LES PME ET LA SÉCURITÉ DU SYSTÈME

L ^IVRE B ^LANC

L ES PME ET L A S ÉCURITÉ DU S YSTÈME D ’I ^NFORMATION

puresecurity

^™

Sommaire

Préambule

...

3

I. Contexte

...

4

II. Sécurité et responsabilité du chef d’entreprise

...

8

III. Vos informations sont-elles bien protégées ?

...

11

IV. Les solutions de protection de Check Point

...

15

V. Les bonnes pratiques

...

22

Conclusion

...

24

Glossaire

...

25

Préambule

I

nternet est une merveilleuse opportunité pour les PME de développer leur activité.

Bon nombre d’entre elles ont effectivement réussi à faire connaître leur savoir-faire, leurs produits et leurs services au-delà de leurs frontières traditionnelles (département, région ou pays) pour toucher une clientèle plus large. Présentation de l’entreprise, consultation du catalogue produits, vente « en ligne », accès à des documentations techniques, téléchargement d’outils… les services offerts sont de plus en plus nombreux via le Web. Quant à la messagerie électronique, elle permet à l’entreprise de communiquer avec ses clients et ses partenaires de façon rapide et économique.

Extraordinaire vecteur de communication et formidable plateforme d’échange, Internet doit pourtant faire l’objet de toutes les attentions en matière de sécurité… En effet, en s’ouvrant sur Internet, la PME expose son système d’information et ses « précieuses

» données à de multiples menaces qui peuvent avoir un impact certain sur son activité, voire mettre celle-ci en péril.

Destiné aux responsables des PME-PMI et à leur responsable informatique, ce Livre Blanc a pour objet :

• d’étudier les menaces (externes comme internes) auxquelles un système d’information peut être confronté,

• de sensibiliser les chefs d’entreprise sur les responsabilités civiles et pénales auxquels ils sont confrontés,

• de répondre aux principales questions qu’il convient de se poser en matière de sécurité des données,

• et de présenter des solutions efficaces, éprouvées et pérennes qui garantissent la sécurité et l’intégrité des données de l’entreprise.

Réalisé avec l’aide de spécialistes de la sécurité, ce Livre Blanc est illustré d’interviews clients. Un grand merci pour leur participation.

I. Contexte

T

rois PME sur quatre sont aujourd’hui connectées à l’Internet haut débit. Si l’adoption diffère entre les secteurs (élevé dans les secteurs de l’imprimerie, du conseil et de l’immobilier, commerce du gros alimentaire…), ce pourcentage montre une réalité : Internet fait désormais partie de l’activité des petites et moyennes entreprises. La plupart ont en effet bâti un système d’information reposant sur trois composantes clés : un serveur pour la centralisation des données et des applications, des postes de travail et une ligne ADSL permettant de relier le réseau de l’entreprise à l’Internet. Ainsi, les PME ouvrent leur horizon à d’autres méthodes de commercialisation qui dépassent leur cadre géographique habituel. Plus qu’un simple besoin de communiquer, Internet est devenu pour bon nombre de PME une nécessité pour développer leur activité et franchir une nouvelle étape dans leur plan de croissance.

Bien qu’Internet soit incontestablement un nouvel outil de travail puissant, offrant de nombreuses possibilités de communication et d’échange, il n’est pas sans risques pour l’entreprise. Les menaces sont nombreuses, certaines potentiellement très dangereuses pour l’activité de l’entreprise, son patrimoine intellectuel et son savoir- faire. Elles sont de deux ordres : les menaces informatiques et les menaces internes.

Les menaces informatiques (ou externes) sont à mettre à « l’actif » des virus, vers, chevaux de Troie, logiciels espions, rootkits, spam… Ces codes malveillants, élaborés par des pirates, cyber-terroristes ou espions industriels, s’introduisent dans le système d’information de la PME et commettent de multiples méfaits : collecte d’informations, vol d’identité (ou « phishing »), destruction de données, transformation d’un PC en « zombie », immobilisation des ressources informatiques (serveur de messagerie, par exemple). Ces menaces sont d’autant plus difficiles à appréhender qu’elles sont « sophistiquées », que les moyens de communication ont évolué (ADSL, Wi-Fi…) et que les technologies - de plus en plus complexes - générent elles-même leur propre faille… aussitôt exploitées par les pirates informatiques dont les seules visées sont purement économiques. On parle de « criminalité informatique organisée et tarifée ».

La multiplicité des sources de propagation (supports amovibles, téléphones portables et assistants personnels, par exemple) rendent l’éradiquation de ces menaces difficiles, souvent longues et fastidieuses. L’impact financier d’une attaque est également important, voire fatal pour certaines PME qui n’ont pas pu se redresser suite à une perte totale de leurs données qui n’étaient pas protégées.

Plus de 155 vulnérabilités sont déclarées par semaine. Le temps moyen entre la publication de la vulnérabilité et de son exploitation est de 5,6 jours. Le délai de survie d’un ordinateur sans correctif de sécurité et sans protection vis-à- vis d’Internet est en moyenne de 10 minutes.

Les menaces internes(le personnel de l’entreprise) sont, selon tous les analystes, en forte croissance, l’ouverture du système d’information créant un appel d’air important pour la fraude interne. Selon le cabinet d’études IDC, « cette menace diffuse, animée par les salariés et partenaires accédant aux ressources informatiques, n’est pas forcément agressive ni intentionnelle, mais elle peut provoquer des dégâts importants.

» Par exemple : la « simple perte » d’une clé USB contenant des données confidentielles comme le fichier clients ou les secrets de fabrication d’un produit peut ruiner l’entreprise. Bien que plus rare, l’espionnage industriel n’est pas à sous-estimer, principalement pour les PME exerçant une activité stratégique ou sensible (aérospatial, défense,…). Un manque de vigilance est souvent observé pour les personnels temporaires. Le facteur humain, par sa complexité et sa fragilité, est donc un « maillon faible » du système d’information.

Une protection difficile à appréhender

Le système d’information est constitué de nombreuses briques avec des composantes très diverses tant au niveau des moyens d’accès (3G, Internet, Wi-Fi), des équipements utilisés (PC de bureau, ordinateurs portables, smartphones…) que des applications (client-serveur, Web, Web Services, VoIP, …).

Selon une étude de iSupply Corp. En avril 2007, le marché global du PC portable a progressé de 15,5 % au dernier trimestre 2006 (par rapport au trimestre précédent), et même de 22,4 % par rapport à la même période de l’année précédente. Le portable se vend de mieux en mieux, et commence même à éclipser les ventes d’ordinateurs de bureau en termes de parts de marché. Au total, 80 millions de portables furent achetés dans le monde en 2006. Les analystes prédisent 98,3 millions de ventes en 2007, soit une croissance de 23,5 % par rapport à l’année dernière.

Cette étude confirme la tendance des entreprises à se doter d’équipements mobiles permettant aux collaborateurs d’accéder aux données de l’entreprise - même en déplacement - afin de gagner en productivité. De ce fait, la sécurité des accès distants et des échanges d’informations est capitale pour l’entreprise qui veut préserver la confidentialité de ses données.

Mais cette protection est complexe à appréhender pour les PME et ce, pour deux raisons principales :

1. Une sécurité efficace du système d’information doit être appréhendée à plusieurs niveaux : passerelle, messagerie, poste de travail… Il s’agit de contrôler les accès, de détecter et d’éradiquer les menaces informatiques (virus, etc.). Cette protection peut faire appel à une combinaison de matériels et de logiciels qui s’intègrent à différents niveaux de l’infrastructure informatique avec des paramétrages fins… ce qui nécessite un personnel qualifié.

2. Or, les PME ne disposent pas toujours des compétences avérées en matière de sécurité informatique. Responsable informatique et responsable de la sécurité du système d’information (RSSI) sont deux métiers différents ; et rares sont les PME qui emploient conjointement ces deux profils. Très souvent, c’est le dirigeant de l’entreprise qui fait office de responsable informatique « épaulé » par son partenaire local.

