre en compte tous les aspects de la sécurité, notamment : confidentialité, disponibilité et intégrité… au travers des matériels et logiciels, des organisations, des réseaux et des hommes.

w La confiance partagée L’information, le SI et les réseaux bien sécurisés constituent un stimulateur utile, parfois indispensable, pour augmenter la performance de l’entreprise, favoriser la croissance du CA, développer la marge, augmenter la valeur ajoutée du service, se différencier de la concurrence (re)conquérir et fidéliser ses clients.

w L’augmentation de la valeur par la sécurité

Protéger son information et son Système d'Information a un coût. Ne pas se protéger relève de l'insouciance coupable et trop se protéger relève du perfectionnisme dispendieux. Optimiser le

ratio protection

coût passera probablement par plusieurs allers -retours. Le coût de la tranquillité est

parfois inclus dans des offres "packagées" qui contiennent déjà des éléments de sécurité; il peut être disponible dans une prestation plus haut de gamme ou être accessible en option payante.

w L’ajustement du coût à la protection

Le dirigeant de PME ou de TPE, non spécialiste, devra disposer des éléments ou réunir les informations de base qui lui permettront de donner son consentement éclairé aux mesures de protection à mettre en place. Un diagnostic doit être établi : analyse des risques de l'entreprise avec la mise en relief systématique de la dépendance de l'activité de l'entreprise vis-à-vis de l'outil informatique et télécom (Internet, téléphone, LAN, etc.) et de la tolérance aux pannes et aux interruptions de service et de l'existence ou de la nécessité de solutions de repli avec un fonctionnement dégradé ou non de l'entreprise.

Page 58: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 58/75

Pour préparer l’établissement de la politique de sécurité dans le cadre d’une PME on pourra demander à chacune des catégories d’acteurs de l’entreprise (par ex. commercial, production, administration,…) de s’exprimer sur chacun des sujets exprimés ci-dessous sous forme d’une grille de lecture que l’on peut éventuellement reprendre dans un questionnaire :

5.3.2 Diagnostic rapide : w analyse de dépendance

w analyse des risques

w tolérance aux pannes et aux interruptions de service

w solutions de repli : mode dégradé ou à plein régime

w état des lieux et évolutions à prévoir

w compétences internes

En réunissant ces éléments, le manager de l’entreprise sera en mesure de choisir le niveau de protection retenu, le niveau de dépense qu’il est prêt à assumer et le niveau de risque résiduel qu’il accepte d’assumer. Pour ce faire, il peut être utile de faire plusieurs itérations successives en comparant par exemple plusieurs fois le niveau de dépense accepté à la dépendance dans laquelle on se trouve vis-à-vis de l’informatique et des télécoms pour faire tourner l’entreprise.

La phase de constitution d’une politique de sécurité peut se schématiser comme suit :

5.3.3 Une politique de sécurité digne de celle des plus grands

Evoluant dans le milieu des affaires, de l’industrie ou des services, la teneur de la politique de sécurité pour une PME ou une TPE ne diffère pas fondamentalement d’une entreprise de taille plus importante. Elle peut être décrite selon le canevas type illustré ci-dessous à titre d’exemple :

LA SÉCURITÉ DE L’INFORMATION : LE CONTEXTE Les acteurs

Les informations – les ressources d’information Les menaces Les facteurs clés de succès

PRINCIPES GÉNÉRAUX

Page 59: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 59/75

PRINCIPES DE SÉCURITÉ LIÉS À L’INFORMATION

Protection des informations Typologie des informations à protéger Continuité dans la protection des informations

PRINCIPES DE SÉCURITÉ DE L’INFORMATION LIÉS AUX COLLABORATEURS ET AUX PARTENAIRES

Affectation des droits d’accès à l’information du collaborateur et des partenaires

Sensibilisation et formation Principe de responsabilité Autres principes liés aux collaborateurs

PRINCIPES DE SÉCURITÉ LIÉS AUX BIENS PHYSIQUES PRINCIPES DE SÉCURITÉ LIÉS AUX TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION

Périmètre des technologies de l’information et des communications Principes de sécurité liés à l’expression du besoin et au développement Principe de sécurité pour l’exploitation, la maintenance et le soutien

Administration des droits d’accès à une ressource PILOTAGE DE LA SÉCURITÉ DE L’INFORMATION

Le fait de renseigner les différentes rubriques d’une politique de sécurité selon une grille de ce type, qui est celle utilisée par les plus grands groupes, ne représente toutefois pas une charge de travail excessive. L’ampleur du travail dépend en effet plus de la complexité de l’activité de l’entreprise que de sa taille. En revanche, la grille générale présentée ci-dessus a l’avantage de constituer, de fait, une check-list qui s’avère précieuse pour éviter les oublis et prévenir les failles. Il ne faut pas non plus oublier que la PME-PMI a presque toujours besoin, à un titre ou à un autre, d’échanger des flux d’information avec les grandes entreprises donneuses d’ordre, etc. Elle pourra avantageusement et parfois devra faire état de l’existence d’une politique de sécurité compatible avec les exigences de ces grands groupes qui contribuent à la faire vivre.

