II. De quoi a-t-on besoin ?
A. Définition du besoin
Nous avons besoin d’un système qui améliore la sécurité des systèmes d’information français reliés à l’Internet, en tenant compte du respect de la souveraineté de l’Etat et du droit des personnes à la vie privée.
B. Evaluation du besoin
La complexification des Si, la prolifération des attaques et leur complexité, l’augmentation du nombre de trous de sécurité et enfin le niveau des attaquants laissent présumer que le besoin est pérenne. Bien qu’il n’y ait pas de TRI, on constate que les investissements sont là et que la demande est forte. La justification du budget sécurité se fait au travers de la gestion des risques, des contraintes réglementaires et de l’apport métier.
Toutefois un système unique ne peut pas répondre aux différents besoins qu’ont une multinationale, une PME, une PMI ou un particulier. Il faut donc que le système s’adapte au niveau de sécurité de la cible.
C. Importance et localisation du besoin
Différents paramètres vont permettre de mieux cerner le besoin : la taille de l’entreprise, les données qu’elle doit protéger, son ouverture sur le net, sa popularité, mais aussi l’origine des attaques.
1. La taille de l’entreprise
La taille de l’entreprise va conditionner les moyens financiers dont elle dispose pour se protéger. C’est ainsi que les multinationales et les Etats nations, ont des moyens importants et ont déjà été sensibilisés aux problèmes de sécurité. Ils possèdent des personnes dédiées pour la sécurité, et leur politique de sécurité est déjà mise en place ou en passe de l’être. Par contre, les attaquants potentiels de ces dernières, ont aussi des compétences et des moyens en proportion. En effet, il est peu probable que des scripts kiddies puissent inquiéter une multinationale ou un Etat nation. En général leurs soucis principaux viennent des entreprises concurrentes et des autres Etats nations.
On, de ce fait, trouve une corrélation entre la taille de l’entreprise et le type d’attaques subies.
Figure 8 : Types de problèmes en fonction de la taille de l’entreprise.
©Études et statistiques sur la sinistralité informatique en France Clusif 2001.
On constate ainsi que les entreprises de moins de 500 personnes ne sont pas trop concernées par le vol et les attaques logiques ciblées. Par contre, que les virus sont un problème pour tout le monde.
2. Les données à protéger
Les données en matière de sécurité doivent répondre aux critères de :
Disponibilité : les données doivent être disponibles au moment où on en a besoin. Intégrité : les données auxquelles on accède doivent pas avoir été modifiées illégalement. Confidentialité : seules les personnes autorisées doivent pouvoir accéder.
Le type de données que le SI de l’entreprise contient va dimensionner le niveau sécurité à mettre en place.
On peut également faire une corrélation entre les données susceptibles d’être volées, et le niveau de compétence des attaquants pouvant s’y intéresser.
Les attaquants potentiels et le type de données que l’entreprise possède vont aider à déterminer la probabilité d’apparition d’un problème.
3. Ouverture de l’entreprise sur le net
On constate dans le rapport du Clusif que dans les entreprises, les services liés à l’Internet ne se sont pas développés dans les mêmes proportions. C’est une donnée importante, car elle va intervenir dans la probabilité d’apparition de l’attaque et son type. Pour finir, elle va orienter le type de protection à mettre en place.
Figure 9 : Proportion des services Web dans les entreprises.
©Études et statistiques sur la sinistralité informatique en France Clusif 2001.
On constate également que le secteur d’activité dans lequel l’entreprise se situe, implique le niveau de dépendance de l’entreprise vis-à-vis de son SI.
Figure 10 : Dépendance des entreprises vis-à-vis de leur SI.
©Études et statistiques sur la sinistralité informatique en France Clusif 2001.
Ce critère va permettre de déterminer l’impact résultant d’une agression sur l’entreprise. L’impact va dimensionner le niveau de sécurité à mettre en place.
4. Sa popularité
Plus l’entreprise sera importante et populaire, plus les hackers vont s’y intéresser. Il est plus valorisant de s’attaquer et de pénétrer une société très connue et réputée pour ses moyens de sécurité, que de hacker une petite entreprise que personne ne connaît.
Il n’y a rien de plus nocif pour la sécurité de son SI que de prétendre que l’on a la meilleure protection du monde. Du coup, si vous êtes populaire vous serez obligés de vous protéger plus que les autres.
5. Importance des attaques
La majorité des problèmes proviennent d’erreurs de manipulation ou de défaillance, le pourcentage d’attaques en provenance d’Internet restant relativement faible.
Parmi les causes d’indisponibilité du SI des entreprises, on trouve :
Les actes malicieux, à hauteur de 3%
Les problèmes environnementaux 19%
Les erreurs opérationnelles et applicatives 75% (Source : IDC 2001)
Parmi les pénétrations du SI, 85 % environ des attaques exploitent des failles applicatives (source : Lexsi).
Les attaques en plus grand nombre sont dues aux virus.
Figure 11 : Importance des attaques.
©rapport Cigref : Sécurité des systèmes d’information septembre 2002.
Il faut cependant nuancer ces chiffres en provenance des DSI (Direction des Systèmes d’Information). En effet d’après le Cigref, seules 20% des attaques seraient connues des victimes.
« la Brigade française d’enquête sur les fraudes aux technologies de l’information à la Direction de la Police Judiciaire estime que 80 % des attaques ne sont jamais détectées et que seulement 10 % des actes de piratage informatique arrivent à la connaissance des services de police. »
25/06/2002.
Les résultats d’une enquête du CSI et du FBI confirment néanmoins la pôle position des attaques virales. Par contre, elle révèle que les plus coûteuses sont les vols d’informations, les fraudes financières et les fraudes téléphoniques.
6. L’origine des attaques
L’origine des attaques est aussi à considérer, et là surprise ! Ce sont les employés qui arrivent en tête des sources à problèmes devant les hackers.
Figure 12 : Origines des attaques.
© Rapport Cigref : Sécurité des systèmes d’information septembre 2002.
On comprend mieux à la vue de ces chiffres que la sécurité informatique c’est 20% de matériel et 80% d’humain.
Le schéma suivant montre l’origine des attaques (interne, externe, inconnue) en fonction du type d’attaques. Il est intéressant de constater que l’infection des virus trouve son origine en interne et que la divulgation, la fraude et le vol sont d’origine inconnue.
Figure 13 : Type d’attaque en fonction son origine.
©Études et statistiques sur la sinistralité informatique en France Clusif 2001.
7. Pour résumer
La sécurité informatique c’est 20% de matériel et 80% d’humain, mais le matériel est indispensable.
Les solutions proposées devront être en adéquation avec le niveau de confidentialité des données à protéger.
Les multinationales et les Etats nations sont sensibilisés à la sécurité informatique, et protégés.
Le traitement des problèmes doit tenir compte de l’impact métier.
La majorité des problèmes proviennent d’erreurs de manipulation ou des défaillances SI.
Le pourcentage d’attaques en provenance d’Internet reste très faible (parmi les attaques 85% exploitent des failles applicatives).
Les utilisateurs du SI posent plus de problèmes que les hackers.
Les virus sont la première source d’attaque du SI.
Seulement 20% des attaques sont connues des victimes.
Les données doivent répondre aux critères de : disponibilité, intégrité et confidentialité.
