6.2 Risques informatiques en entreprise

6.2.1 Système d’information et système informatique

La notion de système d’information (SI)

Un SI correspond aux différents moyens mis en œuvre afin de collecter, de mémoriser, d’utiliser et de diffuser de l’information au sein de l’entreprise et avec son environnement. Il comprend :

– des moyens humains, qui correspondent aux personnes qui reçoivent, utilisent et émettent de l’information (acteurs) ;

–  le système informatique constitué des moyens matériels, immatériels et informationnels. C’est-à-dire constitué des outils exploités dans la manipulation des informations ordinateurs fixes ou portables, périphériques (imprimantes, scanners, copieurs multifonctions…), équipements de communication en réseau. Et les éléments immatériels, principalement les différents logiciels utilisés dans l’entreprise.

– une dimension organisationnelle avec des procédures et des méthodes correspondant aux règles suivies et appliquées dans la réalisation des activités afin d’atteindre les résultats souhaités.

Le système informatique n’est donc qu’une partie du SI, de nature technologique, et ne doit pas être confondu avec lui.

Les fonctions du SI

Un SI remplit quatre fonctions essentielles.

FonctionExplication
ACQUISITIONIl s’agit d’obtenir des informations, qu’elles proviennent de sources externes (partenaires extérieurs tels que les fournisseurs, les institutions financières, les administrations…) ou internes (services de l’organisation qui produisent de l’information stockée dans des fichiers ou des documents internes).
C’est à ce stade qu’en matière de sources externes, la veille informationnelle et l’utilisation d’outils appropriés sont importantes.
STOCKAGEIl s’agit de stocker les informations de manière durable afin de permettre une utilisation ultérieure. Souvent, l’enregistrement des informations est réalisé sur des supports informatisés et organisés en bases de données.
TRAITEMENTCela correspond à l’utilisation des informations par des programmes informatiques ou des interventions manuelles afin de prendre des décisions ou de produire de nouvelles informations.
DIFFUSION ET PARTAGEIl s’agit de transmettre les informations aux acteurs, internes ou externes.

La notion de réseau informatique

Pour une entreprise, le terme désigne un système informatique interconnecté.

La typologie est la suivante.

Le « réseau local » désigne son réseau informatique géographiquement limité (bâtiment et services administratifs). Il est également souvent appelé LAN (Local Area Network). Ce réseau local peut être ouvert sur l’extérieur via une connexion à Internet, mais cela n’est pas systématiquement le cas. Un réseau peut donc être parfaitement opérationnel sans impliquer d’accès à Internet.

6.2.2 Les éléments constitutifs d’un réseau informatique

A- La composition d’un réseau informatique

Les réseaux informatiques présents en entreprise sont des réseaux de type « clients/serveurs ». Le poste client (workstation) envoie une requête (une « demande ») à un serveur (server), qui lui renvoie une réponse.

Le serveur met à disposition des ressources sur un réseau. Les clients vont atteindre et exploiter ces ressources. Les clients et les serveurs peuvent communiquer grâce à des matériels permettant l’interconnexion entre eux.

B- Les différents serveurs sur un réseau

1. Le serveur hardware ou au sens matériel

En fonction de la diversité des ressources proposées, il est nécessaire de mettre en place un ou plusieurs serveurs. Ces serveurs sont souvent spécialisés. Il s’agit ordinateurs très puissants – un ou plusieurs microprocesseurs performants, une mémoire vive (RAM, Random Access Memory) de grande capacité, plusieurs disques durs très rapides… – afin de pouvoir faire face aux sollicitations des multiples utilisateurs des ressources partagées.

Qu'est-ce que le processus ALG?