5.3.4 Avoir recours aux savoir-faire externes,

Privilégier les systèmes multifonctions, considérer l’approche service

Comme on peut s’y attendre, la sécurisation de l’activité informatique et de télécommunications des PME est l’espace privilégié pour l’utilisation de produits et services standardisés, éprouvés et de solutions packagées aux fonctions multiples. Plusieurs exemples de ce type de choix sont développés dans le présent document, notamment au chapitre qui traite des coupe-feux tout en un et au chapitre qui aborde les appliances multifonctions pour les PME. La politique de sécurité s’attachera à prévoir que les fonctions standard disponibles au travers de ces produits sont bien reliées aux besoins fondamentaux de l’entreprise établis au cours de la phase de diagnostic. Une autre précaution consistera à s’abonner à un service plutôt qu’à procéder à des achats d’équipements ou de logiciels qui risquent fort de devenir rapidement obsolètes. L’approche service peut permettre aussi une progressivité des dépenses plus douce lorsque les besoins de protection croissent en évitant, par exemple les paliers provoqués par le changement de gamme d’un équipement.

Certaines fonctions de sécurité sont et demeureront l’affaire de spécialistes ce qui rend obligatoire pour les PME d’avoir recours à ces spécialistes et d’acheter une prestation en externe. Un exemple qui est en train de devenir caractéristique de ce phénomène est la lutte antispam qui peut s’avérer très consommatrice de temps et d’effort pour un gestionnaire informatique interne.

Page 60: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 60/75

5.3.5 Nouveaux outils communicants de productivité personnelle

Les PME ont beaucoup à gagner des outils communicants de productivité individuelle (portables, PDA, 3G, etc.) du fait que leurs salariés ou leurs dirigeants exercent plus fréquemment que dans les grands groupes des fonctions multiformes. La dépendance acquise par l’introduction de ces outils mobiles doit être prise en compte dans l’élaboration d’une politique de sécurité de la PME et y faire l’objet d’un chapitre particulièrement soigné. (par exemple : que faire en cas de crash du disque dur du PC portable du directeur commercial ou du vol du PDA du patron ? etc.

5.3.6 Une politique de sécurité des PME proportionnée aux enjeux, pragmatique et agile

On l’a vu, le fait d’être une PME n’implique pas que la politique de sécurité doit être petite ou moyenne. Comme la dépendance de l’activité de l’entreprise vis-à-vis de son système d’information peut être souvent très considérable au sein d’une PME, il est absolument nécessaire d’y organiser la confrontation constante entre les moyens de protection mis en place et les enjeux business de l’entreprise. Face à la croissance et à la diversification des risques, le pilotage classique par les performances, les coûts et les délais doit être complété par un pilotage risques-performances-coûts-délais dans une dynamique qui doit être très régulière et rapide pour pouvoir être mise en regard de l’évolution elle-même extrêmement rapide des menaces.

Page 61: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 61/75

6 L’ASPECT ECONOMIQUE DE LA SECURITE

6.1 LA GESTION DE CRISE POUR UNE PME PMI Auteur : Hervé Schmidt [email protected]

6.2 ASSOCIEZ VOTRE BUDGET SECURITE A VOS ENJEUX Auteur : Dominique Meurisse (Netasq) [email protected]

Page 62: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 62/75

7 L’ASPECT JURIDIQUE DE LA SECURITE

7.1 LES NOUVELLES REGLES JURIDIQUES DE LA CYBERCRIMINALITE: VICTIME DONC RESPONSABLE Auteur : Olivier Iteanu (Cabinet d’avocats Iteanu) [email protected]

7.2 A QUI S’ADRESSER APRES UNE ATTAQUE ?

Page 63: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 63/75

8 DIX MESURES CONCRETES POUR SECURISER VOTRE PME CONNECTEE Auteur : Mauro Israel (Le Netwizz - CYBER-NETWORKS) www.netwizz.com

Contrairement aux grandes et moyennes entreprises, la PME, l'entrepreneur individuel, le commerçant et la profession libérale n'ont ni les moyens humains, ni le temps, ni les budgets pour procéder à une sécurisation de leur informatique. Les dirigeants se concentrent d'ailleurs sur leur métier, et considèrent l'informatique comme un outil pratique pour améliorer leur efficacité... sauf lorsque les ordinateurs ou la messagerie sont plantés par une attaque virale, ou la connexion à Internet ne fonctionne plus. Alors "l'ex-outil pratique" déclenche des réactions d'énervement et des appels effrénés chez tous les fournisseurs, -qui n'y peuvent rien car ils ont une vision partielle du système- ce qui augmente en général l'énervement jusqu'à parfois friser l'hystérie collective !

