Sécurité et Internet | Avril 2004


Sécurité des Systèmes Informatiques et Le spam, un défi important

Les mots virus, spam, cheval de Troie, déni de service, hacker et compagnie, s'ils nous sont plus ou moins familiers, nous rappellent que la sécurité informatique n'est qu'une Utopie. Nous sommes tous conscients qu'ils causent des pertes financières au niveau des entreprises, et que celles-ci doivent mettre en place des mesures de sécurité pour protéger leur système d'information. Mais de quelles mesures de sécurité s’agit-il? Que doivent-elles protéger exactement? Comment investir pour assurer cette protection?

Entreprises, personnes privées et fournisseurs d'accès Internet, personne ne peut ignorer les problèmes liés au spam, ces e-mails non sollicités qui polluent les boîtes aux lettres du courrier électronique. En plus de pénaliser le travail des utilisateurs et l'accès à la messagerie, ce phénomène met en danger l'e-mail. Sa fiabilité est remise en cause. Des filtres " anti-spams ", mis en place pour lutter contre ces messages, bloquent malencontreusement certains e-mails. Comment, dans ces conditions, être certain d'avoir reçu tout son courrier ou que ses envois soient arrivés à destination?

Sécurité des Systèmes Informatiques

Avant d’entrer dans le vif du sujet, il faut premièrement accepter l’idée qu’il n’y a pas de système de sécurité informatique infaillible. Un élément de risque existe dès le moment où une entreprise entre des données critiques ou sensibles sur un ordinateur. Le risque est similaire à celui que nous prenons tous les matins lorsque nous sortons de la maison (et même lorsque nous y restons…). Il s’agit pour les entreprises d’évaluer les risques qu’elles prennent en utilisant des systèmes information, leur seuil de tolérance face à ces risques et ce qu’elles sont prêtes a mettre en oeuvre pour diminuer ces éléments de risque en termes de dépenses.

Identifier le Problème

Comme pour toute méthode de résolution de problème, il faut commencer par identifier correctement le problème, plutôt que ses symptômes. Dans le domaine de la sécurité informatique l’élaboration d’une 'Politique Organisationnelle de Sécurité Informatique' (POSI), nous permet d’approcher cette tâche de façon structurée.

Avant de démarrer la mise en œuvre d’une POSI, il faut d’abord déterminer qui doit participer à l’élaboration de cette politique. Le département informatique ne saurait, à lui seul, déterminer une politique générale d’entreprise, sa stratégie à moyen et long terme, ainsi que pondérer les risques de l’entreprise et les attentes des utilisateurs. Quand on considère que dans une entreprise moyenne il n’y a que 20% de l’information qui est informatisée, l’on voit que l’aspect technique/informatique n’est qu’une composante de la sécurité de l’information. En conséquence l’entreprise doit mettre en place un comité de direction qui implique fortement la direction générale, les utilisateurs et la direction des services Informatiques pour élaborer sa POSI. L’on dit que la sécurité relève à 80% du management et 20% de la technique.

Une approche à l’élaboration d’une POSI, qui est mis de l’avant aux HEC de Genève par le professeur Jean-Paul De Blasis, responsable du Certificat de formation continue en Sécurité des Systèmes d’Information, est de :

  • Identifier les ressources à protéger
  • Identifier les risques (internes et externes)
  • Evaluer la probabilité des menaces
  • Elaborer des options financièrement efficaces
  • Choisir et mettre en place les solutions retenues
  • Evaluer régulièrement et mettre à jour la POSI

Identifier les Risques

Dans le cas de la sécurité des systèmes d'information, la mission première du système est d'assurer la confidentialité, l'intégrité et la disponibilité des données et informations.