2. Le serveur comme software ou logiciel

Serveur désigne à la fois le hardware et le software. Un même serveur au sens matériel met à disposition plusieurs ressources logicielle et peut donc jouer plusieurs rôles. Chaque rôle est assuré par le logiciel serveur correspondant :

– le serveur de fichiers partage de l’espace disponible sur un ou plusieurs disques durs. Cela permet de centraliser les données des utilisateurs et de mettre des documents en commun. Il assure aussi la gestion des quotas (espace disque alloué à un utilisateur) et des autorisations d’accès selon l’utilisateur ;

– le serveur de messagerie permet aux utilisateurs d’envoyer et de recevoir des courriers électroniques ;

– le serveur d’impression propose les différentes imprimantes partagées sur le réseau et gère les files d’attente éventuelles lorsque plusieurs demandes d’impression concernent la même imprimante ;

– le serveur d’applications exécute des logiciels installés sur le serveur et les rend accessibles via le réseau ;

– le serveur d’authentification permet d’authentifier les utilisateurs sur le réseau en vérifiant la correspondance entre des éléments d’identification (login / mot de passe, biométrie), puis en leur accordant les autorisations d’accès dont ils disposent ;

– le serveur web diffuse un ou plusieurs sites web. De plus en plus d’applications étant accessibles en « mode web » (messagerie de type « webmail », suites bureautiques en ligne), le serveur web peut jouer un rôle important dans l’accès aux applications.

C- Les clients dans un réseau

Les clients exploitent les ressources mises à disposition par les serveurs. La plupart du temps, il s’agit des ordinateurs utilisés par les salariés pour accomplir les tâches qui leur sont assignées. Toutefois, ils peuvent aussi prendre d’autres formes : tablettes, smartphones et autres dispositifs accédant aux serveurs et exploitant les ressources proposées.

D- Les éléments nécessaires à l’interconnexion

1. Types d’interconnexion et supports de communication

Les données sont échangées entre les serveurs et les clients grâce à des supports de transmission qui permettent la circulation des données. Ces supports peuvent être filaires ou sans fil.

  • Connexion filaire : un câblage réseau de type Ethernet (RJ 45) offre une vitesse de transmission élevée.
  • Transmission sans fil : il s’agit essentiellement de la technologie wi-fi. Elle est moins rapide qu’une connexion filaire, mais offre davantage de souplesse en termes de mobilité. Par contre, il est nécessaire de sécuriser cette connexion grâce à un chiffrement approprié (clé de chiffrement wi-fi) afin d’éviter que des tiers non autorisés puissent l’exploiter .

2. Les matériels utilisés sur le réseau

Prise RJ45 Catégorie 6

Afin de connecter les machines au réseau, certains matériels spécifiques sont nécessaires.

Dans le cas d’une connexion filaire, un ensemble de prises réseau murales (RJ45) et un câblage adapté (câbles Ethernet) sont utilisés.

La connexion sans fil nécessite la mise en œuvre d’un point d’accès wi-fi.

Enfin, pour connecter l’ensemble des éléments, un commutateur (switch) est utilisé.

Il s’agit d’un dispositif matériel qui, comme une sorte de multiprise réseau, permet de relier les différentes machines via le câblage approprié.

D- Le rôle du protocole réseau

Pour que les machines connectées au réseau, parfois très différentes, puissent communiquer, il est nécessaire qu’elles emploient la même « langue ». On appelle cette langue un protocole de communication, c’est-à-dire un ensemble de règles qui vont organiser la communication : c’est le même que celui utilisé sur Internet : TCP/IP (Transfer Control Protocol/Internet Protocol).

Grâce au protocole TCP/IP, chaque machine connectée au réseau local dispose d’une adresse IP qui lui est propre et permet de l’identifier dans le cadre des échanges réalisés sur le réseau. Cette adresse IP permet l’acheminement des données entre la machine émettrice et la machine destinataire.

6.2.3 Les enjeux de la sécurité informatique

A- La notion de risques et menaces

Contribuer à la sécurité du système d’information (SI) nécessite de comprendre les risques susceptibles de l’affecter. Un risque peut être considéré comme un événement susceptible de causer des dommages. L’origine peut être accidentelle ou malveillante (lorsqu’il y a une volonté de nuire au fonctionnement du SI).

Une entreprise est amenée à manipuler des informations sensibles (par exemple, les données relatives à ses clients ou ses salariés) ou de grande importance. Dans certains cas, le capital informationnel constitue le cœur même de l’activité de l’entreprise (secteurs de l’assurance et de la banque, par exemple). Avec le développement des réseaux informatiques et leur fréquente ouverture sur l’extérieur via une connexion à Internet, les actifs de l’entreprise sont exposés à différentes menaces qui sont susceptibles d’avoir un impact négatif sur l’entreprise. Il faut donc repérer les éventuelles vulnérabilités et mettre en place des dispositifs de protection adaptés.

