Sécuriser les réseaux français : 5 leçons du mémoire de CESI

Informatiques et Télécommunications, Thèmes des mémoires | 24 minutes of reading

Sécuriser les réseaux informatiques français

CESI: École d’ingénieurs, bachelor et Mastère Spécialisé
Aquitaine Poitou Charente

Spécialisation sécurité des systèmes d’information

Mémoire présenté pour l’obtention du diplôme d’ingénieur au CESI
Sécuriser les réseaux français : 5 leçons du mémoire de CESI 2003
Sécuriser les réseaux informatiques français

Marc Ferrigno

Février 2003

Préface

Ce document est un mémoire de fin d’études pour l’obtention du diplôme d’ingénieur. Sa réalisation, outre le fait de répondre à la demande du CESI Aquitaine Limousin Poitou- Charentes, m’a apporté une vision globale de la sécurité des réseaux informatiques et de la législation en vigueur dans ce domaine. D’autre part, ce mémoire est conçu dans le but de servir de petit guide à destination des PME et aux particuliers qui ne sont pas tous sensibilisés aux problèmes de sécurité.

Ce document contient une recommandation sur un ensemble de mesures qu’il serait bon de mettre en place, afin d’augmenter la sécurité des réseaux informatiques français, et la participation du citoyen dans l’Etat français.

Ce mémoire m’a permis d’appréhender le métier de Responsable de la Sécurité des Systèmes d’Information (RSSI) auquel je me destine.

Enfin, je tiens à préciser que dans ce document, il y a beaucoup de termes en langue anglaise. Je fournis, s’il est utilisé, l’équivalent en français ou à défaut une explication de son sens. Toutefois, les mots anglais sont ceux utilisés par les personnes impliquées dans la sécurité informatique et il est préférable de les connaître.

Sommaire

I. Analyse de la problématique

A. Quelques chiffres clés

  • Il y a actuellement 1 milliard d’ordinateurs qui ont été vendus dans le monde, 168 millions en Europe et 11,9 millions en France.
  • 385 millions d’ordinateurs sont connectés à l’Internet, avec un trafic qui doublerait tous les 3 mois (Source : Nielsen/Netrating 2002).
  • Le nombre d’atteintes portées aux Systèmes d’Information (SI) est passé de 9859 en 1999, à 21756 en 2000 et à 52658 pour 2001 (Source : CERT/CC).
  • Une attaque chaque minute (source : EADS Telecom 2002).
  • Sur le marché français en 2001, le montant des préjudices s’est élevé à 14 milliards d’euros (source : Gartner Research).
  • Le nombre de trous de sécurité répertoriés ou avis est passé de 25 en moyenne par semaine en 2000, à 37 en 2001, et proche de 45 pour 2002. Soit près de 9 avis par jour ouvré.
  • 40% c’est le chiffre de réseaux sans fil mals, voir pas du tout sécurisés, à Paris-Cnit- La Défense (source : cabinet Cahners Group).
  • 55,4 % des serveurs Secure Shell (SSH) présents sur le réseau européen, sont encore vulnérables à une faille parue il y a maintenant 8 mois (source : SSI Vigisafe).
  • 2,5 millions de matériels Wi-Fi ont été vendus au 4 éme trimestre 2001, rien qu’aux Etats-Unis (source : cabinet Cahners Group)
  • La fraude en ligne sur les sites français de e-commerce s’élève de 1,37 million d’euros pour 2001, contre 0,24 million d’euros pour 2000 (Source : Fia-Net).

On constate au vu de ces quelques chiffres, que la situation peut sembler critique, et ne semble pas s’améliorer. Le nombre d’ordinateurs connectés à l’Internet est en forte croissance. Le nombre d’incidents a doublé l’année dernière. Le nombre de failles de sécurité découvertes chaque jour est en augmentation de 21% cette année. Et pour finir, le coût de la fraude a été multiplié par 6. Toutefois, il convient de se méfier de ces chiffres. En effet, les sources sont multiples, le détail des méthodes et des estimations qui ont été faites ne sont pas fournies.

