La sécurité informatique dans la petite entreprise

Ce livre sur la sécurité informatique dans la petite entreprise (PME) s’adresse aux administrateurs systèmes et réseaux et plus généralement à
toute personne appelée à participer à la gestion de l’outil informatique dans ce contexte (chef d’entreprise, formateur...).
L’auteur identifie les menaces qui rendent l’entreprise vulnérable : menaces externes (Internet) ou internes, logiciels malveillants et attaques
affectant le système d’information. Il présente les contraintes en terme de compétitivité et vis-à-vis de la loi qui imposent aux responsables de
protéger les données stockées ou en transfert.
Et bien sûr, il détaille les solutions efficaces à mettre en œuvre en rapport avec la criticité des informations, le contexte de l’entreprise et sa taille.
En effet, différentes technologies existent tant sur la partie système que réseau et demandent à être gérées à l’aide de pratiques simples et d’un
minimum de bon sens pour garantir l’intégrité, la confidentialité, la disponibilité des données et des applications.
Sensibiliser le lecteur à tous ces aspects de la sécurité l’aidera à mieux maîtriser les outils dont il dispose notamment pour la gestion des
comptes d’accès aux serveurs et aux postes de travail. Les recommandations décrites dans ce livre couvrent les domaines du réseau, du
système, de la sauvegarde et aussi les solutions de reprise de l’activité métier.
La survie de l’entreprise est à la mesure des précautions mises en œuvre.
Ce livre numérique a été conçu et est diffusé dans le respect des droits d’auteur. Toutes les marques citées ont été déposées par leur éditeur respectif. La loi du 11 Mars
1957 n’autorisant aux termes des alinéas 2 et 3 de l’article 41, d’une part, que les “copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées
à une utilisation collective”, et, d’autre part, que les analyses et les courtes citations dans un but d’exemple et d’illustration, “toute représentation ou reproduction intégrale,
ou partielle, faite sans le consentement de l’auteur ou de ses ayants droit ou ayant cause, est illicite” (alinéa 1er de l’article 40). Cette représentation ou reproduction, par
quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal. Copyright Editions ENI
La sécurité informatique
dans la petite entreprise
JeanFrançois CARPENTIER
Résumé
L'auteur
Jean-François Carpentier est ingénieur en système d’information depuis près de 30 ans. Titulaire d’un diplôme d’ingénieur DPE, il exerce
son activité au sein de grands comptes de l’industrie et des services. Il œuvre aussi dans les domaines techniques et fonctionnels des
systèmes dans des environnements complexes. Il utilise aussi ses qualités pédagogiques dans la formation pour un public d’adultes.
- 1 -© ENI Editions - All rigths reserved - Jonifar lina
1

Avantpropos
Ce livre sur la sécurité informatique dans les petites entreprises s’adresse à tout administrateur systèmes et réseaux,
à toute personne ayant à gérer l’outil informatique, chefs d’entreprise de type TPE ou PME/PMI qui souhaitent protéger
leur système d’information des principales menaces. Il peut aussi aider des formateurs à sensibiliser les futurs
professionnels aux bonnes pratiques à acquérir.
En effet, l’outil informatique fait partie intégrante du métier de l’entreprise, car incontournable. Il est cependant
vulnérable aux menaces externes (Internet) ou internes, aux logiciels malveillants et attaques affectant son système
d’information.
D’autre part des raisons de compétitivité et légales imposent aux responsables de protéger les données stockées ou
en transfert. La protection des systèmes requiert de mettre en œuvre des solutions efficaces en rapport avec la criticité
des informations utilisées, du contexte de l’entreprise et de sa taille.
Différentes technologies existent tant sur la partie système que réseau et demandent à être gérées efficacement à
l’aide de pratiques simples et de bon sens de façon à garantir l’intégrité, la confidentialité, la disponibilité des données
et des applications.
La gestion des comptes d’accès aux serveurs et postes de travail, associée à une sensibilisation à la sécurité pourra
aider les administrateurs système à mieux maîtriser leur outil.
Les recommandations décrites dans cet ouvrage couvrent les domaines du réseau, des systèmes, de la sauvegarde et
les solutions de reprise de l’activité métier. La survie de l’entreprise est à la mesure des précautions mises en œuvre.
L’approche de ce livre est de présenter des informations glanées à partir d’expériences professionnelles dans
différents environnements dans le cadre de l’administration de systèmes et de réseaux.
La lecture de cet ouvrage réclame une connaissance de base dans la connaissance des réseaux et des systèmes
d’exploitation, principalement de Windows.
2

Préface
Cet ouvrage a pour vocation de présenter l’état de l’art et les bonnes pratiques de la mise en place de la sécurité
informatique dans une société du type PME (Petites et Moyennes Entreprises) disposant de moyens limités. Il est
destiné à être en cohérence avec la norme ISO 27001 sous une forme pratique à l’usage des personnels responsables
du système d’information.
Les informations présentées dans l’optique d’une meilleure gestion des serveurs et des postes de travail ne se
substituent pas aux documents techniques des constructeurs et éditeurs de logiciels ou de système d’exploitation, il
s’agit d’un complément plus fonctionnel.
En conséquence, le lecteur de cet ouvrage est invité à consulter les documents techniques mis à sa disposition lors de
la réception des matériels et logiciels.
3

Introduction
L’univers des systèmes d’information composé de réseaux et de systèmes informatiques prend un rôle et une place
chaque jour plus important dans les entreprises.
Cependant, l’actualité présentée par les médias nous démontre que le système d’information est vulnérable et qu’il
peut subir des piratages, des attaques (virus, hackers…), des pertes de données, des sinistres. Il est donc
indispensable pour les entreprises de savoir définir et de garantir la sécurité de ses ressources informatiques.
La sécurité des systèmes définie dans cet ouvrage doit constituer le moyen de protéger dans un sens large le système
d’information ou de minimiser les risques encourus par l’entreprise dans l’usage de l’outil informatique.
Les nécessités de sécuriser son système d’information
Certains facteurs peuvent apparaître de l’ordre de l’évidence comme la nécessité de protéger une partie opérationnelle
de l’entreprise. Toutefois, l’ensemble des menaces n’est pourtant pas toujours bien identifié.
Par contre, d’autres sont souvent méconnues comme les obligations et responsabilités légales des dirigeants
d’entreprise dans l’exploitation et la maîtrise de leur système d’information.
Ces exigences impliquent la mise en place d’une protection des systèmes sous la forme d’une politique de sécurité
avec :
q l’élaboration de règles et procédures,
q la définition des actions à entreprendre et des personnes responsables,
q la détermination du périmètre concerné.
Ce périmètre comprend à la fois les données aussi bien sous forme électronique que papier (fichiers, messages…), les
transactions dans les réseaux, les applications logicielles et bases de données. Il ne faut pas oublier l’aspect continuité
des services du traitement de l’information et les plans de reprise d’activité après sinistre.
Les principes de base et objectifs principaux, la mise en œuvre
La sécurité des données couvre quatre objectifs principaux, et est représentée sous forme d’acronymes (C.I.D.P) :
q La disponibilité est l’assurance que les personnes autorisées ont accès à l’information quand elles le
demandent ou dans les temps requis pour son traitement.
q L’intégrité est la certitude de la présence non modifiée ou non altérée d’une information et de la complétude
des processus de traitement. Pour les messages échangés, il concerne la protection contre l’altération
accidentelle ou volontaire d’un message transmis.
q La confidentialité est l’assurance que l’information n’est accessible qu’aux personnes autorisées, qu’elle ne
sera pas divulguée en dehors d’un environnement spécifié. Elle traite de la protection contre la consultation de
données stockées ou échangées. Cela est réalisable par un mécanisme de chiffrement pour le transfert ou le
stockage des données.
q La preuve consiste à garantir que l’émetteur d’une information soit bien identifié et qu’il a les droits et les
accès logiques, que le récepteur identifié est bien autorisé à accéder à l’information.
D’autres principes de sécurité peuvent être établis, il s’agit de :
q La nonrépudiation, considérée comme le cinquième principe, a été introduite dans la norme ISO 74982 comme
un service de sécurité pouvant être rendu par un mécanisme comme la signature numérique, l’intégrité des
données ou la notarisation. L’élément de la preuve de nonrépudiation doit permettre l’identification de celui
qu’il représente, il doit être positionné dans le temps (horodatage), il doit présenter l’état du contexte dans
lequel il a été élaboré (certificats).
q L’authentification est le moyen qui permet d’établir la validité de la requête émise pour accéder à un système.
L’authenticité est la combinaison d’une authentification et de l’intégrité.
q Les mécanismes de chiffrement procèdent du principe que l’émetteur et le récepteur conviennent d’un mot de
passe connu d’eux seuls. L’émetteur utilise ce mot de passe comme clé de chiffrement pour le message à
transmettre, seul le récepteur qui connaît ce mot de passe peut l’utiliser comme clé pour déchiffrer le message
4

et y accéder.
Les objectifs de base peuvent être traités sous la forme de solutions de sécurité sous la forme de matériels, de
logiciels, de procédures, de support opérationnel pour :
q l’intégrité des données et la confidentialité : gestion des accès physiques et logiques, sécurité des réseaux,
q la disponibilité : redondance des systèmes et du stockage des données, sauvegarde et archivage des
données.
Les propositions d’amélioration de la sécurité, associées aux bonnes pratiques à mettre en place dans l’environnement
d’une entreprise sont traitées dans cet ouvrage.
- 2 - © ENI Editions - All rigths reserved - Jonifar lina
5