Ma longue expérience des PME et des TPE, commerçants, professions libérales, m'a permis de dresser une "check-list" pratico - pratique des actions à mener pour renforcer la sécurité de votre informatique sans dépenser des millions et sans perdre de temps. Cette liste est issue des nombreuses interventions "amicales" lors de dîners ou d'invitations, où -comme les médecins- je suis souvent amené à donner une consultation gratuite: "Au fait, comme tu t'y connais en informatique, peux-tu m'expliquer pourquoi j'ai vingt fenêtres qui s'ouvrent avec des pubs dans mon navigateur ?" ou bien "Depuis que j'ai mon abonnement WIFI, je trouve que ma liaison à Internet est ultra lente surtout vers 16h30-17h"

Le premier est victime de "spywares", des "bestioles" qui espionnent le contenu du disque dur et transmettent ces infos à des régies publicitaires, voire à des pirates, ce qui déclenche l'ouverture inopinée de fenêtres publicitaires non désirées sur votre écran... Ces spywares sont rarement interceptés par un anti-virus, même à jour, et nécessitent donc un traitement adéquat, appelé anti-spyware...

Le deuxième a laissé son accès Wi-Fi configuré par défaut, et des étudiants à la sortie du collège à proximité en ont profité pour squatter depuis la rue avec leur portable la connexion ADSL de l’entreprise... En effet, les ondes radio se répandent aussi à l'extérieur des murs de l'entreprise ! La solution est la sécurisation de l'accès Wi-Fi.

Ci-après vous avez donc, dix « maladies » classiques, et la manière de les résoudre. La plupart des "remèdes" ne coûtent rien et sont aisés à mettre en oeuvre avec un minimum de connaissances, sinon demandez à un "ami informaticien" !

Les problèmes sont scindés en 4 catégories: les éléments de sécurité que vous n'avez pas encore, ceux qu'il faut renforcer, les méthodes à améliorer et enfin la protection des données.

8.1 CE QUE VOUS N'AVEZ PEUT-ETRE PAS ENCORE:

1 - Anti-spyware

Vous allez surfer sur Internet et trouvez un magnifique « screen saver » Aquarium et vous le téléchargez : http://www.clubaquatica.com/ …

En fait, vous venez de télécharger un spyware (ou publiware dans ce cas), qui va s’installer sur votre ordinateur et va déclencher des fenêtres publicitaires. Au bout de quelques mois de téléchargements de ce type vous serez « infesté » de logiciels espions et votre ordinateur va devenir de plus en plus lent, voire ne va plus réussir à fonctionner correctement. On va devoir reformater toute la machine et tout réinstaller ! Le vrai remède est de lancer un anti-spyware et de décontaminer tout le disque dur ; Mon record est de 8440 fichiers contaminés trouvés sur un ordinateur ! Le problème des spywares est que les anti-virus classiques ne les détectent pas et que dès qu’ils sont installés, même en les détruisant, ils vont se reconnecter au site contaminant pour se recharger et ainsi de suite… Il faut donc à la fois décontaminer le disque mais aussi empêcher des nouvelles contaminations avec un module de protection en temps réel. Prévenez dans la foulée les utilisateurs de ne pas télécharger n’importe quoi depuis Internet, en particulier les « gratuits » logiciels, les musiques, les films, les économiseurs d’écrans. C’est comme cela que les spywares se répandent le plus efficacement. Ci-

Page 64: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 64/75

après les liens pour télécharger les anti-spywares les plus connus. A titre d’exemple « Ad Aware » a été téléchargé par plus de 125 millions d’internautes dans le monde (125.843.085 au 4 mai 2005) !

A noter l’initiative de Microsoft qui vient de racheter une solution renommée d’anti-spyware et qui la met gracieusement à disposition des heureux possesseurs de Windows (2000 ou XP)…

Voir chapitre « bibliographie et références »(Réf. 13)

Une fois le logiciel téléchargé lancez-le et regardez le résultat; Combien de spywares aviez-vous sur votre disque ? ça fait frémir… Enfin, maintenant vous êtes protégés.

2 - Firewall personnel

De la même manière qu’un anti-virus ne protège pas des spywares, il ne protège pas non plus des attaques des pirates… A travers votre connexion Internet, des pirates cherchent à avoir accès à votre ordinateur et à le transformer en « zombie », c'est-à-dire à prendre son contrôle à distance. Pourquoi ces gens-là iraient s’attaquer à ma PME de fabrication de chaussettes plutôt qu’au Pentagone ? En fait, les pirates « scannent » systématiquement toutes les machines connectées à Internet et ne savent pas s’il s’agit d’un site ultra confidentiel ou d’un site sans intérêt pour eux. Il se trouve que là c’est vous la cible et vous n’y pouvez rien. Depuis que vous avez votre connexion ADSL, vos ordinateurs sont connectés en permanence à Internet, ils sont donc exposés d’avantage que lorsque vous vous connectiez de temps en temps avec un modem.