Aussi mises à part quelques citations ponctuelles, je m’appuierai sur deux principaux rapports publiés chaque année :

  • Sécurité des systèmes d’information, publié par le Club informatique des grandes entreprises françaises (Cigref) en septembre 2002.
  • Études et statistiques sur la sinistralité informatique en France, publié par le Club de la sécurité des systèmes d’information français (Clusif) en mai 2001.

Il existe un autre rapport très populaire qui vient d’être publié, c‘est le Computer Crime and Security Survey réalisé conjointement avec le Computer Security Institute (CSI) et le Federal Bureau of Investigation (FBI). Mais, comme mon étude se limite volontairement à la France, les chiffres présentés dans ce rapport ne sont pas représentatifs de la tendance française.

Dans un premier temps, je vais fournir un ensemble de définitions de mots, qui vont permettre de mieux se comprendre. Elles porteront sur les types d’attaques et les acteurs de la sécurité informatique.

B. Quelques définitions

1. Généralités

Voici une schématisation du déroulement d’une attaque portée au Système d’Information (SI).

Figure 1 : Un modèle du risque informatique

Tout d’abord une menace naît de la présence d’un bien ou d’un actif. Cette menace, de par son existence, engendre des craintes et des inquiétudes.

Cette menace pourra se concrétiser en agression. Cela n’est possible que s’il existe des vulnérabilités dans le SI. Cette dernière va engendrer des dysfonctionnements, des détériorations ou la divulgation de services ou de données.

Si le SI n’est pas protégé, des dégâts vont apparaître. Et ceux-ci vont occasionner des pertes financières.

Actif ou bien : information ou composant d’un système, qui possède une valeur ou un intérêt.

Il conviendra donc de le protéger.

Menaces : la menace est définie dans la norme ISO-7498-2-89, comme une violation potentielle de la sécurité. La norme ISO-7498-2-89, distingue quatre types de menace :

  • Menace accidentelle : menace d’un dommage non intentionnel envers le Système d’Information (SI).
  • Menace intentionnelle ou délibérée : menace de modification non autorisée et délibérée de l’état du système.
  • Menace passive : menace de divulgation non autorisée des informations, sans que l’état du système soit modifié.
  • Menace physique : menace qui pèse sur l’existence même et sur l’état physique du SI.

Vulnérabilités : sont des faiblesses ou des failles du SI qui pourraient être exploitées pour obtenir un accès non autorisé.

Risque : le risque est un danger plus ou moins probable auquel est exposé le SI. Il est fonction de la menace et des vulnérabilités.

Agression : attaque portée au système, qu’elle soit réussie ou non.

Dégât : pertes irrécupérables de services ou de données.

2. Les attaques

La liste des attaques qui se trouve ci-dessous n’est pas exhaustive, car elle ne cesse de s’allonger jour après jour. Néanmoins les nouvelles attaques sont le plus souvent, des améliorations, ou des couplages de ces différentes techniques.

Hacking : utilisation non autorisée, ou contournement d’une sécurité d’un système d’information ou d’un réseau.

Cracking ou craquer : l’acte de modifier un programme ou un système, dans le but d’obtenir ce que l’on attend de lui.

Cryptanalyse : opérations faites dans le but de transformer un message crypté en message lisible. Ces opérations ont lieu sans avoir connaissance de l’algorithme de cryptographie, ou des clés ayant servi au cryptage du message.

Phreaking : l’art et la science de hacker le réseau téléphonique.

Spoofing ou Vol d’identité : l’attaquant se fait passer pour une autre personne, afin de réaliser ses méfaits.

Sniffing ou snifer : ici l’utilisateur de cette technique, se sert d’un mode de fonctionnement particulier de la carte réseau. Ce dernier lui permet de capturer tous les paquets d’information circulant sur le réseau.

Buffer Overflow ou Dépassement de tampon : l’attaquant dépasse la capacité d’un tampon, en y injectant plus de données que prévu. Le programme plante. Ainsi l’attaquant peut avoir accès au système et y insérer un code malicieux.

Backdoor ou Entrée imprévue, trappe : c’est une entrée dérobée, que l’on trouve dans un programme ou un système. Elle a été aménagée volontairement, par erreur de conception ou d’implémentation. Le résultat est le plus souvent le contournement d’une sécurité ou un accès illicite au système.