Les domaines et normes associés
La mise en œuvre de solutions de protection et de sécurité requiert de prendre des références par rapport à des
normes ou des préconisations.
1. Les bonnes pratiques ITIL (Information Technology Infrastructure Library)
ITIL se compose d’un ensemble de livres qui liste, condense et présente les meilleures pratiques à utiliser dans le
cadre de l’ensemble des services informatiques dédiés à une entreprise. Elle se décline en plusieurs versions depuis
ses origines. La plus récente est la version N°3.
La méthodologie décrite en version 2 est composée des processus suivants :
Service Support Support des Services, il s’agit de la gestion opérationnelle des services. Il comprend les thèmes
suivants :
q Centre de Services (Service Desk)
q Gestion des Incidents (Incident Management)
q Gestion des Problèmes (Problem Management)
q Gestion des Configurations (Configuration Management)
q Gestion des Changements (Change Management)
q Gestion des Mises en Production (Release Management)
Service Delivery Fourniture des Services, cet ensemble de processus concerne les aspects contractuels et
l’amélioration des services à long terme :
q Gestion des Niveaux de Service (Service Level Management)
q Gestion des Capacités (Capacity Management)
q Gestion Financière des Services de l’Information (Financial Management for IT Services)
q Gestion de la Disponibilité (Availability Management)
q Gestion de la Continuité des Services de l’Information (IT Service Continuity Management)
La version 3 s’inscrit dans un domaine plus large et comprend les processus suivants :
Stratégie des Services (Service Strategy)
q Définition Stratégique (Strategy Generation)
q Gestion financière des services (Financial Management)
q Gestion de la demande (Demand Management)
q Gestion du portefeuille des services (Service Portfolio Management)
Conception de Service (Service Design)
q Gestion du catalogue des services (Service Catalogue Management)
q Gestion des niveaux de service (Service Level Management)
6

q Gestion des fournisseurs (Supplier Management)
q Gestion de capacité (Capacity Management)
q Gestion de la disponibilité (Availability Management)
q Gestion de la continuité de service (IT Service Continuity Management)
q Gestion de la sécurité (Information Security Management)
Transition des Services (Service Transition)
q Transition Planning and Support
q Gestion des Changements (Change Management)
q Gestion des Actifs et des Configurations (Service Asset and Configuration Management)
q Gestion des Mises en Production et Déploiements (Release and Deployment Management)
q Gestion des tests et validation (Validation and Testing Management)
q Évaluation
q Gestion de Connaissance (Knowledge Management)
Exploitation des Services (Service Operation)
q Gestion des événements (Event Management)
q Gestion des incidents (Incident Management)
q Gestion des problèmes (Problem Management)
q Exécution des requêtes (Request Fulfilment)
q Gestion des accès (Access Management)
Amélioration continue de Service (Continual Service Improvement)
Il s’appuie sur les processus suivants :
q Évaluation de la qualité de service
q Évaluation des processus mis en place
q Développement des initiatives d’amélioration des services et des processus
q Surveillance des initiatives d’amélioration, mesures de correction
Dans l’optique de cet ouvrage, les processus suivants en lien avec la sécurité informatique peuvent être utilisés dans
le cadre de la gestion de systèmes dans une PME :
q La gestion des configurations.
q La gestion de la disponibilité.
7

q La gestion des applications Elle traite du cycle de développement de ces applications.
q La gestion de la sécurité Elle comporte les aspects de sécurité, de manière transversale, avec les autres
processus.
La CMDB (Configuration Management DataBase) est une base de données, pierre angulaire de la gestion des
configurations. Elle présente une vue complète des composants de l’infrastructure informatique et des services rendus
dans l’environnement d’une entreprise.
Elle doit comporter, a minima, les informations sur :
q le matériel et les logiciels des composants des serveurs, des unités de stockage et de sauvegarde, du réseau,
q les systèmes d’exploitation avec leurs versions et les outils associés,
q les applications du marché avec leurs versions (SGBD : Système de Gestion de Base de Données, ERP :
Enterprise Resource Planning, Applicatifs clientserveur),
q les outils de sauvegarde, de protection antivirale, de gestion des unités de stockage, d’administration et de
supervision des systèmes,
q les applications métiers développées en interne,
q les licences pour les logiciels du marché et leurs dates de validité,
q les informations sur les utilisateurs (accès logique et physique…),
q les références sur les fournisseurs (matériels et logiciels) : contacts et contrats de maintenance,
q les descriptifs d’installation et de configuration des serveurs et des applications, la documentation associée,
q les documents relatifs aux incidents, problèmes survenus, les changements d’infrastructure effectués.
Elle précise comment optimiser l’utilisation du système d’information, de l’organisation de support pour délivrer un
niveau suffisant de services permettant aux activités métiers de l’entreprise de satisfaire ses objectifs.
Pratiquement, elle comprend la mise en place d’infrastructures matérielles et organisationnelles pour prévenir des
risques d’interruption grâce à des solutions techniques ou logicielles.
Cellesci peuvent comprendre des dispositifs techniques permettant un environnement de Haute Disponibilité
(systèmes à tolérance de pannes, clusters ou virtualisation de serveurs, dispositifs à équilibrage de charges,
redondance d’alimentation électrique ou d’équipements de réseau, onduleurs, ensembles redondants de disques) ou
des procédures organisationnelles tels les plans de continuité d’activité.
Elle fait partie intégrante des bonnes pratiques essentielles à mettre en place dans le système d’information de
l’entreprise. En effet, cellesci peuvent avoir besoin d’être conformes à des réglementations particulières. Les
impératifs professionnels se présentent sous forme de normes de type FDA (Food and Drug Administration) pour
l’industrie pharmaceutique, SarbanesOxley pour les établissements financiers.
Cette gestion fournit à l’entreprise les concepts et la terminologie spécifique de façon à ce que les personnels puissent
comprendre les objectifs de sécurité et les risques potentiels, suivre les procédures liées aux impératifs requis. Les
processus de contrôle, d’audit de validation mis en place sont obligatoirement en correspondance avec les bonnes
pratiques de ITIL.
Le processus de gestion de la sécurité comprend au moins plusieurs de ces composants :
q contrôles (politique, organisation, rédaction de rapports),
La gestion des configurations
La gestion de la disponibilité
La gestion de la sécurité
8

q contrats et accords de services,
q implémentation (politiques de sécurité, contrôles d’accès, classification des risques),
q évaluation (audits internes et externes, analyse des incidents de sécurité),
q changements (gestion des demandes de changement).
2. La méthode PDCA appelée aussi Roue de Deming
La méthode PDCA (Plan, Do, Check, Act) issue de l’ISO 9000 est également appelée roue de l’amélioration de la qualité
ou « roue de Deming », du nom de W. Edwards DEMING, statisticien et philosophe américain, inventeur des principes
de la qualité et de Walter Andrew Shewhart Statisticien américain, inventeur de la roue de Deming.
Le principe propose de maîtriser et d’améliorer un processus par l’utilisation d’un cycle continu en quatre étapes visant
à réduire le besoin de corrections. Cette méthode démontre aussi que les bonnes pratiques doivent être mises en
œuvre, documentées, appliquées et améliorées dans le temps.
Elle comporte les étapes suivantes :
q PLAN (planifier) Cette phase définit l’objectif principal qui consiste à identifier et à préciser les besoins du
maître d’ouvrage. Elle effectue l’inventaire des moyens nécessaires à sa réalisation, son coût et son planning.
q DO (réaliser, déployer) C’est la partie opérationnelle de la méthode. Elle comporte :
q l’allocation de ressources en personnes, temps et budget,
q la rédaction de la documentation,
q la formation du personnel concerné,
q la gestion du risque,
q l’exécution des tâches.
q CHECK (mesurer et contrôler) C’est ici que les opérations réalisées précédemment sont vérifiées pour
qu’elles correspondent aux besoins exprimés, dans les délais et les coûts précisés à la première étape. Elle
comprend :
q Une évaluation à partir de ce qui a déjà été implémenté dans d’autres environnements.
q Un contrôle global des résultats produits.
q Un audit de l’environnement du système de gestion de la sécurité du système d’information, soit un
audit annuel, sur la base de documents et de traces d’évènements produits par les outils de
supervision.
q ACT (améliorer, agir) Cette étape recherche les améliorations à apporter au projet global de changement.
Des mesures sont évaluées à partir des bilans ou des constatations relevées lors de la phase de vérification.
Des actions possibles sont élaborées selon les cas :
q Passage à la phase de planification : si de nouveaux risques ou modifications ont été identifiés.
q Passage à la phase d’exécution : si la phase de vérification en montre le besoin.
q Après la constatation de non conformité, des actions correctives ou préventives sont déployées.
9