La solution est de mettre un logiciel « pare-feu » (ou firewall en anglais) qui va filtrer les accès à votre ordinateur depuis internet. Une fois bien configuré ce pare-feu va protéger votre machine en rejetant les tentatives illicites et en masquant votre système vis-à-vis de l’extérieur. Là encore, l’initiative sécurité de Microsoft qui a ajouté un firewall personnel dans sa mise à jour de Windows XP : service pack 2. L’autre intérêt est lorsque vous vous connecterez avec votre ordinateur portable depuis un hôtel ou un site externe, vous ne serez pas non plus une victime des attaques des pirates, et ne pourrez pas contaminer votre entreprise en rebranchant votre machine au réseau à votre retour.

Voir « bibliographie et références »(Réf. 14)

8.2 CE QU'IL FAUT RENFORCER:

3 - Firewall sur la connexion ADSL

De la même manière que chaque ordinateur (notamment les portables) doit être protégé avec un firewall, le boîtier de connexion à l’ADSL de votre site dispose certainement d’un Firewall ; Encore faut-il l’activer ! Pour la Freebox par exemple, allez sur la console sur le site Free et activez la fonction « routeur » et ensuite activez le NAT (translation d’adresses). C’est le minimum de protection, qui ne fera plus apparaître vos machines « en direct » sur le net. Sur les routeurs ADSL du marché il y a toujours une fonction « firewall », et on accède à la console d’administration à l’aide d’un simple navigateur. Regardez la doc et activez le firewall !

Voir « bibliographie et références »(Réf. 15)

4 - Anti-virus / anti-spam et webmail pour la messagerie

Le fait de disposer d’un webmail pour une TPE lui permet de consulter ses e-mail depuis n’importe quel endroit de la planète ; ça tombe bien les dirigeants et les commerciaux des PME sont devenus de vrais nomades, allant d’hôtel en aéroport, et de gare en client ; De plus, le e-mail est devenu l’application indispensable dans toute entreprise pour rester « au contact » du bureau. Un webmail (qui est un e-mail accessible depuis un navigateur) possède trois avantages :

w la possibilité d’accéder à ses e-mails avec un simple navigateur, donc depuis un cyber-café, un hôtel, un client, une aérogare etc.

w Ce serveur webmail va pouvoir « ramasser » automatiquement les e-mails en provenance de plusieurs abonnements et les concentrer en un seul écran,

Page 65: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 65/75

w Enfin, il va pouvoir décontaminer les pièces jointes et protéger l’utilisateur des failles inhérentes à un manque de mises à jour de sécurité de ses programmes, puisque seul le navigateur est concerné.

Point non négligeable en sécurité, les échanges entre l’utilisateur et le serveur se feront en https, c'est-à-dire que personne ne pourra lire le contenu des échanges en interception…

Il existe pas mal de serveurs de webmail disponibles notamment avec un boitier « tout en un ». Le mieux est de choisir un système simple d’installation et couplé avec le système de connexion à Internet de l’entreprise. Dans la mesure du possible évitez d’utiliser les webmails des grands moteurs de recherche comme Yahoo ! ou Google, si vous avez des informations confidentielles à échanger, ceux-ci n’étant pas cryptés.

Voir « bibliographie et références »(Réf. 16)

5 - Accès WIFI

Depuis que les points d’accès sans fil ont fait leur apparition, un autre « sport » fait des ravages : le « war driving » ; Il s’agit de circuler en voiture muni d’un ordinateur WIFI et de repérer tous les points d’accès qui n’ont pas de protection, puis d’en diffuser la carte sur Internet… A Paris en 2004, plus de 30% des points d’accès n’avaient aucune protection et pouvaient être utilisés depuis la rue pour accéder à Internet ou bien aux ordinateurs que contient l’entreprise.

Que faire ? Changez avant tout la configuration par défaut : dans de nombreux cas, le login est « admin » et le mot de passe « password » !

w Changez immédiatement le mot de passe d’administration.

w Ensuite changez le nom (SSID) du boîtier en mettant un nom différent de « default » ou de par exemple « wanadoo_123456 ». Mettez le nom de votre entreprise et cochez « hidden » c'est-à-dire « caché ». Ceci permettra d’éviter que quelqu’un s’y connecte par hasard.

w Activez le cryptage WEP (ou si disponible WPA). Lors de la connexion au point d’accès WIFI, l’utilisateur devra fournir un mot de passe que seul vous connaîtrez. Cela compliquera singulièrement la tâche des pirates.