Les risques auxquels s’expose l'entreprise si l'un de ces aspects fait défaut sont les suivants:

  • risque financier (ex.: virement bancaires non autorisées)
  • risque opérationnel (ex.: arrêt d'une partie du réseau, déni de service)
  • risque technique (ex.: dommage d'équipement, vol de logiciel)
  • risque juridique (ex.: loi sur la protection des données)
  • risque d’atteinte à la réputation de l'entreprise

Chaque entreprise ayant une activité économique différente, à laquelle collaborent différents types de métiers, il s’ensuit un niveau de besoins d’information différents. Chacune de ces entreprises doit donc élaborer une Politique Organisationnelle de Sécurité Informatique qui lui sera propre. Une société, telle Firmenich, se préoccupe de protéger les recettes de parfums de ses clients du risque de vol d’information (interne et externe), tandis qu’une entreprise comme Easyjet, est beaucoup plus préoccupée par le risque d’un déni de service sur son site Internet. Dans un cas il y a atteinte à la réputation de l’entreprise ; dans le second une atteinte opérationnelle. Mais dans les deux cas, la conséquence financière est substantielle.

Evaluer la probabilité des menaces

Les menaces aux systèmes d'information sont multiples. Elles peuvent prendre plusieurs formes. Ces formes varient notamment en fonction du niveau de dépendance de l'entreprise au système informatique. Une étude annuelle américaine élaborée par le Computer Security Institut (CSI) et le Federal Bureau of Investigation (FBI) de San Fransico a recensé 530 responsables de sécurité informatique d’entreprises, agences gouvernementales, institutions financières et universités Américaines (www.gocsi.com). Ces entités rapportaient des pertes se chiffrant à plus de 207,000,000 USD.

Selon cette étude, le type d’attaque ou mauvais emploi de matériel informatique, soit l’origine de l’atteinte les plus fréquent dans les organisations, par ordre d’importance étaient:

  • Les virus
  • Le vol d’appareils portables
  • L’usage abusif du réseau (interne)
  • Le déni de service
  • L’intrusion des systèmes informatiques
  • L’accès non-autorisé du réseau
  • La fraude financière
  • Les vols d’informations
  • Le sabotage
  • La fraude de télécoms

En revanche si l’on considère l’étendue du dommage perpétré par les différents types d’attaques ou mauvais emploi de matériel, on peut lister par ordre d’importance:

  • Vols d’informations (70 mio USD)
  • Déni de service (66 mio USD)
  • Virus (28 mio USD) (12 mio USD)
  • Usage abusif du réseau (interne) (28 mio USD)
  • Fraude financière (10 mio USD)

Cette étude relevait en outre les sources probables des attaques subies par ces entreprises. Les hackers figuraient en tête de liste (32,5%) avec les employées mécontents leur emboîtant le pas de près (30.5%), les compétiteurs américains et étrangers les suivaient (26%) de peu et en fin de liste nous retrouvions les gouvernements étrangers (11%).

Identification des solutions possibles

Il existe plusieurs techniques de protection de systèmes informatique tels les firewall, les ordinateurs en cascades, les DMZ (Demilitarised Zones), le cryptage d’information, les logiciels antivirus, de filtrage et autres. Pour l’instant il n’existe pas de system standard de sécurité informatique. Chaque entreprise doit utiliser un amalgame de hardware et software pour assurer la protection de ses données informatiques. Pour la majorité des PME Suisse, le savoir faire pour de telles solution techniques ne sont pas suffisantes à l’intérieur de l’entreprise. Il est alors recommandé de faire appel à des prestataires externes pour fournir ces services.

Par contre, en analysant plus loin dans les données mentionnées ci-haut, il ressort que la composante humaine est une faille majeure du système de sécurité de l’information, que l’on parle d’attaques de systèmes ou de mauvais emploi de matériel. Cette composante prend différentes formes, soit : l’insouciance des gens lorsqu’ils écrivent sur un Post-It collé sur leur écran d’ordinateur leur mot de passe pour leur login ; le manque de vigilance quand on ouvre, sans avoir vérifier la provenance, un fichier attaché sur un courriel qui est infecté d’un virus ; le manque de connaissance informatique ; ou autre. Certes il y a des composantes techniques à la base de la sécurité d’un réseau informatique, mais un manque de formation sur l’utilisation de ces derniers cause des difficultés certaines. Il est dès lors intéressant de remarquer la disproportion, dans les entreprises françaises, entre les dépenses liées à la technologie (86%) et celles liées à l’organisation et à la sensibilisation du personnel (16%).

