septembre 2006 — ÉDITION IMPRIMÉE    
 
Vulnérables, les ordis! Contenu
   
 

Vulnérables, les ordis

Par Yan Barcelo
Illustration : John Ueland

En prenant davantage au sérieux la question de la sécurité, les petites entreprises pourraient en toucher de grands bénéfices

À la fin de l’année 2004, une agence de voyages de Toronto avait fait l’acquisition d’une vingtaine d’ordinateurs. Le propriétaire, très heureux de son achat, avait recruté un étudiant du secondaire pour en assurer la maintenance. Quelques mois plus tard, les systèmes ne cessaient de tomber en panne et le propriétaire ne comprenait pas pourquoi. Il a finalement appelé à la rescousse le service technique de son fournisseur. Comme l’a constaté le technicien appelé au secours, le problème résidait dans l’absence presque totale de mesures de sécurité. Les ordinateurs étaient infestés de virus et de logiciels espions, ce qui ralentissait évidemment leur performance et les faisait constamment tomber en panne. Le propriétaire avait bien sûr installé un logiciel anti-virus lors de l’achat des ordinateurs, mais il n’avait jamais cru bon de le mettre à jour et n’avait pas non plus fait effectuer la moindre sauvegarde des données.

«Cet entrepreneur ne comprenait pas que les solutions bon marché peuvent parfois s’avérer très coûteuses», de dire Geoff Kereluik, vice-président, petites et moyennes entreprises, chez Hewlett-Packard à Mississauga (Ontario). «Pire encore, le propriétaire n’avait pas conscience que, dans son secteur d’activité, les ordinateurs ne font pas que seconder une entreprise, ils en sont la colonne vertébrale sans laquelle ce type d’organisation ne peut pas fonctionner. Néanmoins, l’entretien minimal qu’il effectuait lui donnait un faux sentiment de sécurité.»

Des signes d’amélioration

Il semble que la sécurité informatique se soit généralement améliorée au sein des organisations mais, comme le montre le cas de l’agence de voyages, pas nécessairement dans les petites et moyennes entités.

Un rapport récent de CA Canada (aucun lien avec la profession de CA), fournisseur canadien de logiciels de gestion, indique en effet que, même si les menaces à la sécurité continuent de croître substantiellement, surtout sur le Web, les organisations en tous genres font état de moins de dommages qu’il y a trois ans. En 2003, 87 % des entreprises déclaraient des pertes en matière de productivité à la suite d’attaques informatiques qui avaient eu lieu au cours des 12 mois précédents; 12 % rapportaient des pertes de revenus, de clientèle ou d’autres biens. Dans un rapport plus récent, ces chiffres se situent à 76 % et 11 % respectivement — ce qui demeure toutefois plutôt élevé.

«Si l’on établit une comparaison avec les années antérieures, notamment sur le plan des pertes en matière de productivité, la situation semble stable», note Warren Shiau, analyste principal, recherche en TI, pour The Strategic Counsel, cabinet qui a effectué le sondage pour CA Canada. «La situation s’avère très positive si l’on tient compte de la croissance des menaces et des zones de vulnérabilité. Les mécanismes de défense se sont en fait fortifiés.»

En revanche, la sécurité dans les organisations, surtout dans les petits cabinets professionnels, s’avère plutôt déficiente. C’est pourquoi Jacques Viau, directeur de l’Institut de la sécurité de l’information du Québec, organisme d’échange d’information et de connaissances en matière de sécurité de l’information basé à Montréal, prône la nécessité «de créer une culture de la sécurité, ce qui n’existe tout simplement pas à l’heure actuelle, surtout dans les petites et moyennes entreprises».

Le cercle extérieur

Pour la plupart des petites et moyennes organisations, il n’est pas nécessaire que les démarches en matière de sécurité visent les niveaux atteints par les grandes organisations. Commençons tout d’abord par les composants que l’on associe généralement à la sécurité, notamment :

  1. les dispositifs restreignant l’accès tels que les mots de passe; et
  2. les outils de haute technologie comme les lecteurs d’empreintes digitales ou les lecteurs de l’iris.