Sécuriser pour accroître la haute disponibilité du système d’information

Une étude menée par IDC en octobre 2006 sur « L’état des lieux du marché de la sécurité en France » classe ainsi les projets de sécurité des entreprises mis en place ou en cours de mise en place :

• Sécurisation des applications critiques 86 %

• Sécurisation du réseau 86 %

• Sécurisation des emails 83 %

• Backup 78 %

• Sécurisation des accès distants 74 %

• Mise en conformité réglementaire 68 %

• Administration centralisée de la sécurité 67 %

• Sécurisation des applications Web 60 %

Ces chiffres montrent que les trois premières préoccupations des entreprises se rejoignent : il s’agit non seulement de protéger les données et les échanges d’informations mais aussi d’accroître la disponibilité du système d’information, c’est- à-dire le bon fonctionnement des applications clés de l’entreprise (ERP, comptabilité, paie, etc.) et des équipements de communication.

Autre classement intéressant, celui des technologies vers lesquelles les entreprises se sont orientées en 2006 :

• Antivirus 47 %

• Antispam 44 %

• Firewall (pare-feu) 38 %

• VPN (réseau privé virtuel) 35 %

• Contrôle d’URL (sites Web) 32 %

• IDS (Détection d’intrusion) 32 %

• IPS (Prévention d’intrusion) 29 %

• Audit vulnérabilités 26 %

• Contrôle messagerie 16 %

• SSO (identification unique) 14 % On retrouve ces tendances en 2007.

Le secteur de la sécurité informatique ne semble pas souffrir des ralentissements de croissance conjoncturels. En effet, le taux moyen de croissance est trois fois supérieur à celui du marché global de l’informatique d’entreprise en France (de l’ordre de 5 % entre 2005 et 2006. Source IDC 2006).

Toutes les études le confirment : sécuriser son système d’information ou renforcer la protection existante est capital pour la PME. La tâche pour son dirigeant est d’autant plus importante que :

• sa responsabilité juridique est engagée. L’ouverture du réseau de l’entreprise à celui d’Internet s’est accompagnée pour la PME et son responsable de nouveaux risques juridiques aggravés par un durcissement législatif en terme de responsabilité.

Les lacunes au niveau de sa sécurité informatique qui la rendaient autrefois victime d’intrusion, de vol de données ou d’indisponibilité de son système d’information la rendent aujourd’hui coupable sur les plans civiles et pénales (voir le chapître suivant à cet effet) ;

• les contraintes réglementaires sont fortes. Les scandales de gestion récents de grandes entreprises mondiales - mais aussi françaises - ont multiplié les règlements internationaux (Sarbannes Oaxley…) ou métiers (Bâle II…), les règlements nationaux de sécurité intérieure et les lois nationales économiques comme la Loi de sécurité financière. Face à l’élargissement du panel des obligations, de nombreuses adaptations ont été apportées au niveau des procédures dans l’entreprise, à commencer par la sécurité informatique.

Dans les chapitres suivants de ce Livre Blanc, vous découvrirez les risques juridiques encourus par le dirigeant de l’entreprise, les questions qu’il convient de se poser en matière de sécurité du système d’information et les solutions proposées par Check Point.

II. Sécurité et responsabilité du chef d’entreprise

D

ans la plupart des PME-PMI, le système d’information est placé sous la direction du chef d’entreprise. Il en est de même pour la sécurité des données. Mais qu’en est-il de sa responsabilité au niveau juridique et pénal ? Peut-il limiter les accès à Internet et mettre en place un système de surveillance pour éviter toute intrusion et fuite d’informations ? Pour répondre à ces questions, nous nous sommes entourés des compétences d’Olivier Itéanu*. Au travers des réponses formulées par cet avocat expert en nouvelles technologies, les chefs d’entreprise constateront l’importance pour eux de “prendre toute précaution utile” pour protéger leur système d’information.

Le chef d’entreprise est responsable de la sécurité du système d’information. La Loi et la jurisprudence ont de plus en plus tendance à le confirmer. Nous sommes dans un système où, tout étonnant que cela puisse paraître, le chef d’entreprise peut être à la fois victime d’une attaque et responsable juridiquement. C’est probablement l’une des conséquences que l’on n’avait peut-être pas mesurée suite à l’avénement d’Internet dans notre société moderne. Qu’est-ce qu’Internet si ce n’est l’interopérabilité des réseaux et des systèmes… Nous devenons tous responsables les uns des autres car nous sommes tous connectés les uns aux autres. A partir du moment où la sécurité du système d’information est défaillante, il est inutile de rechercher la responsabilité chez les autres. C’est une illustration parfaite de cette évolution qui n’a pas été annoncée dans les grands médias et qui n’a pas fait la une des journaux.

Il y a quelques années, une affaire célèbre a opposé le site “kitetoi” et son journaliste et la société TATI. Il a été reproché au journaliste d’avoir frauduleusement accédé au système d’information du grand magasin, qui est un délit classique du code pénal (art 323-1). La Cour d’appel de Paris (et cela a donné lieu à un communiqué de presse du Parquet Général) a relaxé le journaliste sur le motif que “le système d’information du grand magasin portait des déficiences sur le plan technique”.

Qu’encourt un chef d’entreprise qui reconnaît que son système d’information a été

“piraté” parce qu’il n’a rien fait en termes de protection ? Tout dépend des cas. Tout système abrite des données à caractère personnel : salariés, clients, prospects…

Lorsque l’entreprise a collecté ces données, la Loi s’est substituée au “ficheur” (celui qui a fourni les données) en créant à la charge de celui-ci une obligation de sécurité renforcée (les termes exacts de la Loi sont “prendre toute précaution utile…”).

La responsabilité civile du dirigeant peut être engagée sur le fondement de l’article 1383 du Code civil : “L’article 1383 du Code civil permet d’engager la responsabilité civile d’un dirigeant pour des dommages causés à la société ou aux tiers du fait de sa négligence, voire de son imprudence, dès lors qu’il n’a pas mis en œuvre des mesures de sécurité raisonnables pour protéger le réseau contre des atteintes extérieures ou intérieures. Ainsi le chef d’entreprise pourrait voir sa responsabilité civile engagée si du fait de sa négligence, l’entreprise subissait une perte de données qui lui serait très

MaîtreOlivier Itéanuest Avocat à la Cour d’Appel de Paris, spécialisé dans les NTIC (Nouvelles Technologies de l’Information et de la Communication). Il est l’auteur de nombreux ouvrages dont “Les obligations du chef d’entreprise en matière de sécurité informatique”

et “Tous cyber criminels, la fin d’Internet ?”.

www.iteanu.com

dommageable (par exemple perte d’une donnée particulièrement stratégique ou diffusion d’une information confidentielle dont la diffusion prématurée peut désorganiser l’entreprise…). Cependant, pour que sa responsabilité soit engagée sur ce fondement, le dirigeant doit faire preuve d’une incapacité avérée et répétée àprendre la moindre mesure de protection du système d’information de l’entreprise”.

Un exemple : un responsable d’un centre serveur a été condamné parce qu’il n’avait pas pris “toute précaution utile” pour protéger l’architecture serveur abritant deux messageries, l’une hébergeant des annonces immobilières et l’autre dédiée à une messagerie rose. L’absence d’un dispositif de sécurité a amené – suite à une panne de courant – une fusion des données des deux messageries, les clients de la première ayant porté plainte pour la gêne occasionnée. Le responsable a été condamné à payer une forte somme.

Le chef d’entreprise est responsable de l’usage du système d’information par ses employés. Le responsable d’une PME est face à un nouveau risque juridique, conséquence directe d’une situation technique nouvelle : l’interopérabilité des systèmes a engendré des usages nouveaux. Par exemple, il était extrêmement rare – à l’époque du papier – de recevoir sur son lieu de travail des courriers à titre personnel, de dialoguer en temps réel avec des sites de vacances en ligne, voire des sites de rencontre. Toutes ces activités, avec les deux services les plus populaires que sont le Web et la messagerie, sont massivement utilisées au sein de l’entreprise par les collaborateurs. Autrement dit, les technologies de l’information ont non seulement envahi la sphère privée du salarié – y compris à son domicile dans certains cas – sphère qui s’est invitée en quelque sorte aussi dans l’entreprise. Cela crée donc des risques juridiques nouveaux parce que certains salariés peuvent avoir des comportements édifiques comme le téléchargement d’images pornographiques.