Voir « bibliographie et références »(Réf. 17)

8.3 RENFORCEMENT DES METHODES: 6 - Nom de domaine

Votre entreprise possède-t-elle bien son nom de domaine ? Par exemple, la société « Duchemin » dispose-t -elle de www.duchemin.com ?

Faisons un test ; Allez dans « Google » (www.google.fr) et tapez le nom de votre entreprise ; Si le nom est spécifique, vous allez trouver très peu de réponses, si vous vous appelez « Renault » ou « Ariane » ne rêvez pas le nom est déjà déposé ! Sur Internet cependant, le dépôt du nom est soumis à une règle historique : « premier arrivé, premier servi ». Autrement dit, le premier qui dépose le nom en a le bénéfice ; Après c’est à vous de prouver –à travers un procès- qu’il y a usurpation de la marque ou du nom de la société. Un exemple connu est celui de l’affaire « Milka contre Milka » : La société Kraft -Suchard n’avait pas déposé « milka.fr » et c’est un particulier dont le prénom est « Milka » qui l’avait déposée. Ce n’est qu’après un procès long et complexe que Kraft a récupéré son nom de domaine, mais également a « bénéficié » d’une image de marque chahutée !

(voir lien en annexe)

Vous devez donc vérifier que votre nom n’est pas déposé sur Internet ; Si vous n’avez pas votre ami informaticien sous la main, allez sur le serveur de Network Solutions (voir le lien en annexe) et tapez votre nom de domaine : par exemple, « duchemin.com ». Ne mettez pas le « www ».

Si celui-ci est déjà déposé vous êtes très mal… Soit vous en inventez un autre approchant « tracteurs-duchemin.com », soit vous regardez à qui il appartient et essayez de lui racheter… Pour cela vérifiez à qui appartient le domaine par « WHOIS » (voir lien en annexe). Par négligence, des sociétés très connues ont du payer des fortunes pour récupérer leur nom de domaine, celui-ci ayant

Page 66: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 66/75

été régulièrement déposé par une entité homonyme. Par la même occasion vérifiez les autres extensions : « .org » (normalement pour les associations) , « .net » pour les gens qui travaillent sur Internet ou pour les entreprises informatiques. « .info » pour ceux qui sont dans la presse ou équivalent. Et dans votre cas « .fr » puisque vous êtes situé en France ; Attention : le « .fr » n’est pas géré par NETSOL, mais par une entité du CNRS qui s’appelle l’AFNIC (lien en annexe).

Munissez-vous de votre carte bancaire, et déposez tout ce que vous pouvez. Faites vite, car des « snipers » sont à l’affût de nouveaux noms à déposer !

Voir « bibliographie et références »(Réf. 18)

7 - Sauvegardes et contrôle à distance

« Toutes les tuiles du toit de la maison ont toujours été posées lorsqu’il faisait soleil » Proverbe Chinois.

C’est toujours après que le pépin soit arrivé que l’on regrette de n’avoir pas fait de sauvegardes ! Ou bien les cassettes de sauvegarde sont restées dans le serveur, ce qui revient au même… Prenez l’habitude de recopier vos données sur un ordinateur portable qui quitte régulièrement les locaux surtout le week -end, et doublez cette copie par une copie sur une clef mémoire USB que vous aurez toujours sur vous ou dans votre sacoche. (voir paragraphe « protection des données » ci-dessous pour la sécurisation).

Le contrôle à distance permet également de sauvegarder des fichiers qu’on a oubliés au bureau et surtout de pouvoir travailler sur un poste de travail alors que l’on est à la maison ou ailleurs ; Pour cela il vous faut installer un couple « client-serveur » de prise de contrôle à distance –gratuit- comme par exemple Ultra-VNC ; La mise en œuvre n’est pas très simple car il faudra paramétrer le routeur-firewall ADSL pour laisser passer le port 5900 et mettre la machine en question dans la DMZ… Alors appelez votre « ami informaticien » !

Voir « bibliographie et références »(Réf. 19)

8 - Administration: mots de passe sous enveloppe scellée

Voici une action simple, et qui ne nécessite aucune connaissance en informatique : La plupart des PME sont dépendantes de leur prestataire informatique, qui a disposé ça et là des mots de passe d’administration (souvent de son propre chef et de son propre cru…). Vous êtes en droit de les connaître, et cela vous sauvera le jour où vous déciderez de changer de prestataire !

Demandez leur donc de vous consigner les mots de passe d’administration du réseau, du serveur, du routeur d’accès à l’ADSL, de l’abonnement ADSL, et en fait tous les mots de passe (bases de données, développement etc.) sur une feuille ; Vous les testerez en leur présence. Ensuite vous mettez ces mots de passe dans une enveloppe cachetée, vous faites signer le prestataire et datez, puis vous déposez l’enveloppe dans votre coffre ou celui de votre banque.

Ainsi le jour d’un « coup dur » vous disposerez des mots de passe et votre système informatique ne sera pas bloqué !