Denial of Service ( DoS ) ou Déni de service : l’attaquant rend le fonctionnement, d’un Automated Information System (AIS) ou système automatique de traitement d’information, impossible ou défaillant.

Virus : les virus sont de petits programmes, très bien conçus, qui simulent une sorte de vie artificielle. Leur but principal est de se répandre et de se reproduire le plus vite possible. Leur reproduction se fait au détriment d’autres fichiers du système, qui peuvent être endommagés. Leur prolifération a tendance à ralentir les systèmes parasités, par consommation des ressources. Le plus grave est quand ces virus possèdent du code malicieux, visant à détruire ou à endommager les documents, le système ou même l’ordinateur.

Trojan Horse ou Chevaux de Troie : programme utile apparemment innocent, mais possédant des fonctionnalités cachées.

Worm ou vers : programme indépendant se répliquant à travers les réseaux. C’est sa vitesse de réplication et de propagation qui crée la gêne par occupation des ressources.

Man in the middle ou le passeur de sceaux : l’attaquant se place au milieu de la conversation, entre la victime et par exemple sa banque. Il ne fait que retransmettre les informations circulantes. Il peut ainsi les lire, les modifier à volonté ou les copier.

L’accès spécial à des fichiers ou des bases de données : ici il y a pénétration du système et accès illégitime. Le système est une base de données ou un système d’exploitation.

L’extension de privilège : l’attaquant arrive, la plupart du temps par des failles systèmes, à étendre les privilèges auxquels il aurait normalement droit. Par exemple en passant de simple utilisateur à administrateur du système.

Le social engineering : l’attaquant se fait passer pour un autre, afin d’avoir des informations auxquelles il n’aurait jamais du avoir accès. Ces attaques sont redoutablement efficaces.

Et quatre petites nouvelles :

Hoax : ce sont de fausses alertes. Elles peuvent prendre par exemple la forme de messages envoyés aux utilisateurs du SI, leur demandant de supprimer un fichier vital pour le fonctionnement du système.

Wardriving : des hackers sillonnent les rues des grandes villes en voiture. Ils scrutent les ondes radio à la recherche des points d’accès de réseaux sans fil, qu’ils répertorient. Ils testent le niveau de sécurité et publient le résultat sur internet.

Les attaques de trolls : les trolls sont des gens qui vont sur les forums de discussions et les chats, avec pour seul but de semer le désordre. Comment ? En discutant de sujets qui fâchent, en ridiculisant un de ses membres ou en posant des questions ridicules. Bien que peu dangereux, la gêne est certaine et la perte de temps aussi.

Les malwares : sont l’ensemble des systèmes tels que les virus, les vers ou autres espèces du genre, visant à faire le mal.

3. Les acteurs de la sécurité réseau

On retrouve ici deux grandes catégories d’acteurs, ceux qui attaquent les SI et ceux qui se défendent. Néanmoins la limite n’est pas aussi claire dans la pratique. En effet on constate, que les responsables de problèmes de sécurité les plus cités par les entreprises, sont bien sûr les hackers, mais surtout les employés. De plus, on sous-estime le rôle des Hackers dans le développement, le test et l’avancement des technologies de sécurité. On peut aussi remarquer, que bien qu’étant dans le rôle du défenseur, les Etats nations et les entreprises sont souvent ignorés comme attaquant des systèmes informatiques de l’entreprise.

Etat(s) nation(s)

Les Etats nations interviennent à différents niveaux. Ils interviennent dans la protection des entreprises et des citoyens, et ont un rôle de régulation. Ils doivent également conserver leur souveraineté, qui parfois est en contradiction avec certaines mesures de protection telle que la cryptologie. Ils espionnent également les autres Etats nations, et là on retrouve par exemple la limitation à l’exportation de technologies telles que les supercalculateurs et les moyens cryptographiques.

Le Hacker ou débrouillard (se prononce hackeur)

Le hacker est avant tout un débrouillard en informatique. On entend par là, quelqu’un qui s’acharne à atteindre un but, à résoudre un problème, la plupart du temps sans l’aide de personne. Originaire du monde Unix, il maîtrise ce système et arrive à en faire à peu près ce qu’il en veut. De par ses compétences système et réseaux, il est le mieux placé, pour sécuriser ou pénétrer un système.