Les mots de passe sont les outils les plus accessibles en matière de contrôle de l’accès — mais les moins sécuritaires. «Les mots de passe sont embêtants, déclare Michel Kabay, professeur agrégé en sécurité de l’information à l’Université Norwich au Vermont, et leur entretien coûte une fortune en honoraires versés aux administrateurs de réseaux, qui doivent constamment les rappeler à ceux qui les oublient.»

Heureusement, cette difficulté peut être résolue par l’acquisition de certains progiciels, notamment eTrust Identity et Access Management Suite de CA Canada, qui permettent aux utilisateurs de rétablir eux-mêmes leur mot de passe.

Les appareils de reconnaissance des empreintes digitales, de l’iris ou de la voix sont auréolés d’un charisme à la Star Trek, mais ils ont eux aussi leurs limites. À titre d’exemple, une empreinte digitale pourrait avoir été moulée dans du plâtre, une signature vocale pourrait provenir d’une enregistreuse numérique et la vitre d’un lecteur d’iris pourrait être tachée.

D’après Michel Kabay, le mécanisme le plus pratique consiste en un générateur dynamique de mots de passe de type SecurID. Le mécanisme contrôle l’accès en imposant une première barrière qui exige qu’on lui fournisse un mot de passe ou une clé numérique. Cet outil contient une puce synchronisée avec un programme dans le serveur de l’organisation, qui génère des mots de passe de façon aléatoire. Pour pouvoir s’inscrire, l’utilisateur doit taper son mot de passe initial qui fonctionne comme une première barrière de sécurité. Lorsqu’il a tapé ce mot de passe, l’utilisateur ne dispose que de quelques minutes pour indiquer sur son ordinateur le second mot de passe que l’outil lui présente afin de pouvoir avoir accès aux ressources informatiques de l’organisation. Au-delà de ce délai, le mot de passe n’est plus valide et l’utilisateur doit en générer un nouveau. «Si les gens refusent d’utiliser [ces outils] à cause des frais, c’est vraiment dommage, car ils ne coûtent pas davantage qu’un simple repas, affirme Michel Kabay, d’autant qu’on n’égare pas plus souvent son mot de passe qu’on ne perd ses clés de voiture.»

Les mots de passe et les mécanismes d’accès sont des éléments cruciaux de la sécurité, mais ils n’en constituent en quelque sorte que la périphérie. Sans son outil d’accès, un utilisateur se retrouverait sur un pied d’égalité avec n’importe quel pirate ou malfaiteur potentiel qui voudrait accéder illégalement aux ressources informatiques de l’entreprise. C’est pourquoi on trouve en périphérie une foule d’autres mécanismes davantage familiers aux utilisateurs, parce qu’ils sont associés aux menaces croissantes présentes sur Internet, notamment les coupe-feu, les systèmes de prévention et de détection des intrusions, les logiciels anti-virus, les anti-logiciels espions et les anti-pourriels, de même que les réseaux privés virtuels chiffrés.

Certaines entreprises — telles que Websense et Surfcontrol — vendent des modules tout-en-un qui comprennent plusieurs des fonctions précédentes. Ces modules sont installés dans le serveur, à l’interface du réseau Internet et de celui de l’entreprise, derrière le coupe-feu. Un module comme Websense Security Suite, dont la licence par utilisateur coûte de 25 à 50 dollars par année, bloque les menaces Internet les plus courantes, mais empêche aussi les logiciels espions de retransmettre les informations qu’ils ont recueillies à leur site de contact. Ils surveillent l’accès aux sites Web autorisés et contrôlent les transmissions de messagerie instantanée et de messagerie point à point.

De nombreux spécialistes déconseillent toutefois de se fier uniquement à ces modules universels et recommandent de munir chaque ordinateur en réseau de ses propres logiciels de protection contre les virus et autres agents de contamination.