PDCA
Cette méthode, utilisée dans la nouvelle version de ITIL (V3) et dans la mise en place d’un système de gestion de la
sécurité informatique, permet de réaliser des changements progressifs et continus à partir d’un point ou objectif de
départ. Celuici peut être l’élément du système d’information qui a été défini, après un état des lieux, comme le plus
critique ou le plus urgent à traiter ou encore le plus facile à mettre en œuvre.
Elle est, à l’opposé des changements brutaux ou pris dans l’urgence, toujours délicate à mettre en œuvre et parfois
source de dysfonctionnements.
3. La norme ISO 20000
Cette norme, décomposée en ISO 20001, ISO 20002, s’appuie sur les bonnes pratiques ITIL (Information Technology
Infrastructure Library) et comprend un ensemble de bonnes pratiques en matière de gestion des services
informatiques. Elle prend comme principe la roue de Deming ou PDCA (PlanDoCheckAct) et s’inscrit dans un processus
de formalisation de normes de qualité (ISO 9000) ou de sécurité des systèmes d’information (ISO 27001). Il s’agit d’un
système de gestion complémentaire avec une architecture identique composé d’un guide de bonnes pratiques (ISO
200002). Ce système complète la norme ISO 200001.
4. La norme ISO 27001 et le système de gestion de la sécurité informatique
La série des normes ISO 27000 est composée des éléments suivants :
ISO 27000
Vocabulaire et définitions.
ISO 27001
La norme principale des besoins en système de gestion de la sécurité de l’information, plus connue sous la forme BS
77992. Elle correspond au principe de certification des organisations.
ISO 27002 (connue sous la forme ISO 17799)
Il s’agit de la description des bonnes pratiques décrivant les principaux objectifs de contrôle de l’ensemble de la
sécurité de l’information.
ISO 27003
10

Comprend le guide d’implémentation détaillé relatif à l’adoption de la série complète de la norme ISO 27000.
ISO 27004
Contient la norme qui définit les principes d’évaluation de ce qui a été implémenté dans le cadre de la gestion de la
sécurité de l’information pour mesurer l’efficacité du système de gestion de la sécurité mis en place.
ISO 27005
Contient la norme de gestion du risque dans le cadre de la sécurité de l’information. Il remplace la norme BS 77993.
L’objectif de cette norme consiste à établir un système de gestion de la sécurité de l’information, c’estàdire définir et
identifier tous les actifs, mettre en place toutes les mesures adéquates pour protéger les données de l’entreprise. Elle
donne une idée sur les bonnes pratiques à utiliser par une approche basée sur des procédures et des processus.
Elle constitue un bon moyen d’organiser et de structurer la politique de sécurité informatique dans l’entreprise. Elle
formalise :
q l’amélioration continue,
q les audits internes,
q l’appréciation des risques,
q le traitement des incidents,
q les indicateurs.
11

Les risques informatiques
Avant de traiter ce qu’est un risque informatique, il convient de présenter quelques définitions.
1. Définitions
C’est la partie d’un bien qui compose le patrimoine et présentant de la valeur pour l’entreprise. Il peut représenter :
les équipements, les matériels, les logiciels, les brevets, les processus et activités métier…
La vulnérabilité est une faille dans les actifs, les contrôles de sécurité technique ou les procédures d’exploitation ou
d’administration utilisées dans l’entreprise. Elle consiste, en général, en une faiblesse dans la protection du système,
sous la forme d’une menace qui peut être exploitée pour intervenir sur l’ensemble du système ou d’un intrus qui
s’attaque aux actifs.
Une menace est quelqu’un ou quelque chose qui peut exploiter une vulnérabilité pour obtenir, modifier ou empêcher
l’accès à un actif ou encore le compromettre. Elle existe en corrélation avec des vulnérabilités. Il peut y avoir aussi
plusieurs menaces pour chaque vulnérabilité. La connaissance des différents types de menaces peut aider dans la
détermination de leur dangerosité et des contrôles adaptés permettant de réduire leur impact potentiel.
La menace est une source effective d’incidents pouvant entraîner des effets indésirables et graves sur un actif ou un
ensemble d’actifs, l’entreprise par ellemême.
Les menaces peuvent être classées par :
q origine ou source,
q type,
q motivation, action.
Elles peuvent être :
q délibérées (vol, fraude, virus, hacking, incendie, attentat, sabotage, interception, divulgation ou altération de
données…),
q naturelles ou environnementales (tremblement de terre, éruption volcanique, inondation, coupure de courant,
incendie...),
q accidentelles (erreurs d’utilisation, omissions…),
q dues à des pannes techniques : mauvais fonctionnement d’un équipement, d’un logiciel.
Le risque est la possibilité qu’une chose critique apparaisse. Son évaluation permet d’établir des actions pour réduire
et maintenir la menace à un niveau raisonnable et acceptable.
Les risques peuvent être qualifiés selon leurs origines (externes ou internes).
q Les risques externes :
q Les attaques non ciblées. Toute entreprise est concernée par l’agression de virus ou d’attaques
globales sur le réseau (déni de service).
q Les attaques ciblées. Les risques physiques (vol ou destruction de matériel) ou logiques (accès
L’actif
Les vulnérabilités
Les menaces
Le risque
12

d’intrus).
q Les risques internes :
q Ils sont plus difficiles à appréhender car ils concernent des ressources internes à l’entreprise.
Il existe des facteurs aggravants de risque liés au métier de l’entreprise :
q Les postes nomades : ordinateurs portables, assistants numériques de poche, téléphones évolués portables
(Smart phones).
q Des infrastructures, services et applications mal protégés.
q Un plan de sauvegarde ou de secours informatique inexistant ou non opérationnel.
Il peut être exprimé par les conséquences ou les préjudices affectant un actif : atteinte à l’intégrité, perte de
disponibilité, atteinte à l’image de marque, perte de chiffre d’affaires.
Les impacts peuvent être évalués selon les critères suivants :
q financier (frais de remise en état ou de restauration, pertes d’exploitation…),
q juridique et légal,
q réputation et image de l’entreprise (par rapport à l’extérieur et au personnel),
q expertise et savoirfaire reconnus de l’entreprise.
2. Les vulnérabilités
Pour le domaine de la sécurité informatique, Il existe trois familles de vulnérabilités :
q manque de redondance et de ressource au niveau équipement,
q accès aux salles informatiques non sécurisé,
q absence ou mauvaise stratégie de sauvegarde des données.
q Manque de :
ressources humaines et de personnels qualifiés,
communications.
q Absence de :
contrôles périodiques,
documents de procédures adaptés à l’entreprise,
moyens adaptés aux risques encourus.
L’impact d’un risque
Vulnérabilités liées aux domaines physiques
Vulnérabilités liées aux domaines organisationnels
13

q Trop grande complexité fonctionnelle.
q failles nombreuses dans les services et applicatifs Web et les bases de données,
q pas de mises à jour des systèmes d’exploitation et des correctifs,
q pas de contrôle suffisant sur les logiciels malveillants,
q récurrence des failles et absence de supervision des évènements,
q réseaux complexes, non protégés,
q mauvaise utilisation de la messagerie.
3. Les menaces
Les systèmes d’information sont vulnérables par rapport à plusieurs menaces susceptibles de leur infliger différents
types de dommages et des pertes significatives.
L’importance des dégâts peut s’échelonner de la simple altération de données à la destruction complète de centres
de données informatiques.
La valeur réelle des pertes relatives au manque de sécurité n’est pas toujours possible à estimer car beaucoup
d’entre elles ne sont jamais découvertes, d’autres peuvent être délibérément ignorées pour éviter de montrer une
mauvaise image de l’entreprise.
Les effets des différentes menaces varient considérablement suivant les conséquences affectant l’entreprise,
certaines affectent la confidentialité ou l’intégrité des données, d’autres agissent sur la disponibilité des systèmes.
Les menaces les plus communes sont représentées cidessous :
Ce sont des menaces importantes pour l’intégrité des données et des systèmes. Ces erreurs ont souvent une origine
humaine. En effet, même les programmes les plus sophistiqués ne peuvent pas tout détecter. N’importe quelle
personne intervenant sur le système d’information (utilisateur, administrateur système, développeur...) contribue
directement ou indirectement à ces dangers mettant en péril la sécurité des systèmes. Souvent l’erreur concerne une
menace (erreur d’entrée de données, erreur de programmation…) ou encore crée ellemême la vulnérabilité.
Les fraudes ou vols peuvent être commis par l’intérieur ou l’extérieur de l’entreprise. Par expérience, il s’avère, la
plupart du temps, que la menace vient de l’intérieur (des utilisateurs ayant des accès privilégiés aux systèmes). En
effet, par défaut, ce sont les utilisateurs familiers de l’entreprise qui sont dans la meilleure position pour commettre
des forfaits.
Ce sont les personnels les plus familiarisés avec les systèmes et les applications. Ils peuvent donc perpétrer des
dommages, sabotages… Ce qui implique la nécessité de gérer et de contrôler de façon rigoureuse les comptes des
utilisateurs, surtout de ceux qui ont des accès privilégiés aux systèmes.
Le terme hacker ou encore cracker fait référence à la personne qui s’introduit dans les systèmes d’information sans
autorisation pour, dans le pire des cas, provoquer des dégradations dans les données ou les applications. Ses
actions peuvent s’effectuer à partir de l’intérieur (dans le cas où il a pu obtenir un accès sur le réseau) ou de
l’extérieur de l’entreprise. Toutefois, il n’est pas toujours facile de détecter sa présence sur les systèmes ni de
connaître ce qu’il a provoqué comme dégâts.
C’est le fait de récupérer des données confidentielles de l’entreprise dans le cas de concurrence économique ou
Vulnérabilités liées aux domaines technologiques
Erreurs et omissions
Fraude et vol
Sabotage causé par des employés
Les Hackers
L’espionnage industriel ou commercial
14

