L’ESSENTIEL DE L’ÉCONOMIE NUMÉRIQUERégion Alsace

Explorez le réseau des CCI

Procédures

Mots clés :
  • #audit de sécurité
  • #mot de passe
  • #PCA
  • #PRA
  • #sauvegarde
  • #Sécurité du SI
Mots de passe
Audits de sécurité
Sauvegardes

Mots de passe

Un grand nombre de personnes se sont déjà fait pirater leur compte Facebook ou encore pire, leur compte de messagerie, laissant la porte grande ouverte aux données personnelles, voire sensibles.

 

En théorie, le mot de passe est personnel et devrait donc être difficile à trouver par une personne mal intentionnée. La réalité en est toute autre. Le mot de passe étant choisi par l'utilisateur, sa compromission en est facilitée pour les auteurs d'attaques. En effet, certains utilisateurs optent pour un mot de passe simpliste ou encore le laissent à la portée de tout le monde. Le risque est le vol de données personnelles ou, dans le cadre d'une entreprise, le vol de données confidentielles pouvant aller jusqu'à compromettre sa pérennité.

 
password.jpg
 
Comment sécuriser vos mots de passe ? (Source CTAI)
 

Un mot de passe vous permet de vous authentifier pour accéder à un site, à une session d’ordinateur, à un service en ligne. Il assure une protection contre le vol de données et contre les intrusions dans les systèmes informatiques. Pour remplir correctement sa mission, le mot de passe doit répondre à certaines règles de sécurité.

 

Pourquoi prêter attention à la sécurité du mot de passe ?

 

Moins le mot de passe est sûr, plus il est facile à pirater. Or, un accès non autorisé à des données personnelles ou confidentielles ou encore le vol d’informations peuvent avoir un impact considérable sur l’entreprise :

- problèmes juridiques (non respect des règles de confidentialité et de sécurité)

- pertes économiques (vol de fichiers clients)

- pertes financières pouvant entraîner la faillite de l’entreprise (80 % des entreprises ayant perdu leurs données informatiques font faillite dans les 12 mois selon le site Informatique-concept)

 
Quelques règles très simples permettent pourtant d’éviter ces désagréments :
 

Garder son mot de passe secret

 

Le mot de passe est personnel. La première des sécurités est de ne pas le divulguer, à qui que ce soit.

Ne l’inscrivez pas dans un fichier informatique. En cas de vol de l'ordinateur (cambriolage par exemple), les voleurs y auront facilement accès et pourront donc vous nuire très rapidement (surtout si votre session n'est pas protégée ...).

Ne le notez pas non plus sur un bout de papier, même bien caché (donc pas de post-it sur l’écran, ni sous le clavier, ni ailleurs). Les cachettes sont peu nombreuses et bien connues, sans compter que vous risquez de le perdre !

Enfin, n’enregistrez pas vos mots de passe sur les sites auxquels vous vous connectez. Il vous sera proposé de « retenir » le mot de passe afin de permettre une connexion automatique à la prochaine visite. Refuser permet d’éviter à un tiers malveillant qui aurait accès à votre poste de se connecter à votre place.

 

Choisir un mot de passe complexe

 

Il doit être suffisamment compliqué pour ne pas être piraté mais en même temps facile à retenir pour vous. Voici quelques astuces :

- minimum 10 caractères

- plusieurs types de caractères (majuscules, minuscules, chiffres, symboles)

- procédé mnémotechnique (les premières lettres de chaque mot d’un proverbe par exemple : "Un tien vaut mieux que deux tu l’auras"= 1tvmQ2tl’A)

 

Evitez absolument tout ce qui est évident

 

- informations personnelles (dates d’anniversaire, prénoms, numéros de téléphone, etc.)

- suites logiques (123456789, azerty, etc.)

- évidences (motdepasse, password, etc.)

 

Un mot de passe pour chaque usage

 

Il est conseillé d’utiliser un mot de passe différent pour chaque type d’activité (session d’ordinateur, messagerie, site d’e-commerce, etc.)

En cas de piratage de l’un d’eux, il ne sera pas nécessaire de tous les changer

Pour en faciliter la mémorisation, vous pouvez utiliser la même base et différencier les différentes variantes par des petites modifications (symboles ou chiffres à la fin par exemple).

 

Effectuez des modifications régulières

 

Pour une sécurité optimale, les mots de passe doivent régulièrement être changés. Notamment ceux qui nécessitent un usage fréquent (session d’ordinateur par exemple).