9 - Mise à jour de sécurité : les patches

La plupart des piratages proviennent de l’exploitation de failles de Windows ou d’Office ou d’Internet Explorer. Ces produits ne sont pas moins sécurisés que d’autres, mais ils sont diffusés à des millions d’exemplaires et constituent donc une cible de choix pour les pirates. La solution pour contrer ces attaques existe et elle fait appel à la mise à jour systématique de ces logiciels. Cette mise à jour s’effectue automatiquement par Internet grâce au module « Windows update » ; Encore faut-il l’activer et accepter les mises à jour !

Allez dans toutes vos machines et vérifiez que vous avez activé « Windows Update » ; Vérifiez également que vous avez téléchargé toutes les mises à jour de sécurité disponibles ;

Pour vérifier votre niveau de sécurité, téléchargez « MBSA » Microsoft Baseline Security Analyzer et exécutez-le sur toutes vos machines.

Deux remarques : Les mises à jour ne sont disponibles que pour Windows 2000 et Windows XP. Si vous avez encore Windows 95-98 ou Windows NT, changez d’urgence, ces logiciels ne sont pas du

Page 67: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 67/75

tout sécurisés et sont de véritables passoires. De même pour Office que vous aurez au minimum en version 2000 et Internet Explorer au minimum en version 5.5. Deuxième remarque : tous ces logiciels et mises à jour sont gratuits, pourquoi vous en priver ?

Voir « bibliographie et références »(Réf. 20)

8.4 PROTECTION DES DONNEES: 10 - Protection des ordinateurs portables: Accès à la machine, mémoires USB, cryptage des données du disque et SSO.

Il est possible aujourd’hui de se doter de clefs USB avec reconnaissance d’empreintes digitales, ce qui va empêcher une personne qui aurait « récupéré » votre clef USB de lire les fichiers qu’elle contient. Si vous avez besoin de plus d’espace, il existe également des disques durs amovibles avec protection par empreinte digitale. Ces disques qui contiennent par exemple 40 Go vont vous permettre de sauvegarder la totalité du répertoire « Mes documents » et de le mettre en lieu sûr. Seul vous et ceux qui auront « enrôlé » leur empreinte pourront avoir accès aux données. Cela permet d’expédier également des données confidentielles de type R&D ou Proposition Commerciale par messagerie rapide sans risquer de voir les données lues par un tiers.

Un autre point essentiel est de pouvoir protéger sa machine, et notamment le portable, d’un accès frauduleux. La protection est aujourd’hui assez simple et efficace : il s’agit de votre empreinte digitale ; Seul vous et ceux qui auront « enrôlé » leur empreinte (jusqu’à 8 différentes), pourront avoir accès à cet ordinateur ; De plus, cela simplifiera tous les accès à différents sites et programmes, puisque cette empreinte remplacera toutes les demandes de login et de mots de passe que ce soit sur le web ou bien pour les programmes Windows, à commencer par l’authentification initiale le matin. J’utilise ce concept de SSO (Single Sign On) depuis plusieurs années et je ne sais plus ce que c’est de passer son temps à rentrer des mots de passe, tout en ayant amélioré la sécurité de mon portable : s’il est volé, les voleurs auront récupéré un bel ordinateur portable, mais ne pourront absolument pas prendre connaissance de ce qu’il contient… Et ça vaut mieux quand on travaille dans la sécurité, et que l’on détient des renseignements cruciaux sur des centaines d’entreprises !

Le dernier point consiste à protéger certaines données très confidentielles du disque même si l’ordinateur est allumé, du reste des autres données et d’un accès non autorisé à votre machine. La solution réside dans le concept de « e-coffre ». Il s’agit de choisir un répertoire qui sera crypté, et d’y déposer les données confidentielles. Automatiquement ces données seront traitées et ne pourront être lues qu’après vérification de votre identité. En annexe vous trouverez les principaux fournisseurs de ce type de solution. Il vaut mieux éviter le cryptage de la totalité du disque dur car cela ralentit sensiblement la machine et lui préférer le cryptage d’un simple répertoire.

Voir « bibliographie et références »(Réf. 21)

8.5 CONCLUSION : Voici le résumé des 10 actions simples et concrètes que vous avez à effectuer :

1 – Installez un anti-spyware sur toutes vos machines.

2 – Installez un firewall personnel sur toutes vos machines.

3 – Activez le firewall de votre connexion ADSL.

4 – Installez un webmail.

5 – Protégez votre accès WIFI.

6 – Protégez votre nom de domaine.

7 – Faites des sauvegardes et mettez-les en lieu sûr.

8 – Récupérez vos mots de passe et mettez-les sous enveloppe.

9 – Activez Windows Update.

10 – Protégez vos données avec vos empreintes.