Les hackers peuvent être répartis en trois catégories :

  1. Black hat : Ceux sont « les méchants ». Ce sont des hackers qui pénètrent un système ou un réseaux, dans un but mal intentionné.
  2. White hat : Ceux sont « les gentils ». Ce sont aussi des hackers, mais ils pénètrent les réseaux dans un but d’apprentissage ou d’audit, en étant autorisé ou invité par la victime. Les hackers aiment se situer dans cette catégorie.
  3. Grey hat : Comme on peut le supposé tout n’est pas noir et tout n’est pas blanc. Le terme de grey hat est donc apparu.

Quoi qu’il en soit seuls les pratiquants, méritent l’appellation de hacker.

Où les hackers dérangent le plus, c’est dans la recherche des failles de sécurité. En effet, ils mettent au grand jour des défauts de programmation ou de conception, voire même des défauts placés intentionnellement ou Backdoor . Mais en plus, ils divulguent le résultat de leurs investigations, c’est ce que l’on appelle la transparence ou Full-Disclosure . Les éditeurs se trouvent alors dans l’obligation de corriger leurs erreurs. Mais, même s’ils font avancer le niveau de qualité des réalisations des logiciels et des systèmes, diminuer le nombre de Backdoor, ils nuisent à l’image de marque des sociétés. Et c’est précisément ce dernier point qui dérange.

Le cracker ou casseur de code de programme (se prononce crackeur )

Cette dénomination est employée à tord par les journalistes à sensations, pour nommer les personnes qui pénètrent les systèmes informatiques avec de mauvaises intentions. En fait, les crackers sont des personnes qui recherchent des failles, dans les protections des logiciels commerciaux. Ils sont capables de lire le langage machine, et de produire un patch ou correctif, qui permet de contourner la protection du logiciel. Ce patch est aussi appelé crack, d’où l’origine de leurs noms.

Le Phreaker (pirate des systèmes téléphoniques)

C’est un individu possédant de solides connaissances en téléphonie. C’est une variante de hackers, spécialisé dans les téléphones et les systèmes téléphoniques, tels que les PABX ou commutateurs. Sa motivation est d’échapper à la facturation téléphonique.

Le développeur de virus

Autrefois une communauté de passionnés d’informatique, qui avait pour but que de créer des programmes autonomes imitant les vies primitives, tels que les virus. Comme ces derniers, ces programmes se nourrissent et procréent à l’insu d’un hôte, ici sous forme de fichiers informatiques. Cette communauté produit des virus inoffensifs, ou plutôt des virus ne possédant pas de code destructif. Ces personnes ne se cachent pas. Malheureusement les programmes qu’elle a développés, ont été repris par des personnes malintentionnées, qui y ont ajouté du code destructif. Avec ce dernier elles peuvent, détruire la Table d’Allocation des Fichiers, formater le disque dur ou même endommager la machine victime. Maintenant les virus représentent la principale source de problèmes pour les entreprises et les particuliers.

Le Script- kiddie ou Ankle -Biter ou Geek (jeune utilisateur de script)

Les scripts kiddies utilisent les outils que des hackers ou des crackers ont créés pour porter atteinte aux SI. Ils ne sont pas capables de produire leurs propres outils et la plupart du temps, ne comprennentpasleur fonctionnement interne. Le script kiddie, par définition ne possède aucune compétence, aucun savoir et aucune morale.

On trouve dans cette catégorie le Leech , le Warez- puppy ou le Lamer , qui lui n’est là que pour télécharger les cracks et les applications des autres.

Ces personnes, la plupart du temps, des jeunes, sont la cause de beaucoup de perturbations sur le réseau. Mais ils ne représentent pas de sérieuses menaces pour les entreprises et les particuliers, qui sont protégés un minimum.

Les médias

Dans cette catégorie, on trouve les journaux et les magazines, mais aussi la radio, les sites Web et la télévision. Les médias, quelque soit leur forme ou leur support, ont un rôle déterminant qui est d’informer le public. Ils participent à la sensibilisation des citoyens aux problèmes de sécurité. Mais aussi à l’accueil qui est donné aux nouvelles lois.

