I.2. COMMENT ORGANISER LA SÉCURITÉ
La sécurité est le thème qui pose le plus
de problème à un administrateur système. En effet, avant
même de mettre en place des mesures pour se protéger, il faut
déterminer quelles types d'attaques l'on risque de subir (sans tomber
dans la paranoïa). Bien sûr, plus on va vouloir augmenter le niveau
de sécurité du réseau, plus les coûts vont
être importants, il va donc falloir trouver le bon compromis entre un
niveau de sécurité acceptable pour un budget donné. La
sécurité, étant donné son importance doit
répondre à des critères très stricts qui doivent
être bien définis dès le début de la mise en place
d'un réseau et qui doivent pouvoir suivre l'évolution constante
de la technique. Nous pouvons énumérer quelques bons
critères pour une mise en place d'une bonne sécurisation du
réseau :
o Une bonne architecture ;
o De bons outils ;
o Une bonne administration ;
o Et aussi de bonnes compétences pour les personnes en
charge du réseau.
I.3. PRINCIPES DE LA SECURITE
La sécurité présente les exigences
suivantes : I.3.1. Exigences fondamentales
La sécurité informatique c'est l'ensemble de
moyens mis en oeuvre pour réduire la vulnérabilité d'un
système contre les menaces accidentelles ou intentionnelles. Il convient
d'identifier les exigences fondamentales en sécurité
informatique. Elles caractérisent ce à quoi s'attendent les
utilisateurs de système informatiques en regard de la
sécurité :
o Disponibilité : demande que l'information sur le
système soit disponible aux autorisées.
o Confidentialité : demande que l'information sur le
système ne puisse être lue que par les personnes
autorisées.
o Intégrité : demande que l'information sur le
système ne puisse être modifiée que par les personnes
autorisées.
La sécurité recouvre ainsi plusieurs
aspects :
o Intégrité des informations (pas de modification
ni destruction) ;
o Confidentialité (pas de divulgation à des tiers
non autorisés) ;
o Authentification des interlocuteurs (signature) ;
o Respect de la vie privée (information et
liberté).
Du point de vue sécurité informatique, une
menace est une violation potentielle de la sécurité. Cette menace
peut être accidentelle, intentionnelle (attaque), active ou passive.
I.3.2. Etudes des risques
7
Les coûts d'un problème informatique peuvent
être élevés et ceux de la sécurité le sont
aussi. Il est nécessaire de réaliser une analyse de risque en
prenant soin d'identifier les problèmes potentiels avec les solutions,
avec les coûts associés. L'ensemble de solutions retenues doit
être organisé sous forme d'une politique de sécurité
cohérente, fonction du 10 niveau de tolérance au risque. Nous
obtenons ainsi la liste de ce qui doit être protégé.
Ménace * Vulnerabilité
Voici quelques éléments pouvant servir de base
à une étudede risque :
ü Quelle est la valeur des équipements, des
logiciels et surtout des informations ?
ü Quel est le coût et le délai de remplacement
?
ü Faire une analyse de vulnérabilité des
informations contenues sur les ordinateurs en réseau (programmes
d'analyse des paquets, logs...).
ü Quel serait l'impact sur la clientèle d'une
information publique concernant des intrusions sur les ordinateurs de la
société ?
|