industrielle. Cette menace n’implique pas, en général, d’altération des données internes. Par contre, elle peut avoir
un impact important sur les actifs sensibles de l’entreprise (données clients, brevets industriels…). La menace vise
spécifiquement les ordinateurs ou appareils portables particulièrement sensibles au vol car ils peuvent contenir des
informations confidentielles. Des précautions d’utilisation et de protection devront être prises.
Ils font référence aux virus, chevaux de Troie, bombes logiques et autres logiciels indésirables. Souvent, leur point
d’entrée se situe au niveau des ordinateurs personnels mal protégés lors de leur connexion sur Internet. Leurs effets
peuvent s’étendre à tout le réseau de l’entreprise en contaminant d’autres matériels.
Il est possible de se protéger de la plupart des risques liés à ces menaces. Aussi, dans les premières phases de mise
en place de la sécurité du système d’information, un état des lieux, sous forme de diagnostic, va être nécessaire pour
préparer une meilleure protection en détectant les vulnérabilités.
4. La gestion du risque informatique
Un risque est généralement caractérisé par :
q sa source ou son origine : employé malveillant, intrus, programmes illégaux...
q une menace : divulgation d’information confidentielle, coupure d’électricité...
q la probabilité d’occurrence ou potentialité : durée et lieu, probabilité d’occurrence,
q la vulnérabilité ayant permis ce risque : erreur de conception, erreur humaine, manque de suivi des
évènements suspects...
q l’impact, conséquence ou préjudice : indisponibilité du service, perte de marché ou d’image pour l’entreprise...
q les mesures de sécurité ou protections ou contremesures pour s’en protéger,
q les contrôles d’accès, la politique de sécurité, la sensibilisation du personnel...
La démarche idéale consiste à en :
q choisir la méthode d’évaluation adaptée au contexte de l’entreprise,
q définir les critères d’identification des risques.
Pour avoir une idée plus précise sur la méthode à utiliser, il est utile de se référer aux méthodologies les plus
connues d’analyse et d’évaluation de risques :
q MEHARI (MEthodologie Harmonisée d’Analyse de RIsques)
q EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)
q OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Évaluation)
Pour MEHARI, une version française existe en téléchargement gratuit sur le site du CLUSIF (Club de la Sécurité de
l’Information Français) https://www.clusif.asso.fr/fr/production/mehari/
a. Méthode d’analyse des risques
Elle est définie par les actions suivantes :
q Identification des actifs (une première bonne pratique est de connaître la liste des matériels et logiciels)
utilisés par les services informatiques.
Les programmes malveillants
15

q Identification des menaces et leurs impacts possibles sur la confidentialité, la disponibilité et l’intégrité de
ces actifs.
q Pour chacune des menaces possibles, identification des vulnérabilités.
q Détermination de la probabilité d’occurrence des menaces et des niveaux de vulnérabilité qui pourraient
impacter les services.
b. L’évaluation du risque
Des informations méthodologiques sur le principe d’évaluation peuvent être trouvées dans la norme ISO 13335,
chapitre La sécurité dans l’entreprise Les systèmes et Le plan de secours informatique.
Le processus d’évaluation consiste à effectuer l’analyse et l’interprétation du risque et comprend trois activités de
base :
q Détermination de la méthodologie et le périmètre d’évaluation.
q Collecte et analyse des données.
q Interprétation des résultats d’analyse de risques.
À partir de ces éléments, les personnels responsables de l’infrastructure informés du contexte établissent les
protections à mettre en place.
Établissement de la valeur des actifs
Cette démarche comprend l’inventaire des actifs concernés susceptibles d’être affectés par les menaces (les
matériels, les logiciels et support associés, les licences…).
q Les matériels : serveurs, stations de travail, ordinateurs personnels, imprimantes, unités de stockage,
lignes de communication, routeurs, parefeu, passerelles de réseau…
q Les logiciels : systèmes d’exploitation, programmes applicatifs et de diagnostic, les logiciels de parefeu, les
outils logiciels…
q Les données : stockées en ligne ou archivées, les sauvegardes, les bases de données, les journaux
d’erreurs et les rapports de supervision, en transit sur les supports de communication, toutes celles qui sont
en cours de traitement à tout instant dans l’entreprise.
q Les programmes et procédures.
q Les supports d’installation de logiciels, les supports magnétiques…
Basé sur cette liste, cet inventaire va enregistrer un minimum d’éléments pour chaque actif. Cela peut être :
q le propriétaire de l’information,
q son emplacement physique ou logique,
q un numéro d’identification.
L’estimation du coût d’un actif consiste en sa valeur intrinsèque, les impacts à court terme et les conséquences à
long terme de sa vulnérabilité.
Identification des menaces
Une menace est une entité ou un évènement qui perturbe le système d’information. Elle inclut les erreurs
volontaires ou involontaires, les fraudes, les actions possibles des employés mécontents, les incendies et autres
causes naturelles, les hackers, les programmes néfastes ou virus.
Une fois l’inventaire des actifs requérant une protection effectué, il est nécessaire d’identifier les menaces en lien
avec chacun d’eux et les risques de perte (d’information, financière…). Ce qui permettra l’élaboration de protections
adaptées.
16

Identification et évaluation des impacts
Après avoir identifié les actifs et les menaces, l’impact de l’attaque est évalué et des mesures appropriées de
protection de sécurité doivent être mises en place, sous les formes suivantes :
q identification des vulnérabilités du système, des protections mises en place,
q analyse des probabilités d’occurrence de menaces qui pourraient exploiter ces vulnérabilités,
q évaluation des conséquences possibles pour chaque menace,
q sélection des outils ou mécanismes de sécurité adéquats.
Cette évaluation estime le degré de perte pour les actifs. Plus les conséquences d’une menace sont graves, plus le
risque pour le système d’information ou l’entreprise est important.
Les impacts peuvent être estimés selon le contexte et les pertes possibles. Les conséquences peuvent être
directes (financières) ou indirectes (perte de confiance).
Analyse des vulnérabilités
Une vulnérabilité est une faiblesse de procédures de sécurité, de contrôles techniques ou physiques. Il peut s’agir
de même une absence de protection qui peuvent être exploités par une menace.
Les interrelations entre vulnérabilités, menaces et actifs sont déterminantes pour l’analyse de risques.
Analyse des protections
Une protection consiste en toute action, procédure, outil qui limite la vulnérabilité d’un système par rapport à une
menace.
Évaluation de probabilité de survenance
Cette probabilité, appelée aussi probabilité d’occurrence, est une estimation de la possibilité de l’apparition d’une
menace ou d’un évènement grave pouvant mettre en péril un système d’information. Dans l’estimation, outre les
possibilités d’incendies ou d’inondation, l’historique du système et l’expérience des personnels peuvent donner une
indication valable.
En général, plus la probabilité d’une menace est grande, plus son risque est important.
Les résultats des analyses de risque et mise en place des protections
L’interprétation des résultats des analyses de risques peut amener à sécuriser en priorité certains éléments du
système d’information jugés critiques. Naturellement, la suppression des vulnérabilités de l’ensemble du système
d’information est toujours l’objectif essentiel.
17

La politique de sécurité
La politique de sécurité a pour objectif de définir la protection des systèmes d’information de l’entreprise.
Elle comprend un ensemble de bases définissant une stratégie, des directives, des procédures, des codes de conduite,
des règles organisationnelles et techniques. Elle implique une mise en œuvre d’une sécurité adaptée aux usages,
économiquement viable et conforme à la législation.
Cette politique est formalisée dans l’entreprise sous forme d’un document. Il doit comporter un recueil de pratiques qui
régissent la manière de gérer, de protéger et de transmettre les informations critiques ou sensibles appartenant à
l’organisation. La documentation sur la norme ISO 27001 et sa suite est l’ouvrage de référence d’aide à la réalisation
de ce référentiel.
Parmi les domaines abordés, il est possible de trouver les thèmes sur :
q l’organisation et les structures de l’entreprise impliquées dans la gestion de la sécurité,
q les éléments fondateurs d’une culture de sécurité,
q le maintien de la cohérence dans les solutions techniques mises en œuvre,
q les moyens mis en œuvre et les méthodes de pilotage.
L’objectif central de la sécurité informatique est de garder ou de sauvegarder la pérennité de l’entreprise. C’est pour
cela que la politique de sécurité mise en œuvre doit s’inspirer des besoins réels qui ont été définis à partir des
évaluations des actifs, des menaces et des vulnérabilités. Elle impose une complémentarité entre les procédures, les
outils mis en œuvre et les personnes impliquées.
18

