ATELIER JUR@TIC Dormir tranquille à l’heure d’Internet !
Village numérique Jur@TIC
Atelier Dormir tranquille
Sommaire • • • •
Qu’est-ce qu’un Atelier Jur@TIC » Généralité sur la sécurité, Sécurité et Internet, Dormir tranquille en externalisant des tâches informatiques ! • Externaliser les ressources matériels et données, • Dormir tranquille avec ses données ! Village numérique Jur@TIC
Atelier Dormir tranquille
Qu’est-ce qu’un « Atelier Jur@TIC » Présentation d’un grand thème de façon globale : – – – –
Avantages / inconvénients Limites, Quand mettre en place une solution, Comment préparer une entreprise.
Village numérique Jur@TIC
Atelier Dormir tranquille
Généralités sur la sécurité
Village numérique Jur@TIC
Atelier Dormir tranquille
Pourquoi se protéger ? • Dans un contexte de compétitivité économique mondial: - il faut savoir affronter ses concurrents - surmonter des situations de crises (intentionnel ou non) - des menaces (perte de données, destruction de données, intrusion, crédibilité, …). • Il faut évaluer les risques, réduire sa vulnérabilité, sécuriser son entreprise et son informatique. • Il faut assurer la pérennité des données. • Il faut définir des processus de redémarrage après un sinistre (et les tester !). Village numérique Jur@TIC
Atelier Dormir tranquille
Quoi protéger ? L’environnement physique de l’entreprise, les données ou informations du savoir-faire de l’entreprise : • Le bureau étude • La fabrication • Les achats • Le commercial Evaluer les données qui sont importantes à protéger. Sécurisation physique des ordinateurs en déplacement = sensibiliser les salariés qui se déplacent avec des ordinateurs (salon, déplacement occasionnel, train, taxis, …).
Village numérique Jur@TIC
Atelier Dormir tranquille
De qui se protéger ? La concurrence, l’ignorance, les forces majeures, les vandales, les pirates. Exemple d’incarnation potentiel du risque stagiaire, intérimaire, personnel malveillant, personnel de nettoyage, visiteur. Village numérique Jur@TIC
Atelier Dormir tranquille
Quoi protéger ? L’environnement physique de l’entreprise, les données ou informations du savoir-faire de l’entreprise : Accès aux locaux
• Le bureau étude • La fabrication • Les achats • Le commercial
Village numérique Jur@TIC
En interne (système de fichiers, supports amovibles)
• Liens avec l’extérieur (EDI, site internet marchand) (sécurisation des échanges et du système informatique) • Connexion nomade (force de vente) (sécurisation des échanges) Atelier Dormir tranquille
Comment protéger l’entreprise ? physique (caméra de L’environnement physique• Intrusion de l’entreprise, les données surveillance, système d’alarme, onduleur) • Identification des personnes et définition ou informations du savoir-faire de l’entreprise : des zones d’accès (bureaux fermés, ordinateurs éteints, accès aux machines réglementés, impression maitrisée)
• Le bureau étude • La fabrication • Les achats
• En interne pour le personnel formation du personnel, gestion de profils, droits d’accès, charte informatique, bonnes pratiques • Pour les ordinateurs uniformiser le parc informatique (matériel et logiciel), centraliser les outils de sécurité (pare-feu, antivirus) • Liens avec l’extérieur (VPN, Cryptage)
• Le commercial • Liens avec l’extérieur (EDI, site internet marchand) (sécurisation des échanges et du système informatique) • Connexion nomade (force de vente) (Sécurisation desAtelier échanges) Village numérique Jur@TIC Dormir tranquille
Sécurité et Internet
Village numérique Jur@TIC
Atelier Dormir tranquille
Sécurité et Internet Un réseau public où circulent des usagers parfois malveillants dont il convient de se protéger Village numérique Jur@TIC
Atelier Dormir tranquille
Filtrer les échanges avec Internet • par un firewall
• par un proxy
Village numérique Jur@TIC
Atelier Dormir tranquille
Interconnexion de réseaux privés et distants réseaux privés virtuels (VPN Virtual Private Network)
Village numérique Jur@TIC
Atelier Dormir tranquille
Sécurité et courrier électronique •
2 solutions pour gérer ses boites aux lettres 1. Courrier chez le fournisseur d'accès interne Gestion de bons mots de passe, 2. Serveur de messagerie interne
