Comprendre

Inscrivez-vous

Agrandir l'image

COMPRENDRE

Sécurité : Cinq briques pour bien se protéger

Une politique de sécurité n'apporte rien. Mais elle évite de perdre tout. Et s'il est difficile dans une petite entreprise de se prémunir contre tous les dangers, il est possible de limiter les risques au maximum, en s'appuyant sur cinq briques qui formeront un mur déjà sérieux.

La formation des utilisateurs
La première exigence pour se protéger est organisationnelle. Se doter d'une charte informatique se révèle parfois aussi efficace qu'acheter les meilleurs outils. Chaque utilisateur doit comprendre qu'il est le maillon d'une chaîne qui cédera s'il ne respecte pas quelques règles fondamentales, car les virus se répandent très vite sur le réseau dès qu'ils ont infecté une machine. Parmi ces règles : ne jamais ouvrir un fichier joint à un courriel qui possède une extension inconnue ou qui émane d'un utilisateur que l'on ne connaît pas, ne pas noter ses mots de passe sur un Post-It collé à l'écran, éviter de répondre à un pourriel (spam) pour ne pas confirmer à l'émetteur que l'adresse qu'il a composée, peut-être au hasard à l'aide d'un moteur automatique, est attribuée...

Un antivirus complet
Si ne pas mettre le réseau en danger est une bonne chose, cela ne résout pas tous les problèmes. L'ouverture du réseau sur Internet multiplie les portes d'entrée pour les virus. L'antivirus est la brique de base d'une politique de sécurité. Son rôle est de repérer les contenus malveillants pour les mettre en quarantaine ou les supprimer. Compte tenu du re- nouvellement incessant des virus, les mises à jour quotidiennes des nouvelles bases de signatures sont obligatoires. Installé, dans l'idéal, sur le serveur de messagerie comme sur chaque poste de travail, l'antivirus tend à intégrer toujours plus de fonctions. Parmi elles, l'antispam vise à éradiquer des boîtes aux lettres électroniques les courriels non sollicités. L'antispyware supprime les logiciels espions qui tentent de capter les mots de passe de l'utilisateur ou d'observer sa navigation Web pour lui envoyer des fenêtres de publicité correspondant à ses sources d'intérêt. L'antiphishing, enfin, s'attaque aux courriels qui renvoient vers des faux sites Web de banques ou de services en ligne pour tenter d'extorquer à l'internaute ses coordonnées bancaires.

Se prémunir des intrusions
Autre outil indispensable à l'entrée du réseau local de l'entreprise, le pare-feu analyse et filtre les flux qui entrent et qui sortent. L'administrateur du système choisit d'ouvrir ou de fermer un certain nombre de ports qui correspondent chacun à un protocole de communication : http (port 80) pour le trafic Web, FTP (port 21) pour le transfert de fichiers volumineux, Telnet (port 23) pour l'administration et donc la prise de contrôle à distance, etc. Un pare-feu sophistiqué ne se contentera pas de filtrer les flux selon leur numéro de port, il vérifiera aussi que chaque trame réseau observe bien les spécifications du protocole qu'elle prétend respecter. Autrement dit, il bloquera les flux illégitimes déguisés en flux autorisés. Dans l'idéal, le pare-feu sera même « applicatif », c'est-à-dire capable de bloquer les trames réseaux transportant des soi-disant contenus applicatifs conformes en réalité à aucune application. Un parefeu encore plus sophistiqué intégrera aussi des fonctions d'analyse comportementale, capables, par exemple, de repérer les attaques découpées en plusieurs morceaux pour passer discrètement avant de se reconstituer sur un serveur ou sur un PC.

Authentifier
Sécuriser son informatique, c'est aussi compliquer l'accès aux données pour les utilisateurs qui n'ont aucun droit. Ce qui passe par une politique d'identification et d'authentification qui peut intervenir à de multiples niveaux. On peut protéger l'accès au poste de travail, à la messagerie, à un service, à un site Web, à un fichier... Trois niveaux d'authentification sont traditionnellement distingués. On peut vérifier que l'utilisateur est bien celui qu'il prétend être en se basant sur ce qu'il doit savoir (un identifiant et un mot de passe), sur ce qu'il possède (une carte à puce, une clé USB d'identification) ou sur ce qu'il est (analyse biométrique). Bien sûr, ces trois moyens d'authentification peuvent être combinés en fonction de la criticité des données à protéger

Créer des réseaux privés virtuels
L'interconnexion de sites distants et les connexions des utilisateurs nomades peuvent apparaître comme le dernier segment du réseau à protéger. Pour permettre à un client ou à un fournisseur d'accéder à une application, on peut, par exemple, être amené à lui ouvrir le réseau. Pour que cela se fasse sans aucun risque, on établira des réseaux privés virtuels (RPV), véritables tunnels traversant l'Internet public en toute sécurité grâce à une double opération d'authentification des deux extrémités et de chiffrement des flux. Le RPV peut être établi entre deux applications par le biais du protocole SSL (Secure Socket Layer) ou entre équipements (routeurs, pare-feu) grâce à IPSec. Les opérateurs proposent également désormais cette fonction sous forme de service.


Sur le même sujet :

Opinion : « Interdire l'usage est une erreur ».