septembre 2008

janvier-février 2012

FINANCES PERSONNELLES
+ L’achat d’une propriété aux États-Unis
+ Inquiétudes post-emploi
+ Plus

PME
+ En mode survie
+ 10 services valeur ajoutée
+ Marchés étrangers
+ La juste evaluation
+ Faire croître ma PME
+ Vos actifs à la rescousse
+ Plus

IFRS et ISA
+ Sept normes côte à côte
+ Normes canadiennes d'audit
+ Pour réussir le passage obligé
+ Plus

TECHNOLOGIES
+ Systèmes CRM
+ Gestion de performance
+ Enquête 2011 sur les logiciels
+ Plus

LIEU DE TRAVAIL
+ Profession plurielle
+ La RSE : vraiment gagnante
+ Santé et productivité
+ Prévention de la fraude
+ CV chronologique gagnant
+ Gare aux fausses notes
+ Générations et objectifs
+ Les primes gardent la cote
+ Plus

ÉTUDIANTS CA
+ Certifié entreprise
+ Destination: CA

EXPERTISE
+ Les prix de transfert
+ Plus

Le sécuriciel

Par Yan Barcelo
Illustration : Lasse Skarbövik

Elles sont partout, ces petites créatures digitales quis’infiltrent dans les ordinateurs et les contaminent! Si vous croyez être à l’abri, détrompez-vous! La prolifération depériphériques, comme les clés USB, décuple les risques.

Maliciel, pourriel, espiogiciel, virus – les menaces abondent dans le cyberespace et ne cessent de croître. Pourtant, aussi vaste soit-il, le cyberespace n’est qu’un segment de l’univers informationnel. La sécurité ne se préoccupe pas seulement du fichier Excel que vous transportez dans votre ordinateur portatif, mais aussi du rapport financier qui loge dans le tiroir de votre bureau. Et que penser de cet individu louche dans l’équipe d’entretien qui pourrait avoir accès à la salle des ordinateurs après les heures de bureau?

À l’âge de l’information, le logiciel de sécurité primordial ne réside pas dans les ordinateurs de vos employés, mais dans leur tête. On pourrait appeler ça du sécuriciel.

Hier encore, on pouvait seulement voler de l’information. Aujourd’hui, non seulement peut-elle être volée, mais elle peut également être compromise, corrompue, interceptée, perdue, mise en quarantaine… Faisons un peu le compte des menaces qui pèsent sur l’information.

1-Par la porte de côté

Dans un récent passé, le souci de sécurité était passablement restreint puisqu’on ne trouvait rien d’autre que les ordinateurs de table. Aujourd’hui, il faut se préoccuper de périphériques dont le nombre et la diversité croissent exponentiellement, comme le fait ressortir Yves Godbout, directeur, Services TI au Bureau du vérificateur général du Canada à Ottawa.

Qui aurait pensé que les cadres numériques pour photos pourraient être dangereux? C’est pourtant ce qu’ont découvert ceux et celles qui ont récemment acheté ces si mignonnes bricoles. Des milliers de ces cadres numériques ont été mis hors circulation aux États-Unis après que des clients, qui avaient relié leur PC à un tel cadre, ont constaté qu’ils avaient téléchargé une variante du virus Mocmex, qu’on a appelé la bombe nucléaire des virus. Après avoir bloqué les logiciels anti-virus et coupe-feu de centaines de fournisseurs, Mocmex s’est empressé de télécharger automatiquement des fichiers contaminés à partir d’un site Web et de les renommer de façon aléatoire pour empêcher toute tentative de les retracer. «Des experts ont émis l’opinion qu’il s’agissait peut-être d’une tentative, de la part de manufacturiers chinois, d’espionner ou de mener des tests d’infiltration sur les réseaux informatiques occidentaux», dit Benoît Gagnon, chercheur associé à la Chaire de recherche du Canada en Sécurité, Identité et Technologie à l’Université de Montréal.