Exemples :

  • Le livre « 1984 » de Georges ORWELS (roman) : ce livre a sensibilisé les gens sur l’importance du respect de la vie privée.
  • Le film « Bienvenu à GATTACA », pose le problème de la biométrie et de son utilisation.

Le Chef d’entreprise

Le chef d’entreprise de par sa position, joue un rôle primordial dans la politique de sécurité de l’entreprise. Il intervient dans l’établissement du budget de sécurité et sur l’adhésion des employés à la politique de sécurité mise en place.

Les employés

Les employés font partie intégrante de la politique de sécurité. Sans leur adhésion, la sécurité optimum de l’entreprise ne peut être garantie. Il convient qu’ils soient sensibilisés, voir impliqués et formés à la sécurité.

L’expert sécurité

On trouve dans ce rôle une personne devant maîtriser de nombreuses technologies et possédant une forte sensibilité à la politique de l’entreprise. Il doit sans cesse se tenir au courant de la découverte de nouvelles failles de sécurité. Il supporte de lourdes responsabilités.

Devant le peu de formation existante en France, et le nombre de compétences et d’expériences nécessaires à l’exercice de cette fonction, l’expert sécurité, est une personne rare.

Cela nous a conduit à la répartition des tâches de l’expert sécurité sur deux personnes. Une se charge de la création et la mise en place de la politique de sécurité : le Responsable Sécurité des Systèmes d’Information (RSSI), qui a un profil de manageur et de qualiticien. L’autre se charge de l’aspect technique et matériel de l’application de cette politique : l’administrateur réseau.

Le Responsable Sécurité des Systèmes d’Information (RSSI).

La majorité des grandes entreprises françaises ont mis en place cette fonction. Cela montre une prise de conscience des enjeux de la politique de sécurité. Il est préférable de réserver ces postes à des personnes stables qui font partie de l’entreprise. En effet le turn-over et l’implication de personnes extérieures à l’entreprise, augmentent les chances de divulgation de la politique de sécurité de l’entreprise et par là même, l’affaiblit. La place du RSSI au sein du groupe, dans la maison mère, se justifie par l’importance de posséder une politique commune entre la maison mère et les filiales. Cette centralisation de la gestion de la sécurité, est favorisée par la mise en réseaux du groupe, la mise en place d’architectures communes, et la télémaintenance. Ainsi, on aboutit à la mise en place d’une seule passerelle Internet pour le groupe, qui est alors sous la responsabilité du RSSI.

L’administrateur réseau

Cette personne a en charge la surveillance du réseau de l’entreprise et l’application des règles de sécurité. Il doit effectuer les mises à jour disponibles pour ses systèmes et être capable de justifier son budget auprès de la direction.

Le citoyen

La plupart du temps il est victime, de son ignorance et de la désinformation propagée par les média. Malheureusement sa machine non protégée peut servir de base pour des attaques de serveur, ou de terrain fertile pour la propagation des virus.

C. Les causes de l’insécurité

On peut regrouper les atteintes portées au SI dans les grandes catégories suivantes :

  • Les actes cupides , tels que l’espionnage industriel.
  • Les actes d’incivilités , tels que les actes ludiques, vengeurs ou passionnels.
  • Les actes idéologiques , tels que le terrorisme ou l’activisme.
  • Les actes stratégiques , tels que l’espionnage ou la désinformation.

1. Les actes cupides

Dans cette catégorie, on distingue deux cas :

Dans le premier, l’acte cupide procure des bénéfices directs à la personne ou la société qui commet les faits. C’est le cas des détournements de fonds, des vols de brevet ou de la concurrence déloyale.

Dans le deuxième, le gain est indirect pour l’auteur. C’est le cas d’une perte d’image de marque pour la victime qui se traduit ensuite par un gain de part de marché pour l’auteur. On y trouve également, le vol du fichier clients de l’entreprise cible.

Figure 2 : Arbre des causes des actes cupides.