Une autre approche consiste à obtenir les services de fournisseurs externes comme Bell Solutions de sécurité ou ESI Technologies, société spécialisée dans le développement et la gestion des infrastructures technologiques. Ces spécialistes surveillent à distance toutes les activités en cours dans les composantes réseau d’un client : serveurs, postes de travail, coupe-feu, commutateurs, etc. En assurant la surveillance de tous les paramètres de ces appareils, ils peuvent par exemple déceler si une attaque pirate a échoué ou réussi et, le cas échéant, jusqu’où elle a pénétré dans les systèmes. Les coûts de leurs services totalisent environ 100 dollars mensuellement par pièce d’équipement surveillée.

Ces fournisseurs, de même que certains spécialistes comme ZEROSPAM, fournisseur montréalais de services de filtrage du pourriel en ligne, filtrent également le courriel destiné à l’entre­prise pour en extraire les pourriels, les logiciels espions et les courriels hameçons. (Le courriel hameçon, dont la croissance est exponentielle, est un type de courriel qui, le plus souvent, laisse croire qu’il provient d’une institution financière authentique. Sous ce couvert, il tente d’obtenir de l’internaute des informations confidentielles qui servent ensuite à vider ses comptes en banque et à utiliser ses cartes de crédit.)

Le cercle intérieur

Une part importante de la sécurité a trait à la gestion des ressources informatiques et aux opérations de sécurité. Cela signifie par exemple que, si vous détenez certains types de données plus stratégiques, vous créez pour celles-ci des zones à plus haut degré de sécurité à l’intérieur du réseau informatique de l’organisation. Il faut également vous assurer de les chiffrer. La gestion des ressources comprend en outre des composants aussi diverses que le maintien à jour d’un répertoire de toutes les ressources matérielles et logicielles de l’entreprise, de même que l’assignation aux utilisateurs de niveaux d’autorisation selon leur type de responsabilités et la mise à jour de ces composants.

La gestion des sauvegardes constitue également un aspect crucial des opérations de sécurité. Il est nécessaire de déterminer où les sauvegardes seront conservées. Ces sauvegardes seront-elles vérifiées, chiffrées? Qui détiendra les clés de chiffrement? Comment éliminera-t-on les données confidentielles? La fréquence des sauvegardes saura-t-elle refléter la rapidité des activités et des transformations dans l’entreprise?

Il est en outre important de veiller à ne pas affecter les mêmes personnes à l’exécution et à la supervision d’une tâche donnée. À titre d’exemple, «la pire erreur que l’on puisse commettre consiste à placer le directeur de la sécurité sous l’autorité du directeur informatique, souligne Jacques Viau. Comment le premier peut-il être indépendant et comment peut-on s’assurer de son intégrité s’il est appelé à subir les pressions d’un directeur informatique qui pourrait vouloir justifier des décisions ­hasardeuses»?

Les appareils mobiles comme les ordinateurs portables, les ordinateurs de poche et les téléphones intelligents font de plus en plus partie du paysage informatique et, de ce fait, représentent une menace croissante. Les utilisateurs nomades négligent fréquemment de protéger leurs appareils contre le vol. Comme ils se branchent à des points d’accès Wi-Fi et à des sites Internet, ils exposent ainsi leur organisation à toutes sortes de contaminants qui peuvent se transmettre dans le réseau de l’entreprise lorsqu’ils reprennent contact avec celui-ci.

À cause de leur petite taille, on assi­mile souvent les ordinateurs portables à des jouets de peu d’importance. C’est un préjugé regrettable. «Les portables d’aujourd’hui peuvent contenir plus d’information que les ordinateurs centraux d’il y a 20 ans, souligne Puneet Jain, directeur principal du marketing chez Sony Canada. Laisser son appareil sans protection, c’est presque dire aux voleurs et aux espions industriels : “Voyez la grande quantité d’informations sur mon entreprise avec laquelle je circule!”»

Afin d’assurer la protection du portable lui-même, Targus commercialise le module DEFCON 1 Ultra dont le prix est de d’environ 50 dollars. Ce module permet à l’utilisateur de fixer son ordinateur à un point d’ancrage à l’aide d’un câble d’acier et d’activer un dispositif de détection de mouvement. Si un malfaiteur tente de voler l’appareil, le câble l’en empêche pendant que le détecteur de mouvement émet un son strident, de l’ordre de 95 décibels. En revanche, l’utilisateur ne doit pas oublier de désengager le mécanisme de détection lorsqu’il récupère son ordinateur.