 
Pour en savoir plus
 

Sécurité des mots de passe  - Agence Nationale de la Sécurité des Systèmes d'information - ANSSI

Audits de sécurité

cadenas.jpgLe Système d’Information est l’objet de beaucoup de convoitise. Pirates, virus, vers et autres menaces n’attendent que de trouver une faille pour exploiter les données ou ressources à des fins malveillantes.

 

Pour éviter cela, il convient de faire procéder à un audit de sécurité puis de mettre en place une politique de gestion du système structurée.

 

Une liste exhaustive des définitions des menaces est disponible sur :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-002/

 

 
Utilité, usage
 

Procéder ou faire procéder à un audit de sécurité d’un Système d’Information (SI) permet de vérifier de manière exhaustive sa conformité, sa confidentialité ainsi que son intégrité.

 

Son but est de mettre en avant les éventuelles failles de sécurité existantes ou à venir et donc sa vulnérabilité.

 

Les menaces peuvent être :

  • Internes, en permettant le vol ou les modifications volontaires ou involontaires des données ainsi que l’utilisation des ressources à des fins non désirées.

 

  • Externes : vers, virus, hacker, pirates,  logiciels espions, etc. s’attachent à essayer de voler vos données confidentielles et à utiliser vos ressources pour des actions malveillantes ou publicitaires

 

La liste des menaces existantes est malheureusement longue et évolue en permanence. L’audit de sécurité du SI permet de mettre en place une politique de sécurité adaptée aux risques existants et à venir.

 

Conseils
 

Les menaces étant aussi bien internes qu’externes, une charte d’utilisation des ressources est conseillée.

 

Un professionnel de la sécurité pourra vous accompagner, tant du point de vue juridique que légal (préservation de la vie privée des personnes) que technologique (protection active de votre SI).

Il vous aidera à mettre en place un filtrage des données et des personnes entrantes (de par le web ou le télétravail) et des ressources ouvertes en sortie pour interdire les utilisations non autorisées (jeux, téléchargements, chat, etc.)

Il vous aidera aussi à mettre en place une politique de droits sur les données et ressources, de confidentialité et de sauvegarde cohérente de vos données.

 
Points de vigilance
 

La législation tient pour responsable le détenteur de données confidentielles n’ayant pas mis en place tous les moyens nécessaires à leur protection (voir Code Pénal (Partie Législative) Article 226-17 (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002).

 

Il est également obligatoire de respecter les données personnelles des utilisateurs si elles existent.

 

Il est primordial de limiter le trafic sortant de votre système d’information car toute intrusion externe venant d’Internet passe par une porte ouverte ou par l’ouverture d’une porte par vous-même.

 

Pour en savoir plus

 

 

Il existe plusieurs méthodes pour repérer les risques qu'encourt une société au niveau informatique. Les plus connues sont MARION, MEHARI et EBIOS. Les deux premières méthodes proviennent du CLUSIF, association reconnue dans la sécurité informatique. EBIOS est proposé par l'ANSSI, Agence Nationale de la Sécurité des Systèmes d'Information.

 

Plusieurs acteurs de l’intelligence économique en Alsace peuvent intervenir auprès des chefs d’entreprises pour faire un audit de sécurité économique (y compris dans le domaine du numérique) afin de les aider à évaluer et à détecter les risques auxquels sont exposées leurs structures et s’en protéger.

Ces services sont la Direction Régionale du Renseignement Intérieur d’Alsace (DRRI), la DIRECCTE, le poste de la protection et de la sécurité de la Défense de Strasbourg (DPSD, pour les entreprises liées à la Défense nationale), la Gendarmerie nationale.

 

 

Sauvegardes

En informatique, la sauvegarde (backup en anglais) est l'opération qui consiste à dupliquer et à mettre en sécurité les données contenues dans un système informatique.

 

Avec la dématérialisation des échanges et des données de l’entreprise, ce point devient très important.

 
disques.jpg
  • l'enregistrement des données : opération d'écriture des données sur un item d'enregistrement durable, tel un disque dur, une clé USB, des bandes magnétiques, etc.

 

  • l'archivage : consiste à enregistrer des données sur un support à des fins légales ou historiques.

 

  • La sauvegarde passe forcément par un enregistrement des données, mais pas nécessairement dans un but d'archivage.
 

Avant de procéder à la sauvegarde, il est important de bien définir les données à sauvegarder car toutes les données n’ont pas besoin de l’être.