Une jurisprudence a démarré dès 1988 – décidée par la Cour de Cassation – confirmée récemment par la Cour d’Appel d’Aix-en-Provence disant que “par la simple fourniture d’une connexion Internet et des équipements et logiciels qui permettent d’accéder au réseau, si un délit est commis par un salarié à partir de son poste de travail, aux moyens de ces outils et durant le temps de travail, la responsabilité civile qui sera exécutive à ce délit reposera sur la tête de l’employeur”.

Quid de la responsabilité pénale ?La loi indique que “la responsabilité pénale du chef d’entreprise pourra être engagée en cas de commission d’une infraction par un salarié ou en cas de manquement à son obligation d’assurer la sécurité informatique des données personnelles”.

Depuis 2001, avec « l’arrêt Nikon », il est reconnu aux salariés plus qu’une tolérance légale quant à l’usage à titre personnel des biens de l’entreprise, dont l’accès à Internet. Mais il ne doit pas y avoir d’abus car, au-delà de cette limite, qui ne peut être évaluée qu’au cas par cas, si l’usage d’Internet affecte la productivité du salarié, cela fait courir des risques à l’entreprise et donner lieu à une sanction pénale. Aujourd’hui, il est reconnu aux salariés un quasi droit à l’usage à titre privé des biens de l’entreprise.

Le chef d’entreprise est autorisé à limiter les accès à Internet. C’est possible à la condition que cela ne soit pas discriminatoire au sein de l’entreprise en veillant à ne

pas viser une personne plutôt qu’une autre. Cela fait partie du droit de l’employeur de filtrer des adresses Internet (URL) ou de limiter les accès en flux entrants. Cela ne doit pas apparaître non plus comme une mesure disciplinaire envers tel ou tel salarié. Le Code du Travail prévoit - lorsque cette limitation d’accès s’accompagne d’une surveillance des accès, voire d’une collecte de données (ce que l’on appelle la “Cyber Surveillance”) - 3 limitations et une 4è qui découle d’Informatique et Liberté :

• Informer préalablement les salariés (par voie d’affichage ou note de service) ;

• Collecter l’avis des représentants du personnel (par forcément demander leur accord)

• Justifier par écrit le recours à des mesures de surveillance. Le Code du Travail prévoit que des mesures de ce type doivent être proportionnelles au but recherché.

Et si à l’occasion de restrictions d’accès qui accompagnent la surveillance, on collecte des données à caractère personnel (même de façon indirecte comme une adresse IP, des messages, etc.), l’ensemble de cette activité doit s’accompagner d’une déclaration de traitement auprès de la Commission Nationale d’Informatique et Liberté. Sinon, le traitement qui en découlera sera illégal et l’employeur est impuissant devant une juridiction judiciaire.

L’employé peut se retourner contre l’employeur pour non respect de la vie privée si les mesures prévues par le Code du Travail ne sont pas effectivement mises en place. En revanche, s’il détourne volontairement des données au profit d’une autre entreprise, il est généralement sanctionné par une rupture de son contrat de travail et un licenciement. Sur le plan pénal, il peut être sanctionné sur la base de notions liées à la violation du secret professionnel, du secret de fabrique, à la contre-façon… avec à la clé des peines d’amendes et d’emprisonnement.

En conclusion…

Que doit donc faire le responsable d’entreprise ?

1. Penser à la protection technique. Elle est absolument nécessaire mais jamais suffisante.

2. Il doit aussi penser la sécurité en terme d’organisation et en terme juridique.

Deux pratiques sont désormais mises en place par les employeurs dans leur entreprise, pratiques qui découlent des nouveaux risques juridiques en interne :

• La rédaction de chartes (usages d’Internet), normes ressenties comme nécessaires sur le marché car il s’agit de faire de la pédagogie et, éventuellement, de rendre la charte obligatoire en l’intégrant au contrat de travail ou dans le règlement intérieur.

• La cyber-surveillance auquelle la Loi répond mal parce qu’elle crée une contrainte juridique supplémentaire pour l’entreprise qui ne peut pas interdire l’usage d’Internet à titre personnel

La mise en place d’un dispositif de sécurité n’est pas à considérer comme une atteinte à la liberté individuelle des utilisateurs à condition de respecter les prérequis du Code du Travail et d’Informatique et Liberté.

III. Vos informations sont-elles bien protégées ?

V

ous avez installé un antivirus, un pare-feu (firewall) et un dispositif de filtrage d’accès à votre système d’information. Et vous estimez que votre système d’information est sous bonne garde. Aussi, la question “Vos informations sont-elles - bien protégées ?” peut vous paraître anodine… Et pourtant !

Il est capital pour la PME d’évaluer les risques qu’engendre la connexion du système d’information de l’entreprise à Internet et des dangers que celle-ci peut occcasionner.

L’entreprise doit effectivement connaître et comprendre les risques spécifiques à sa propre activité afin de savoir où concentrer ses efforts. Les questions suivantes permettent d’évaluer l’importance de ses ressources et identifier celles qui doivent être protégées. Les entreprises qui ne possèdent pas de compétences informatiques et/ou sécurité en internet peuvent faire appel à un consultant extérieur qui procédera à une évaluation exhaustive et professionnelle de la sécurité de leur réseau.

Se poser les bonnes questions

Avant de mettre en place un dispositif de sécurité, il est bon de s’interroger sur son système d’information et la valeur que l’on accorde à ses données. Les questions sont de plusieurs ordres :

• Quelles ressources doivent être protégées ?

• Les dossiers des employés ou des malades, les numéros de compte bancaire ou les plans de conception doivent-ils être protégés ?

• Quelle est la valeur de ces ressources ?

• A quelles menaces celles-ci sont-elles confrontées ?

• Quelle est la probabilité d’un risque d’attaque ou d’intrusion ?

• Si le danger devient réalité, quelles sont les conséquences pour l’entreprise ?

• Que se passe-t-il si j’ai une fuite d’informations sur mes données clients, sur mes processus industriels ?

• Si je suis sous traitant que se passe-t-il s’il y a une perte d’informations sur les processus industriels ?

Toutes ces questions doivent être posées. Et les réponses formulées “noir sur blanc”.

Pour Thierry Karsenty, Directeur Technique EMEA de Check Point Software, les deux premières questions que doivent se poser tous les directeurs d’entreprises sont les suivantes :

1. Quel est l’impact de l’informatique sur l’activité de mon entreprise ? En d’autres termes, le système informatique joue-t-il un rôle mineur dans mon activité ou, au contraire, est-il au cœur de mon activité ? Que se passe-t-il si celui-ci n’est plus disponible à un moment donné ?

2. En cas de désastre informatique, l’entreprise peut-elle survivre ? La plupart des grands groupes ont mis en place des plans de secours pour parer à un incendie, une inondation, etc. dans l’objectif de rétablir la disponibilité du système d’information

dans les plus brefs délais. Mais dans une PME - entreprise à taille humaine, souvent fragile - que se passe-t-il en cas de désastre informatique ? La perte de données par une catastrophe physique ou le vol informatique (chantage financier) peut engendrer des conséquences graves à commencer par un arrêt immédiat de l’activité.

La sécurité du système d’information des PME est nécessaire pour deux raisons :

• la surveillance régulière de l’activité de l’entreprise en cas de désastre ;

• la responsablité de l’entreprise par rapport à ses clients et à ses partenaires.

Les PME sont de plus en plus soumises à une pression juridique, de responsabilité voire de co-responsabilité des données informatiques. Aujourd’hui, la quasi-totalité des informations sont traitées par une application informatique et stockées dans des fichiers. Les données sont souvent nominatives donc sensibles qu’il convient de sécuriser juridiquement (comme nous l’avons vu au chapître précédent).

