Sécurité informatique

Problèmes de sécurité
du commerce
électronique
Objectif : Établissement d’une
stratégie de sécurité

Leçon 5.2

Éléments de contenu(1/2)
 A quel point vos données sont-elles importantes ?
 Les dangers liés à la sécurité;
 La recherche d’un équilibre entre simplicité d’utilisation,
performances, coût et sécurité;
 La création d’une stratégie de sécurité;
 Les principes d’authentification;
 L’utilisation de l’authentification;
 Une présentation du cryptage;

IHEC 2008~2009 E-Commerce Mme H.Jegham 2

Éléments de contenu(2/2)
 Le cryptage par clé privée;
 Le cryptage par clé publique;
 Les signatures numériques;
 Les certificats numériques;
 Les serveurs web sécurisés;
 La surveillance et les journaux;
 Les pare-feu
 La sauvegarde des données;
 La sécurité physique


1. Mesurer l’importance de ses
données
 Protéger les données de l’entreprise pour
 garantir le bon fonctionnement de son système
d’information
 et contre les pirates
 Si on choisit le niveau de sécurité le plus élevé cela
entraînera un budget élevé à investir.
 Donc le choix du budget est fonction de l’importance des
données.


 Les informations n’ont pas toutes la même valeur, et
elles peuvent être :
 Celles enregistrées sur l’ordinateur d’un particulier
 Celles d’une entreprise
 Celles d’une banque
 Celles d’une organisation militaire
 L’intérêt des pirates à vos données dépend de ce qu’il
cherchent.


 Les ordinateurs des particuliers :
 les informations qu’ils possèdent ne sont intéressantes que pour
eux-mêmes;
 donc ils ne consacrent pas beaucoup de temps pour la sécurité
de leurs systèmes;
 Et par suite les pirates ne leurs consacrent pas beaucoup
d’effort;
 Les ordinateurs militaires :
 Cibles des pirates individuels;
 Cibles des gouvernements étrangers;
 L’ordinateur d’un site de commerce électronique d’une entreprise :
 Son intérêt pour les pirates se trouve entre les deux extrêmes
su-mentionnées;


2. Les dangers liés aux problèmes de
sécurité
 L’exposition de données confidentielles;
 La perte ou destruction d’information;
 La modification des données;
 Les attaques type denial of service;
 Les erreurs dans les logiciels;
 Les annulations de commandes;


2.1. L’exposition de données
confidentielles
 Ces données peuvent être enregistrées sur l’ordinateur
du client ou bien transférées vers son poste;
 Exemples :
 Listes de prix
 Informations confidentielles fournies par le client comme
son mot de passe
 Ses informations de contact
 Son numéro de carte de crédit


Remédiassions (comment protéger les
données)
 Éviter de conserver sur le serveur web des informations
confidentielles, car c’est l’ordinateur le plus exposé;
 Les ranger dans un ordinateur plus isolé;
 Le serveur web qui est une machine accessible au grand public ne
devra contenir que les informations générales ou les données qui
viennent d’être saisies par les utilisateurs;
 Limiter l’exposition des données en réduisant le nombre des
méthodes (fonctions/procédures) permettant de leur accéder;
 Limiter le nombre de personnes qui peuvent y accéder;


Penser sécurité depuis l’étape de
conception
 Configurer correctement le serveur et les logiciels;
 Programmer avec précaution;
 Effectuer suffisamment de tests;
 Supprimer les services superflus;
 Exiger une authentification;
 Le risque d’une erreur de programmation ou de
configuration peut laisser par accident les informations
confidentielles en accès libre;


L’authentification
 Elle consiste à demander aux visiteurs leur identité;
 Pour permettre ou ne pas permettre l’accès
 Il existe plusieurs méthodes d’authentification dont
 Les mots de passe
 Les signatures numériques
 Exemple du cas de CD Universe :
 Fin 1999
 Pirate s’appelle Maxux possédant 30 000 numéros de
cartes de crédits volés sur leur site
 Réclame 100 000$ pour détruire ces numéros;


Chemin des données
 Les données peuvent être exposées lorsqu’elles transitent sur les
réseaux.
 Les réseaux TCP/IP décomposent les données en paquets, et
transmettent ces paquets d’ordinateur en ordinateur jusqu’à la
destination.
 Chacun de ces ordinateurs peut voir les données qu’il transmet.
 Ces ordinateurs ne sont pas forcément tous sécurisés.
 La commande traceroute sous Unix affiche les adresse IP des
ordinateurs par lesquels vos données ont transité avant d’atteindre
la destination.