Les clés USB, si aisément perdues ou volées, constituent un autre mal de tête. Si minuscules, ces objets sont souvent traités négligemment. «Pourtant, une seule clé USB dotée d’une mémoire d’un gigaoctet peut contenir autant d’information que les disques durs d’un ordinateur central d’il y a 25 ans et qu’on protégeait derrière des portes d’acier», fait remarquer M. Godbout. Ces clés sont également d’excellents vecteurs de contamination : branchées dans un ordinateur, elles peuvent cumuler quantité de virus et de maliciels qui, une fois transférés dans l’ordinateur de bureau, peuvent se déverser aisément dans les réseaux informatiques de l’entreprise.

Il en est de même pour les CDs et DVDs quant à leurs capacités massives d’entreposage. Ils sont devenus si omniprésents que les gens ont tendance à oublier qu’ils peuvent contenir des données très précieuses. Malheureusement, «les mêmes mesures de sécurité qu’on applique aux périphériques de stockage ne se transmettent pas nécessairement à ces disques, de telle sorte qu’ils circulent souvent sans protection», note Yves Godbout.

Les téléphones intelligents, iPhones et assistants numériques de poche constituent un autre secteur en croissance forte que les pirates informatiques ciblent de plus en plus. Le United States Computer Emergency Readiness Team (US-CERT) a récemment fait état d’un cheval de Troie qui a infecté les téléphones cellulaires dotés du système d’exploitation Symbian OS et qui se propageait à d’autres téléphones en envoyant des fichiers infectés à tous les correspondants inscrits sur la liste de contacts des appareils.

Mais la contamination n’est pas le seul problème des appareils mobiles. Les gens discutent de nombreux sujets délicats en mode main libre par l’entremise de leur appareil doté du protocole Bluetooth. «Si je voulais faire un brin d’espionnage industriel, tout ce que j’aurais à faire, ce serait de me promener dans les corridors d’hôtels avec un appareil capable d’intercepter des communications Bluetooth ou Wi-Fi», soutient Benoît Gagnon.

2-Par la porte arrière

Bien sûr, toutes les menaces n’ont pas migré vers les périphériques. Les ordinateurs demeurent des cibles de choix. Nous savons tous combien des appareils non protégés peuvent être perturbés ou des disques durs détruits par des virus, et les entreprises s’assurent de plus en plus de bien verrouiller leurs portes d’entrée.

Mais qu’en est-il des portes de sortie? Que dire des vieux ordinateurs dont les entreprises se départissent, mais dont les disques durs n’ont pas été effacés à fond et qui peuvent aboutir dans le bureau d’un concurrent? Pourtant, de tout petits logiciels, qui coûtent entre 29 $ et 89 $, peuvent faire le travail.

Et qu’en est-il des heures interminables que les gens passent à naviguer dans Internet? Dans les bureaux, les employés se relient à des réseaux poste à poste (peer-to-peer) où ils exposent leur entreprise à toutes sortes de dommages et de maliciels. Il y a à peine deux ans, les sites Web étaient relativement sécuritaires, constitués de pages statiques qu’un internaute pouvait uniquement consulter.

À présent, à cause de la vague Web 2.0 qui déferle dans le cyberespace, de plus en plus de sites sont interactifs : vous cliquez sur un bouton, sur une image ou sur une bannière, et vous venez de télécharger un publiciel, un espiogiciel ou un virus! En fait, la situation est pire. «Aujourd’hui, le simple fait de naviguer dans un site Web peut vous contaminer sans même que vous téléchargiez quoi que ce soit», prévient Jacques Viau, directeur de l’Institut de la sécurité de l’information du Québec (ISIQ). Et n’en concluez pas que ces sites infectés sont du genre XXX. «Plus de 50 % d’entre eux sont des sites légitimes d’entreprises qui ont été contaminés à leur insu à cause de vulnérabilités et de défauts de leur code informatique», explique le spécialiste.

De telles infections informatiques sont habituellement le fait de réseaux de zombies. «Les forces de sécurité s’éveillent enfin au fait que les réseaux de zombies sont la source de tout ce qui est malveillant sur le Net, qu’il s’agisse de piraterie, de pourriel, d’hameçonnage (phishing) ou d’espionnage», affirmait Sam Norris, président de ChangeIP.com, dans un article du Washington Post paru en 2006.