Stratégie et politique de sécurité
1. Les principes
Le rôle principal de sécurité informatique consiste en trois démarches principales :
q Définir le périmètre de la vulnérabilité lié à l’usage des technologies de l’information et de la communication.
q Offrir un niveau de protection adapté aux risques encourus par l’entreprise.
q Mettre en œuvre et valider l’organisation, les mesures, les outils et les procédures de sécurité.
La première étape consiste à connaître le périmètre lié à la sécurité, c’estàdire la zone qui correspond aux services
(authentification, contrôles d’accès physiques et logiques, disponibilité, intégrité et confidentialité) utilisés sur le
réseau d’entreprise (postes clients, réseaux LAN et WAN), sur les serveurs, avec les points d’accès externes
(serveurs distants, accès VPN…).
À chaque sousensemble du périmètre correspond un niveau de sécurité différent selon les menaces possibles ou en
fonction de la valeur des informations à protéger.
Les principes de base de cette sécurité imposent de :
q Définir et d’implémenter une stratégie de sécurité adaptée au contexte ou au métier de l’entreprise.
19

q Appliquer les dernières mises à jour et corrections pour les systèmes d’exploitation, les logiciels applicatifs,
principalement pour ceux qui sont établis en protection (antivirus…).
q Utiliser les recommandations des éditeurs en ce qui concerne la gestion des mots de passe des comptes
privilégiés.
Pour bâtir une politique de sécurité adaptée au métier de l’entreprise, il est nécessaire de préparer les étapes
suivantes :
q Identifier les actifs à protéger :
q Matériels.
q Les données sensibles de l’entreprise.
q Les services et applications : applications métier internes et externes pouvant communiquer avec le
monde extérieur (fournisseurs, clients, site de commerce électronique) ou en interne.
q Découvrir les réseaux de communication. Cela consiste à découvrir les interactions entre les différents
matériels et logiciels, d’identifier les applications communiquant avec l’extérieur.
2. L’élaboration du document
Après avoir évalué les besoins globaux en sécurité, le document présentant la politique peut être conçu selon le bon
sens pratique. Une façon simple est d’utiliser une approche hiérarchique pour définir le périmètre global, ensuite le
décomposer en différents composants.
La politique de sécurité doit être rigoureuse, mais doit rester flexible. Elle peut tenter de répondre aux premières
questions suivantes :
q Quel est le niveau de sensibilité ou d’importance des données de l’entreprise ?
q Quels sont les objectifs principaux et le périmètre ?
q Quels systèmes d’information sont à protéger ?
q Quelles sont les mesures minimales à définir pour leur protection ?
q Quelles sont les personnes responsables de la sécurité des données (accès logiques, privilèges
d’administration…) et les ressources matérielles et logicielles mises à disposition ?
q Quels sont les droits et devoirs des utilisateurs ou des administrateurs ?
L’objectif de ce document est de considérer spécifiquement les vulnérabilités d’ordre technique et les solutions
simples et efficaces à mettre en place. L’aspect humain interviendra obligatoirement car les rôles de l’administrateur
et des personnels d’exploitation y sont traités.
3. Les outils
Tout projet de mise en place de la politique de sécurité dans l’entreprise requiert une documentation adaptée sous
forme de guides de bonnes pratiques, de procédures.
Les documents des normes peuvent être acquis, les guides et procédures doivent être rédigées par les personnes en
charge de la sécurité des systèmes.
Les procédures consistent à décrire les étapes détaillées qui doivent être suivies par les utilisateurs, les
responsables systèmes et toutes les personnes qui doivent accomplir une tâche particulière.
Chaque document doit être rédigé et adapté selon le personnel concerné et sa fonction dans l’entreprise.
L’objectif final des documents est d’assister les utilisateurs, les responsables systèmes et toutes les personnes
20

impliquées dans la gestion des systèmes d’information dans l’optique de la politique de sécurité définie.
21

Les principaux axes de la stratégie de sécurisation
1. Le diagnostic et l’évaluation des besoins
Cette étape préalable consiste à déterminer :
q Les ressources et les applications à protéger et le pourquoi.
q Le niveau de protection requis ou celui que l’entreprise est prête à mettre en œuvre pour chaque groupe
d’éléments.
q Le type de risque et de menace dont pourrait faire l’objet chaque sousensemble.
q Le mode de protection le plus efficace selon le contexte de l’entreprise et de son métier.
La multiplicité des points de vulnérabilité dans l’aspect sécurité du système d’information décrit une chaîne de points
critiques dont la résistance sera égale à celle du maillon le plus faible.
Pour cela, concevoir une politique de sécurisation efficace et cohérente demande de considérer les points principaux
suivants :
q Les points d’entrée de l’entreprise au niveau système d’information :
q L’accès physique (bâtiment, locaux…)
q Les accès logiques (serveurs, postes de travail…)
q Les connexions au réseau : accès Internet, accès distant
q Les personnels
q Les failles de sécurité : systèmes d’exploitation non mis à jour, applications obsolètes, virus et autres
programmes indésirables.
2. Les plans opérationnels de sécurité
Ils se composent de plans de continuité d’activité, de plans de reprise d’activité, plans de continuité métier
nécessaires pour la survie de l’entreprise pouvant être confrontée à un désastre potentiel.
Les objectifs principaux consistent en :
q Une analyse précise des risques susceptibles de survenir
q Une spécification des solutions et des mesures de sécurité à mettre en place
q Une planification de l’ensemble des opérations nécessaires (s’inspirer du PDCA)
Ils peuvent être réalisés à partir des principes suivants :
q Classification des informations et des ressources du système d’information
q Diagnostic de l’état des lieux en terme de sécurité
q Identification et évaluation des risques encourus
q Détermination des besoins d’amélioration
22

q Établissement de plans d’action et de solutions à mettre en œuvre
3. L’accès aux systèmes et aux données
La protection de l’accès au système et aux données est l’étape, la plus facile à appréhender dans la stratégie globale
de sécurisation. Celleci est multidimensionnelle et traite des éléments physiques et logiques.
a. La protection physique
Elle consiste à anticiper les effets de menaces fortuites ou délibérées. Il est logique d’envisager une protection liée
aux sinistres physiques divers pouvant être provoqués par un incendie, un dégât des eaux ou encore un
tremblement de terre qui vont provoquer, par exemple :
q des coupures d’électricité,
q les coupures des liaisons de télécommunications,
q la destruction de matériels, de supports de logiciels, de documents,
Elle signifie que les équipements sur lesquels sont hébergées les applications du système d’information de
l’entreprise sont physiquement protégés par :
q des onduleurs pour la protection électrique,
q des systèmes de détection pour la protection antiincendie, antiinondation.
L’accès physique aux équipements devra également faire l’objet d’une politique de contrôle des accès clairement
définie selon les besoins et les niveaux de confidentialité autorisés à chaque utilisateur de l’entreprise afin d’éviter
toute altération de l’information, de vol de matériel ou de support de données.
Ce qui signifie que la sauvegarde des données doit faire l’objet d’une attention et d’une stratégie particulière.
b. La protection logique
Elle a pour objectif d’éviter toute intrusion sur le système d’information de l’entreprise : celleci passe
essentiellement par la mise en place de dispositifs de protection de type parefeu, de logiciels pour contrer les
logiciels malveillants, de contrôles d’identification et d’authentification.
Un dispositif supplémentaire consisterait à mettre en place une solution de chiffrement des données circulant sur le
réseau de l’entreprise.
c. Identification et traçabilité
L’identification et la traçabilité des connexions et des incidents doivent être mises en place au travers de la création
d’un journal répertoriant les évènements suspects. Les données enregistrées pourront aider au traçage des
anomalies dans l’objectif d’intervenir après la découverte d’intrusions dans l’exploitation du système (tentatives non
permises de connexion).
4. La garantie de la disponibilité du système d’information
Celleci passe par la disponibilité d’accès au réseau de l’entreprise, à ses applications et aux données.
Ce qui implique que chacun des actifs du système d’information doit être individuellement protégé pour respecter la
disponibilité des systèmes, du réseau d’entreprise, des applications et des données.
De plus, un plan de sauvegarde des données doit être conçu et mis en œuvre de manière rigoureuse.
La disponibilité des données : stockage, sauvegarde et récupération, archivage
Plusieurs technologies de stockage de données permettent aujourd’hui de s’adapter aux besoins de réseau réparti en
architecture clientserveur, reliant des serveurs hétérogènes. Le stockage en réseau ou architecture SAN (Storage Area
23

Network) est fondé sur un réseau entièrement dédié : les périphériques peuvent être physiquement éloignés, mais
reliés aux serveurs et administrés à partir d’un point centralisé.
La disponibilité des systèmes : redondance et haute disponibilité
Les serveurs en cluster et la virtualisation des serveurs sont les solutions présentes sur le marché des constructeurs
de matériel informatique et éditeurs de logiciels.
La disponibilité des réseaux : redondance des équipements de réseau
Cette disponibilité est globalement assurée par la mise en œuvre d’équipements redondants (cœurs de réseau,
commutateurs, liaisons physiques doublées…).
5. La sensibilisation des utilisateurs à la sécurité
La clé de voûte d’une politique de sécurisation efficace reste néanmoins la dimension humaine de l’entreprise. La
méconnaissance ou non application des procédures, les erreurs ou la malveillance peuvent être à elles seules cause
de dysfonctionnement ou de vulnérabilités.
L’implication de chaque utilisateur dans la démarche de sensibilisation est primordiale d’où une formation adaptée à la
fonction de chaque utilisateur (ex : l’utilisateur détenteur d’informations stratégiques).
De même, les utilisateurs nomades se servant d’ordinateurs portables sont qualifiés de sensibles. La responsabilité
de chacun d’eux doit être clairement décrite.
La démarche de sensibilisation peut être concrétisée par des voies plus ou moins formelles
(réunion/présentations//support écrit) et surtout doit être répétitive.
Une charte informatique de bon usage de l’outil informatique doit être prévue et disponible pour chaque utilisateur qui
doit connaître les politiques de sécurité liées à l’informatique, les recommandations et surtout les sanctions qui
peuvent être appliquées.
24

