Application de la démarche sur un scénario fictif

5.1.1 Présentation de la problématique

Notre scénario va se baser sur le cas suivant :

L’employé X de l’entreprise YZ effectue un travail dans lequel il a besoin d’un ordinateur et d’un accès internet. Lors de son travail, il est amené à consulter sa boîte mail pour contrôler s’il a reçu certains documents ou factures envoyés par des fournisseurs ou des clients. Cependant, il lui arrive de recevoir d’individus ou d’organisations inconnus, des emails dont la pièce jointe (un document Word la majeure partie du temps) est infectée par un virus se déclenchant lors de son ouverture. Malheureusement, l’employé X n’étant pas attentif a déjà ouvert ce type de pièce jointe et a infecté à plusieurs reprises son ordinateur, notamment les informations qui y sont contenues (suppression de données, vol, altération).

5.1.2 Etude du cas

En premier lieu, il faut identifier le problème sécuritaire posé. Dans notre cas, le problème est lié à un employé X qui ouvre des pièces jointes contenant un virus. Notre analyse de système va se baser là-dessus.

Ensuite, il faut s’informer sur les différents composants et personnes qui constituent cette problématique, ainsi que de leurs relations. Il faut également définir la limite dans laquelle le problème va être étudié, ses variables d’entrée et/ou de sortie ainsi que son environnement.

Après avoir obtenu les informations nécessaires, nous pouvons modéliser la problématique de notre scénario.

Figure 19

Modélisation du scénario

Dans notre modèle, nous avons identifié qu’un email infecté est envoyé depuis internet par une personne malveillante. On ne sait pas d’où il provient, pour cette raison nous avons fixé la limite du système (ou sous-système si l’on considère que l’entreprise est le système) étudié au serveur de messagerie. L’email est ensuite contenu dans le serveur de messagerie de l’entreprise YZ. Lorsque l’employé désire consulter ses emails, il lance le logiciel de messagerie. Ce dernier récupère ensuite les emails stockés sur le serveur de messagerie. L’employé commence alors à consulter ses emails, quand tout à coup il ouvre une pièce jointe infectée par un virus.

Après avoir modélisé le scénario de base, nous pouvons notamment mettre en exergue les différents objets du système.

Figure 20

Identification des objets du système

Système Environnement

Composantes ^{Variable d’entrée}

Comment approcher la complexité dans la sécurité de l’information

ZAFFUTO Tiffany 36

Les composantes que nous avons donc identifiées sont :

• L’employé

• L’ordinateur

• Le serveur de messagerie

L’email infecté représente la variable d’entrée qui va influencer le système. Internet et la personne malveillante font partie de l’environnement d’où elle provient. Pour identifier les variables d’entrée et de sortie, il faut s’interroger sur la finalité du système. En l’occurrence, dans notre cas, nous savons que l’employé X a besoin de recevoir par email des documents et des factures de ses clients et fournisseurs pour mener à bien ses tâches.

Les relations entre ces composants sont représentées par des flèches portant un message qui en décrit l’action effectuée. La numérotation sert à indiquer l’ordre de séquence des actions.

En ce qui concerne la triangulation systémique, l’aspect structural décrit comment le système est constitué, à savoir ses composantes, que l’on a identifiées ci-dessus, et les différentes relations entre celles-ci. L’employé devant ouvrir ses emails pour effectuer son travail constitue l’aspect fonctionnel. L’aspect historique va nous permettre de comprendre l’évolution du système, à savoir l’introduction de la procédure de consultation des emails. Il se trouve qu’auparavant l’employé X communiquait avec les fournisseurs et les clients via le courrier postal. Le fait de changer de procédure en envoyant directement les emails aux personnes concernées a permis à l’employé X de gagner en rapidité et d’effectuer plus efficacement ses tâches.

5.1.3 Démarche d’une approche analytique

Avant de présenter comment étudier le problème de manière systémique, il est tout d’abord intéressant de voir comment une démarche analytique serait appliquée. Rappelons que lors d’une approche analytique, chaque élément est pris séparément. Dans notre contexte, on appliquerait donc une mesure pour chacun des composants faisant partie de la problématique.

Figure 21

Application analytique

Ainsi, l’employé X sera sensibilisé à ce type de danger, un anti-virus sera installé sur l’ordinateur ainsi que sur le serveur de messagerie et un pare-feu sera placé entre le serveur de messagerie et internet afin de filtrer les messages entrants.

Toutefois, il peut s’avérer que la mise en place de toutes ces mesures¹ ne soit pas suffisante pour garantir la sécurité de l’information. Nous notons, après coup, que les emails infectés continuent à parvenir jusqu’à l’ordinateur de l’employé X et que celui-ci continue à ouvrir les pièces jointes infectées par un virus. Nous allons dans ce cas opter pour une autre approche, celle de la systémique, qui va nous permettre de voir les choses sous un angle différent.

5.1.4 Démarche d’une approche systémique

L’application de la démarche systémique consiste à analyser le système dans sa globalité en tenant compte des éléments et de leurs interrelations, ainsi de celles de l’environnement avec lequel le système communique.

Figure 22

Application systémique

1

Rappelons que les mesures énoncées sont utilisées comme exemple dans notre scénario pour illustrer cette démarche, elles ne constituent pas une fin en soi.

Comment approcher la complexité dans la sécurité de l’information

ZAFFUTO Tiffany 38

Nous avons constaté précédemment que les mesures techniques n’ont pas été suffisamment efficaces pour contrer la problématique des emails infectés. En outre, nous remarquons également que l’employé X continue à ouvrir les pièces jointes infectées, malgré le cours de sensibilisation auquel il a participé. Nous pouvons alors nous demander quelle est la relation entre l’employé et les emails infectés, pourquoi continue-t-il à les ouvrir ?