On constate, comme on pouvait s’y attendre, que la principale cause des actes à caractères cupides, est « de faire de l’argent ». Mais dans une société libérale et capitaliste cela n’est pas interdit et on ne pourra agir sur cette cause.

2. Les actes d’incivilités

Dans cette catégorie, on trouve les actes commis dans le but de s’amuser, les actes passionnels, les actes gratuits ou les actes de vengeance.

Figure 3 : Arbre des causes des actes de malveillance.

Pour les actes d’incivilités, la cause principale est le manque d’éducation. Cette dernière est, en quelque sorte, la maladie du siècle. Il sera difficile d’agir sur cela dans le cadre de cette étude. Par contre, on pourra très bien traiter les autres qui sont : le besoin d’identité, l’ignorance et le manque d’occupation.

3. Les actes idéologiques

Ce sont les actes effectués dans le but de défendre une cause ou une religion. On peut intégrer ici les actes terroristes perpétués à des fins idéologiques. Par contre ceux, commis dans le but de déstabiliser un ordre établi, seront rangés dans les actes stratégiques.

Figure 4 : Arbre des causes des actes idéologiques.

On retrouve ici le manque d’éducation auquel viennent s’ajouter l’ignorance, les différences de niveaux de vie et l’avidité de pouvoir. Il me semble difficile d’intervenir simplement sur ces deux dernières. Par contre, on agira aisément sur l’ignorance.

4. Les actes stratégiques

Ce sont tous les actes d’espionnage, d’écoute, de désinformation, bref « l’info-guerre ».

Figure 5 : Arbre des causes des actes stratégiques.

Pour les actes à caractère stratégique, on retrouve une fois de plus le manque d’éducation et la conclusion reste la même. L’action se portera plutôt sur le besoin de reconnaissance et sur le maintien de l’ordre.

D. Les conséquences

Les violations du SI bien que perpétrées par une minorité, ont des conséquences qui retombent sur la majorité. Bien que certains aspects, comme l’augmentation du marché de la sécurité, soient satisfaisants pour l’économie et l’emploi, les conséquences sont majoritairement préjudiciables.

1. Pertes financières

Le coût des préjudices liés aux attaques est facile à estimer dans le cas où leurs conséquences sont l’indisponibilité d’un service (exemple : la vente en ligne). Par contre, le temps perdu par les utilisateurs, la perte d’image de marque ou l’insatisfaction client, est beaucoup plus difficile à chiffrer.

Figure 6 : Pertes liée à une indisponibilité.

© Fiber Channel Association

Comme on le constate dans ce tableau, les pertes sont énormes.

2. Perte d’image de marque

Quand une société réputée sérieuse se fait pirater son site Web, qu’elle est tournée en ridicule, les conséquences sur son image de marque peuvent être désastreuses. En effet, son sérieux sera remis en question, elle risque de perdre sa clientèle et ses actions boursières d’être dévalorisées.

Le préjudice est pire, si en prime elle s’est fait dérober son fichier clients contenant des numéros de cartes bleues. Qui à l’avenir osera lui confier ses références bancaires pour réaliser ses achats ? Si cette société était spécialisée dans la sécurité, qui lui fera de nouveau confiance ? Le temps nécessaire à gommer l’incident risque d’être long…

3. Perte de savoir

Les conséquences liées à la fuite d’informations sont énormes pour les sociétés victimes. Perte de parts de marché, si le savoir est dorénavant partagé entre plusieurs sociétés. Si l’information volée est brevetable, elle fait perdre à la victime la possibilité de récupérer le fruit de ses recherches.

« Même si le vol de la technologie d’un concurrent vous coûte un demi-million de dollars, cette somme peut ne représenter qu’un dixième du montant que vous aurait coûté le développement de cette technologie »
©»Secrets et Mensonges» de Bruce Schneier .

4. Stagnation du commerce électronique

Les risques liés au piratage de cartes bleues en ligne, sont en réalité relativement faibles. Ces risques sont couverts par les assurances bancaires. De plus vous pouvez être victime, sans avoir jamais surfé sur internet.