Il s’agit de vastes réseaux, regroupant des dizaines de milliers d’ordinateurs qui ont été asservis à leur insu par des pirates. Ces «esclaves» sont programmés par leurs «maîtres» afin de diffuser toutes sortes de maliciels (logiciels espion, publiciels, d’hameçonnage, enregistreurs de touches, etc.) à des centaines de milliers d’autres ordinateurs.

Le premier problème d’un réseau de zombies réside dans le simple fait, pour un ordinateur ou un serveur, d’y être asservi. On fait erreur si l’on croit qu’il s’agit de la chasse gardée des ordinateurs de maison. Sam Norris rapporte qu’il a découvert un réseau de 10 000 ordinateurs infectés au sein d’une société figurant sur la liste du Fortune 100; l’administrateur de réseau n’avait pas la moindre idée comment solutionner ce fléau!

Cependant, l’aspect vraiment malveillant des zombies tient à ce qu’ils tentent de faire avec les ordinateurs et leurs propriétaires. Un programme zombie que Sam Norris a disséqué contenait des instructions visant à installer 14 publiciels et espiogiciels qu’aucun des logiciels antivirus qu’il utilisait n’a été en mesure de détecter.

Une fois déclenchés, ces maliciels effectuaient des actions regrettables, comme exécuter des bannières pornographiques ou installer une barre d’outil XXX dans Explorer. Les menaces les plus sérieuses provenaient d’instructions conçues pour espionner les allées et venues d’une victime dans Internet, ses entrées de données sur clavier, et même l’espionner par le biais de sa webcaméra, s’il en avait une. Le pire dommage provenait d’un petit programme s’emparant de tous les mots de passe et identifications dont se servait la victime pour s’enregistrer sur des comptes en ligne de PayPal, eBay, etc.

À qui la faute?

Quand des données se font corrompre ou qu’un concurrent lance sur le marché un produit sur lequel vous travailliez depuis deux ans, qui allez-vous appeler pour le réprimander? Assigner la responsabilité pour le risque informationnel est plus un art qu’une science.

Par exemple, ce n’est pas une bonne idée de charger le directeur des technologies de l’information d’effectuer des vérifications de contrôle. Même si son honnêteté ne peut être remise en question, il pourrait avoir tendance à minimiser des vulnérabilités dans des zones qu’il a négligées. Il est préférable qu’un chef de la sécurité de l’information rende compte au chef de la direction financière plutôt qu’au chef de la direction informatique.

De plus, puisque la sécurité de l’information englobe un concept plus large que la sécurité des systèmes d’information, il peut être pertinent que le chef des TI (CIO en anglais) se situe au même niveau hiérarchique que le chef de la sécurité de l’information (CISO) et que tous deux rendent compte au chef de la direction.

«Tout dépend de l’importance qu’une entreprise accorde à ses actifs informationnels, affirme Jacques Laporte. Une banque ou une société, dont la valeur de l’information est élevée, aura tendance à placer le CISO au même niveau hiérarchique que le CIO. Ainsi, le CISO devra rendre directement compte au chef de la direction. Par contre, dans une entreprise de construction, où les actifs se situent sur le terrain et non dans les bureaux, un CIO pourra très bien être responsable de tous les besoins en matière de sécurité de l’information.»

3-La part illogique

Dans la guerre en cours qui vise à voler ou à détériorer de l’information, Internet est un vecteur de premier plan, mais il n’est pas le seul. En fait, le vecteur le plus connu n’a rien à voir avec les sites Web, les clés USB ou les cadres numériques. Il s’agit des personnes, qu’on pourrait appeler la part «illogique» des logiciels de sécurité. Yves Godbout l’affirme péremptoirement : «La majorité des rapports reçus nous disent que la plupart des bris de sécurité sont perpétrés à l’interne par des employés.»

Bien sûr, de tels bris peuvent être intentionnels, par exemple quand un employé mécontent qui vient d’être congédié insère un virus dans le réseau de l’entreprise, ou quand un employé mal intentionné dérobe délibérément de l’information pour la vendre à un concurrent.