Ne pas être relais ouvert
•
Les bonnes pratiques • • • • •
Respect des volumes, Maîtrise des listes de diffusion Vérifier la nature des pièces jointes Etre vigilant aux usurpations d’adresse Attention au « social Engineering »
Village numérique Jur@TIC
Atelier Dormir tranquille
Le spam (pourriel) •
• •
Envoi massif et parfois répété de courriers électroniques non sollicités à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact au préalable, et dont il a capté l’adresse électronique façon irrégulière. Messages peu coûteux à l’envoi mais coûteux pour le destinataire. Le spam en quelques chiffres – 100% : croissance du coût du spam chaque année – 42 milliards de $ : coût global pour les entreprises au niveau mondial en 2004, 200 milliards de $ en 2007 – 600 à 1000 $ : coût par an et par salarié – Plus des 3/4 du volume total et mondial d’e-mails envoyés – 85% des spams reçus en France sont rédigés en langue anglaise (7% en français) – 60% proviennent des Etats-Unis
Village numérique Jur@TIC
Atelier Dormir tranquille
Se prémunir contre le spam • Ne rien acheter par l’intermédiaire de publicité faite par un spam (des études indiquent que 29% des utilisateurs le font). • Ne jamais répondre à un spam. • Ne pas mettre d’adresses électroniques sur les sites webs mais les encoder par un script ou dans une image. • Etre prudent dans le remplissage de formulaires demandant des adresses électroniques; on peut parfois utiliser des adresses « jetables ». • Protection au niveau du client de messagerie (gestion des "indésirables")
Village numérique Jur@TIC
Atelier Dormir tranquille
Protection contre le spam sur les serveurs de messageries • Protection délicate: la frontière entre un courriel et un pourriel n’est pas toujours franche et il ne faut pas rejeter des courriers réels. • Gestion de listes blanches • Gestion de listes noires: – Manuellement – Par utilisation de bases de données de relais ouverts
Village numérique Jur@TIC
Atelier Dormir tranquille
Les dangers du surf sur le WEB • Le phishing (hameçonnage) Un site WEB est cloné par un pirate pour tromper un internaute et lui extorquer des informations confidentielles L’adresse n’est pas l’adresse réelle du site WEB, mais l’adresse du serveur sur lequel a été installé le clone. Les victimes sont contactées au hasard, mais statistiquement un utilisateur peut avoir l'impression de recevoir un courrier d'un site qui lui est familier (banque,…).
Village numérique Jur@TIC
Atelier Dormir tranquille
Exemple de phishing
Village numĂŠrique Jur@TIC
Atelier Dormir tranquille
Les virus • Portion de code inoffensive ou destructrice capable de se reproduire et de se propager. • Différents types de virus: – Virus boot – Virus dissimulé dans les exécutables – Macro virus
• Différentes contaminations possibles: – Échange de disquettes, de clés USB – Pièces jointes au courrier électronique – Exécutables récupérés sur Internet
Village numérique Jur@TIC
Atelier Dormir tranquille
Les chevaux de Troie • Très répandus • Permettent de prendre le contrôle à distance d’un ordinateur • Conçus par des pirates ou des groupes mafieux pour servir de base d’attaque pour commettre d’autres méfaits (dénis de service, spam) • Présents dans de nombreux logiciels piratés sur les réseaux peer-to-peer
Village numérique Jur@TIC
Atelier Dormir tranquille
Les spywares • Un spyware ("espiogiciel") est un logiciel qui collecte d informations d'une machine et les envoie à l'insu de l'utilisateur sans son consentement. • 80% des PC étudiés contenaient au moins 1 spyware • Un PC héberge en moyenne 93 spywares. • 90% des personnes interrogées n'ont jamais entend parler de spyware. • "adware" : logiciel d'affichage de publicité • "malware" : "pourriciel", logiciels hostiles
Village numérique Jur@TIC
Atelier Dormir tranquille
Techniques d'infection et actions des spywares • Installation « volontaire » (par acceptation) en même temps qu'un logiciel légitime (KaZaA, codec DivX, barre d’outils, économiseur d’écran) • Comportement anormal de la machine: – – – –
Fenêtres "popup" intempestives. Page d'accueil du navigateur modifiée. Apparitions d'icônes sur le bureau. Connexions à Internet intempestives, trafic réseau anormal.