Page 68: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 68/75

Munis de ces conseils pratiques, nul doute que vous allez maintenant foncer renforcer votre sécurité informatique ! La plupart de ces logiciels ou de ces mes ures ne coûtent rien, ou pas grand chose, ce qui correspond bien au budget des PME ! Pourquoi je vous indique ces éléments ? Parce que je suis persuadé que la sécurité globale sur Internet repose sur l’amélioration de la sécurité des maillons les plus faibles : en fait les particuliers et les petites entreprises. En renforçant votre sécurité, vous allez donc contribuer à un meilleur Internet pour tous, et ainsi j’y aurai contribué ;-)

Nota bene : Les liens et les produits cités ici sont valides en mai-juin 2005, moment de la rédaction de ce document. Je n’ai aucun intérêt direct ou indirect avec les sociétés référencées. Il s’agit juste de liens qui vont vous permettre de télécharger gratuitement ou quasi gratuitement des logiciels permettant de renforcer votre sécurité ; Bien entendu, dans certains cas, il faudra payer (un peu) pour avoir la version « pro » ou les mises à jour.

Page 69: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 69/75

9 BIBLIOGRAPHIE ET REFERENCES

9.1 GENERAL (Réf. 1) La Sécurité à l’Usage des Décideurs (Collection TENOR) ISBN 2-84928-042-9

(Réf. 2) Guide de sensibilisation à la sécurisation du système d’information et du patrimoine informationnel de l’entreprise – Medef Direction Innovation, Recherche et Nouvelles Technologies

(Réf. 3) Le business de la cybercriminalité - Franck Franchin - Rodolphe Monnet - Edition Hermes Science

(Réf. 4) Vers et virus – François Paget – Dunot Collection Infopro ISBN 2100083112

(Réf. 5) Architectures télécoms de l’Internet par Alexis Ferréro aux Editions Hermes ISBN 2-7462-1066-5

(Réf. 6) Web et lettre électronique hebdomadaire http://www.netcost-security.com

(Réf. 7) Web et revue trimestrielle http://www.mag-securs.com/

(Réf. 8) http://www.medef.fr

9.2 JURIDIQUE

(Réf. 9) http://legifrance.gouv.fr

(Réf. 10) http://www.cnil.fr/

(Réf. 11) http://www.greffe-tc-paris.fr

(Réf. 12) Livre “Tous Cyber Criminels“ de Olivier Itéanu (Laffont éditeur) ISBN 2-84928-042-9

9.3 LES POINTEURS DE MAURO ISRAEL (voir chapitre : les 10 mesures concrètes)

(Réf. 13) Les anti spyware

w AD-AWARE

http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5

w ANTI-SPYWARE Microsoft

http://www.microsoft.com/downloads/details.aspx?FamilyId=321CD7A2-6A57-4C57-A8BD-DBF62EDA9671&displaylang=en

w SPYBOT Search & Destroy

http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/26157.html

(Réf. 14) Les firewalls personnels

w Service Pack 2 pour Windows XP

http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a

w SYGATE

http://www.download.com/Sygate-Personal-Firewall-Pro/3000-2144-10067997.html?part=dl-sygate&subj=dl&tag=button

w ZONE ALARM

Page 70: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 70/75

http://fr.zonelabs.com/download/znalmZAAV.html

(Réf. 15) Les firewalls sur la connexion ADSL

w CHECKPOINT

http://www.checkpoint.com/products/safe@office/index_wired.html

w FREE

http://fbxcfg.free.fr/routeur.html

(Réf. 16) Anti-virus / anti-spam et webmail pour la messagerie

KERIO

http://www.kerio.com/kms_webmail.html

CHECKPOINT

http://www.checkpoint.com/products/downloads/connectra_datasheet.pdf

(Réf. 17) Accés Wi-Fi

w CHECKPOINT

http://www.checkpoint.com/products/safe@office/index_wireless.html

(Réf. 18) Hébergement et nom de domaine

w NETWORK SOLUTIONS

http://www.netsol.com

w WHOIS (à qui appartient un domaine ?)

http://www.networksolutions.com/en_US/whois/index.jhtml

w MILKA contre MILKA

http://www.mmt-fr.org/article189.html

w AFNIC

http://www.afnic.fr/

(Réf. 19) Sauvegardes et contrôle à distance

w USB BIO

http://www.simpletechnology.com/misc/usbclipbio.htm

http://www.memoryexpertsinc.com/en/clipdrivecom.html

http://www.memoryexpertsinc.com/en/outbacker.php

w ULTRAVNC

http://prdownloads.sourceforge.net/ultravnc/UltraVNC-100-RC18-Setup.zip?download

(Réf. 20) Mise à jour de sécurité : les patches

w WINDOWS UPDATE

http://windowsupdate.microsoft.com

MBSA

http://download.microsoft.com/download/9/5/9/959a3e95-2d0f-46ac-8418-ec057d1b3bc1/MBSASetup-FR.msi

