1. Sécurité de données:
Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet.
Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de se connecter au système d'information à partir de n'importe quel endroit, les personnels sont amenés à « transporter » une partie du système d'information hors de l'infrastructure sécurisé de l'entreprise.
2. Objectifs de la sécurité informatique:
Le système d'information est généralement défini par l'ensemble des données et des ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de protéger.
La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.
La sécurité informatique vise généralement cinq principaux objectifs :
• L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être ;
• La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources échangées ;
• La disponibilité, permettant de maintenir le bon fonctionnement du système d'information ;
• La non répudiation, permettant de garantir qu'une transaction ne peut être niée ;
• L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources.
3. Les causes de l'insécurité:
On distingue généralement deux types d'insécurités :
• l'état actif d'insécurité, c'est-à-dire la non connaissance par l'utilisateur des fonctionnalités du système, dont certaines pouvant lui être nuisibles (par exemple le fait de ne pas désactiver des services réseaux non nécessaires à l'utilisateur)
• l'état passif d'insécurité, c'est-à-dire la méconnaissance des moyens de sécurité mis en place, par exemple lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose.
4. Moyens de sécurisation d'un système:
La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible. Ainsi, la sécurité du système d'information doit être abordée dans un contexte global :
• la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de conscience » (les Anglais disent awareness) ;
• la sécurité de l'information ;
• la sécurité des données, liée aux questions d'interopérabilité, et aux besoins de cohérence des données en univers réparti ;
• la sécurité des réseaux ;
• la sécurité des systèmes d'exploitation ; • la sécurité des télécommunications ;
• la sécurité des applications (débordement de tampon), cela passe par exemple par la programmation sécurisée ;
• la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la « stratégie de reprise »).
Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …).
5. Sauvegardes de données: 5.1 Stratégie de sauvegarde
Pour être efficaces, les sauvegardes de données en entreprise nécessitent une bonne stratégie de sauvegarde. Pour cela, il faut prendre en compte plusieurs facteurs. D' abord, le volume de données à sauvegarder, ensuite, le temps disponible pour effectuer les sauvegardes sans gêner le travail des employés (durant la nuit par exemple), la fréquence des sauvegardes, le nombre de supports nécessaires (bandes, cd-rom...), et la fréquence de réécriture sur les supports.
5.2 Les différents types de sauvegardes
Un des éléments principaux d'une stratégie de sauvegarde est le choix du type de sauvegarde. L'utilitaire spécifique de Windows 2000 prend en compte cinq types de sauvegardes, qui définissent la quantité de données à sauvegarder. Ceci a pour objectif d'utiliser le moins possible de supports de sauvegarde et de diminuer le temps d'écriture tout en garantissant une sécurité optimale des données.
La majorité des types de sauvegardes se basent sur l'attribut d'archivage qui indique si un fichier a été modifié et s'il doit être sauvegardé à nouveau. Lorsque l'on modifie un fichier précédemment sauvegardé, l'attribut d'archivage y est automatiquement attribué. Ainsi, pendant la sauvegarde suivante, l'utilitaire de sauvegarde pourra ne sauvegarder que les fichiers pour lesquels l'attribut d' archivage est positionné. Ce type de sauvegarde ne prendra donc en compte que les fichiers qui ont été modifiés, ce qui réduira l'espace nécessaire à l'écriture des données sur les supports, et aussi le temps de la sauvegarde.
Les cinq types de sauvegardes pris en compte par Windows 2000 sont les suivants: • Sauvegarde normale
Lors d'une sauvegarde normale, tous les fichiers et dossiers sélectionnés sont sauvegardés, sans distinction des attributs d'archivage. Ces attributs d'archivage des fichiers sont
réinitialisés. La sauvegarde normale est la base des sauvegardes ultérieures. Elle accélère le processus de restauration car dans ce cas tous les fichiers de sauvegardes sont les plus récents, et une seule restauration suffit donc pour remettre en place tous les fichiers. • Sauvegarde incrémentielle
Lors d'une sauvegarde incrémentielle, ne sont sauvegardés que les fichiers ayant été modifiés depuis la dernière sauvegarde normale ou incrémentielle. Comme pour la
sauvegarde normale, ce type de sauvegarde réinitialise les attributs d'archivage des fichiers sauvegardés. Les sauvegardes incrémentielles consomment donc le minimum de supports de sauvegarde, et le minimum de temps. L'inconvénient de ce type de sauvegarde est qu'il retarde le processus de restauration.
• Sauvegarde différentielle
Une sauvegarde différentielle est identique à une sauvegarde incrémentielle à l'exception du fait que les attributs d'archivage des fichiers ne sont pas réinitialisé après la sauvegarde. Ainsi, si l'on effectue deux sauvegardes différentielles successivement, d'un fichier qui n'a pas été modifié entre ces deux sauvegardes, ce fichier sera sauvegardé dans son intégralité les deux fois. Ce type de sauvegarde consomme plus de supports et de temps qu'une
sauvegarde incrémentielle, mais il facilite le processus de restauration. Il suffira en effet de ne restaurer que la dernière sauvegarde normale, suivie de la dernière sauvegarde
différentielle.
• Sauvegarde quotidienne
Une sauvegarde quotidienne ne sauvegarde que les fichiers ayant été modifiés dans la journée, sans réinitialiser les attributs de sauvegarde. Elle permet d'effectuer une sauvegarde supplémentaire sans perturber le processus de sauvegarde habituel. • Sauvegarde par copie
Lors d'une sauvegarde par copie, tous les fichiers et dossiers dont sauvegardés, comme pour une sauvegarde normale, mais les attributs d'archivage ne sont pas modifiés. Cela permet d'effectuer une sauvegarde complète supplémentaire (par exemple à des fins d'archivage) sans bouleverser la stratégie de sauvegarde.