La sécurité et l’aspect légal
La responsabilité de l’entreprise peut être engagée du fait d’un préjudice causé à un tiers par l’action d’une personne
(intrus ou salarié) suite à une mauvaise utilisation des systèmes et des accès Internet.
Les entreprises sont assujetties à des contraintes administratives et légales.
Un dirigeant ne peut ignorer les risques qu’il peut faire courir à son entreprise s’il ne met pas en œuvre les mesures
nécessaires pour protéger son système d’information.
Comme il sera tenu pour responsable des pertes ou des altérations de données, il a donc pour fonction, dans le cadre
de la sécurité informatique et de la loi sur l’économie numérique d’informer son personnel des menaces réelles et de
prendre les précautions nécessaires ; en premier lieu, les administrateurs systèmes. Il délégue alors sa responsabilité
au niveau de ces administrateurs qui pourraient, à leur tour, être concernés.
Voici les articles de loi montrant les responsabilités du chef d’entreprise (civiles et pénales) :
q L’article 1384 alinéa 5 du code civil : sur la responsabilité civile de l’employeur en ce qui concerne l’activité de
ses personnels.
q L’article L. 1212 du code pénal : sur la responsabilité civile de l’employeur du fait de ses personnels dès lors
qu’ils commettent des infractions impliquant l’entreprise.
q L’article 34 de la loi du 6 janvier 1978 : sur sa responsabilité de protéger l ‘intégrité et la confidentialité des
données à caractère personnel.
q La loi de sécurité financière du 1er août 2003 (LSF) en matière de sécurité des systèmes d’information des
entreprises.
Après avoir posé les bases qui permettent de mieux comprendre les principes de la sécurité informatique dans une
entreprise, les chapitres suivants vont développer les solutions à mettre en place pour être conforme avec l’intégrité, la
confidentialité, la disponibilité des données en insistant sur les bonnes pratiques à mettre en place.
Les sujets traités seront plus en adéquation avec le système d’exploitation Windows, soit au moment de la rédaction
du document, sur les versions connues jusqu’à Windows 2003. De même, les logiciels et outils dont il sera question,
vont fonctionner prioritairement avec ce système d’exploitation.
Toutefois, actuellement la plupart des environnements de systèmes d’information et des environnements informatiques
sont multiplatesformes. Il existera forcément des liens avec des systèmes du type Open Source. Les outils utilisables
ne seront pas forcément issus de l’environnement Windows.
Risques et responsabilités de l’entreprise
Les contraintes légales
Présentation des chapitres suivants
25

Prérequis
Pour ce chapitre, le lecteur est supposé connaître le principe de gestion des réseaux et de la modèle OSI (Open System
Interconnect), les protocoles réseaux les plus couramment utilisés.
26

Généralités sur la sécurité dans les réseaux
Les zones de risques et de confiance
Ces zones sont définies grâce à des mécanismes réseau basés sur le matériel (parefeu) et des politiques et contrôles
permettent de construire les briques de base de protection contre les menaces.
Une évaluation permet de déterminer quels mécanismes (authentification, cryptage, autorisation) est nécessaire pour
permettre à d’autres entités à l’intérieur de la zone concernée de s’interconnecter de façon sécurisée.
Le modèle OSI présentant les protocoles utilisés dans les réseaux
Ce modèle en 7 couches sert de base à la compréhension de l’architecture des réseaux.
OSI Communications
1. Introduction à la technologie des parefeu
Il consiste à protéger le réseau de l’entreprise des intrusions extérieures. Ces dispositifs filtrent les trames (contenant
des données) des différentes couches du modèle OSI (Open System Interconnect) afin de contrôler leur flux et de les
bloquer en cas d’attaques, cellesci pouvant prendre plusieurs formes.
Le filtrage réalisé par le parefeu constitue le premier rempart de la protection du système d’information.
Ils peuvent être composés de périphériques comportant des filtres intégrés dont la fonction principale est de limiter et
de contrôler le flux de trafic entre les parties de réseaux. Ils permettent l’accès de l’entreprise aux ressources
Rôle principal
27

externes en contrôlant la sécurité des transferts.
Un parefeu est installé le plus souvent en périphérie du réseau local de l’entreprise ce qui lui permet de contrôler
l’accès aux ressources externes depuis l’intérieur mais également entre des entités éloignés de l’entreprise mais
reliées par un réseau de type extranet.
Leur utilisation permet de contrôler la connectivité des communications, une entreprise peut empêcher des accès non
autorisés aux ressources et systèmes pour ses environnements les plus sensibles.
Il existe différents types de parefeu selon leur typologie ou leur fonction. Ils peuvent opérer sur chacun des niveaux 3
(IP), niveau 4 (TCP, UDP) ou niveau 7 (FTP, HTTP…) du modèle OSI. Dans le cas de sa fonction de routeur, il analyse
chaque paquet de données (adresses IP, numéros de port TCP ou UDP).
Les parefeu de base opèrent sur un faible nombre de couches de la modèle OSI tandis que les plus sophistiqués en
couvrent un plus grand nombre et sont ainsi plus efficaces.
Indépendamment ou en complément d’une architecture utilisant ces dispositifs, il existe des services additionnels tels :
la traduction d’adresse réseau (Network Address Translation ou NAT), le protocole DHCP (Dynamic Host Configuration
Protocol) et les réseaux privés virtuels (Virtual Private Networks ou VPN).
Les parefeu peuvent aussi agir en tant que passerelles de réseaux privés virtuels.
Ces dispositifs permettent le filtrage de l’accès au réseau interne, afin d’empêcher l’accès non autorisé à l’ensemble
des serveurs du réseau de l’entreprise.
Il s’agit de contrôler les flux entrant sur le réseau. Plusieurs types de filtrage sont proposés :
q Le filtrage applicatif pour le contrôle des applications en fonction du port utilisé.
q Le filtrage utilisateur : pour le contrôle d’accès en fonction des utilisateurs identifiés.
q Le filtrage adaptatif : permettant l’émission d’un journal des transmissions de paquets IP.
Les modes de filtrage les plus courants consistent à interdire par défaut toute connexion entrante à l’exception de
celle destinée au serveur Web, ou toute connexion provenant d’une adresse IP à partir de laquelle des actions de
scanning sur le réseau de l’entreprise auront été mises en évidence.
Les parefeu sont importants dans le sens où ils peuvent fournir un point de blocage unique dans lequel la sécurité ou
la journalisation de transferts peuvent être imposées. Ces dispositifs fournissent des informations pertinentes aux
administrateurs sur le type de trafic qui traverse cet équipement.
La plupart des parefeu récents sont capables de fonctionner avec des outils de façon à superviser les détections
d’intrusion, à scanner le contenu de la messagerie ou des pages HTML. Seuls, ils ne peuvent réaliser la protection
complète de la connexion à Internet. Par contre, ils sont considérés comme la première ligne de défense et la
principale dans le cadre de la protection du réseau d’une entreprise. Néanmoins, les serveurs du réseau interne, les
postes de travail et les autres systèmes doivent être impérativement mis à jour avec les derniers correctifs de sécurité
et utiliser un logiciel d’antivirus.
28

Parefeu de passerelle d’application de proxy
Son principe consiste à modifier l’adresse IP source ou destination, dans l’entête d’un datagramme IP lorsque le
paquet transite dans le parefeu en fonction de l’adresse source ou destination et du port source ou destination.
Lors de cette opération, le parefeu garde en mémoire l’information lui permettant d’appliquer la transformation
inverse sur le paquet de retour. La traduction d’adresse permet de masquer le plan d’adressage interne à l’entreprise
par une ou plusieurs adresses routables sur le réseau externe ou sur Internet. Cette technologie permet donc de
cacher le schéma d’adressage réseau présent dans une entreprise derrière un environnement de parefeu.
Cette traduction est réalisée selon 3 modes :
2. Les fonctionnalités de parefeu
Analyse du trafic au niveau paquet, circuit et/ou application :
q vérification du trafic dans son contexte,
q limitation des risques d’accès non autorisés,
q analyse et modification du contenu à partir de filtres applicatifs.
Détection d’intrusion
Protection des serveurs accessibles depuis le réseau externe (Internet…)
Ce type de parefeu permet d’accroître la sécurité des flux par divers procédés de filtrages :
Au niveau paquet
q filtres statiques et dynamiques,
q détection d’intrusion,
q filtrage à partir de l’analyse des données,
q possibilité de suppression des paquets,
q protocole PPTP autorisé.
Au niveau circuit (protocole)
q filtrage basé sur les sessions,
La translation d’adresses (Network Address Translation ou NAT)
Traduction   Mappage   Utilisation
NAT Statique   Permanent 1 pour 1   Correspondance permanente d’une adresse publique vers une
adresse IP privée interne routable associée
NAT
Dynamique
Temporaire 1 pour 1   Ensemble d’adresses publiques assignées dynamiquement à des
clients internes pendant le temps d’une connexion
PAT   Temporaire N pour 1   Une adresse publique est partagée entre plusieurs clients
internes
Les fonctionnalités de base
Les fonctionnalités de parefeu multicouches
29