(Réf. 21) Protection des données et ordinateurs portables

w Cryptage – e-coffre

Page 71: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 71/75

w STEGANOS

http://www.steganos.com/?product=safe8&layout=web2005&language=fr

w UTIMACO http://www.utimaco.com/indexmain.html

w XELIOS http://www.xelios.com.au/uk/pcloginbio.htm

Page 72: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 72/75

10 GLOSSAIRE

10.1 ACRONYMES ADSL Asymmetric Digital Subscriber Line

BS Base Station (aussi Node B) BTS Base station Transceiver Subsystem = Antenne CAC Connection Admission Control

DECT Digital Enhanced Cordless Telephone DSAA DECT Standard Authentication Algorithm IMSI (International Mobile Subscriber Identity)

ISM Industry Scientific and Medical LDAP Lightweight Directory Access Protocol MEDEF Mouvement des Entreprises De France

MS Mobile Station = téléphone mobile (dit aussi terminal) PBX Private Branch Exchange PGI Progiciel de Gestion Intégrée

PKI Public Key Infrastructure PME Petite et Moyenne entreprise QoS Quality of Service

RNC Radio Network Controler ROI Return on Investment (Retour sur Investissement) SGSN Serving GPRS Support Node

SI Système d’Information SOA Architectures Orientées Services SSO Single Sign On TPE Très Petite Entreprise

VoIP Voice on IP (Voix sur IP) VPN Virtual Private Network WEP Wireless Equivalent Privacy

Wi-Fi Wireless Fidelity WLAN Wireless LAN WPA Wi-Fi protected access

10.2 DÉFINITIONS Certificat Fichier contenant divers renseignements qui permettent d’authentifier un

utilisateur, avec en particulier son nom, sa société, l’autorité de confiance qui a signé ce certificat, les dates de validité du certificat, la clé publique qui va permettre de chiffrer / déchiffrer lors d’un chiffrement asymétrique et une partie chiffrée qui permet d’en contrôler l’origine.

CNIL La Commission Nationale de l’Informatique et des Libertés est une autorité administrative indépendante à qui toute action de constitution de liste nominative doit être communiquée. Voir www.cnil.fr

CPE Customer Premise Equipment) désigne de manière générique un équipement informatique

Interface air Interface entre deux équipements supportée par un média radio donc avec l’air en remplacement du fil.

Page 73: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 73/75

Intranet Réseau interne de l’entreprise dont les applications utilisent les protocoles réseaux de l’Internet (protocoles IP).

SOC Le Centre d’Opérations de Sécurité est un système de pilotage centralisé de la sécurité

WiFi Label délivré par le WECA qui garantit l'interopérabilité des équipements radio répondant au standard 802.11. Par extension de langage, désigne le standard lui-même.

Page 74: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 74/75

11 CONTRIBUTIONS A L’ECRITURE DE CE LIVRE

Classés par ordre alphabétique des noms des auteurs Prénom, Nom mél Fonction, Société, Web Contributions Marie-Agnès Couwez [email protected]

Pourquoi et pour qui ce livre ? La gestion des identités

Alexis Ferrero [email protected]

Account Director OrbitIQ

La sécurité des téléphones cellulaires

Alain Germain [email protected]

Consultant Idsoft agsoft.free.fr

Se sécuriser par des logiciels libres ?

Michèle Germain [email protected]

Consultante ComXper comxper.free.fr

L’entreprise sans fils

Pierre Gojat [email protected]

Direction Marketing Sécurité France Télécom SCE/DGC www.francetelecom.com

Quelle politique de sécurité pour une PME

Michel Habert [email protected]

Directeur Technique Netcelo www.netcelo.com

Les nouvelles architectures de sécurité orientées services

Mauro Israel [email protected]

Chief Security Officer Le Netwizz / CyberNetworks www.netwizz.com

Dix mesures concrètes pour sécuriser votre PME connectée

Gérard Peliks [email protected]

Président de la commission sécurité de l’etna France EADS www.eads.com

Menaces sur l’information et sur votre trésorerie La stéganographie La signature électronique

Florent Thiery [email protected]

Etudiant INT-Evry www.int-evry.com

Les cookies

Page 75: Securite RX 5

La sécurité à l’usage des PME et des TPE

16 août 2005 copyright etna France – Voir en dernière page pour les droits de reproduction 75/75

Copyright © etna France 2005 – Collection Tenor Les idées émises dans ce livre n’engagent que la responsabilité de leurs auteurs, et pas celle de l’etna France. La reproduction et/ou la représentation de ce document sur tous supports est autorisée à la condition d'en citer la source comme suit © etna France 2005 – La sécurité à l’usage des PME et des TPE. L'utilisation à but lucratif ou commercial, la traduction et l'adaptation de ce document sous quelque support que ce soit sont interdites sans la permission écrite de l’etna France.