Pour protéger les données contenues dans un ordinateur portable, des fabricants comme IBM, Hewlett-Packard, Gateway et d’autres insèrent dans leurs produits haut de gamme une puce qui mémorise automatiquement toutes les informations enregistrées sur le disque dur. Même si un voleur réussit à s’enfuir avec l’ordinateur, il est peu probable qu’il puisse en extraire quelque donnée que ce soit. Pour rehausser d’un cran la sécurité de l’appareil, certains fabricants incorporent également à l’ordinateur un lecteur d’empreintes digitales.

La meilleure protection consiste toutefois à empêcher les utilisateurs de transporter des données sensibles sur leur portable. Pour ce faire, les gestionnaires des TI auraient intérêt à obliger les employés nomades, lorsqu’ils veulent télécharger toute donnée avec laquelle ils doivent travailler à distance, ou la stocker, à se relier au réseau informatique de l’organisation par l’intermédiaire d’un réseau privé virtuel chiffré. Le principe consiste ici à traiter les appareils mobiles comme de simples terminaux passifs.

Le cercle physique

Les données constituent évidemment l’élément clé de la sécurité. Mais lorsque les appareils qui contiennent l’information font défaut, sont hors d’usage ou détruits, cette information n’est plus disponible ni utile. C’est la raison qui sous-tend l’existence de secteurs tels que ceux de la sécurité physique et de la reprise après sinistre.

Pour assurer la sécurité physique, l’on doit être armé d’un jugement solide forgé par des années d’expérience pratique, affirme Michel Kabay. La sécurité ne signifie pas seulement de munir les portes donnant accès aux serveurs de serrures fiables ou d’installer des caméras de surveillance. La sécurité exige également que l’on évite d’implanter un centre d’information dans une zone à criminalité élevée, près de citernes contenant des matières explosives ou contre le mur extérieur d’un édifice. Il faut en outre s’assurer que les cadres de portes sont solidement fixés, que la climatisation est suffisante, que des batteries de secours et des génératrices sont disponibles. «Et n’allez surtout pas brancher la fiche électrique d’un ­serveur dans une plaque murale accessible, que le concierge pourrait débrancher facilement pour y insérer celle de son aspirateur», ajoute Michel Kabay.

La reprise après sinistre est un secteur où les petites et moyennes organisations accusent des insuffisances graves. Plusieurs entreprises voisines du World Trade Center à New York ont péri peu après la tragédie du 11 septembre 2001, non pas parce que leur capacité informatique avait été dé­truite, mais parce qu’elles ne disposaient pas des ressources et sauvegardes nécessaires pour reprendre leurs activités assez rapidement. Des carences en planification antisinistre les ont empêchées de prévoir qu’elles ne pourraient survivre plus de quelques jours ou d’une semaine si elles n’avaient pas accès à leurs données.

Un plan de reprise des activités nécessite la mise en place de systèmes miroirs pour les traitements informatiques, la téléphonie et les télécommunications, là où ils peuvent s’avérer nécessaires. Le centre de reprise doit être implanté dans un lieu distinct du site de traitement principal et doit être conçu selon divers niveaux ­d’alerte. Il peut être actif 24 heures par jour, 7 jours par semaine, et servir de point d’appui pour le noyau d’exploitation central en recevant régulièrement des mises à jour des données cruciales. Il peut constituer en un site de secours immédiat, maintenu en semi-disponibilité, que l’on peut amener à plein rendement en 24 à 48 heures pour prendre en charge les activités informatiques principales. Enfin, il peut s’agir d’un centre de secours graduel qui demeure inactif jusqu’à ce qu’un sinistre survienne, et qui peut passer au plein régime en quelques jours ou en une semaine. Tout dépend du plan initial où est inscrite la durée maximale pendant laquelle l’entreprise peut fonctionner sans ses systèmes informatiques.