Cryptage des données
 Les serveurs web utilisent la méthode SSL développée
par Netscape pour transmettre de manière sécurisée
des données entre les serveurs web et les navigateurs.
 Comme la tâche du serveur devient :
 Crypter avant d’envoyer,
 Décrypter à la réception,
 En plus de l’envoi,
Ses performances diminuent de manière considérable.


2.2. La perte ou destruction
d’information
 Il est moins grave de perdre des données que de les laisser à la
portée des intrus.
 Plusieurs mois pourraient être investis pour mettre en œuvre le site,
à rassembler des commandes et des informations à propos des
utilisateurs.
 Des pirates peuvent pénétrer le système et formater le disque dur.
 Un programmeur ou même un administrateur peut supprimer des
fichiers accidentellement.
 La perte brusque d’un disque dur n’est pas exclue car ceux-ci ont
une durée de vie limitée.
 Loi de Murphy : c’est toujours le disque dur le plus important qui
tombe en panne et en plus longtemps après la dernière
sauvegarde.


Remédiassions
 Réduire au minimum le nombre de personnes ayant accès au
système.
 N’embaucher que des personnes compétentes et
méticuleuses.
 Acheter des disques de bonnes qualité.
 Choisir un système RAID pour obtenir l’équivalent d’un disque
dur plus rapide et plus fiable.
 Une bonne stratégie de sauvegarde des données.
 Sauvegarde régulière
 La procédure de sauvegarde est testée, de manière à récupérer
les données en cas de problème.
 Les sauvegardes sont stockées loin du local des ordinateurs
serveurs.


2.3. La modification des données
 La perte des données est assez grave mais leur modification est encore
pire.
 Une suppression de données ne passerait pas inaperçue et peut être
réparée par les sauvegardes.
 Mais combien de temps faudrait-il pour remarquer une modification des
données.
 On distingue la modification des fichiers de données et ceux exécutables.
 Un pirate peut modifier les fichiers de données de l’entreprise pour :
 Dégrader son site
 Obtenir des bénéfices frauduleux
 Il peut remplacer un fichier exécutable par une version sabotée qui lui
permettra de mettre en place un autre moyen d’accès tranquille pour ses
visites ultérieures.


Remédiassions
 Protéger les données grâce aux signatures numériques.
 Les signatures n’empêchent pas les modifications, mais
en les recalculant à la réception et en les comparant aux
signatures d’origine, on peut s’apercevoir si les données
ont été modifiées ou pas en cours de route.
 Si les données sont cryptées pour empêcher les intrus
de les lire, il est d’autant plus difficile de les modifier en
cours de route sans que le destinataire s’en aperçoive.


 Protéger les fichiers du serveur, en utilisant les droits d’accès
implémentés par le système d’exploitation.
 Il est possible d’autoriser certains utilisateurs à se servir du
système, sans pour autant leur permettre la modification.
 L’absence de ces droits fait de Windows 95 et 98 des systèmes
d’exploitation inadaptés pour jouer le rôle de serveurs.
 On peut utiliser des logiciels de vérification de l’intégrité des fichiers
comme Tripwire.
 Ces logiciels enregistrent des informations sur les fichiers
importants que l’on sait "propres", immédiatement après leur
installation.
 Ensuite, ces logiciels peuvent être utilisés pour vérifier que les
fichiers n’ont pas été modifiés.