• Beaucoup de programmes existent pour éliminer les spywares. Village numérique Jur@TIC
Atelier Dormir tranquille
Conseils • Ne pas consulter des sites douteux. • Ne pas ouvrir les courriers électroniques suspects • Sensibiliser les utilisateurs sur les risques liés à l'installation de logiciels (barres d’outils, économiseurs d’écran, codec DivX, …) • Inciter les utilisateurs à signaler l'infection de leur machine par un spyware ou un virus • Utiliser des outils de protections (antivirus, antispyware) • Limiter la diffusion de son adresse électronique Village numérique Jur@TIC
Atelier Dormir tranquille
Dormir tranquille en externalisant des tâches informatiques !
Village numĂŠrique Jur@TIC
Atelier Dormir tranquille
Externalisation : Pour qui ? • Pour les sociétés qui ne souhaitent pas employer un informaticien et qui ont des besoins mesurés, • Pour les sociétés ayant des ressources en interne ne répondant pas à certains besoins spécifiques.
Village numérique Jur@TIC
Atelier externalisation
Externalisation : Quels type de contrats ? • • • • •
A la tâche, Au temps passé, Au forfait, En temps partagé, Intérimaire.
Village numérique Jur@TIC
Atelier externalisation
Externalisation : Pour quoi faire ? • • • • • • • • • • •
Développement d'applications spécifiques, Installation, mise à jour, maintenance de matériel et logiciel, Formation, Audit, conseil, Traitement et exploitation de données, Sécurisation de données, Sauvegarde et archivage de données, Mailing, Communication, Prospection, …
Village numérique Jur@TIC
Atelier externalisation
Comment le faire ? (sous quels formes) • Bien définir le projet : tâches, temps, délai de livraison, objectifs, livrable, droit d'auteur, rôle de chacun, budget • Trouver le prestataire adéquat, • Définir un référent dans l'entreprise • Accompagner en interne le projet (fournir les éléments nécessaires dans les temps)
Village numérique Jur@TIC
Atelier externalisation
Externaliser les ressources matériels et données
Village numérique Jur@TIC
Atelier Dormir tranquille
Le serveur dédié • Dédié ? • L'intégralité du serveur, de ses ressources vous sont réservées. Vous l'utilisez comme bon vous semble.
• Dans ce cas, pourquoi pas dans mes locaux ? – – – –
Financement Disponibilité Infrastructure spécialisée (datacenter) Services additionnels
Village numérique Jur@TIC
Atelier Dormir tranquille
Technologie • Autopsie d'une application • Deux solutions d'internalisation : • ASP :Application service providing • Architecture N tiers
Village numérique Jur@TIC
Atelier externalisation
Trois niveaux • Des applications sur chaque ordinateur, • Un serveur dans l’entreprise qui centralise les applications, • Un serveur externalisé qui propose les applications
Village numérique Jur@TIC
Atelier externalisation
Avantages inconvénients • • • • •
Objectifs : minimiser le coût de la mise en place et de la gestion des logiciels et des données Bénéfices : limiter le nombre de licences, limiter ou abandonner les serveurs dans l’entreprise Même enjeu que la délocalisation de taches dans une entreprise, Évolution des applications et mise à jour plus faciles à gérer (centralisation de l’informatique sur un point), Besoins de compétences informatiques moindre
Village numérique Jur@TIC
Atelier externalisation
Risques pour une entreprise
• Les conditions du contrat qui lie l’entreprise à son fournisseur • La propriété des données
Village numérique Jur@TIC
Atelier externalisation
Pré-requis et financement de solutions •
Pré-requis : – – – –
•
Organisation interne Logiciel Technique Impressions
Limites : – Applications – Sensibilité et propriété – Accès à l'internet
•
Financement de solution – Passage d'une vision d'investissement à une location de service à la demande – Maitrise des couts et maintenance de la trésorerie – Amélioration du rapport qualité prix
Village numérique Jur@TIC
Atelier Dormir tranquille
Dormir tranquille avec ses donnĂŠes !