En effet, il est plus facile d’utiliser un générateur de numéro de carte bleue, que de réussir la prouesse d’obtenir un fichier clients sur le Web. Si par malheur, le numéro de carte généré est le vôtre le résultat sera le même. Il vous reste à surveiller vos relevés de compte, et à prévenir la banque dans le délai réglementaire de 1 mois après la date des faits.

On voit par contre proliférer les faux sites de commerces. Il faut être prudent avant de fournir son numéro de carte bancaire en ligne. Le mieux est de réaliser ses achats uniquement sur des sites connus, et de préférence dans la communauté européenne.

La médiatisation qui est faite au niveau des fraudes, n’encourage pas les gens à faire leurs emplettes en ligne. Résultat : au grand désarroi de tout le monde, le commerce sur le Web à des difficultés à se développer.

5. Renforcement du sentiment d’insécurité

La désinformation et la publicité, propagées par les médias, sur les attaques et les problèmes de sécurité du Web, ne font que renforcer le sentiment d’insécurité. Cela conduit à des dépenses en matière de sécurité qui sont surévaluées.

Selon le Clusif : 96% des entreprises perçoivent les malveillances comme principale source des sinistres informatiques alors que 40% sont dus à des accidents, 37% à des erreurs et 23% seulement à des malveillances.

De plus, souvent, comme l’exemple des Firewalls nous le montre, un faux sentiment de sécurité se met en place au niveau des sociétés. Un Firewall n’est qu’une partie de la chaîne de sécurité à mettre en place et non un remède absolu.

6. Augmentation du marché de la sécurité

Les achats de matériels et dernièrement, en matière de services de sécurité, se portent à merveille. Le marché de la sécurité est en plein essor.

L’évolution du marché français de la sécurité en millions de francs de 1998 à 2001 est impressionnante :

Figure 7 : Le marché français de la sécurité des systèmes d’information de 1998 à 2001

© IDC France 2001

Sur le marché européen, les produits e-Secure représentent en 2002 1,754 milliards d’€. Les services e-Secure 1,147 milliards, et les produits et services PKI 478 millions d’€ (Source Infonetic Research).

Le plus étonnant est que le Temps de Retour sur Investissement (TRI) n’existe pas en matière de sécurité. Une notion nouvelle est apparue pour répondre à ce manque : la notion de perte annuelle escomptée (PAE), qui correspond à un calcul estimé du nombre d’incidents annuels et les pertes par incident.

7. Méfiances pesantes sur la création d’une administration centralisée

La généralisation des téléservices a été engagée par le gouvernement en novembre 2001, avec objectif de se terminer en 2005. Dans ce cadre il est prévu la création d’une interface unique entre le citoyen et l’administration.

On aboutirait ainsi, à une simplification des démarches administratives par une communication interservices, la suppression des imprimés papier, des longues files d’attente et autres déplacement inutiles. Malheureusement cette mise en place ne peut se faire sans une certitude d’authentification du citoyen accédant à ces données. La question de la validité de ces données risque de se poser, ainsi que la définition des personnes devant y accéder.

Ces incertitudes font peser une méfiance de plus en plus croissante sur la centralisation des données administratives.

8. Conséquences judiciaires

Il s’est créé un rapprochement entre les services de police des différents Etats. Cette collaboration policière peut être bénéfique pour la lutte contre le crime organisé. Toutefois, il faut rester vigilant quant aux conséquences liées à cette collaboration.

En effet les Etats-Unis ont tendance à faire jouer leur poids économique dans les relations pour obtenir tout ce qu’ils désirent.

9. Conséquences réglementaires

« Nous changeons de modèle politique. D’une logique démocratique privilégiant le procès, nous passons, avec l’enregistrement systématique, à une logique policière et non démocratique. »

©Sébastien Canevet maître de conférences de droit privé. Le monde informatique 947 S 12 juillet 2002.

La logique d’enquête préliminaire sous couvert d’un magistrat, est en train de basculer vers un enregistrement systématique de tous les échanges électroniques. C’est ce qui est mis en place avec la rétention de données. Il n’est plus nécessaire d’être soupçonné pour se retrouver sur écoute.