2.4. Les attaques type denial of service
(DoS)
 Parmi les dangers les plus périlleux, mettre un site dans l’incapacité
de fonctionner correctement ou à le ralentir au-delà d’un seuil
critique.
 Au début de l’année 2000, nous avons assisté à une véritable
avalanche d’attaques de type DoS contre des sites web très
connus.
 Parmi ces cibles : yahoo, eBay, Amazon, E-Trade et Buy.com
 Ces sites gèrent un trafic fabuleux
 Mais peuvent être bloqués pendant des heures
 Les pirates ont peut d’intérêt à bloquer ces sites.
 Mais leurs propriétaires peuvent y perdre leur réputations, leurs
temps, et un peu d’argent.


Remédiassions
 Ces attaques sont difficiles à contrer car elles peuvent
prendre plusieurs formes.
 Pour réaliser ce genre d’attaques, les pirates
 Installent sur le serveur un programme qui consomme la
plus grande partie du temps CPU.
 Envoient des myriades d’e-mails (spam) en précisant
l’adresse de la cible comme expéditeur, pour que celui-ci
reçoive des milliers de plaintes.


 Il est généralement difficile de se protéger contre les
attaques DoS.
 Il faut effectuer des recherches pour repérer les ports
utilisés par la plupart des outils DoS et les fermer.
 La seule protection contre ce genre d’attaque consiste à
surveiller le trafic normal.


2.5. Les erreurs dans les logiciels
 Il se peut que les logiciels que l’entreprise a achetés, obtenus ou
écrits elle-même recèlent des erreurs.
 Ces erreurs peuvent entraîner toutes sortes de comportements
imprévisibles comme :
 La disparition de certains services
 Des failles de sécurité
 Des pertes financières
 Une diminution du service apporté aux clients
 Ces erreurs sont dus à des :
 Spécification médiocres
 Suppositions des développeurs
 Tests insuffisants


2.6. Les annulations de commandes
 Ce genre de danger prend lieu lorsque l’une des deux
parties impliquées dans une transaction se rétracte.
 Une personne commande des articles sur un site web,
puis bloque le débit sur sa carte de crédit.
 Une personne pourrait accepter une commande par e-
mail, puis qui se plaint qu’une autre personne s’est servie
frauduleusement de son e-mail.
 Dans l’idéal, les transactions financières ne devraient
pas pouvoir être annulées.
 Ou encore mieux chacune des deux parties devrait
pouvoir faire appel à une autorité compétente.


Remédiassions
 Les systèmes d’identification fournissent une certaine garantie de
l’identité des personnes avec lesquelles l’entreprise traite.
 S’ils sont utilisés par une organisation réputée, les certificats
numériques peuvent encore accroître cette confiance.
 Les message envoyés par chaque partie ne doivent pas pouvoir
être modifiés.
 Aucun intérêt de recevoir des commandes si l’entreprise n’est
pas capable de prouver que le contenu de cette commande n’a
pas été altéré.
 La signature et le cryptage sont de bons outils pour les
sécuriser.


 Pour les transactions à long terme, les certificats numériques utilisés
conjointement avec des techniques de communication cryptées ou
signées sont une manière efficace de limiter les modifications.
 Les entreprises de commerce électronique se doivent de :
 prouver leur identité
 dépenser de l’argent auprès d’entreprises de
certification comme
 Verisign (http://www.verisign.com)
 Thawte (http://www.thawte.com)
 ANCE (http://www.ance.tn)
pour assurer les visiteurs de leurs bonnes intentions.
 Pour les petites transactions, les commerçant sont prêts à accepter un
certain niveau de risque, au lieu d’alourdir leur commerce.


 VISA a conclu un accord avec un certain nombre
d’organisations financières, et des entreprises de
logiciels qui a permis de mettre en place en 1997 un
standard appelé Secure Electronic Transaction (SET)
 Les pocesseurs de cartes peuvent obtenir des certificats
numériques auprès de l’organisme qui leur a fourni leur
carte.
 Le SET permet de réduire le risque d’annulations et des
autres fraudes faisant intervenir les carte de crédit dans
les transactions sur Internet.


 Les spécifications du SET existent depuis des années
mais :
 Les banques ne suivent pas le mouvement.
 Les marchands ne rejettent pas les clients qui ne
possèdent pas le logiciel SET.
 Les consommateurs ne s’équipent pas de ce logiciel.