Sécuriser signifie :

1. Contrôler qui accède à quelle donnée. Par exemple, il est inconcevable que tous les collaborateurs puissent accéder aux données de la paie, droits habituellement réservés aux seules personnes habilitées du département comptabilité/paie ; 2. S’assurer qu’en cas de vol de données (données de plus en plus mobiles au travers

des ordinateurs portables et des clés USB), celles-ci soient inexploitables par les contrevenants du fait de leur crytage. Il convient également de s’assurer que ces données aient été répliquées sur un serveur, en lieu sûr pour pouvoir les récupérer localement.

Les risques ne sont donc plus minimes comme il y a vingtaine d’années où le papier était roi et l’Internet balbutiant. La dématériliasation des données et leur copie par une simple combinaison de touches font que la perte ou le vol d’informations sont devenues plus difficilement détectables… D’où les questions d’intégrité, de confidentialité et de traçabilité des données, d’autant que certaines fonctions de l’entreprise (comme la paie, par exemple) peuvent être externalisées via la messagerie.

Quel est le niveau de confidentialité mis en œuvre à cet effet ? Ce sont davantage des enjeux juridiques que techniques pour l’entreprise.

Qu’advient-il aux données contenues dans les PC jetés ? Bon nombre de PME se séparent de leur équipement informatique pour cause de vétusté en oubliant que celui-ci peut stocker des données confidentielles. Même effacées, celles-ci peuvent être récupérées à l’aide d’outils perfectionnés que bon nombre de techniciens informatiques possèdent.

Est-ce que l’entreprise connaît parfaitement tous ses collaborateurs et leur loyauté ? Non. La gestion de la confiance au niveau du système d’information de l’entreprise est très difficile à quantifier. Pourtant, le danger vient souvent de l’intérieur. Aussi convient- il de mettre en place des politiques de sécurité avec des niveaux d’habilitations et de droits d’accès en fonction de chaque profil d’utilisateur. Et lorsqu’un collaborateur quitte l’entreprise, ne pas oublier de supprimer tous ses droits d’accès pour éviter toute consultation et vol de données ; c’est un impératif.

Mener les bonnes actions

Après la réflexion, place à l’action ! A commencer par mettre par écrit les buts et les objectifs que vous souhaitez atteindre en matière de sécurité, ainsi que les plans d’exécution. Cette combinaison d’informations constituera la stratégie de sécurité de l’entreprise (communément appelée “politique de sécurité”) et devra être communiquée à tous les collaborateurs de sorte qu’ils en comprennent les objectifs et sachent comment y contribuer.

Quelles actions doit mener la PME en priorité ?

La première consiste à recenser son capital informatique, son patrimoine informationnel. Serveurs, ordinateurs de bureau, PC portables, disques durs, clés USB… Lequel de ces équipements mérite le plus d’attention ? Que dois-je sécuriser en premier ? Ces questions vont vous permettre de définir des priorités et des étapes associées à celles-ci.

Connectée à Internet, la PME doit ensuite protéger les flux entrants et sortants.

L’Internet est une ressource qui ne doit pas permettre aux cyber-criminels d’accéder aux ressources de l’entreprise. Aussi, il est important de mettre en place une sécurité dite “périmétrique” qui permet de distinguer le monde externe du monde interne de l’entreprise. En pratique, cette étape consiste à se doter d’un pare-feu (“firewall” en anglais) qui filtre les accès et contrôle les communications de façon bi-directionnelle entre le réseau de l’entreprise et Internet. Ce pare-feu va “cloisonner” l’intérieur de l’extérieur. A cette première brique de sécurité peuvent ensuite être ajoutés des processus de contrôle d’accès pour vérifier, autoriser ou interdire la connexion au réseau de l’entreprise par tel ou tel utilisateur.

La PME doit également se prémunir des menaces Web (virus, vers, chevaux de Troie, etc.) qui peuvent atteindre ses serveurs et postes de travail, sa messagerie et sa passerelle Internet. Comment ? En mettant en place des outils de protection du poste de travail, de la messagerie et du navigateur Internet. Ces dispositifs, la plupart du temps de type logiciel, vérifient en permanence et de manière transparente l’intrusion de codes malveillants dans le système d’information. Ainsi, grâce à la combinaison d’un antivirus, d’un antispyware (contre les logiciels espions) et d’un antispam (contre les messages non désirés), les données sont sous bonne garde et la productivité des collaborateurs améliorée.

Enfin, pour éviter toute perte ou vol de données, notamment avec ses terminaux mobiles et périphériques de stockage “légers” (clés USB), l’entreprise doit mettre en place des dispositifs de chiffrement évitant toute consultation et exploitation frauduleuse.

Pour mettre en place ces différentes niveaux de protection, la PME pourra s’entourer des compétences d’un partenaire spécialiste dans le domaine de la sécurité. Dans la plupart des cas, une semaine suffit pour installer et mettre en production la sécurité globale du système d’information.

Que faire en cas d’attaque ?

1. Prendre toutes les mesures permettant de conserver la preuve des faits. Faire une copie physique (ou « image ») du disque dur concerné sur un support différent (disque dur externe, DLT…). Puis, faire procéder à un constat des opérations effectuées par un huissier de justice.

2. Alerter les instances de sécurité des réseaux. Informer le CERT-IST (qui recueille et diffuse les alertes pour les entreprises de l’industrie des services et du tertiaire) (www.cert-ist.com). L’utilisation d’Internet ou l’attaque d’un système d’information à des fins d’espionnage, de terrorisme ou de pillage du patrimoine économique est de la compétence de la DST (Direction de la Surveillance du Territoire).

3. Déposer une plainte pénale. Cette plainte pourra être déposée auprès :

• du SRPJ ou la brigade de gendarmerie du lieu des faits,

• ou de l’OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication - 101 Rue des 3 Fontanots 92000 Nanterre / Tél : 01 49 27 49 27,

• ou de la BEFT (Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information : 22/126 rue du Château des Rentiers / 75013 Paris / Tél : 01 55 75 26 19.

IV. Les solutions de protection de Check Point

D

étection d’intrusion, filtrage des accès, protection des données… Check Point offre une gamme complète de solutions pour gérer tous les aspects de la sécurité et lutter efficacement contre la cybercriminalité.

Guidé par sa vision de la sécurité informatique “PURE SECURITE”, Check Point propose des technologies de sécurité multi-niveaux, puissantes, créées par les meilleurs experts. Grâce à ces technologies, faciles à intégrer dans le système d’information existant, les petites et moyennes entreprises protègent efficacement leurs données - où qu’elles soient - contre toutes les menaces Web. Compte-tenu du nombre et de la diversité de celles-ci, de leur méthode d’intrusion et de propagation, plusieurs “niveaux” de sécurité doivent être étudiés :

1. La protection du réseau et des accès

2. La protection du poste et particulièrement de la messagerie et du navigateur Internet

3. La protection des données

La protection du réseau et des accès

La première ligne de défense doit être un pare-feu. Mais qu’est-ce qu’un pare-feu ? En termes simples, il s’agit d’un matériel de sécurité qui protège un réseau informatique et ses ressources (ordinateurs, serveurs, données confidentielles, etc.) en contrôlant l’accès au réseau. Plus précisément, un pare-feu contrôle l’accès en agissant comme une passerelle qui connecte deux réseaux, en général Internet et un réseau d’entreprise privé. Il examine toutes les communications (les messages, les pages Web, les fichiers téléchargés, etc.) qui tentent de passer par ces réseaux et, en fonction d’une stratégie de sécurité, décide s’il doit autoriser ou non la transmission des communications. La stratégie de sécurité de votre pare-feu doit directement refléter la stratégie de sécurité de votre entreprise - les plans établis pour atteindre vos objectifs de sécurité.