Une plaintes fréquentes chez des responsables de PME, en ce qui concerne l’état d’esprit de collaborateurs envers la sécurité de l’information, est ‘qu’ils en ont rien a faire ‘. Ceci est compréhensible dans la majorité des cas, car la direction générale donne rarement des signes concrets aux collaborateurs, pour qui les actions parlent plus fort que les mots. Les entreprises doivent s’engager mettre en oeuvre des programmes de sensibilisation ainsi que des cours de formations à l’externe. Depuis peu, certaines entreprises prennent l’initiative et développent une charte d’utilisation sur le lieu du travail du système d’information (ex. : http://www.lentreprise.com/lettre/3.303.1.html) où ‘l’objet de la Charte est de rappeler les règles et de réglementer le fonctionnement et l’utilisation du système d’information de l’entreprise’. Dans certains cas on demande aux nouveaux collaborateurs d’entreprises de signer la charte en même temps que leur contrat d’engagement.

En dernier lieu, lorsque l’on parle d’implanter une solution ou système de sécurité, il s’agit automatiquement d’investir de l’argent. Par contre, les contraintes budgétaires sont le premier obstacle à la mise en place d’une sécurité efficace, car il est difficile de calculer un retour sur investissement (ROI). Selon une étude Ernst & Young, seules 18% des sociétés françaises auraient les ressources et le savoir-faire suffisant pour calculer le ROI pour de tel investissements. En général, le coût de l’investissement peut être chiffré, mais pas la valeur du retour qui doit chiffrer une perte hypothétique que l’on évite. La réalité est, que la sécurité ne rapporte rien, elle ne fait que réduire le risque d’une perte, d’où l’intérêt d’une bonne analyse de risque.

Conclusion

Comme on vient de le voir, la question de la sécurité de l’information n’a pas de réponse standard. Ce sont les entreprises elles-mêmes, après avoir analyser ce qu’elles doivent protéger, qui peuvent y répondre (en particulier la direction générale). Ce n’est que suite à la détermination et à l’étude des risques et de l’origine des menaces qui lui sont spécifique qu’elles peuvent apporter un réponse. Elles pourront alors identifier les solutions disponibles et choisir la solution la plus adapté. Une fois rendu à ce stade, l’entreprise n’aura qu’à développer un plan d’action où elle implantera sa solution, tout en devant évaluer régulièrement son progrès.

Sources:
Interviews avec le professeur Jean-Paul De Blasis, responsable du Certificat de formation continue en Sécurité des Systèmes d’Information, et son assistant Mirko De Matteis de HEC Genève, Université de Genève.
2003 CSI/FBI computer crime and security survey, Computer Security Institute (www.gocsi.com)
La sécurité des systèmes d’information dans les entreprises françaises en 2003, Ernst & Young (www.ey.com/fr)
Risk Management Forecast: 2001, creating Trust in an E–Business World
Module 1 Fondements de la sécurité des systèmes d’information, documents du Certificat de formation continue en sécurité des systèmes informatiques, Jean-Paul De Blasis.
You’d think a «senior analyst» would know this…, Rob Rosenberg 12/02/04 (www.vmyths.com)



Réalisé par Michel Laurin

Le spam, un défi important

Entreprises, personnes privées et fournisseurs d'accès Internet, personne ne peut ignorer les problèmes liés au spam, ces e-mails non sollicités qui polluent les boîtes aux lettres du courrier électronique. En plus de pénaliser le travail des utilisateurs et l'accès à la messagerie, ce phénomène met en danger l'e-mail. Sa fiabilité est remise en cause. Des filtres " anti-spams ", mis en place pour lutter contre ces messages, bloquent malencontreusement certains e-mails. Comment, dans ces conditions, être certain d'avoir reçu tout son courrier ou que ses envois soient arrivés à destination ?

Selon Brigthmail (http://www.brightmail.com/spamstats.html), en février 2004, 62 % des e-mails étaient identifiés comme étant du spam. Ce pourcentage ne s’élevait qu’à 45 % il y a 12 mois.