3. La recherche d’un équilibre entre simplicité
d’utilisation, performances, coût et sécurité;
 Le web est un environnement risqué.
 Des utilisateurs anonymes demandent des services sur
les ordinateurs des entreprises.
 N’importe qui peut effectuer d’autres types de
connexions.
 Le niveau de sécurité le plus élevé non seulement est
très coûteux en terme d’argent mais aussi en terme de
temps ce qui alourdi la transaction et la rend complexe.
 Un compromis devra être trouvé entre : sécurité,
simplicité d’utilisation, coût et performances.


 Lorsque le niveau de sécurité  sa simplicité d’utilisation:
 En limitant se que les utilisateurs peuvent faire
 En leur demandant de s’authentifier
 Lorsque le niveau de sécurité  les performances des machines  :
 Les logiciels de cryptage
 Les systèmes de détection d’intrusion
 Les scanners de virus
 Les fichiers journaux

 Consomment des ressources
 Il faudra investir dans des processeurs plus puissants pour effectuer
une session cryptée comme une connexion SSL vers un site web.


4. La création d’une stratégie de sécurité
 C’est un document qui décrit :
 La philosophie générale de la sécurité de l’organisation;
 Ce qui doit être protégé : les logiciels, les plates-formes,
les données;
 La personne qui s’occupe de protéger ces éléments;
 Des standards pour la sécurité et son évaluation;


5. Les principes d’authentification
 L’authentification permet de prouver qu’une personne est
réellement la personne qu’elle prétend être.
 Parmi les techniques d’authentification on cite :
 Les mots de passe;
 Les signature numérique;
 Les mesures biométriques comme les empreintes digitales;
 Les cartes à puces;
 Sur le web les mots de passe et les signatures numériques
sont les plus utilisées.


 Les mesures biométriques et les solutions matérielles
comme les cartes à puces, ont besoin d’un périphérique
particulier.
 Ceci limite le nombre d’utilisateurs qui peuvent s’en servir.
 Ces deux solutions sont intéressantes pour l’accès aux
systèmes internes d’une organisation.
 On préfère des systèmes de sécurité disponibles
directement sur le web.


 Les mots de passe sont simples à implémenter, à utiliser, ne
nécessitent aucun périphérique et fournissent un certain niveau de
sécurité mais ne sont pas suffisants pour des systèmes à haute
sécurité.
 Vous pouvez obliger vos utilisateurs à inclure des nombres , des
signes de ponctuation, des lettres majuscules et des lettres
minuscules
 Leurs demander d’éviter les mots de passe simples à deviner ou
ceux prix du dictionnaire.
 Malheureusement  les mots de passe sont compliqués à
retenir,  les utilisateurs ont tendance à faire des actions peu
sécurisées comme les écrire sur un bout de papier collé sur le
moniteur.


 Les mots de passe peuvent être capturés sur les ordinateurs :
 En exécutant un programme qui capture les messages clavier
des terminaux
 En utilisant un programme d’interception des paquets pour
capturer le trafic réseau, les pirates peuvent récupérer des noms
d’utilisateurs avec les mots de passe correspondants.
 Pour réduire ce danger il faut crypter votre trafic réseau.
 Les mots de passe restent idéaux pour vérifier l’état des
commandes de vos clients mais leur niveau de sécurité n’est pas
approprié pour des informations d’ordre sécurité nationale.


6. L’utilisation de l’authentification
 Les mécanismes d’authentification sont intégrés dans la
plupart des navigateurs web et des serveurs web.
 Les serveurs web peuvent demander un nom
d’utilisateur et un mot de passe à une personne qui
demande des fichiers dans des répertoires particuliers
du serveur.
 Le navigateur affiche une boîte de dialogue pareille :


 Le serveur web Apache et le serveur web de Microsoft
(IIS) permettent de protéger facilement une partie ou
l’intégralité du site.
 Avec PHP ou MySQL on peut programmer la même
authentification intégrée au niveau des navigateurs pour
obtenir les mêmes résultats et même en moins de
temps.