Safe@Office 500 : le pare-feu pensé pour les PME et TPE

Conçus pour les petites entreprises, les boîtiers de gestion unifiée des menaces Check Point Safe@Office 500 offrent une sécurité Internet éprouvée. Un seul boîtier Safe@Office peut protéger un réseau de 100 utilisateurs contre un très large éventail de menaces Internet en établissant une ligne de défense robuste contre les tentatives de piratage, les attaques de dénis de service (DoS), le phishing et les virus. En associant la technologie de pare-feu éprouvée Stateful Inspection de Check Point, un puissant antivirus de passerelle personnalisé, un modem ADSL haut débit intégré (modèle ADSL uniquement) et un point d’accès flexible sans fil entièrement intégré (modèle 500W uniquement), les solutions de gestion unifiée des menaces Safe@Office asurent une protection complète du réseau de l’entreprise.

Les réseaux locaux sans fil (WLAN) sont de plus en plus répandus dans les petites, moyennes et grandes entreprises. Ils apportent aux collaborateurs une grande liberté d’action, en déplacement comme au bureau, tout en augmentant leur productivité.

Cependant, les réseaux WLAN sont potentiellement dangereux pour la sécurité de l’entreprise. Par exemple, des personnes situées à l’extérieur de vos locaux peuvent tenter de connecter leurs périphériques sans fil à votre réseau ou de surveiller votre trafic WLAN. C’est pourquoi les entreprises doivent absolument sécuriser leurs réseaux WLAN. Pour ce faire, la méthode la plus simple consiste à utiliser un réseau VPN en conjonction avec les réseaux WLAN pour crypter les communications. En utilisant un réseau VPN, les communications de votre réseau WLAN seront cryptées.

➢ + informations ?www.safeatoffice.com

UTM-1 : une protection “tout-en-un” facile à mettre en œuvre

Spécialement pensés pour les PME-PMI, les boîtiers de sécurité

“tout-en-un” de la gamme UTM-1 offrent des fonctionnalités de sécurité étroitement intégrées qui apportent un équilibre parfait entre simplicité et efficacité. UTM-1 intègre toutes les technologies de protection adoptées par les entreprises du Fortune 100 et Fortune 500.

UTM-1 assure une protection optimale du système d’information et des données au travers de ses différentes composantes : un pare-feu, un système de prévention des intrusion (IPS), un logiciel anti-virus (supporte les protocoles FTP, HTTP, POP3, SMTP), une application anti-spam et anti-spyware et, en option, un filtrage d’URL et un pare- feu pour les applications Web. Moins de 10 minutes suffisent pour mettre en œuvre l’UTM-1. C’est donc un système de protection très simple à installer mais aussi à administrer grâce à sa console Web intégrée : SmartCenter. De plus, les mises à jour de la protection sont automatiques (via les services SmartDefense).

Les atouts de la solution

• Le firewall le plus éprouvé de l’industrie : - Protège 100% des Fortune 100 - Véritable “Enterprise-class firewall”

• +150 services and protocoles prédéfinis - Support de protocoles complexes - DCE-RPC, CIFS, etc…

• Support d’applications émergentes (voix sur IP, messagerie instantée…)

• Moteur Antivirus reconnu

• Fonctions anti-spam et anti-spyware

• Administration complètement intégrée

• A passé avec succès 11 tests VB100 sur les 12 derniers !

• 48 distinctions « Virus Bulletin 100% »

• Certifié ICSA et West Coast Labs

➢ + informations ?www.checkpoint.com/products/utm-1/

Témoignage

Enseigne sportive mondialement connue, le Coq Sportif a décidé de repenser la sécurité de son système d’information pour faire face à sa notériété croissante. En mai 2007, la PME de 130 personnes choisit les solutions de la gamme UTM-1 de Check Point : un UTM-1 pour le siège et une quinzaine de boîtiers VPN-1 UTM Edge pour ses antennes dans le monde. Ce choix a porté sur la capacité des appliances Check Point à gérer deux lignes Internet distinctes, à supporter une montée en charge importante du trafic ainsi que sur son concept “tout-en-un” et sa facilité d’administration (très appréciée compte-tenu de l’équipe réduite). Grâce aux solutions de la gamme UTM-1, le Coq Sportif sécurise tous les accès à son système d’information centralisé et permet aux deux administrateurs système d’analyser le trafic.

Sécuriser les communications avec les réseaux privés virtuels (VPN)

Au-delà des pare-feux qui protègent les réseaux d’entreprise, les communications de l’entreprise (qui sortent des limites du réseau interne et transitent par Internet) doivent elles aussi être protégées. Comment ? Grâce à un réseau privé virtuel (ou VPN). Celui- ci rend vos communications illisibles (« privées ») pour les autres car elles circulent à travers Internet sous forme de données cryptées. Il protège ainsi les données de votre entreprise lorsque des employés à distance ou en déplacement doivent accéder à votre réseau et que vous devez vous connecter à un autre réseau (de succursales ou de partenaires) qui doit lui aussi se connecter au vôtre. Outre la sécurisation des communications de votre entreprise, le réseaux VPN peut également réduire considérablement vos coûts de télécommunications.

SecureClient de Check Point permet aux postes de l’entreprise, se déplaçant à l’extérieur du système d’information de joindre les ressources de l’entreprise, de manière simple et sécurisée. SecureClient fournit à la fois la connectivité sécurisée VPN, un moyen simple de s’authentifier, ainsi que la sécurisation du poste en fournissant un pare-feu de poste intégré et administré centralement.

SSL Network Extender permet sans aucune installation sur le poste, et via un navigateur Web de se connecter à votre infrastructure. Ce type de solution est donc idéal lorsque vous souhaitez permettre à des postes externes à l’entreprise, PC familial ou poste de partenaires, de se connecter en VPN grâce à la technologie SSL.

Ces 2 solutions se couplent à UTM-1 pour fournir une connectivité sécurisée et répondre à l’ensemble des besoins des PME en termes de communication à destination du système d’information.

Installer et administrer facilement la protection

Les solutions de protection de Check Point pour les PME se distinguent en premier lieu par leur rapidité d’installation. Par exemple, les appliances UTM-1 peuvent être configurées en moins de 10 minutes et déployées rapidement sur plusieurs sites sans disposer nécessairement de ressources ou de compétences informatiques certaines.

Grâce à l’assistant de première configuration intégré, le personnel non technique peut facilement effectuer une première configuration de l’appliance.

La facilité d’administration est un autre atout important des solutions de sécurité de Check Point. En effet, grâce à l’interface ergonomique et intuitive de SmartDashboard™, le dispositif de protection peut être paramétré et administré à distance de façon aisée et rapide. La définition des règles de sécurité est également facilitée, même pour un personnel non technicien.

La protection du poste de travail et de la messagerie

La messagerie électronique est l’application réseau la plus utilisée par les entreprises.

Elle est donc bien souvent le biais par lequel la sécurité est menacée. Un logiciel antivirus est le moyen le plus efficace pour sécuriser la messagerie contre les virus, les vers et les chevaux de Troie. Il doit être installé sur le serveur de l’entreprise (hébergeant généralement le système de messagerie) ainsi que sur tous les postes clients. En protégeant l’émission et la réception de messages électroniques, vous garantissez des échanges “sains” avec vos clients, partenaires et fournisseurs.

Même sans virus, la messagerie peut également compromettre la sécurité de votre système d’information et de vos données. Comment ? Au travers du spam. Le spam, ou courriers “indésirables”, non sollicités et distribués en masse, harcèle pratiquement chaque utilisateur de messagerie électronique. Bien que le Spam soit généralement utilisé à des fins publicitaires, si vous y répondez d’une manière quelconque, vous faites savoir à l’expéditeur qu’il a atteint une adresse de messagerie valide. Non seulement vous allez alors devenir la cible de davantage de Spam, mais les auteurs mal intentionnés peuvent également exploiter votre adresse de messagerie pour lancer des attaques supplémentaires. C’est pourquoi il est généralement plus sûr de ne pas ouvrir les messages - et surtout leurs pièces jointes - provenant d’inconnus.

ZoneAlarm Internet Security Suite : une protection logicielle complète et inégalée ZoneAlarm Internet Security Suite bannit les virus et les logiciels espions des PC de votre entreprise. Cette suite de solutions ne se contente pas d’éradiquer les menaces, mais les empêche également de pénétrer sur votre ordinateur en premier lieu (pare-feu personnel). Elle bloque également les voleurs d’identité, les « phisheurs » et les spammeurs et assure une protection contre les logiciels espions et les virus les plus virulents. Elle offre enfin des services et des outils uniques qui vous apportent un contrôle complet.