Le spam peut être décrit comme un envoi sauvage de courrier électronique à des fins publicitaires, vénales ou provocatrices. Il faut distinguer les différents types d’e-mails, soit :

  • des courriers non sollicités contre lesquels le destinataire ne peut ni se prémunir ni indiquer son refus
  • des courriers non sollicités pour lesquels le destinataire peut informer l’expéditeur qu’il ne veut plus recevoir de nouveaux e-mails (opt-out)
  • des courriers pour lesquels l’utilisateur a donné son accord à l’expéditeur (opt-in)
  • des courriers pour lesquels l’utilisateur a donné son accord et a ensuite validé une deuxième fois son accord (double opt-in)

Selon la législation nationale applicable, seules les deux premières catégories peuvent être considérées comme étant du spam.

Le coût du spam

Selon une étude de l’institut spécialisé Basex (http://www.basex.com), le spam coûterait 20 milliards de dollars par an à l’économie mondiale. Les utilisateurs consacreraient 15 minutes par jour à détruire les e-mails indésirables. Cette destruction conduit fréquemment à l’effacement erroné d’e-mails et cause des dommages conséquents.

Les coûts supportés par les entreprises sont évalués, selon Basex, entre 600 et 1000 dollars par an par salarié et correspondent à :

  • La perte de productivité des salariés
  • La mauvaise utilisation de la bande passante des réseaux
  • Le coût du stockage
  • L’achat de logiciels de filtrage
  • La formation et le support des utilisateurs

Comment lutter contre le spam

Sans pouvoir éliminer le spam, il est possible d’atténuer son intensité et ses méfaits. Mentionnons quelques règles:

  • Ne pas inscrire son adresse e-mail sur n’importe quel site web
  • Avoir différentes adresses e-mail
  • Installer des logiciels de filtrage des e-mails

Ces logiciels de filtres utilisent différentes techniques, dont :

  • L’analyse lexicale du contenu des e-mails, basée sur un dictionnaire des termes à bannir. `Couramment utilisée, cette technique a pour effet de bloquer à tort certains e-mails, du fait qu’ils contiennent des termes à priori nocifs. En complément, il y a des techniques basées sur des modèles statistiques intégrés aux filtres anti-spams.
  • Les listes noires (adresses refusées) ou listes blanches (adresses acceptées).
  • L’identification et le contrôle des serveurs utilisés pour l’envoi des e-mails. Les spammeurs utilisent souvent des serveurs de messageries à l’insu de leurs propriétaires. Ces machines sont configurées, parfois par erreur, pour autoriser le relais d’expédition d’e-mail. Elles autorisent l’envoi d’un e-mail sans contrôler l’expéditeur ou la machine expéditrice. Ces serveurs sont appelés « Open Relay ». Des organisations telles que www.ordb.com ou www.spammhaus.org tiennent à jour des listes de ces machines « défaillantes ».

Des informations utiles à ce sujet se trouvent sur le site http://www.spam.abuse.net.

Avenir de la messagerie

Il est impératif de rétablir la fiabilité de ce mode de communication. Il faudra mieux maîtriser l’authentification de la source d’un message. Le perfectionnement du protocole d’échange d’e-mails (SMTP) permettra d’aller dans cette direction.

Il est aussi possible d’envisager l’envoi des e-mails via des intermédiaires connus et certifiés (par exemple Verisign ou La Poste).

Une autre solution prônée par les fournisseurs de logiciels et de prestations (Microsoft, Yahoo, etc.) est de mettre en place des solutions « d’affranchissement » du courrier électronique. Le projet de recherche penny black de Microsoft en est un exemple.

En conclusion, les utilisateurs disposeraient d’une messagerie plus sûre, mais en contrepartie plus coûteuse et contraignante, ce qui serait en contradiction avec l’esprit de l’internet.

Il serait dommage de prétériter le développement économique du web par manque d’initiative face à ce type de phénomène. Les réactions des parties concernées (économie, politique, organisations internationales) montrent bien qu’une prise de conscience a lieu et que des modes de régulation se mettront en place.



Réalisé par Pierre-Alain Schnegg


dossier préparé par:


Véronique Gigon, Thomas Kropf, Michel Laurin, Pierre-Alain Schnegg