Toutefois, la majorité des bris sont accidentels. Et ils ne sont pas seulement occasionnés par des employés négligents à l’égard de leurs mots de passe, de leurs DVDs, de leur combiné mobile ou de leur iPod. Des employés bien intentionnés seront pleins de sollicitude à l’endroit d’interlocuteurs anonymes qui poseront des questions sur des dirigeants de l’entreprise ou même sur des clients. «Les adjointes administratives sont les cibles privilégiées "d’ingénieurs sociaux", fait ressortir Benoît Gagnon. Elles sont payées pour être gentilles et pour aider les gens. Et elles sont souvent surchargées de travail, de telle sorte que les questions de sécurité ne sont pas leur priorité.»

M. Gagnon a effectué un test dans une entreprise dont l’accès était contrôlé par des mesures passablement strictes, soit une carte magnétique et un lecteur d’empreinte digitale. Il a tout simplement apporté deux boîtes, il a souri d’une façon embarrassée à la personne de l’autre côté de la vitre, et l’employé lui a ouvert la porte très poliment en lui indiquant le chemin.

Un autre canal par lequel l’information peut être facilement disséminée et perdue est celui des liens d’affaires d’une entreprise avec ses sous-traitants, ses manufacturiers étrangers ou ses consultants externes. L’entreprise peut communiquer des informations très précieuses à ces joueurs externes, dont la discrétion n’est pas garantie. «On se demande si le jeu en vaut la chandelle quant au risque de sécurité, dit Benoît Gagnon. D’autant plus que l’élément crucial en jeu est justement l’information. Ça remet en question la stratégie fondamentale de nombreuses entreprises depuis les dix dernières années, soit de ne conserver que les activités clés, et d’impartir le reste.»

L’universitaire donne l’exemple d’une entreprise de robotique en démarrage qu’il connaissait personnellement et qui a partagé des parties de son invention avec un sous-traitant. Au bout d’un certain temps, elle a découvert qu’une autre entreprise de la région lançait sur le marché une invention très semblable. «Ils auraient mieux fait de payer des salaires plus avantageux à des spécialistes qu’ils auraient embauchés et d’en couvrir les coûts au moyen des ventes réalisées avec leur invention», juge M. Gagnon.

Sécurité personnelle

On croit que la sécurité se résume à la sécurité informatique. Mais la question est beaucoup plus large et englobe avant tout l’information et ses véhicules : ordinateurs, disques durs, cabinets de classement, édifices et personnes, surtout les personnes.

C’est pourquoi la toute première règle de sécurité concerne les gens et leur formation. «La formation des employés représente 50 % de la recette de sécurité, affirme Jacques Viau. Un seul employé négligent peut, par un seul geste, compromettre ce qu’une entreprise a tenté de mettre en place à coups de millions de dollars en logiciels et en équipement. On pense toujours qu’on a fait suffisamment de formation. Ce n’est pas le cas. On a souvent tendance à baisser la garde.»

Il n’est pas question de devenir paranoïaque, insiste M. Viau, car on risque ainsi de compromettre la relation entre l’entreprise et ses employés, et en bout de ligne, avec les clients. Mais une bonne dose de prudence est certainement de mise.

Un plan de sécurité commence donc au plus haut niveau de l’entreprise, au conseil d’administration et dans le bureau du président, où l’on doit se doter d’une politique bien articulée ainsi que de règlements. Mais la formulation de règles ne suffit pas.

Les employés doivent être sensibilisés de façon concrète aux dangers de l’information. Les comportements à risque doivent être démontrés à l’aide d’exemples vécus. On doit expliquer aux employés les conséquences de ces comportements, ainsi que leur démontrer les correctifs à apporter et les attitudes appropriées à adopter.

L’importance primordiale de la formation en sécurité est devenue un jour évidente chez SNC-Lavalin. «Nous nous sommes rendus compte qu’on a beau mettre en place des solutions technologiques de sécurité, le maillon faible reste l’être humain» constate Denis Normand, directeur de la sécurité informatique pour la grande firme d’ingénieurs-conseil.

Les besoins de sécurité de SNC-Lavalin reflètent une situation qui prévaut chez nombre de sociétés qui font des affaires dans le contexte actuel de mondialisation des marchés. Sa société, explique M. Normand, participe à plusieurs projets internationaux de collaboration dans lesquels même des concurrents prennent part pour certaines périodes, projets menés par le biais de réseaux informatiques ou en interaction de personne à personne. Les échanges se font partout sur la planète par la voie de multiples appareils mobiles communiquant par l’entremise d’infrastructures dont la qualité et la sécurité sont très inégales.