Les atouts de la solution

• Un Antivirus primé

• Une mise à jour toutes les heures des fichiers de signatures de virus

• Une mise en quarantaine des pièces jointes suspectes

• Une protection contre les logiciels espions (spywares)

• Une protection contre le vol d’identité “phishing”

• Un blocage des courriers indésirables (spam)

• Une surveillance de l’installation des programmes, des changements de la base de registre et des accès aux fichiers jusqu’au noyau du PC

• Une protection des PC sans fil

➢ + informations ?www.zonealarm.com

ZoneAlarm ForceField : la bulle de sécurité du navigateur Internet

Avec la messagerie, le naviga teur Web est devenu la principale application ouverte sur Internet. Il permet d’accéder à de nombreux services en ligne et d’échanger avec des sites distants toutes sortes d’informations, souvent privées et sensibles. Pour éviter tout vol de données par différentes méthodes utilisées par les hackeurs (captures d’écran, enregistreur de touches, etc.), il convient de sécuriser toutes les opérations effectuées depuis son navigateur (Internet Explorer, Mozilla). C’est la mission dévolue à ZoneAlarm Forcefield, une toute nouvelle technologie de

“virtualisation” brevetée par Check Point et qui permet de créer une “bulle de sécurité”

au-dessus du navigateur Internet.

ZoneAlarm ForceField intègre la virtualisation du navigateur, une puissante technologie d’antiphishing, un bloqueur de sites espions ainsi que des défenses contre les téléchargements dangereux. La solution est compatible avec les pare-feux et antivirus du marché.

La protection des données

La protection du réseau est bien établie. Mais les utilisateurs sont de plus en plus mobiles. Leurs données aussi… Selon le cabinet d’études Gartner, 47 % des données d’entreprise sont stockées sur des outils mobiles et 350 000 outils mobiles ont été perdus ou volés aux Etats-Unis sur une période de 2 ans. Plus de 208 000 téléphones mobiles, 31 469 assistants personnels (PDA) et 11 303 ordinateurs portables ont été laissés dans les taxis des plus grandes villes à travers le monde sur une période de 6 mois ! Qu’advient-il aux données contenues dans ces différents terminaux mobiles mises entre les mains d’étrangers ? Pour éviter que les informations ne soient utilisées à des fins frauduleuses, plusieurs solutions de protection existent. L’une des plus efficaces consiste à chiffrer les données pour en contrôler l’accès.

Le chiffrement des données consiste à appliquer un algorithme sur les données afin de les rendre illisibles à celui qui ne possède pas la clé de déchiffrement. Ainsi, quel que soit le support (disque dur, clé USB, stockage ‘plug & play’…), les données sur terminal informatique perdu ou volé sont inexploitables. Check Point, au travers des solutions de sa gamme Pointsec offre aux entreprises une protection des données adaptée aux usages des utilisateurs : PC portables, assistants personnels et supports mobiles.

Pointsec PC chiffre les données, les PC et les ordinateurs portables

La prolifération spectaculaire des ordinateurs portables signifie que vos collaborateurs exportent chaque jour une quantité importante de données de votre entreprise à l’extérieur du périmètre sécurisé de vos bureaux. Vos projets confidentiels, les informations de la clientèle, et d’autres données sensibles sont facilement accessibles sur les ordinateurs laissés sans surveillance. La solution consiste à chiffrer les données grâce à Pointsec PC.

Fonctionnant sous Windows et Linux, Pointsec PC fournit le plus haut niveau de sécurité en combinant l’authentification pre-boot avec un chiffrement complet du disque. Seuls les utilisateurs reconnus par l'identifiant de connexion et le mot de passe corrects peuvent accéder à l'ordinateur. Si l'ordinateur est arrêté ou mis en veille, tout le disque dur reste chiffré et son contenu est ainsi protégé. Ces déclarations ont été validées par les certifications les plus exigeantes de l'industrie, notamment FIPS 140-2, Common Criteria EAL 4, et BITS.

Pointsec PC fonctionne en mode totalement automatique et transparent pour l’utilisateur. Les administrateurs n’ont pas besoin de changer les procédures ni de monopoliser leur personnel informatique pour des heures de formation. Les utilisateurs découvrent simplement un nouvel écran de connexion au démarrage, rien de plus. Pas de formation élaborée, d’interaction avec les utilisateurs ni de risque d’erreur de manipulation.

Les bénéfices de la solution

• Atténue les risques pour les données des ordinateurs portables ou de bureau, en cas de perte ou de vol

• Se déploie rapidement pour respecter les objectifs de conformité et éviter de mobiliser les ressources

• Evolutif pour répondre aux besoins des entreprises de toutes tailles

• Sans effet sur la productivité de l’utilisateur final ni le contrôle informatique

• Conforme aux lois sur la confidentialité et à la législation en vigueur Témoignage

Leader sur le marché des climatisations chauffages, Daikin Airconditioning France conçoit et fabrique des équipements de conditionnement d’air de très haute qualité pour des applications résidentielles, commerciales et industrielles. Face à la très forte concurrence que connaît l’entreprise sur son marché, Daikin a décidé au niveau mondial de protéger ses données mobiles. comme l’explique Johan Faye, Responsable Système et Réseaux à la filiale française de Daikin : “Tous nos commerciaux et nos pres-cripteurs sont dotés de PC portables sur lesquels sont stockées des données sensibles comme le plan des produits, le fichier clients ou les tarifs. Chaque année, nous enregistrons 4 à 5 vols de PC portables, ce qui est très préjudiciable à l’entreprise en matière de sécurité des informations. C’est pourquoi nous avons décidé de chiffrer les données grâce aux solutions de Pointsec.” Depuis l’été 2007, tous les disques durs des PC portables sont chiffrés avec Pointsec PC.

Pointsec Protector contrôle les copies de données sur les ports USB

Le nombre croissant de ports USB et autres ports “plug & play” sur les ordinateurs portables et PC de bureau génère un risque sérieux de fuites potentielles des données de votre entreprise. Ces ports permettent aux utilisateurs d’extraire n’importe quelles données en un instant en connectant des périphériques de stockage très courants comme les clés USB, iPods ou appareils Bluetooth aux ordinateurs de l’entreprise, ce qui rend vulnérables tous vos postes de travail. La possibilité de copier des grandes quantités de données de l’entreprise sur ces périphériques personnels génère pour votre entreprise un risque considérable de fuite indétectable d’informations, souvent sensibles.

Pointsec Protector répond aux menaces internes de copies illégales de données d’entreprise vers des périphériques de stockage personnels par une puissante combinaison de gestion des ports, de filtrage des contenus, de vérification et de gestion centralisées des périphériques de stockage et de chiffrement facultatif des supports. Pointsec Protector se raccorde à ces points de fuite potentiels et fournit une fonction d’audit et de reporting sur les déplacements des fichiers de données de et vers ces périphériques, offrant à l’entreprise le contrôle complet de ses politiques de sécurité.

Les bénéfices de la solution

• Se déploie rapidement pour respecter les objectifs de conformité et éviter de mobiliser les ressources

• Contrôle les entrées et les sorties sur tous les ports de connexion

• Gère de manière centrale et individuelle les périphériques par type, marque, ou modèle

• Évolutif pour répondre aux besoins des entreprises de toutes tailles

• Fournit une vérification complète de l’utilisation des périphériques

• S’intègre en toute transparence à Windows 2000/2003 Active Directory et Novell eDirectory

• Maintient le niveau de productivité en raison de son fonctionnement transparent pour l’utilisateur

Les évolutions à venir…

Plus Internet est indispensable et plus l’utilisation de l’Internet est évoluée. On voit sans arrêt de nouveaux usages qui apparaissent avec le Web 2.0 par exemple.