 
Critères de choix
 

Le choix d'une technique de sauvegarde prend en compte :

 

  • la capacité de stockage du support (le volume d'information)

 

  • la vitesse de sauvegarde

 

  • le cryptage des données (préconisé pour toute sauvegarde externalisée)

 

  • la fiabilité du support (notamment après une longue période de stockage)

 

  • la simplicité d'utilisation

 

  • la facilité à restaurer les données

 

  • la compatibilité avec les différents systèmes d'exploitation (Windows, Mac, Linux, ...)

 

  • et bien sûr le coût de l'ensemble

 

Types de sauvegarde

 

  • Totale : sauvegarde de toutes les données, fichiers et répertoires.

 

  • Incrémentale : sauvegarde uniquement des fichiers nouveaux ou modifiés depuis la dernière sauvegarde.

 

  • Différentielle : une sauvegarde complète des fichiers est réalisée. Ensuite seuls les fichiers modifiés seront  sauvegardés sur la base de la dernière sauvegarde complète. En cas de restauration, cela signifie que la  dernière sauvegarde complète ainsi que la dernière version du fichier seront nécessaires pour récupérer la version la plus récente.

 

  • Journalisation : création d’un journal dans lequel sont recensées toutes les mises à jour du fichier. Lors de la sauvegarde, tous les mouvement de la mise à jour seront appliqués à la restauration du fichier.
 
Les supports de sauvegarde actuels
 

> Les supports "intelligents" incluant un logiciel de gestion de la sauvegarde

> Les simples supports de stockage de données (clé USB, CD, DVD, bandes, ...).

 

Procédés de sauvegarde pour les simples supports de stockage :

 

  • la copie de fichier manuelle

 

Procédés de sauvegarde pour les supports de sauvegarde "intelligents" :

 

  • la copie complète automatique (lancement programmé de la copie)

 

  • la copie incrémentale simple : copie automatique des fichiers modifiés uniquement (avec ou sans historique)

 

  • la copie incrémentale octet : copie automatique des modifications des fichiers (octets) uniquement

 

Techniques de sauvegarde
 

Sur PC et disque dur externe :

 

  • Avantages  : solutions simples d'utilisation, pas de mise en route.

 

  • Inconvénients : sauvegarde locale avec risque de perte des données (en cas de crash disque, incendie, vol, ...), temps de copie ralentissant le PC.

 

Sur serveur de l’entreprise :

 

  • Avantages : les sauvegardes sont automatiques et sécurisées, les coûts matériels sont relativement faibles.

 

  • Inconvénients : les sauvegardes réalisées ne se font pas toujours en temps réel (risques de pertes de données), la restauration peut nécessiter des compétences techniques.

 

Sur un support externalisé  privatif :

 

  • Avantages : les sauvegardes sont automatiques et sécurisées, disponibles en local et sur un site distant de son choix.

 

  • Inconvénients : les sauvegardes externalisées peuvent  générer un fort trafique de données et de ce fait, peuvent restreindre la bande passante.

 

Sur Internet :

 

  • Avantages : autonomie des utilisateurs (simplicité d'utilisation), sécurité des données garantie par l'externalisation.

 

  • Inconvénients : selon le procédé de sauvegarde choisi, la durée de restauration peut être longue; la confidentialité des informations peut être un frein à l'externalisation des données sensibles.
 
Finalité
 

Les copies de sûreté sont essentiellement utiles pour deux raisons :

 

  1. la plus évidente : permettre de restaurer un système informatique suite à un incident (perte d'un support de stockage tel que disque dur, bande magnétique, etc., ou de tout ou partie des données qu'il contient),
     
  2. la plus courante : faciliter la restauration d'une partie d'un système informatique (un fichier, un groupe de fichiers, un système d'exploitation, une donnée dans un fichier, etc.) suite à une suppression accidentelle ou à une modification non désirée.
 
Préconisations d’utilisation
 

Contrôle de la sauvegarde

 

La sauvegarde doit être vérifiée systématiquement afin de détecter toute anomalie (transfert partiel, fichier corrompu, etc.).

 

Des tests de restauration doivent être réalisés périodiquement.

 

En cas de support de type CD, cassette, ... une vérification des dates limite d'utilisation doit être effectuée.

 

Gestion des historiques de sauvegarde

 

Afin de pallier tout problème de corruption de fichier ou de virus, un historique de sauvegarde doit être constitué. Ainsi, chaque fichier est sauvegardé dans différentes versions, ce qui permet de toujours pouvoir restaurer une version non corrompue.

En complément