7. Une présentation du cryptage
 Un algorithme de cryptage est un processus
mathématique qui transforme des informations en une
suite de données qui semble aléatoire.
 Données de départ  texte brut
 Les informations cryptées  texte crypté
 Le texte brut est passé au moteur de cryptage, qui peut
être un périphérique matériel.
 Comme la machine Enigma utilisée pendant la seconde
guerre mondiale.
 Comme il peut être un programme informatique.
Texte Algorithme de Texte
brut cryptage crypté


Clé

Texte Algorithme de Texte Algorithme de Texte
brut cryptage crypté décryptage clair

 Les mots de passe introduits lors de l’authentification
sont ensuite cryptés avant d’être enregistrés par le
serveur web dans un répertoire protégé.
 Un utilisateur créé, avec un mot de passe comme
"password" se voit crypté et enregistré son mot de passe
sous " aWDuA3X3H.mc2 "


8. Le cryptage par clé privée
 Se fonde sur le fait que les personnes autorisées possèdent une clé
permettant de décrypter les messages.
 Cette clé doit être gardée secrète.
 L’expéditeur (qui crypte le message) et le destinataire (qui décrypte
le message) possèdent la même clé.
 L’algorithme de cryptage par clé privée le plus utilisé au monde est
le DES (Data Encryption Standard). Développé par IBM en 1970.
devenu obsolète en 1998.
 D’autres systèmes à clé privée : RC2, RC4, RC5, le triple DES; et
IDEA.
 Le défaut du cryptage par clé privée est que pour envoyer un
message sécurisé à quelqu’un, il faut posséder un moyen sécurisé
de lui envoyer la clé secrète.


9. Cryptage par clé publique
 En 1976 Diffie et Hellman ont publié le système de
cryptage public.
 Le cryptage par clé publique nécessite deux clés
différentes :
 Une clé publique
 Et une clé privée
 La clé publique sert à crypter les messages.
 La clé privée sert à les décrypter.
Clé Clé
publique privée

Texte Algorithme de Texte Algorithme de Texte
brut cryptage crypté décryptage clair


 La clé publique peut être distribuée à tout le monde.
 Les personnes à qui vous avez envoyé votre clé publique peuvent
vous envoyer des messages de manière sécurisée.
 Tant que vous êtes le seul à détenir votre clé privée, vous êtes le
seul à pouvoir décrypter vos messages.
 L’algorithme de cryptage par clé publique le plus utilisé est RSA,
développé par Rivest, Shamir et Adelman, au MIT.
 La clé publique présente la capacité de pouvoir être transmise sans
la crypter et sans avoir peur qu’elle soit interceptée.


10. Les signatures numériques
 Les signatures numériques sont en rapport avec la cryptographie
par clé publique.
 Elles inversent le rôle de la clé publique et de la clé privée.
 Une personne désirant envoyer un message peut crypter ce dernier
et le signer numériquement avec sa clé privée.
 Lorsque le message est reçu, le destinataire peut le décrypter avec
la clé publique de l’expéditeur.
 Comme l’expéditeur est la seule personne pouvant accéder à la clé
privée, le destinataire peut avoir la certitude de qui provient le
message et que celui-ci n’a pas été modifié.
 Les signatures numériques sont très utiles :
 Le destinataire est rassuré que le message n’a pas été modifié.
 L’expéditeur ne peut plus se rétracter en prétendant que ce n’est
pas lui qui a envoyé le message.


 Le message crypté peut être lu par n’importe qui,
possédant la clé publique.
 Le but du cryptage ici est :
 d’empêcher la modification
 d’identifier avec certitude l’expéditeur
 Le problème du cryptage par clé publique est qu’il est
lent sur les messages de grandes tailles.
 Un autre algorithme est utilisé pour améliorer l’efficacité
du traitement : c’est la fonction de hachage.


La fonction de hachage
 C’est une technique qui permet de produire un condensé de
massage qui est une représentation réduite et unique du message.
 Elle calcule un code d’identification du message appelé une valeur
de hachage.
 Elle est calculée de manière déterministe en fonction du message
(unidirectionnel : impossible de retrouver le message à partir du
condensé).
 Cette valeur de hachage peut être très petite.
 L’algorithme qui la calcule est généralement très rapide.
 Les fonctions de hachage les plus courantes sont MD5 et SHA.