La plupart des PME n’ayant pas les ressources financières pour entretenir un site de reprise, elles pourraient considérer de coordonner leur plan antisinistre avec celui d’une autre organisation de même taille. Chacune pourrait réserver une partie de ses serveurs pour abriter les données stratégiques de l’autre et lui garantir une capacité fonctionnelle en cas de besoin. Chacune pourrait également convenir de mettre à la disposition de l’autre un espace de travail ainsi qu’une salle de réunion pour accueillir les employés déplacés.

Un plan antisinistre devrait aussi prévoir des réseaux alternatifs de téléphonie et de télécommunications au cas où les principaux auraient flanché. Voilà une autre leçon que les organisations ont apprise après le 11 septembre. Il va sans dire que ce plan ne devrait pas se préoccuper que des appareils et des logiciels, mais également des personnes. L’on devrait y consigner les réponses aux questions suivantes : Qui assumera la direction si le président en est incapable? En cas de nécessité, qui prendra la relève du spécialiste en bases de données? Comment les employés se rendront-ils au travail et comment seront-ils soignés en cas de blessures?

Le cercle crucial

Le facteur humain ne devrait pas être important seulement en cas de reprise après sinistre, mais en tout temps. «La moitié des atteintes à la sécurité sont occasionnées par des membres de l’organisation. Leurs gestes contreviennent sciemment aux politiques acceptables, mais ne sont pas nécessairement malveillants», indique Andrew Pridham, directeur de la sécurité de l’information du cabinet d’impartition, d’intégration de systèmes et de services-conseils CGI, à Ottawa.

C’est en effet par négligence que les employés conservent leurs mots de passe près de leur écran ou affichent l’adresse courriel de leur entreprise sur des sites Web, permettant ainsi à des pirates d’inonder le serveur courriel de pourriels et de logiciels espions. S’ils sont malveillants, les employés peuvent transférer de l’information aux concurrents ou simplement falsifier des données importantes. Or, la négligence et la malveillance des employés «découlent de carences en matière de gestion et de supervision de la part de la direction», souligne Michel Kabay.

La dimension humaine de la sécurité intervient lors de trois moments clés, c’est-à-dire lors du recrutement, au cours des activités de gestion courante et lors du congédiement. Au moment de l’embauche, il importe évidemment de recruter du personnel avec lequel l’organisation peut se sentir en confiance. Cette étape nécessite que l’entreprise s’informe du passé non seulement d’un employé potentiel mais également d’un fournisseur qui a accès aux installations informatiques — notamment de l’équipe d’entretien des locaux.

Les pratiques courantes en matière de gestion revêtent évidemment la plus grande importance. Après leur arrivée, les nouveaux employés devraient recevoir une formation qui les sensibilise à ce qu’ils peuvent et ne peuvent pas faire sur le plan des ressources informatiques — de la navigation sur Internet, à l’envoi et à la réception de courriels. Un document clair et succinct exposant les politiques et pratiques en matière de sécurité devrait être remis à l’ensemble des employés, précisant que tout manquement à la sécurité sera puni. Les réprimandes ne sont toutefois pas suffisantes : par exemple, l’organisation devrait voir à récompenser les bonnes pratiques en matière de sécurité, en les liant partiellement aux processus d’évaluation et de promotion.

L’on constate que les organisations dont la culture n’encourage pas la loyauté et l’honnêteté s’exposent à de plus hauts risques en matière de sécurité de la part d’employés négligents ou malveillants. Michel Kabay attire l’attention sur les entreprises qui n’ont d’yeux que pour les résultats trimestriels et s’empressent de réduire leurs effectifs dès que les profits fléchissent. «Cette culture de portes tournantes qui dévalorise les relations humaines n’est pas nocive uniquement pour la sécurité, dit-il, mais également à de nombreux niveaux du rendement des employés.»

Le congédiement est une variable clé de l’équation sécurité. C’est souvent au moment de leur démission ou de leur congédiement que les employés peuvent être le plus menaçants pour la sécurité. On a en effet vu des employés injecter un virus dans le réseau informatique de l’organisation ou utiliser après leur départ leur mot de passe pour accéder aux bases de données et voler de l’information cruciale.