Nous remarquons également la présence d’un autre acteur : la personne malveillante mettant en danger le système d’information de l’entreprise en envoyant des emails infectés. Il est important de la prendre en considération dans notre analyse en essayant de découvrir pourquoi cette personne malveillante envoie ce type d’emails.

Le plus souvent les problèmes techniques sont moins difficiles à comprendre que les problèmes humains, car ces derniers ont un comportement nettement plus complexe. Il est également à noter que les mesures techniques que l’on applique à nos machines sont mises en place par l’humain, qui n’est malheureusement pas infaillible dans sa nature.

Dans tous les cas, au niveau interne du système, quatre types de comportements se présentent :

• le comportement de l’employé X était intentionnel

• l’employé X n’était pas attentif lorsqu’il a ouvert la pièce jointe

• l’employé X n’a toujours pas compris comment se comporter face à ce type de danger

• l’employé X s’est trouvé contraint à ouvrir cette pièce jointe sous la menace d’un tiers

Pour essayer de trouver une réponse au type de comportement de l’employé X, il faut enquêter sur les quatre possibilités (bien qu’il en puisse y en avoir des autres) énoncées ci-dessus. On se retrouve ici à un niveau psychologique de la question. Pour tenter de comprendre le comportement d’une personne, il faut s’interroger non seulement sur sa situation professionnelle, mais également sur sa situation personnelle, à savoir sa vie privée. Par exemple, une personne qui a des soucis au niveau familial peut entraîner des répercussions sur son travail. Cette personne peut, en conséquence, être moins attentive lors de l’exécution de ses tâches.

C’est à partir de ces interrogations que l’on peut ensuite prendre une décision. Admettons que si l’on découvre que l’employé X est le complice secret du

principal concurrent de l’entreprise YZ, il est évident qu’il ouvre les pièces jointes intentionnellement pour saboter le système d’information de l’entreprise. Une solution pourrait être dans ce cas le licenciement immédiat. Si au contraire l’employé X a reçu son cours de sensibilisation sur les différentes menaces liées à la messagerie en anglais, alors qu’il ne maîtrise pas très bien cette langue, il se peut qu’il n’ait pas tout à fait compris qu’il ne doit pas ouvrir certaines pièces jointes ayant une extension particulière (les documents Word par exemple).

La prise de décision sera donc effectuée en fonction du contexte dans lequel est placé l’employé, à savoir sa situation et ses intentions.

Il en est de même pour la personne malveillante. Bien qu’il puisse y en avoir d’autres, nous identifions deux types de comportements :

• la personne malveillante a pris pour cible uniquement cette entreprise

• la personne malveillante envoie des emails infectés à n’importe qui

L’entreprise doit enquêter pour comprendre si elle seule est la cible de la personne malveillante, car cette dernière peut s’avérer très dangereuse pour elle. En effet, si cette personne est contre les principes et la culture de l’entreprise, ainsi que les actions menées par ses soins, elle utilisera tous les moyens qu’elle possède pour tenter de la nuire. Par exemple, un écologiste peut s’en prendre à une entreprise qui ne respecte pas du tout l’environnement. Dans ce cas, il sera conseillé à l’entreprise de remettre en question ses processus de production et de favoriser la communication avec les écologistes afin d’en calmer les tensions.

Au contraire, une personne malveillante envoyant des emails infectés à des personnes ou des organisations au hasard sera moins dangereuse, dans le sens qu’elle ne va pas rechercher toutes les failles pour s’introduire dans le système d’information de l’entreprise YZ. En principe, dans ces cas-là, des mesures techniques suffisent à fournir la protection nécessaire pour contrer ce type d’attaque.

5.1.5 Différences d’approches

Récapitulons comment les deux démarches ont été appliquées dans le précédent cas et essayons d’en comprendre les différences.

Dans la démarche analytique, le problème identifié ou en d’autre mots la cause du problème est l’email infecté par un virus provenant d’Internet. On a identifié

Comment approcher la complexité dans la sécurité de l’information

ZAFFUTO Tiffany 40

quelles sont les parties du système dans lequel circulent les emails. Des mesures techniques ont donc été appliquées sur les différentes machines pour essayer de stopper ou de détruire cet email. L’employé X a même reçu une leçon de sensibilisation afin de le mettre en garde contre les différents dangers qui pouvaient s’introduire dans sa boîte mail. Dans ce type d’approche, on agit directement sur la cause du problème, c’est-à-dire l’email contenant le virus, car c’est ce dernier qui nuit directement au système d’information.

Dans l’approche systémique, on a observé le système globalement, en analysant plutôt la relation entre les différents éléments. A ce niveau, on ne se focalise pas uniquement sur la cause du problème, mais sur ce qui le conserve, à savoir l’employé. Effectivement, ce dernier continue à ouvrir les pièces jointes infectées, malgré qu’il ait eut un cours de sensibilisation à ce sujet. Avec cette approche, on essaie de comprendre pourquoi il agit ainsi. Il y a également l’interrogation sur les vraies intentions de la personne malveillante qui continue à envoyer les emails infectés. A-t-elle pris l’entreprise pour unique cible ou envoie-t-elle les emails infectés à quiconque ? C’est après avoir enquêté et compris le pourquoi du comment que l’on va prendre une décision sur quelle mesure on va devoir mettre en place.