Dans un tel contexte, une indiscrétion ou un manque de vigilance momentanés peuvent entraîner des conséquences regrettables. Et il est illusoire de penser que tant le logiciel que l’équipement peuvent assurer le niveau de sécurité requis. Les employés, par-dessus tout, doivent être vigilants.

Dans une certaine mesure, une entreprise doit également faire preuve de vigilance à l’endroit de ses employés, un peu plus avec ses sous-traitants et ses collaborateurs externes. En période de recrutement, on doit effectuer une vérification diligente de sécurité. Lors d’un congédiement, tous les privilèges d’accès et tous les mots de passe doivent immédiatement être annulés. Les grandes entreprises ont recours à de telles procédures de façon routinière, mais les PME connaissent de sérieuses carences à ce titre.

Traduire le risque d’information en risque financier

La sécurité est un domaine si vaste et multiforme «qu’il est impossible de tout faire», soutient Mario Dallaire, consultant principal au bureau montréalais du Groupe CGI. Établir des priorités relève de la plus haute importance. C’est la raison pour laquelle la première étape d’un programme de sécurité consiste à mener une évaluation des risques en sécurité de l’information.

Cette évaluation repose sur deux prérequis : a) connaître les actifs informationnels dont dispose l’entreprise ou la société (brevets, plans de développement, données sur les clients, transactions de la chaîne d’approvisionnement, etc.); b) identifier les propriétaires de ces actifs. L’exercice peut s’avérer délicat, comme l’explique Jacques Laporte, directeur, services conseils au Groupe CGI. «Certains propriétaires ne sont pas vraiment conscients des responsabilités liées à leur rôle. Ils ont tendance à transférer celles-ci au service des TI, alors que celui-ci joue un rôle de gardien de l’information.» Néanmoins, ce sont les propriétaires qui peuvent vraiment dire à quel point leurs actifs sont cruciaux pour leurs activités d’exploitation et ce qui arriverait si ces actifs étaient volés, détruits ou contaminés.

D’autres consultants vont proposer une approche qualitative consistant à classer l’information selon une échelle de 1 à 10 en fonction de trois aspects : la probabilité d’un événement (piraterie, vol, feu, etc.); la vulnérabilité des différents systèmes ainsi que l’incidence que pourrait avoir un événement selon les volets de la disponibilité, de l’intégrité et de la confidentialité. La priorité est accordée aux secteurs qui arrivent en tête de classement.

Par exemple, là où un événement est très probable (8,5 sur l’échelle), vise un système très vulnérable (9 sur l’échelle) et peut avoir des conséquences majeures sur l’intégrité de l’information (un autre 9), c’est là que les mesures de sécurité doivent être prioritaires. Il n’est pas toujours possible d’assigner une valeur monétaire à un événement. Par exemple, «le jour où vous découvrez que l’information sur les cartes de crédit de vos clients est en vente sur le Web, vous ne pouvez pas vraiment chiffrer les dommages causés à votre réputation, mais pouvez-vous vous le permettre?», demande Mario Dallaire.

Néanmoins, les propriétaires d’information devraient viser autant que possible à chiffrer les conséquences en dollars, même si on aboutit seulement à des approximations floues, par exemple, un risque entre 10 et 25 millions $. Aussi imprécise qu’elle soit, une telle mesure a l’avantage de traduire en chiffres concrets des risques informationnels qui demeureraient par ailleurs nébuleux.

«Le risque n’est pas une entité statique», rappelle Jacques Laporte. Par exemple, une entreprise pourrait avoir antérieurement compté sur le courriel pour traiter avec ses fournisseurs et en viendrait à effectuer ses transactions par l’entremise d’un portail extranet. Du coup, on ouvrirait la porte à un univers de risques et de catastrophes potentiels. Les risques associés à la mise en place de cette solution devraient être qualifiés et quantifiés pour identifier les mécanismes d’atténuation du risque et le réduire à un niveau acceptable. Des contrôles devront être mis en place pour assurer l’efficacité de ces mécanismes au long de leur cycle de vie.