q contrôle et analyse de la connexion du client vers le serveur,
q association de connexion.
Au niveau application
q inspection des données,
q analyse du contenu (action de blocage/modification/redirection),
q filtrage pour les protocoles HTTP (HyperText Transfer Protocol), SMTP (Simple Mail Transfer Protocol)…
3. Les différents types de parefeu
Les parefeu personnels ou les appliances de parefeu personnel
Le module ou appliance de parefeu personnel est conçu pour protéger de petits réseaux informatiques. Ils
permettent, en outre, de sécuriser les postes de travail utilisés à distance via Internet et un FAI (Fournisseur d’accès à
Internet). Les parefeu personnels, sauf cas particuliers, ne peuvent protéger qu’un seul système ou poste de travail,
uniquement la machine sur lequel il est installé.
Ces appliances fonctionnent avec un matériel spécialisé et peuvent incorporer d’autres types de composants réseau,
comme :
q un concentrateur ou hub,
q un commutateur ou switch,
q un serveur DHCP (Dynamic Host Configuration Protocol),
q un agent SNMP (Simple Network Management Protocol).
Le parefeu intégré dans un serveur ou au système d’exploitation
Des logiciels de parefeu sont disponibles dans certains systèmes d’exploitation, comme Linux ou comme éléments
additionnels. Ils peuvent être utilisés pour sécuriser le serveur sur lequel il est implanté. Son principal inconvénient est
qu’il doit être administré séparément.
Les platesformes de parefeu doivent être implémentées sur des machines contenant un système d’exploitation
prévu uniquement pour des applications de sécurité. Le serveur utilisé ne doit héberger aucune autre application ou
fonctionnalité non utiles au système d’exploitation, il doit donc être dédié à la fonction de parefeu uniquement.
Les précautions et bonnes pratiques de configuration du serveur dédié
La configuration du parefeu doit être réalisée selon le système d’exploitation. D’autres précautions doivent être
prises :
q Tous les protocoles de réseau non utilisés doivent être retirés. En effet, ils peuvent être utilisés pour
contourner ou endommager l’environnement de parefeu.
q Tous les services réseaux et applicatifs doivent être supprimés ou désactivés. En effet, les applications
inutilisées deviennent souvent des cibles potentielles d’attaque. En réalité, beaucoup d’administrateurs
oublient d’implémenter des contrôles d’accès pour restreindre l’accès au parefeu. Des applications ou services
réseau non utilisés, sont exécutés avec leurs configurations par défaut, moins sécurisés.
q Tous les comptes utilisateurs ou systèmes non utilisés doivent être supprimés ou désactivés.
q Tous les correctifs (patches et hotfixes) doivent être installés avant l’installation des composants du parefeu
et avoir été testés auparavant sur une machine de test pour être sûr de leur efficacité. Naturellement, les
mises à jour de correctifs du système doivent être impérativement effectuées périodiquement pour garantir le
bon état de sécurité.
q Toutes les connexions physiques connectées aux interfaces réseau et non utilisées doivent être désactivées
30

ou débranchées.
q La machine hébergeant le parefeu doit être sauvegardée comme tout autre serveur important, en dehors
toutefois de l’architecture de sauvegarde classique, c’estàdire en dehors du réseau interne à l’entreprise. Le
principe consiste à utiliser l’unité de sauvegarde locale. Les supports (cartouches ou bandes) sont
naturellement stockés dans un lieu sécurisé.
4. Choix d’un dispositif de parefeu pour l’entreprise
La réflexion préalable au choix d’une solution de protection du réseau interne à l’aide de parefeu s’effectue à partir
de la définition de la politique de sécurité de l’entreprise.
La sélection peut prendre en compte les éléments suivants :
q nature, nombre des applications utilisées par l’entreprise,
q types de filtre, niveau de filtrage,
q facilités d’enregistrement des évènements et actions pour audits futurs,
q outils et commodités d’administration,
q simplicité de configuration et de mise en œuvre,
q capacité à supporter un tunnel chiffré, réalisation d’un VPN (Virtual Private Network),
q disponibilité d’outils de supervision, d’alarmes, d’audits actifs,
q possibilité d’équilibrage de charges et de gestion de la bande passante de réseau,
q présence ou non dans l’entreprise de compétences en administration de système d’exploitation du parefeu.
Recommandations
q Un parefeu doit être protégé et sécurisé contre les accès non autorisés.
q Tous les trafics entrant et sortant doivent passer obligatoirement par le parefeu.
q Le trafic est défini par la politique de sécurité, les règles cohérentes.
q Il n’a pas la fonction d’un antivirus, il vient en complément dans le mode de protection du système
d’information.
5. La politique de configuration de parefeu
Elle précise comment le parefeu doit prendre en compte le trafic lié aux applications (web, email, Telnet). Elle doit
décrire comment le parefeu doit être configuré, géré et mis à jour. Elle doit être bien documentée, spécifique et
sérieuse car vitale pour la protection des connexions externes à l’entreprise.
Avant la mise en place d’une politique de parefeu, des analyses de risques doivent être réalisées sur les applications
qui utilisent un accès au réseau externe. Les résultats de cette analyse vont fournir une liste des applications et la
façon dont elles seront sécurisées. Il est nécessaire de connaître précédemment les vulnérabilités associées à
chacune d’elles pour évaluer et définir la politique de protection via les parefeu. Les étapes nécessaires sont décrites
cidessous :
q identification des applications réseau et des vulnérabilités associées à chaque application,
q création d’une matrice de trafic des applications montrant les méthodes de protection utilisée,
31

q création d’un ensemble de règles basé sur une matrice des applications utilisant le réseau.
Une politique de parefeu fait partie de l’ensemble de la mise en place de la sécurité de l’information, dans le sens où il
s’agit de la description de la façon dont la sécurité sera implémentée au niveau des parefeu et dispositifs associés.
Les parefeu peuvent être complexes à gérer et les incidents impliquant la sécurité peuvent arriver quotidiennement.
Sans une bonne politique d’implémentation et d’administration, les parefeu peuvent devenir euxmêmes un point de
faiblesse ou de vulnérabilité dans la sécurité mise en place.
Il est nécessaire d’auditer et de vérifier au moins une fois ou plus par trimestre les règles de parefeu.
Pour cela, il existe deux méthodes. La première et la plus simple consiste à imprimer la configuration de chaque pare
feu opérationnel et à la comparer avec la version définie à l’origine, en tenant compte des ajustements éventuels. Les
modifications réalisées au fur et à mesure doivent être tracées, dans la documentation liée au parefeu, afin de
connaître les raisons des changements.
La seconde, plus rigoureuse, implique de tester la configuration en place. Dans ce cas, l’administrateur utilise les outils
(du domaine public disponibles sur Internet) pour évaluer la configuration de chaque parefeu en réalisant des tests
de connexion non autorisés ou d’intrusion. L’objectif principal est de s’assurer que les parefeu et autres dispositifs de
sécurité liés au réseau sont configurés exactement selon la politique de sécurité définie au départ et conformes aux
précautions requises.
De bonnes pratiques conseillent que les politiques de sécurité du système d’information soient revues et mises à jour
périodiquement, au moins deux fois par an, lors de nouvelles implémentation ou des changements d’infrastructure ou
encore lors d’incidents sérieux ayant impliqué le système d’information. Les administrateurs de réseau ou de sécurité
gérant les parefeu doivent être informés des changements affectant les applications qui utilisent ces dispositifs (par
exemple : les logiciels de sauvegarde).
6. Stratégie d’implémentation de parefeu
Lors de la mise en place de parefeu et de la politique associée, les entreprises doivent définir les méthodes
d’implémentation, en tenant compte des points suivants :
Les parefeu basés sur une appliance ne souffrent pas trop de vulnérabilités de sécurité quand ils sont associés aux
systèmes d’exploitation. Ces parefeu ont tendance à être plus rapides et efficaces que ceux qui sont intégrés aux
systèmes d’exploitation courants.
Le plus gros inconvénient perçu lors de la mise en œuvre de parefeu associés au système d’exploitation serait la
présence potentielle de vulnérabilités qui pourrait affaiblir la protection générée par le parefeu.
Étant donné le rôle critique joué par ces dispositifs, la manière de les gérer et de les superviser est très importante.
a. Les règles dans un parefeu
Les parefeu utilisent un ensemble de règles pour implémenter les contrôles de sécurité. Cellesci comportent au
minimum les éléments suivants :
q L’adresse source du paquet (l’adresse de niveau 3 du modèle OSI de la machine ou du périphérique réseau
d’origine), ex : 192.168.1.1.
q L’adresse de destination du paquet (l’adresse de niveau 3 de la machine ou du périphérique réseau cible),
ex : 192.168.1.2.
q Le type de trafic, protocole de réseau spécifique utilisé pour la communication entre les systèmes ou
périphériques source et destination, ex : Ethernet au Niveau 2 et IP au niveau 3.
q Des paramètres au niveau 4, ex : TCP:80 port de destination d’un serveur Web ou des informations sur les
interfaces de routeur par lesquelles transitent les paquets.
q Une action qui va agir sur les paquets : Deny (Empêche), Permit (Autorise), Drop (Elimine).
La gestion des règles de parefeu peut être consolidée après avoir réalisé la matrice des applications utilisant le
réseau. Les règles doivent être simples et aussi spécifiques que possible en correspondance avec le trafic réseau
Le test de la politique de sécurité définie dans un parefeu
Revue périodique de sécurité des parefeu
32