L’usage d’Internet évolue avec un nombre accru d’applications. On parle maintenant de “pier-to-pier” (point à point) avec notamment les messageries instantanées (Messenger, etc.). Les études du Gartner confirment que l’essentiel des flux sera dans le futur de type instantané. Pour l’utilisateur, c’est l’accès immédiat à un contenu pluri- média très large. En amont, la technologie s’est complexifiée de manière très significative. Il en est de même pour la sécurité qui est confrontée en permanence à des menaces de plus en plus variées et sophistiquées… avec des impacts de plus en plus graves pour l’activité de l’entreprise, la confidentialité des transactions et la sécurisation des données privées.

Le défi à venir de Check Point est de travailler sur deux axes :

• Un axe technologique avec un renforcement des investissements et des ressources en R&D pour offrir une réponse opportune à la complexité des menaces.

• Un axe sur les bonnes pratiques, calquant la politique de sécurité aux usages des utilisateurs.

Quels bénéfices pour les PME ? Bénéficier de technologies pointues, approuvées par les grands comptes et aujourd’hui accessibles aux petites et moyennes entreprises.

C’est aussi, externaliser sa sécurité auprès d’un tiers de confiance pour gagner en qualité en service et minimiser ses coûts.

V. Les bonnes pratiques

L

a sécurité n’est pas que du seul ressort des techniques et des produits. C’est aussi l’usage de bonnes pratiques, “logiques” pour certains, mais ô combien précieuses pour tous. En voici quelques unes…

Initier vos employés à la sécurité et aux mesures à prendre. Dès que vous avez terminé l’évaluation des risques et conçu votre stratégie de sécurité, il est important d’initier vos employés aux mesures à respecter. Chaque employé n’a pas besoin de connaître chaque risque et la méthode de protection utilisée. Cependant, il est important que tous les employés comprennent les conséquences de ces menaces sur la sécurité du réseau et comment ils peuvent participer à sa protection. S’ils adoptent de bonnes habitudes de choix de mots de passe et d’utilisation de la messagerie, les employés peuvent améliorer significativement la sécurité de votre/leur entreprise.

Sauvegarder les données essentielles. En fonction de l’importance et de la fréquence de mise à jour de leurs données, les entreprises devraient les sauvegarder régulièrement - chaque semaine, chaque jour ou chaque heure si nécessaire. Le processus de sauvegarde doit être documenté clairement, notamment ses horaires. Il est également très utile de pratiquer des tests, de préférence de manière impromptue, pour vérifier que les données appropriées sont sauvegardées correctement.

Conserver en lieu sûr de vos applications essentielles. Faîtes une copie des originaux de vos applications et stocker les copies de sauvegarde en lieu sûr. En cas de panne d’un serveur, il est indispensable de pouvoir réinstaller ses applications sans avoir à contacter l’éditeur de celles-ci.

Télécharger régulièrement les mises à jour de la sécurité et les installer. La plupart des attaques largement répandues, telles que les vers, les virus, etc., exploitent des failles connues de la sécurité des logiciels les plus populaires. En téléchargeant simplement - sans oublier de les installer - les mises à jour de la sécurité des logiciels de votre entreprise, vous aurez un temps d’avance sur les attaques et sur la plupart de vos concurrents.

Bien sûr, la même pratique est valable pour chaque produit de sécurité que vous utilisez. Les éditeurs comme Check Point actualisent continuellement leurs produits de sécurité, et maintenir les vôtres à jour est un autre moyen simple pour vous protéger contre les attaques sur Internet chaque jour plus sophistiquées. S’il est une constante quant à la sécurité des données, c’est bien que de nouvelles menaces émergent en permanence et que les risques évoluent continuellement.

Établir de bonnes pratiques de mot de passe. La plupart des produits logiciels et matériels étant livrés avec un mot de passe simple et connu qui est préconfiguré en usine, ces mots de passe par défaut doivent être modifiés dès l’installation du produit.

Lors de la sélection d’un nouveau mot de passe, ne choisissez rien d’évident, tel que le nom de la personne. Les mots de passe doivent avoir une longueur minimale (généralement au moins 6 caractères) et contenir des chiffres et des lettres. Après leur

sélection, ils doivent rester secrets - et entre autre ne pas être écrits sur un bout de papier collé sur l’écran de l’ordinateur. Pour finir, ils doivent être modifiés à intervalles réguliers, en moyenne, tous les deux mois.

Ne pas exécuter les logiciels douteux. Les antivirus pouvant assez facilement être pris en défaut par des “portes dérobées” et autres failles applicatives, le meilleur moyen pour s’en prémunir reste de ne pas exécuter les logiciels ou fichiers joints douteux et d’installer un pare-feu afin de surveiller les entrées/sorties. Il reste donc indispensable de n’exécuter un programme ou un fichier joint que si sa sûreté est établie avec certitude, le doute profitant toujours aux malwares.

Eliminer les spams. Supprimer les messages de spam sans les lire et sans cliquer sur aucun lien (y compris les liens éventuels de “désabonnement”) afin de ne pas encourager cette pratique et ne pas en recevoir soi-même davantage.

Conclusion

I

nternet est une formidable opportunité de développement pour les PME-PMI. Mais, les menaces Web - en constante croissance - sont variées et complexes, profitant des moindres vulnérabilités du système d’exploitation et des applications.

De plus, les menaces internes sont de plus en plus nombreuses, facilitées par la miniaturisation des espaces de stockage et la mobilité des collaborateurs.

Les risques occasionnés par une attaque de virus ou une intrusion dans le système d’information sont réels. Ils vont de la simple perte de productivité des collaborateurs, à l’immobilisation temporaire d’un serveur, jusqu’au vol ou la destruction de données.

Faute de dispositif de protection, certaines entreprises ont dû cesser leur activité.

Le chef d’entreprise est responsable juridiquement (civilement et pénalement) de la sécurité de son système d’information et de sa bonne utilisation par ses collaborateurs.

Aussi, la sécurité du réseau informatique et de ses données est aujourd’hui une nécessité absolue et non plus une option facultative comme cela pouvait être le cas il y a une vingtaine d’années.

Evaluer les risques est la première démarche à faire. Celle-ci peut être réalisée à l’aide d’un spécialiste en sécurité.

Les solutions techniques existent. Elles ont fait leur preuve, notamment dans les plus grandes entreprises mondiales.

La protection doit se penser à plusieurs niveaux : la passerelle Internet, les serveurs, le poste de travail, la messagerie, le navigateur Internet.

Enfin, la prise en compte du facteur humain est capitale. La mise en place d’outils de protection - aussi efficaces soient-ils - ne suffit pas. Les bonnes pratiques (code de conduite, processus de sauvegarde, etc.) doivent être instituées et respectées.

C’est ainsi que la PME pourra disposer d’un système d’information sécurisé et hautement disponible, lui permettant d’atteindre ses objectifs de croissance.

Glossaire

Adresse IP (Internet Protocole)Numéro unique de la forme XXX.XXX.XXX.XXX (XXX étant un nombre entier compris entre 0 et 255) qui identifie chaque ordinateur connecté à Internet ou à tout autre réseau utilisant le protocole TCP/IP.

AdwareLogiciel dont l'auteur se rémunère par l'affichage de bannières publicitaires, sans pour autant recueillir de données personnelles sur ses utilisateurs.

Antivirus Utilitaire capable de rechercher et d'éliminer les virus informatiques et autres programmes malveillants.

AntispywareUtilitaire capable de rechercher et d'éliminer les logiciels espions.

Backdoor(Porte dérobée, trappe arrière) La “backdoor” est un petit programme installé automatiquement par un virus ou manuellement par une personne malveillante : à l’insu des utilisateurs, elle permet de prendre le contrôle à distance du système, ou lors d’une intrusion de revenir ultérieurement sans avoir à en forcer à nouveau la sécurité.

Black list (ou liste noire)Une liste avec des expéditeurs d’e-mail dont vous voulez que les messages soient automatiquement considérés comme du spam.

Browser HijackersLittéralement 'les pirates de navigateur' : programmes spyware qui peuvent changer la page d'accueil du navigateur Internet. Ils sont particulièrement ennuyeux et difficiles à éliminer.