10. Renforcement des lois

« Les dossiers étaient dans les tiroirs. Après les attentats aux Etats-Unis, ils ont pu être montrés et soutenus »

©Alain Weber Ligue des Droits de l’homme. Le monde informatique 947 S 12 juillet 2002.

Mai 2002 : un texte approuvé par le G8 à Mont Tremblant (Québec) était en préparation depuis 1999. Il préconise : «Recommandations sur le dépistage des communications électroniques transfrontalières dans le cadre des enquêtes sur les activités criminelles et terroristes»

Après le 11 septembre 2001, les Etats nations ont pu facilement faire adopter un ensemble de mesures visant à renforcer leurs pouvoirs.

Les investissements débloqués sont énormes.

« George W. Bush a ratifié le Cyber Security Research and Development Act , loi instituant un programme public de recherche en matière de sécurisation des réseaux doté d’un fonds de 880 M$ sur cinq ans. Des centres de recherche sur la lutte contre la cybercriminalité devraient voir le jour sous l’égide de la National Science Fondation (NSF, Fondation nationale des Sciences américaine) et du National Institute of Standard and Technology ( Nist , organisme public américain de standardisation).

Objectif : former davantage de spécialistes américains de la sécurité des systèmes d’information »

©D. Ca . 02/12/2002

11. Augmentation de l’écart entre le pouvoir et les citoyens

« Ce qui nous inquiète le plus : on adopte des mesures précises contre le terrorisme puis on les étend petit à petit à d’autres utilisations »

©Meryem MARZOUKI présidente d’Iris (Imaginons un Réseau Internet Solidaire). Le monde informatique 947 S 12 juillet 2002.

Les citoyens ont du mal à se reconnaître dans les politiques, comme le montre les dernière élections. Le fait de prendre des mesures visant à augmenter le pouvoir de l’Etat au détriment du respect du droit à la vie privé, ne va certainement pas arranger les choses.

« Etienne DROUARD du cabinet GIDE LOYRETTE NOUEL et ancien chargé de mission à la CNIL, relevait la création de deux nouveaux régimes d’autorisation des traitements informatiques où la CNIL était réduite à un rôle consultatif. Il s’agit là d’une substitution de l’organe décisionnaire »

© Le monde informatique 947 S 12 juillet 2002

Le plus surprenant est de remettre en question le rôle d’un organisme comme la CNIL, qui fut mis en place par l’Etat afin de garantir le respect des libertés.

Comment ne pas , dans ce cas, augmenter la fracture entre les citoyens et l’organe décisionnaire ?

12. Recul de la démocratie

« Des pays comme Cuba ou la Chine pratiquent depuis longtemps la rétention de données préventives, mesure maintenant adoptée par les Etats démocratiques. Dans ces conditions, il devient difficile de faire la leçon aux autorités de Pékin ou d’ailleurs ! »

©R.F. Le monde informatique 947 S 12 juillet 2002.

Dernière conséquence et non des moindres : notre crédibilité face aux pays où les droits de l’homme ne sont pas respectés va être diminuée. Les effets de nos décisions politiques ne se bornent pas aux frontières de notre pays.

Pour citer ce mémoire (mémoire de master, thèse, PFE,...) :
📌 La première page du mémoire (avec le fichier pdf) - Thème 📜:
Sécuriser les réseaux informatiques français
Université 🏫: CESI: École d’ingénieurs, bachelor et Mastère Spécialisé - Spécialisation sécurité des systèmes d’information
Auteur·trice·s 🎓:
Marc Ferrigno

Marc Ferrigno
Année de soutenance 📅: Mémoire présenté pour l’obtention du diplôme d’ingénieur au CESI - Février 2003
Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)
Lire aussi :
  1. 7 clés pour transformer l’éducation en Haïti avec les TIC
  2. Adaptation au logiciel de gestion de contenu
  3. Sécurité informatique : 10 recommandations essentielles pour gouvernements et PME
  4. Les systèmes de gestion de contenu
  5. La classification des systèmes de gestion de contenu
  6. Architecture d’un système de gestion de contenu
Télécharger le mémoire Sécuriser les réseaux informatiques français pdf

Si le bouton de téléchargement ne répond pas, vous pouvez télécharger ce mémoire en PDF à partir cette formule ici.

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top