qu’elles contrôlent.
À chaque reconfiguration ou modification, il est nécessaire de récupérer le paramétrage complet, sous forme
électronique ou papier.
Pour des raisons de sécurité, la meilleure méthode consiste à bloquer d’abord tous les flux entrants pour ensuite les
autoriser un à un de façon sélective selon les types de trafic prévus. L’autre qui consiste à autoriser toutes les
connexions et le trafic par défaut pour ensuite bloquer selon les types de protocole n’est pas recommandée et est
même à proscrire.
L’ensemble de règles d’un parefeu doit obligatoirement bloquer les types suivants :
q Trafic entrant dont l’origine est un système source non authentifié avec comme adresse de destination celle
du parefeu luimême. Ce type de paquet représente une attaque ou un test en direction du parefeu. Il y a
une exception à cette règle. Il concerne le cas où le parefeu accepterait le transfert d’un mail entrant sur le
port 25. Dans cette éventualité, il doit permettre les connexions entrantes vers luimême, seulement sur ce
port.
q Trafic entrant avec une adresse source indiquant que le paquet a pour origine le réseau protégé derrière le
parefeu. Ce type de paquet représente vraisemblablement un type de tentative d’usurpation (spoofing
attempt).
q Trafic entrant contenant des paquets ICMP (Internet Control Message Protocol), correspondant à la commande
ping. À partir du moment où ICMP peut être utilisé pour accéder des réseaux derrière certains types de pare
feu, ce protocole ne doit pas transiter à partir d’Internet ou de n’importe quel réseau externe non approuvé.
q Trafic entrant et sortant à partir d’une adresse source qui appartient à une plage d’adresses réservées à
des réseaux privés (RFC 1918). La RFC 1918 réserve les plages d’adresses suivantes pour réseaux privés :
q 10.0.0.0 à 10.255.255.255 (Classe A, ou ./8. en notation CIDR)
q 172.16.0.0 à 172.31.255.255 (Classe B, ou ./12. en notation CIDR)
q 192.168.0.0 à 192.168.255.255 (Classe C, ou./16 en notation CIDR)
q Trafic entrant pour qui l’origine de l’adresse fait partie de ces plages d’adresses privées. Ce trafic indique le
début d’une attaque de type Déni de Service. Toutefois, ce type particulier de trafic réseau doit aussi être
bloqué avec des ensembles de règles sauf si le parefeu possède une fonctionnalité de protection.
q Trafic entrant venant d’une source non identifiée contenant du trafic SNMP (Simple Network Management
Protocol). La présence de ces paquets peut indiquer qu’un intrus est en train de tester (scanner) le réseau. Il
y a en général peu de raisons qu’une entreprise permette ce type de trafic. Il doit être alors bloqué.
q Trafic entrant contenant une information sur IP Source Routing. Il s’agit d’un mécanisme qui permet à un
système de spécifier les routes prises par ce paquet sur le réseau. Au point de vue sécurité, le source
routing peut permettre à un pirate d’accéder à un réseau privé en utilisant une machine connectée à la fois à
Internet et au réseau interne comme passerelle.
q Le trafic réseau entrant ou sortant contenant une adresse source ou destination équivalent à 127.0.0.1
(localhost). Ce type de trafic correspond habituellement à une attaque sur le parefeu luimême.
q Le trafic réseau entrant ou sortant contenant une adresse source ou destination équivalent à 0.0.0.0.
Certains systèmes d’exploitation interprètent cette adresse comme une adresse locale (localhost) ou comme
une adresse de diffusion. Ces paquets peuvent être utilisés en cas d’attaque sur le réseau.
q Le trafic réseau entrant ou sortant contenant des adresses de diffusion. Ce cas peut être une source
d’attaque dont l’objectif est d’inonder le réseau ou le sousréseau avec des trames.
Certains logiciels de sauvegarde permettent l’accès de clients situés derrière un parefeu. Il est nécessaire
de se référer à la documentation.
Les règles strictes
33

Le tableau cidessus montre un exemple de règles de filtrage pour un réseau d’adresse 172.16.0.0.
Le parefeu reçoit chaque paquet et examine ses adresses et ports source et destination, détermine quel protocole
est utilisé. À partir de ce point, le parefeu compare ce qu’il a reçu par rapport aux règles définies les unes après les
autres selon la liste. À chaque fois qu’une règle qui autorise ou interdit le paquet est trouvée, une de ces actions est
réalisée :
q Acceptation (Accept ou Allow) : le parefeu transfère le paquet de l’entrée vers la sortie, une journalisation
d’évènements peut avoir lieu ou non.
q Refus (Deny) : le parefeu élimine le paquet sans le transférer. Une fois le paquet supprimé, un message
d’erreur est retourné vers le système source. Une journalisation de l’erreur peut avoir lieu ou non,
dépendant de la configuration mise en place.
q Rejet (Discard) : le parefeu élimine le paquet sans le transférer, aucun message d’erreur n’est retourné vers
le système source. Cette action est utilisée pour implémenter le principe du trou noir au niveau du parefeu
et consiste à ne pas révéler sa présence au système source. De même, une journalisation de l’action peut
avoir lieu ou non dépendant de la configuration mise en place.
Exemple de règles de filtrage de paquets
Adresse
Source
Port
Source
Adresse
Destination
Port de
destination
Action Description
1 Any Any 172.16.0.0 >1023 Allow Règle qui permet le retour
de connexions TCP vers le
sousréseau interne
2 192.168.1.1 Any Any Any Deny Empêche le parefeu lui
même d’être accédé par une
source interne ou externe
3 Any Any 172.16.0.1 Any Deny Empêche les utilisateurs
externes au réseau
d’accéder directement le
système de parefeu
4 172.16.0.0 Any Any Any Allow Les utilisateurs internes
peuvent accéder aux
serveurs externes
5 Any Any 172.16.0.2 SMTP Allow Permet aux utilisateurs
externes d’envoyer des
messages vers l’intérieur
6 Any Any 172.16.0.3 HTTP Allow Permet aux utilisateurs
externes d’accéder au
serveur Web
7 Any Any Any Any Deny Tout ce qui n’est pas permis
est explicitement bloqué
(protection de base)
34

Exemple de règles de parefeu lié à une application de sauvegarde
Groupe de règles liées à la sauvegarde : Sauvegardes
Règle 6 :
q Nécessaire à l’installation des agents disques sur la DMZExtranet
q Ports ouverts :
445 (microsoftds)
8,15,17,13 (icmprequests)
Règle 7 :
q Communication du serveur de sauvegarde vers les agents disques de la DMZExtranet
q Ports ouverts : 5555 (z_DataProtector_Server_To_DiskAgent)
Règle 8 :
q Communication des agents disques de la DMZExtranet avec le serveur de sauvegarde
Règle 9 :
q Communication entre les agents disques de la DMZExtranet avec les agents média de la zone Interne
q Ports ouverts : 18000 à 18009 (z_DataProtetor_DiskAgent_To_MediaAgent)
Règle 10 :
q Nécessaire à l’installation des agents disques sur la DMZInternet
q Ports ouverts :
445 (microsoftds)
8,15,17,13 (icmprequests)
35

Règle 11 :
q Communication du serveur de sauvegarde vers les agents disques de la DMZInternet
Règle 12 :
q Communication des agents disques de la DMZInternet avec le serveur de sauvegarde
Règle 13 :
q Communication entre les agents disques de la DMZInternet avec les agents média de la zone Interne
q Ports ouverts : 18000 à 18009 (z_DataProtetor_DiskAgent_To_MediaAgent)
b. Guide de bonnes pratiques de mise en place d’environnements de parefeu
Il y a 4 principes à suivre :
q Faire simple, plus la solution mise en place est simple, mieux le parefeu sera sécurisé et sera administrable
facilement.
q Utiliser des matériels les mieux adaptés à l’environnement et à leur fonction principale. Dans la plupart des
cas, les parefeu hybrides ou les appliances sont les meilleurs choix parce qu’ils sont destinés à cette
fonction.
q Créer une défense en profondeur, sur plusieurs couches au lieu d’une seule. Si nécessaire, utiliser plusieurs
parefeu, des routeurs qui peuvent effectuer des contrôles d’accès ou de filtrage, plusieurs serveurs équipés
de parefeu, selon les besoins de protection.
q Bien penser aux menaces internes éventuelles. Un intrus qui a pu avoir accès d’une façon ou d’une autre sur
le réseau interne en protection derrière le parefeu a toutes les facilités pour s’introduire sur tout le réseau.
Les systèmes critiques doivent être placés et protégés derrière des environnements de parefeu ou de DMZ
internes.
La plupart des systèmes de parefeu présentent une fonctionnalité d’enregistrement des évènements dans un
journal. Un programme de récupération de ces informations est, en général, disponible avec tous les types de
systèmes d’exploitation. Ce qui permet de les visualiser et par la suite de les analyser.
La gestion et la maintenance des sauvegardes est un point essentiel dans la politique d’administration des parefeu.
Par principe, chaque sauvegarde réalisée doit être complète. Il n’est pas nécessaire et même non recommandé de
réaliser des sauvegardes incrémentales.
Il est aussi recommandé d’effectuer cette sauvegarde juste après l’installation et la configuration, lors de mise à jour
logicielle du parefeu. La stratégie de sauvegarde doit tenir compte de la façon dont ses accès logiques et réseau
sont implémentés.
Par contre, il n’est pas possible d’utiliser les fonctionnalités de sauvegarde du système d’information global de
l’entreprise à cause des contrôles d’accès particuliers. En effet, permettre l’accès au serveur central de sauvegarde
qui est, selon les bonnes pratiques, implémenté derrière le parefeu et protégé par lui, présenterait un risque pour
l’infrastructure de sauvegarde et le réseau associé.
En réalité, le parefeu doit être installé avec un dispositif de sauvegarde intégré. Si ce n’est pas le cas, il est
indispensable de le mettre en place. De plus, le support magnétique de sauvegarde, une cartouche en général, ne
doit rester présente dans la machine que pendant l’opération de sauvegarde. Il doit être extrait juste après
l’opération.
Pour permettre un rétablissement complet et rapide du parefeu, il est recommandé de posséder, en lieu sûr, une
La fonctionnalité d’enregistrement des évènements dans un journal
La sauvegarde des données des parefeu
36

La sécurité informatique dans la petite entreprise

La sécurité informatique dans la petite entreprise

Recommandé

Recommandé

Contenu connexe

Similaire à La sécurité informatique dans la petite entreprise

Similaire à La sécurité informatique dans la petite entreprise (20)

La sécurité informatique dans la petite entreprise