Les procédures en matière de sécurité devraient donc d’office annuler tous les mots de passe et codes d’autorisation d’un employé congédié ou démission­naire. Michel Kabay recom­mande également d’obliger l’employé à se retirer sans délai de son lieu de travail et de le faire accompagner par un agent de sécurité lorsqu’il récupère ses effets personnels et quitte les locaux. Parallèlement, l’énoncé des ­politiques de l’entreprise devrait mentionner qu’une procédure aussi radicale n’est teintée d’aucune intention hostile et que la présence d’un gardien ne devrait pas être perçue comme une menace à leur intégrité personnelle. «Les agents de sécurité devraient s’acquitter de leur tâche avec le sourire», d’insister Michel Kabay.

Trop d’organisations voient la sécurité comme un geste que l’on pose une fois, puis que l’on oublie. Elles mettent en place quelques appareils et logiciels, et croient que le tour est joué. Erreur. «La sécurité est un processus continu», indique Serge Bertini, directeur des solutions en matière de sécurité à CA Canada. «Ce n’est pas une intervention ponctuelle que l’on s’empresse d’oublier.»

Le processus concernant la sécurité commence au plus haut niveau de la hiérarchie. Dès qu’elle est informée de tous aspects touchant la sécurité, il incombe à la direction de décider comment la sécurité dans son ensemble doit être conçue pour appuyer la mission de l’organisation.

Elle doit également nommer un directeur de la sécurité doté d’un mandat clair qui, à son tour, proposera un cadre général énonçant par exemple une politique en matière de sécurité, des zones où les interventions prioritaires doivent être menées, les personnes responsables d’attribuer les autorisations, etc.

L’évaluation des risques constitue une étape clé de la réflexion stratégique en matière de sécurité, qui vise à définir les secteurs d’intervention prioritaires. Cette évaluation devrait préciser :

a) les principales menaces auxquelles l’organisation doit faire face (virus, pourriels, employés mécontents, groupes criminels, incendies, etc.);
b) le niveau de vulnérabilité des systèmes exposés à ces risques;
c) l’impact que des incidents menaçant la sécurité pourrait avoir sur les systèmes et les activités d’affaires.
Il est à noter que les interventions en matière de sécurité devraient cibler en priorité les systèmes les plus vulnérables.

Les facteurs qui menacent l’entreprise ne devraient pas être formulés uniquement en termes de risques informatiques, mais également en termes financiers, que la direction et les gestionnaires sont mieux en mesure de comprendre. En utilisant le langage des affaires, on s’assure que ces derniers prendront une décision d’affaires plutôt qu’une décision technologique.

Après la dernière étape, celle de la réflexion stratégique, il est temps de passer à l’élaboration d’un plan d’action. C’est alors le moment de déterminer et d’établir un équilibre entre toutes les mesures concrètes de sécurité s’appliquant à la situation spécifique de l’organisation, soit :

a) les dispositifs et procédures d’accès et d’autorisation;
b) les dispositifs de protection relativement à Internet;
c) les directives se rapportant à l’informatique mobile;
d) la configuration des ordinateurs de bureau et des portables;
e) le programme de formation des employés, etc.

La sécurité n’est pas un concept statique, mais un processus dynamique. Au fur et à mesure que l’organisation évolue, qu’elle s’aventure dans de nouveaux projets ou marchés, ou se dote de nouvelles technologies, et que son personnel change ou devient plus expérimenté, les composantes en matière de sécurité doivent s’adapter à ces nouvelles réalités de manière dynamique. La sécurité ne doit pas devenir une obsession, mais un état d’esprit : une série de décisions et d’habitudes sensées. En effet, tout comme on ne laisse pas les portes déverrouillées à la maison et qu’on n’installe pas les conduites d’eau contre un mur exposé au gel, dans les organisations, la sécurité obéit à des règles similaires, c’est-à-dire qu’on ne donne pas accès à un ordinateur sans autorisation et qu’on ne laisse pas un serveur à la traîne dans un couloir.

Yan Barcelo est journaliste à Montréal.