B- Les enjeux associés à la sécurité informatique

EnjeuExplicationExemple
La confidentialité des données sensibles (personnelles ou d’entreprise)Seuls les utilisateurs autorisés peuvent prendre connaissance des données ou accéder à certaines ressources.Les données relatives aux clients ne sont consultables que par les salariés de l’entreprise habilités à avoir accès à ces données. Leurs coordonnées, leur historique d’achats, leurs données financières… ne sont pas consultables par n’importe qui.
La disponibilité des ressourcesLes ressources sont accessibles et utilisables au moment où les utilisateurs en ont besoin.Les ressources informatiques devant être utilisées (le PGI…) sont effectivement opérationnelles et accessibles.
L’intégrité des données échangées ou partagéesLes données n’ont pas subi d’altération ou de modification, accidentelle ou délibérée, les rendant non conformes à ce qu’elles sont censées représenter.Un courrier électronique est strictement identique à celui envoyé par l’émetteur sans altération par un problème technique lors de la transmission ou de façon frauduleuse par un tiers.
L’authentification et la traçabilité de l’échangeL’identité des parties prenantes à un échange ou celle des utilisateurs d’une ressource partagée sur le réseau est garantie. Cela rend possible la traçabilité des opérations réalisées dans un système informatique.Il est possible d’avoir la certitude qu’un courrier électronique provenant d’un établissement financier n’a pas été émis par un tiers qui en usurpe l’identité. D’autre part, l’utilisateur à l’origine d’une opération dans le système informatique est identifiable.
La non-répudiation de l’échangeLes parties prenantes à un échange ne peuvent contester l’émission ou la réception d’un message.L’administration fiscale, dans le cadre des procédures de télédéclaration, délivre un document opposable attestant de la réalisation de la déclaration.

6.2.4 La prise en charge des risques informatiques

A- L’intérêt d’une veille en matière de sécurité

La concrétisation d’un risque informatique peut avoir un impact grave car les conséquences peuvent être :

  • une panne ou une interruption des services associés au SI ;  
  • une diminution de la qualité de service proposée aux utilisateurs et aux clients ;  
  • des perturbations internes de l’entreprise ;  
  • une perte d’image ou une dégradation de la notoriété ;  
  • un retard de la mise sur le marché d’un produit ;  
  • des fuites de technologies au profit de concurrents en cas d’espionnage économique.

Se tenir informé en matière de risques informatiques est donc primordial.

B- Les sources d’information associées aux risques informatiques

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) est un organisme qui assure notamment un service de veille, de détection et d’alerte aux attaques informatiques viason site https://www.ssi.gouv.fr  et le CERT-FR (Computer Emergency Response Teamhttp://cert.ssi.gouv.fr/).

  • Guide de bonnes pratiques de l’informatique, dédié aux PME (ANSSI).
  • « Bulletins de sécurité » des principaux éditeurs de logiciels, concernant leurs produits (failles de sécurité découvertes et corrigées, mises à jour à installer). Exemple : Microsoft via le site https://docs.microsoft.com/fr-fr/security-updates/

Il existe également de nombreux sites et blogs liés à la sécurité, ainsi que des articles de presse spécialisée.

C- Bénéficier de l’expertise d’un prestataire

La complexification des infrastructures informatiques, y compris pour les PME, et la multiplication des risques associés, notamment, à la criminalité informatique font que le recours à un prestataire de service est très fréquent.

Celui-ci peut intervenir de façon ponctuelle (vérification de la sécurité par un audit et des tests d’intrusion, conseil sur un problème ou une question particulière à traiter). Il peut également intervenir de façon récurrente (par exemple, dans le cas d’un contrat de maintenance). Le prestataire s’engage donc, selon les modalités définies dans un cahier des charges, à assurer le fonctionnement et le dépannage éventuel des outils informatiques mis en œuvre dans l’entreprise. Il peut également mettre en œuvre des dispositifs préventifs en matière de sécurité en fonction du périmètre d’intervention défini. Le contrat mentionne notamment la nature de la prestation réalisée et la tarification associée. Un engagement en termes de niveau de service peut également apparaître.