Cryptage Une méthode de chiffrement de données à l’aide d'un mot de passe, de sorte que seul celui qui dispose de ce mot de passe peut lire les données.

DDoS Abréviation de Distributed Denial of Service : voir 'Zombie'.

Denial Of Service (DoS)En français, refus de service ou déni de service. Type d´attaque, utilisé sur un réseau comme Internet, visant à empêcher le bon fonctionnement d´un service sans en altérer son contenu. Par exemple, le résultat peut-être l´inaccessiblité pendant plusieurs heures d´un site Internet. Plusieurs moyens sont utilisés afin d´y parvenir : saturation des ressources du serveur, saturation de la bande passante...

Directory Harvest Attack Le vol de listes d'adresses en s'attaquant à des serveurs de messagerie.

DMZAbréviation de DeMilitarized Zone : si vous connectez au réseau de l'entreprise un ordinateur qui doit être accessible à l'Internet public, il faut le placer dans une partie séparée du réseau, la DMZ.

DNS Abréviation de Domain Name System : système qui traduit les noms de domaine sur l'Internet en adresses IP, et inversement.

E-mail spoofing Une technique utilisée par des escrocs (phishers) et consistant à envoyer des e-mails à partir d'un faux nom d'expéditeur, au lieu de leur véritable adresse.

Filtrage d’adresses MACSystème de protection de réseaux sans fil sur base de l'adresse MAC. Tout

ordinateur possède une adresse MAC qui est un code unique. Il est possible de paramétrer son routeur de sorte qu'il n'autorise que le trafic d'appareils avec les codes indiqués.

Hacker À l´origine, programmeur de génie, terme parfois employé pour bidouilleur. Désormais, et surtout du fait des journalistes, le terme désigne surtout les pirates des réseaux.

IPest l'abréviation d'Internet Protocol. Il s'agit de la norme de communication utilisée par les ordinateurs sur l'Internet.

Keyloggers Les keyloggers enregistrent tout ce que vous tapez sur votre ordinateur. Ces informations peuvent être consultées par quelqu'un via l'Internet. De cette manière, des escrocs peuvent parvenir à connaître vos données personnelles, telles que votre numéro de carte de crédit ou votre mot de passe.

Lottery scam Une forme d'escroquerie où un courrier électronique informe le destinataire qu'il a gagné à une loterie, souvent dans un pays lointain. Mais pour recevoir l'argent gagné, le 'gagnant' doit d'abord verser un acompte, pour couvrir de soi-disant frais.

Mailbombing Attaque basique qui consiste à envoyer des centaines, des milliers voire des dizaines de milliers de messages appelés "mailbombs" à un unique destinataire dans un but évidemment malveillant : encombrer la boîte aux lettres, avec possibilité de perte de données en cas de saturation de la capacité de stockage.

Malware Contraction de "malicious software", le terme malware désigne les programmes spécifiquement conçus pour entraver le fonctionnement normal d'un système, tels que les virus, les vers, les chevaux de Troie, ainsi que certains javascripts ou applets java hostiles. Les antivirus détectent et éliminent une grande partie des malwares.

Network Address Translation En abrégé NAT : une particularité de routeurs qui assure une protection supplémentaire. Un routeur NAT vérifie quelles données déterminées sont destinées à quel ordinateur connecté au réseau, de sorte que personne ne peut envoyer des données directement de l'Internet vers un ordinateur dans un réseau domestique ou réseau d'entreprise doté d'un routeur NAT.

Opt-in Terme indiquant que quelqu'un a donné librement son consentement pour recevoir un e-mail.

Pare-feuLittéralement 'mur coupe-feu' (Firewall en anglais). Matériel ou logiciel qui surveille le trafic Internet vers un ordinateur ou un réseau d'ordinateurs, et inversement, et qui déclenche une alarme en cas d'activités suspectes. Le pare-feu filtre les packets IP entrant et sortant d´un réseau. Il protège contre les pirates, vers et spyware.

Passerelle Elément d´interconnexion qui relie des réseaux ayant des conventions différentes, leur permettant de communiquer entre eux.

PhishingLes escrocs qui recourent aux techniques de phishing veulent vous faire divulguer sous de faux prétextes des données qu'ils peuvent utiliser ensuite pour vous escroquer. Ils le font souvent par le biais de spam qui ont une allure très officielle et qui vous conseillent généralement de réagir très rapidement.

POP(Post Office Protocol)Une norme pour retirer du courrier électronique d'un serveur e-mail et le charger sur votre propre programme e-mail (client).

Rootkit Logiciel, ensemble de logiciels voire de techniques permettant à un individu malveillant ayant accès à un ordinateur d'en devenir administrateur (utilisateur spécifique possédant les droits les plus étendus et

susceptible d'accomplir les actions les plus diverses) et de s'y maintenir en dissimulant son activité aux yeux du système.

SMTP Abréviation de Simple Mail Transfer Protocol. Une norme pour l'envoi d'e-mail via l'Internet.

Sniffer Elément matériel ou logiciel permettant de capturer à la volée les trames (paquets de données) circulant sur un réseau. Après analyse, ces informations peuvent se révéler être très intéressantes : mot de passe, courrier, document...

Social engineering (ou ingénierie sociale) L'obtention de données confidentielles par le biais d'une manipulation subtile et de mensonges.

SpamMessage intempestif envoyé à une personne ou à un groupe de personnes lors d'une opération de spamming.

VersPetit programme d´exploration se répliquant de lui-même sur les ordinateurs d´un réseau mais sans en altérer les données, généralement, en utilisant les failles d´un système. Le Worm est un programme résidant en mémoire qui, de part son développement libre et incontrôlé, peut altérer les performances du système en accaparant de nombreuses ressources.

Virus de secteur d'amorçage Le secteur d'amorçage, 'boot sector' en anglais, est un endroit sur le disque dur de votre ordinateur où se trouve un petit programme qui démarre l'ordinateur quand vous allumez celui- ci. Un virus d'amorçage ou virus de secteur d'amorçage prend la place de ce programme et peut faire en sorte que votre ordinateur ne démarre plus.

Virus de fichiersLes virus de fichiers touchent les fichiers exécutables. Il s'agit de fichiers informatiques qui lancent un programme quand vous cliquez dessus. Vous reconnaissez des fichiers exécutables ou fichiers de programmes au fait que leur nom est suivi d'une extension comme .EXE ou .COM.

VPN (Abréviation de Virtual Private Network)Réseau privé virtuel. Si vous voulez avoir vous-même accès à distance au réseau de l'entreprise via l'Internet, il vaut mieux utiliser un VPN. Il comporte deux mécanismes de sécurité : un contrôle d'accès qui permet aux seuls utilisateurs autorisés d'établir une connexion et un cryptage de toutes les données envoyées via l'Internet.

WEP (Acronyme de Wired Equivalent Privacy)Un système obsolète et non étanche pour les réseaux sans fil et qui fonctionne à l'aide d'une clé: celui qui veut entrer sur votre réseau sans fil doit connaître cette 'clé'.

White list Ou liste blanche. Une liste d'expéditeurs d'e-mails auxquels vous faites toujours confiance et dont les mails ne seront donc jamais considérés comme du spam.

WPA(Abréviation de Wi-Fi Protected Access)Un système qui protège votre réseau sans fil sur base d'une phrase ou d'un mot de passe.

ZombieUn 'zombie' est un ordinateur qui est en quelque sorte 'détourné' par un virus afin de réaliser toutes sortes d'attaques sur de grands ordinateurs d'entreprises. Les auteurs de ce genre de virus installent le programme zombie sur le plus d'ordinateurs possible, souvent sans même que les utilisateurs ne remarquent quoi que ce soit. A un moment donné, ils utilisent tous ces ordinateurs simultanément pour mener une attaque massive sur un ordinateur précis, généralement les serveurs d'un grand site Web (les ordinateurs sur lesquels ce site Web se trouve). Ces sites Web deviennent ainsi inutilisables. Ces attaques à grande échelle sont également appelées DDoS, pour Distributed Denial of Service.