Manière de créer une signature numérique
 Lors de l’envoi :  A la réception : le message reçu est
signé.
 Calculer la valeur de hachage  La signature est décryptée grâce à
d’un message; la clé publique de l’expéditeur.
 Crypter cette valeur par un  Une valeur de hachage est
algorithme de cryptage par clé générée à partir du message, en
publique. utilisant la même méthode que
 La signature peut être ensuite celle de l’expéditeur.
envoyée avec le message via  Si la valeur de hachage décryptée
n’importe quelle méthode de correspond à la valeur de hachage
transmission non sécurisée. décryptée, le message provient
bien de l’expéditeur et n’a pas été
modifié.


11. Les certificats numériques
 Nous voulons nous assurer
 de l’intégrité du message (qu’il n’a pas été modifié)
 Et de la provenance des messages (c’est bel et bien l’utilisateur
spécifique qui a envoyé les messages)
 Pour des transactions commerciales, on souhaiterait rattacher un utilisateur
ou un serveur à une entité légale comme une personne ou une entreprise.
  Un certificat numérique combine à la fois une clé publique et les détails
concernant une organisation ou un particulier, tout cela dans un format
signé numériquement.
 A partir d’un certificat vous possédez
 la clé publique de l’entité avec laquelle vous traitez.
 Vous connaissez également ses détails personnels, qui n’ont pas pu
être modifiés.


 Les informations ont autant de valeur que la personne qui les a
signées.
 Pour les transactions commerciales, il est souhaité qu’un organisme
indépendant vérifie l’identité des participants et les détails qu’ils ont
enregistrés dans leur certificat.
 Ces organismes sont appelés des autorités de certification.
 Elles délivrent des certifications numériques à des individus et à des
personnes.
 Les deux autorités de certification les plus connues sont :
 Verisign (http://www.verisign.com)
 Et Thawte (http://www.thaxte.com)
 D’autres autorités sont moins connues et moins chères comme (
http://www.equifaxsecure.com)


 Ces autorités signent un certificat pour valider l’identité de leur
propriétaire.
 Mais un certificat ne garantit pas la solvabilité de son propriétaire, ni
ses bonnes intentions.
 En cas d’escroquerie vous pouvez déterminer l’adresse physique
de la personne responsable.
 Les certificats créent une sorte de chaîne de confiance : si vous
faites confiance à l’autorité de certification qui a émis un certificat,
vous pourrez également faire confiance aux personnes auxquelles
cette autorité fait confiance.


 Les certificats numériques servent à donner du respect
envers un site de commerce électronique.
 Grâce à un certificat provenant d’une autorité de
certification, les navigateurs web peuvent effectuer des
connexions SSL vers votre site, sans afficher la boîte de
dialogue d’avertissement.
 Les serveurs web qui autorisent les connexions SSL
sont appelés des serveurs web sécurisés.


12. Les serveurs web sécurisés
 Apache, Microsoft IIS ou tout autre serveur web
commercial ou gratuit peuvent permettre de
communiquer de manière sécurisée avec des
navigateurs via SSL.
 Pour utiliser SSL avec IIS, il suffit d’installer IIS, de
générer une paire de clés et d’installer le certificat.
 Pour utiliser SSL avec Apache il faut installer trois
bibliothèques différentes : Apache, Mod_SSL, OpenSSL.


Processus d’obtention des certificats
 Prouver que vous êtes une entreprise reconnue
légalement.
 Possédant une adresse physique.
 Et que votre entreprise possède le nom de domaine
correspondant.
 Générer par votre serveur web une requête de signature
de certificat (CSR)
 le résultat est une requête de signature de certificat
cryptée


-----------BEGIN NEW CERTIFICATE REQUEST----------
MIIBuwIBAAKBgQCLn1XX8faMHhtzStpwY6BVTPuE

En7Q1XnXw1s7xXbbuKP0
-----------END NEW CERTIFICATE REQUEST-----------


Le CSR
 Un chèque
 Documentation qui prouve que vous existez
 Preuve de correspondance du nom de domaine actuel à votre
entreprise
 Sont les pièces nécessaires pour demander un certificat auprès
d’une autorité de certification.
 Lorsque l’autorité délivre le certificat, il faudra
 L’enregistrer sur votre système
 Indiquer à votre serveur web l’endroit où il peut le trouver
 Le certificat final est un fichier texte semblable à la requête
présentée en D53.