Exemple : un délai maximal d’intervention ou de rétablissement de service.

6.2.5 Les moyens mis en œuvre afin d’assurer la disponibilité du SI

Afin de garantir la sécurité des installations, plusieurs dispositifs permettant de maintenir leur disponibilité sont utilisés.

RisquesConséquences et dispositifs de sécurité associés
Coupure ou perturbation de l’alimentation électrique Les ressources ou les outils de travail ne sont plus utilisables. Du fait d’un arrêt brutal, des données peuvent être perdues ou corrompues (endommagées).Il faut mettre en place des onduleurs, qui jouent le rôle de « batteries » et permettent de maintenir serveurs et matériels de l’infrastructure considérés comme critiques en fonctionnement.
La sauvegarde doit permettre de faire face au risque de pertes de données. Elle constitue un dispositif fondamental et incontournable de toute politique de sécurité d’un système informatique. Elle consiste à dupliquer et conserver tout ou partie des données d’un système informatique afin de pouvoir faire face à une éventuelle destruction ou altération. En cas de sinistre, il sera possible de procéder à une restauration, c’est-à-dire d’utiliser les sauvegardes réalisées afin de remettre le système dans un état antérieur à l’altération.
La sauvegarde peut aussi être externalisée, les données étant régulièrement transmises vers les systèmes informatiques d’un prestataire via Internet.
Sinistres : incendies, inondations…
Selon leur ampleur, ils peuvent entraîner une destruction partielle ou totale des matériels permettant le fonctionnement du SI.
La sauvegarde reste le premier dispositif de sécurité à mettre en œuvre. Selon les moyens de l’organisation et le caractère critique de son activité, le recours à une infrastructure redondanteest également possible : les serveurs et autres installations critiques sont répliqués, éventuellement dans un ou plusieurs sites géographiques distants. Ils jouent le rôle de « miroir » et prennent le relais si nécessaire.
Pannes et dysfonctionnements
Les matériels informatiques comportent un risque de panne qui empêche alors d’accéder aux ressources.
Il faut assurer une maintenance préventive en les renouvelant avant la fin de leur durée de vie estimée. Des matériels redondants sont également utilisés. Par exemple, grâce à la technologie RAID(Redundant Array of Independent Disks), les serveurs comportent plusieurs disques durs sur lesquels les données sont dupliquées en temps réel. En cas de panne d’un des disques durs, il pourra être remplacé « à chaud », sans interruption du serveur, et les données resteront accessibles. Cela améliore donc la tolérance aux pannes mais ne se substitue pas à la sauvegarde, qui reste indispensable.
Une redondance des connexions à Internet peut également être réalisée (exemple : fibre optique/connexion de secours ADSL ou sans fil de type 4G).
Virus et programmes malveillants
Il existe une multitude de logiciels malveillants dont les effets sont très variés et pouvant aller jusqu’au blocage du SI ou la destruction de données.
Le recours à un antivirusainsi que la formation et la sensibilisation des utilisateurs (ne pas exécuter ou installer des logiciels non sûrs et/ou non validés par l’entreprise, être vigilant concernant les pièces jointes aux courriers électroniques, ne pas divulguer d’informations confidentielles) sont indispensables. Le paramétrage adéquat du pare-feu et du serveur mandataire peut également limiter les risques d’accès à des ressources susceptibles de propager virus et logiciels malveillants.

6.2.6 Les utilisateurs et la sécurité informatique

Les utilisateurs (commerciaux, comptables, cadres, …) constituent un maillon essentiel en matière de sécurité informatique. Sensibilisés et formés, ils contribuent directement à la sécurité informatique en évitant la concrétisation de certains risques. À l’inverse, en l’absence de prise en compte de la sécurité informatique (par négligence ou ignorance), ils peuvent être à l’origine d’erreurs ou de maladresses susceptibles d’engendrer des pertes de données ou de paralyser le système informatique et, par conséquent, le fonctionnement de l’entreprise.

A- L’authentification des utilisateurs

L’authentification des utilisateurs, grâce au serveur d’authentification, (AD server) est un préalable indispensable. Elle est le plus souvent réalisée grâce à un couple identifiant/mot de passe, et parfois à d’autres moyens tels que des cartes à puce ou le recours à la biométrie.