Contrôle logiciel

En ce qui a trait aux employés, il ne faut évidemment pas oublier que le logiciel et l’équipement font partie de l’équation de sécurité. Dans un numéro précédent, CAmagazine a traité en détails de toutes les procédures et de tout le matériel requis pour réussir cette équation. Qu’il suffise ici de rappeler les interventions les plus importantes, telles que les élabore la Internet Security Alliance.

Mettez en place tous les logiciels de protection nécessaires comme les antivirus, anti-espion, anti-pourriel, coupe-feu, etc. Ne vous fiez pas seulement au nom et à la réputation du fournisseur. Les utilitaires de Symantec dominent le marché, mais ils ne constituent certainement pas le meilleur achat.

En mars 2008, AV-Test GmbH a mesuré les principaux logiciels antivirus contre 1,3 échantillons connus de maliciels. Des produits comme Webwasher de Secure Computing, et Total Care de GData, ont affiché des niveaux de détection de 99,9 %. Ceux de Symantec et McAfee affichaient des taux de 95,6 % et 95,7 % respectivement.

Sur la base d’un échantillonnage aussi large, cela signifie que Symantec et McAfee ont laissé passer quelque 49 000 maliciels.

Effectuez toutes les mises à jour de logiciel. Un facteur important et trop souvent négligé, même s’il arrive que certaines mises à jour créent des problèmes, comme ce fut le cas à la Banque Royale du Canada en 2004. Yves Godbout raconte que certains fichiers de données ont été corrompus et plusieurs clients n’ont pas pu effectuer de transactions pendant quelques jours. À la suite de cet incident, l’institution financière a mis en place un processus rigide de gestion du changement des systèmes informatiques.

Lors d’une conférence que donnait un gestionnaire du changement de RBC Groupe Financier quelques mois après l’incident, Yves Godbout lui a demandé si l’institution financière suivait un processus de gestion des changements pour les mises à jour de sécurité aussi rigide que pour les autres changements aux applications. «Le cadre m’a répondu, se rappelle M. Godbout, qu’après évaluation de la situation, la banque avait conclu qu’il était moins risqué d’effectuer une mise à jour, même prématurément, plutôt que de laisser passer trop de temps et d’en subir les conséquences.»

De telles mises à jour touchent tous les programmes avec lesquels œuvre l’entreprise ou la société (systèmes d’exploitation, applicatifs de productivité, programmes de sécurité), sans oublier les nombreux utilitaires de toutes sortes qui servent souvent à télécharger du matériel à partir d’Internet (Acrobat, Winzip, RealPlayer, etc.). De plus en plus, les pirates exploitent les vulnérabilités de ces applications secondaires pour avoir accès aux systèmes de l’entreprise.

Mettez en place de solides contrôles d’accès. Les mots de passe sont les outils de contrôle les plus répandus. Ils devraient être aussi complexes que ce que les utilisateurs pourront se remémorer, et ils devraient être remplacés de façon régulière. Des appareils plus sophistiqués devraient être utilisés partout où l’entreprise ou la société peut le faire : générateurs dynamiques de mots de passe et lecteurs biométriques, surtout en ce qui a trait aux empreintes digitales.

Établissez des contrôles d’accès physiques à tous vos locaux, surtout ceux où logent les ordinateurs. Ne vous contentez pas de mesures symboliques de sécurité, par exemple, en installant une serrure à une porte, sans veiller à ce que sa structure entière soit solidement ancrée. Et ne perdez pas de vue la forêt au profit des arbres. Par exemple, installez vos systèmes informatiques dans une salle solidement protégée, adossée à un mur extérieur.

Préparez un plan de continuité. Faites l’exercice imaginaire de subir une catastrophe majeure (feu, inondation, attaque terroriste, etc.). Répondez ensuite à la question suivante : Que faut-il mettre en place pour faire en sorte qu’un tel événement ne mène à la faillite de la société ou de l’entreprise? Il faut se doter de copies de sauvegarde de données et de fichiers papier, de systèmes en redondance, d’espace de bureau excédentaire, d’identification du personnel-clé, etc. Dernier conseil : Pensez sécuriciel!

Yan Barcelo est journaliste pigiste dans la région de Montréal.