Village numĂŠrique Jur@TIC
Atelier Dormir tranquille
La sauvegarde externalisée •
Systématisation de la sauvegarde (absence d'intervention humaine)
•
Garantie de disponibilité et de restauration
•
Tarifs similaires à de la sauvegarde sur bande
•
Automatiquement un jeu en dehors des locaux
•
Fiabilité par rapport à des supports amovibles (CD/DVD, disquettes, clés USB)
•
Valable pour de petits volumes (vous connaissez une solution pour 2 Go ?)
Village numérique Jur@TIC
Atelier Dormir tranquille
Comment sécuriser, sauvegarder et archiver ses données ? •
Les risques d'un perte de données pour mon entreprise
• • •
Quels sont les risques pour mon entreprise ? Combien de temps puis-je me passer d'informatique ? Combien de temps et/ou d'argent suis-je prêt à sacrifier pour récupérer mes données ?
•
Identifier les données
• •
Fréquence des sauvegardes Quelles données ? (états des systèmes d'exploitation, programmes des commandes numériques, …) Quelle volume ? Temps de rétablissement admissible
• •
=> Moyens de prévention en fonction de l'enjeu Village numérique Jur@TIC
Atelier Dormir tranquille
Comment sécuriser, sauvegarder et archiver ses données ? Disquette CD/DVD
Bande magnétique
Sauvegarde à distance
Clé USB
Fiabilité du support
--
-
++
+++
++
Solidité du support
--
+
+
+++
+
Rapidité des restaurations
---
++
++
+
+++
Externalisation des données
*
*
*
+++
*
Facilité de restauration
++
++
+
+++
++
Capacité de sauvegarde
---
-
++
+++
+
Coût d'utilisation
++
++
-
++
+
Coût d'investissement
++
++
--
+++
++
--
--
+
++
--
Confidentialité des données
* Dépend de l'utilisation qui est faite du support Village numérique Jur@TIC
Atelier Dormir tranquille
Comment sécuriser, sauvegarder et archiver ses données ? •
En terme de coût : Globalement identique sauf que le lecteur de bande est un investissement et la sauvegarde externalisée est une location
•
En terme de sécurité : L'externalisation est sécurisée par cryptage (côté client et transport) alors que la sécurisation de la bande dépend de son transport et de son Stockage
•
En terme de restauration : L'externalisation dépend de la 'taille du tuyau' (Intérêt d'un prestataire local) tandis que la bande est toujours disponible.
•
En terme de capacité : Si le volume dépasse la capacité, vous devrez remplacer le lecteur et les bandes. Souplesse d'une solution externalisée.
•
Facteur humain : La bande doit être changée tous les jours (sauf robot), sortie des locaux, remplacée tous les 6 mois et testée régulièrement. Et si la personne qui s'en occupe est malade ou en congés ?
Village numérique Jur@TIC
Atelier Dormir tranquille
Comment sécuriser, sauvegarder et archiver ses données ? •
PRA = Plan de reprise d'activité
• •
Evaluation des scénarios catastrophes Mise en place des procédures pour y répondre
•
L'entreprise peut faire son auto-évaluation mais un oeil extérieur est toujours souhaitable.
•
Quelques exemples : – Mon ordinateur prend la foudre – Dégâts des eaux – Départ d'incendie dans mon local serveurs
Village numérique Jur@TIC
Atelier Dormir tranquille
Comment sécuriser, sauvegarder et archiver ses données ? •
La sécurité est l'affaire de tous
•
(In)formation des collaborateurs sur le fonctionnement du S.I. = responsabilisation La charte informatique, le recours légal au delà de la technique Et mes fournisseurs et sous-traitants ?
• •
• •
C'est un jeu de matriochkas (tout s'imbrique) Sécurité depuis l'extérieur, depuis l'intérieur, personnel, données, tout ne fait qu'un !
Village numérique Jur@TIC
Atelier Dormir tranquille
« Atelier Jur@TIC Sécurité » réalisé par : •
Jean-Claude Louis, société Netmind
•
Xavier Richard, société Arilog
•
Julien Escario, société Azylog
Village numérique Jur@TIC
Atelier Dormir tranquille