Catégorie : Sécurité
A mesure que les réseaux informatiques se développent, les besoins en sécurité augmentent. En effet, plus l’information circule, et plus elle nécessite de protections. De nombreux virus, logiciels espions et autres piratages de nos données personnelles viennent perturber la bonne marche de nos échanges sur la toile géante qu’est internet. Il est donc primordial de se protéger d’éventuels vols de données, notamment celles en relation avec notre identité sur le net. Alors, comment est née la sécurité informatique, et comment s’applique-t-elle au quotidien ?
Le principe de la sécurité informatique
Dans le principe, la sécurité informatique, autrement appelée sécurité des systèmes d’information (SSI), regroupe l’ensemble des moyens humains, organisationnels, juridiques et bien évidemment techniques utiles à l’interdiction de l’utilisation des données sécurisées par un tiers non autorisé. En d’autres termes, il s’agit des moyens mis en place pour empêcher, interdire, poursuivre et punir un contrevenant éventuel. Et cette tâche est assurée par le management du système d’information.
Si autrefois la sécurité restait l’apanage des informaticiens, les enjeux sont d’une importance tellement grande aujourd’hui qu’elle intègre aussi bien des juristes, des ingénieurs informatiques, des assureurs que des hackers, sensés tester en temps réel la sécurité des systèmes. Le but est qu’en bout de chaîne, chacun des utilisateurs puisse accéder à ses informations sans que d’autres puissent bénéficier du même accès, le tout, dans un environnement cohérent, fluide et clair. Ces systèmes de gestion de la sécurité de l’information sont normés (ISO/CEI 27001) et codifiés par trois valeurs : Disponibilité, Intégrité, Confidentialité.
Bref historique de la sécurité informatique
L’histoire de la sécurité informatique est forcément liée aux objectifs recherchés dans la sécurité informatique. Plus le réseau est ouvert, plus le nombre de transaction est important et plus les convoitises sont attisées. Rien de plus logique. Plus de commerce sur le net, c’est aussi beaucoup plus de données personnelles piratables, et donc beaucoup plus de travail et de développement de la sécurité. En somme, cela fonctionne sur internet comme dans notre vie quotidienne. C’est toujours l’échange marchand qui appelle le développement de la sécurité. S’il n’y avait rien à voler, il n’y aurait pas besoin de police… Y compris sur le net.
Malgré tout, les technologies employées pour sécuriser le web sont encore toutes dérivées de la recherche militaire. Pour preuve, le TCSEC (Trusted Computer Système Evaluation Criteria), œuvre du département de la défense Américaine, est toujours l’ouvrage de référence en matière de sécurité de l’information. Le principe même de la sécurité multi-niveaux est un principe développé à la base pour la résolution de problème de sécurité militaire. Quant à la défense en profondeur, il s’agit d’une adaptation d’une ancienne technique des armées qui consistait à ouvrer de son mieux pour ralentir l’ennemi en usant de différentes techniques.
En ce qui concerne la sécurité d’un réseau, comme le web, cette technique est l’une des plus usitées, quand chacun des sous-ensembles d’un système sont protégés à la fois ensemble et à la fois indépendamment des autres sous-ensembles. Même s’il est admis qu’il est impossible de sécuriser quoi ou quoi que ce soit à 100 %, il est indispensable de se prémunir contre les attaques faciles. Pour un particulier, cela consisterait à surfer caché derrière une VPN par exemple, ou à simplement installer un antivirus efficace. Au-delà, et à moins que vous ne soyez une cible privilégiée des hackers de haut, voire de très haut niveau, vous n’encourez que très peu de risques.
Quels sont les objectifs concrets de la sécurité informatique ?
Comme on l‘a déjà décrit plus haut, la sécurité informatique est définie par trois valeurs, presque trois lois, immuables ;
– La disponibilité. Tout doit fonctionner comme prévu dans les moments d’utilisation prévus. Le système doit garantir l’accès aux ressources dans le délai de réponse attendu ;
– L’intégrité. Les données stockées ou recherchées doivent être complètes et aucunement altérées ou modifiées de quelque façon que ce soit. On doit pouvoir retrouver exactement la même chose que ce que l’on a laissé ;
– La confidentialité. Seule une autorisation (mot de passe, code pin, etc) peut permettre à un individu d’accéder aux données demandées. Toute intrusion de personne non autorisée est interdite.
A ces trois lois, on peut ajouter d’autres objectifs ;
– La traçabilité. C’est simplement la garantie que les tentatives d’intrusions fortuites ou malveillantes sont tracées et que cette trace peut être conservée pour des besoins ultérieurs, à des fins juridiques, par exemple ;
– L’authentification. Il s’agit de s’assurer que les personnes qui ont accès aux données définies sont bien les bonnes personnes accréditées. Le but étant de maintenir la confiance dans les relations ;
– La non-répudiation et l’imputation. Des termes compliqués pour expliquer simplement que personne ne doit pouvoir nier ce qu’il a fait le temps de son utilisation et que personne ne doit pourvoir s’attribuer le travail, les erreurs ou les mérites d’un autre.
Ensuite, le jeu consiste à évaluer les menaces et les obstacles qui entravent le chemin vers la réalisation des objectifs. Lorsque vous devez évaluer un système de sécurité, c’est toujours le maillon le plus faible qui détermine le niveau de sécurisation. Chaque système de sécurité doit être adapté au système qu’il protège. Nul besoin d’un niveau de défense digne du pentagone pour votre ordinateur personnel. Pour être certain de mettre en place le système de sécurité adéquat, il est donc primordial d’analyser le risque absolu encouru, d’en déterminer la gravité en cas de réalisation du risque et de mesurer son degré de vraisemblance.
Il existe ensuite différentes phases qui permettent la mise en application du système de sécurité approprié. On commence par analyser les risques et mesurer leur seuil critique, ainsi que les conséquences en cas de risque réalisé. Puis on anticipe sur ces risques potentiels en recherchant le mode protection le mieux adapté. De cette étape résulte souvent des choix critiques. C’est vraiment l’étape charnière. La dernière étape consiste à mettre en œuvre les protections choisies, et, bien sûr, à vérifier qu’elles sont efficaces.