13. La surveillance et les journaux
 Le système d’exploitation permet d’enregistrer toutes sortes
d’événements.
 Du point de vue de la sécurité, les événements à prélever sont :
 Les erreurs de réseaux.
 Les accès à des fichiers de données particuliers
 Comme les fichiers de configuration
 ou la base de registre de windowsNT
 Ou bien l’appel à des programmes permettant d’ouvrir une session
sous le nom d’un utilisateur.
 Les fichiers journaux aident à détecter les erreurs et les
comportements suspects.
 Peuvent aussi indiquer comment un problème ou une intrusion ont
pu avoir lieu.
 Mais les journaux posent deux problèmes :
 Leur taille
 Et leur véracité.


 Si l’entreprise choisit d’enregistrer beaucoup d’informations dans les
journaux leur taille s’accroîtra vite et il sera plus fastidieux de les
examiner.
 L’entreprise pourra s’aider d’outils existants ou bien développer des
scripts de surveillance, pour chercher les événements "intéressants“
dans les journaux.
 Malheureusement, les fichiers journaux sont les proies de choix
pour les pirates.
 Si un intrus possède un accès administrateur sur le système de
l’entreprise, il aura toute la liberté de s’approprier des fichiers
journaux et effacer ses traces.
 L’administrateur devra effectuer des surveillances régulières.
 Mais l’entreprise peut aussi demander l’aide d’une société de
surveillance externe pour vérifier le comportement de ses
administrateurs.


14. Les pare-feu ou firewalls
 Servent à séparer le réseau de l’entreprise (Intranet) du monde extérieur.
 En protégeant les ordinateurs de son réseau, des attaques provenant de
l’extérieur.
 Il filtre et bloque le trafic qui ne remplit pas certaines conditions.
 Il restreint également l’activité de personnes et d’ordinateurs situés à
l’extérieur.
 Les pare-feu sont
 soit des périphériques matériels, comme des routeurs possédant des
règles de filtrage.
 Soit des programmes exécutés sur un ordinateurs.
 Les paquets peuvent être filtrer en fonction
 de leur type,
 de leur adresse source,
 De leur adresse destination,
 Ou de leur port.


15. La sauvegarde des données
 Aucune compagnie d’assurance ne pourra remplacer le logiciel web
que l’entreprise aura développé elle-même et qui vient de disparaître.
 L’entreprise doit sauvegarder tous les composants de son site web
(les pages statiques, les scripts et les bases de données)
 La fréquence des sauvegarde dépend des modifications apportées au
site.
 Les sites permettant aux clients d’effectuer des commandes en ligne,
donc qui sont sensés être modifiés fréquemment doivent être
sauvegardés régulièrement.
 La plupart des sites d’une certaine taille peuvent être hébergés sur un
serveur RAID (Redundant Array of Inexpensive Disks), qui enregistre
les information en plusieurs exemplaires sur les différents disque
durs.


16. La sécurité physique :
 Panne d’air conditionné,
 Les incendies,
 Les propres collaborateurs de l’entreprise maladroits ou
réellement malintentionnées,
 Les coupures de courant,
 Et les pannes du réseau.


Solutions
 Local approprié
 Interdire l’accès à la salle des machines aux personnes non
concernées.
 Les extincteurs automatiques peuvent être dangereux pour les
matériels électroniques.
 Investir dans un onduleur pour une alimentation supplémentaire de
10mn.
 Pour plus de temps il faudra investir dans un équipement plus
onéreux.
 Héberger son site chez plusieurs fournisseurs d’accès Internet
permettra en cas de panne, une capacité réduite au site au lieu
d’être totalement inaccessible.
 Regrouper ses ordinateurs avec ceux d’autres entreprises dans des
locaux spécialisés.


Sécurité informatique

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Sécurité informatique

Similaire à Sécurité informatique (20)

Dernier

Dernier (20)

Sécurité informatique