Cette authentification, qui permet d’attribuer les autorisations adaptées, est prédéfinie pour chaque utilisateur. L’accès aux ressources peut donc être différencié pour chacun.

Il est également possible de créer des groupes d’utilisateurs (LDAP) afin de faciliter la gestion des profils similaires. Dans ce cas, l’appartenance à un groupe d’utilisateurs permet d’hériter des autorisations d’accès définies pour ce groupe.

Exemple : sur les ressources, mais également sur les postes de travail, on distingue souvent les groupes d’utilisateurs, qui disposent d’autorisations limitées, et le groupe des administrateurs, qui disposent de droits plus étendus.

Les mots de passe des utilisateurs doivent rester strictement confidentiels, être conservés de façon sécurisée et modifiés régulièrement. Ils doivent également être suffisamment complexes en mélangeant chiffres, lettres, caractères spéciaux et casses différentes.

B- Les droits d’accès aux données

Grâce au réseau informatique et à l’authentification des utilisateurs, il est possible de paramétrer finement les droits d’accès associés aux ressources. Pour les fichiers et les dossiers, on distingue principalement les droits d’accès suivants :

– le droit en lecture seule permet d’accéder au fichier ou au dossier sans modification possible (seule la consultation est autorisée) ;

– le droit en lecture/écriture permet la modification et la suppression ;

– le droit d’exécution est particulier car il est essentiellement associé aux logiciels qui peuvent être lancés par l’utilisateur.

Si un droit d’accès n’est pas explicitement défini, l’utilisateur ne peut exploiter la ressource concernée.

C- Les droits d’accès aux applications

De la même façon qu’une authentification initiale est nécessaire pour accéder aux ressources partagées sur le réseau, il est possible de demander aux utilisateurs de s’authentifier lors de l’accès à certaines applications.

Exemple : lors du lancement du PGI, les identifiants de l’utilisateur spécifiques à cette application sont demandés. Ils sont différents de ceux d’autres applications.

Il est aussi possible de paramétrer les droits associés aux utilisateurs dans les applications elles-mêmes lorsqu’elles sont multi-utilisateurs.

On pourra, de la même façon, restreindre l’accès aux seuls modules du PGI nécessaires au poste occupé par le salarié.

D- Le rôle de l’administrateur

Un administrateur est un utilisateur particulier qui dispose de privilèges, c’est-à-dire de droits étendus ou de l’ensemble des droits associés à une ressource (système d’exploitation d’un serveur, application). Il peut être en charge de la gestion des utilisateurs (création, suppression, gestion de leurs droits) et du maintien du bon fonctionnement du réseau et des ressources proposées, éventuellement en collaboration avec un prestataire de services informatiques.

E- L’importance de la sensibilisation en matière de sécurité

La sensibilisation des utilisateurs peut prendre différentes formes :

– communiquer via un affichage, des messages électroniques ou des supports en présentant les principaux risques et les bonnes pratiques à mettre en œuvre ;

– former soit en interne, soit en recourant à un organisme spécialisé susceptible de mettre en œuvre des outils de communication pertinents (tests, jeux, séminaires…) ;

– recourir à un audit réalisé par un prestataire, qui évaluera notamment comment réagissent les salariés dans certaines situations, en effectuant des mises en situation.

L’existence d’une charte d’utilisation du système d’informationqui recense les règles de bon comportement lors de l’usage des moyens informatiques associés (dimension technologique du SI) peut également jouer un rôle prépondérant. Cette charte peut, par exemple, comporter des préconisations en matière :

– d’usage des ressources : utiliser et ne jamais communiquer ses mots de passe, ne pas contourner les dispositifs de sécurité, respecter les règles de sécurité, ne pas exploiter une éventuelle faille de sécurité dans le SI, faire preuve de vigilance… ;

– de protection de l’information : assurer la confidentialité des informations, faire preuve de discrétion, utiliser les outils adéquats, ne pas contourner les restrictions en place… ;

– de respect de la législation : ne pas porter atteinte au fonctionnement du SI, effectuer des copies illégales de certains logiciels…

6.2 Risques informatiques en entreprise