Skip Navigation Links Accueil   »  Tout sur CGA-Canada  »  CGA Magazine  »  2004  »  Nov.-Déc.  »  Audits de sécurité informatique

Audits de sécurité informatique 

Sélectionnez le numéro archivé que vous souhaitez consulter : 

 

Technologie de l'information

Audits de sécurité informatique

Pour assurer la sécurité de votre système informatique, vous devez effectuer régulièrement des audits.

 

TIRÉ DU NUMÉRO : NOV.-DÉC. 2004 | PAR GABRIEL VITUS

Il y a une vingtaine d'années, les internautes, alors peu nombreux, naviguaient sans grand souci, convaincus de l'autoréglementation de ce nouvel espace libre, de l'honnêteté de leur pairs et du bannissement immédiat de tout utilisateur malveillant. La plupart d'entre eux respectaient un code d'honneur non écrit. Toute tentative de diffusion de virus ou d'intrusion dans le système d'un utilisateur suscitait de vives réactions de la part des autres internautes. Le piratage informatique en était alors à ses débuts et l'objectif des pirates se limitait souvent à laisser sur l'ordinateur ciblé des messages inoffensifs. Le but du « jeu » était de laisser sa marque plutôt que de détruire.

En raison du nombre croissant d'utilisateurs, il était inévitable que des pirates élaborent des projets plus ambitieux et mènent des attaques majeures contre des organisations dont les systèmes contiennent des renseignements confidentiels. La sensibilisation à l'égard de la sécurité informatique s'est accrue de façon exponentielle au cours des cinq dernières années, mais certains se croient encore à l'abri de toute attaque. Or, les pirates informatiques cherchent souvent à pénétrer dans le système d'utilisateurs peu méfiants afin de s'en servir comme passerelle pour mener des attaques d'envergure.

Points faibles

Les principaux points faibles en matière de sécurité informatique sont :

  1. La prolifération de virus au moyen des courriels. En ouvrant le courriel, l'utilisateur active le code du virus camouflé dans la pièce jointe. De tels courriels sont maintenant très élaborés et peuvent prendre la forme d'un message anodin provenant d'amis, de parents ou de collègues. Les logiciels de script de courriel, notamment sendmail, ghostscript et Outlook, sont vulnérables à de telles attaques.
  2. L'accès par l'intermédiaire d'Internet à des systèmes informatiques dotés de pare-feu désuets ou inexistants.
  3. L'exécution de scripts à l'insu des utilisateurs pendant qu'ils naviguent dans Internet. Un script est un code, comme JavaScript, activé lorsque l'utilisateur accède à une page Web. La plupart sont inoffensifs, mais d'autres comportent des signatures de virus très dangereux.
  4. L'installation de logiciels piratés à partir de disquettes, CD ou clés USB. On peut trouver sur le marché noir une multitude de copies de logiciels dont certaines sont porteuses de virus.
  5. L'omission de sécuriser l'infrastructure réseau, l'accès des utilisateurs, les accès à distance ainsi que les mots de passe, et l'omission de protéger son économiseur d'écran au moyen d'un mot de passe.

L'utilisation d'un logiciel antivirus ou de pare-feu peut généralement remédier aux brèches de sécurité mentionnées aux points 1 à 4, tandis que seule l'application de politiques, règles et procédures appropriées peut le faire pour ce dernier point.

Un minimum de prévention

Pour les systèmes informatiques à domicile, quelques simples mesures de prévention peuvent suffire, si l'ordinateur est utilisé principalement pour le courrier électronique, la navigation sur le Web et l'exécution d'applications courantes. Les mesures proposées sont les suivantes :

  1. Passez à Windows XP Édition familiale ou professionnelle si vous utilisez Microsoft Windows : leurs fonctions de sécurité sont plus élaborées que celles des versions précédentes. Microsoft a entrepris une campagne visant à mettre continuellement à jour son système d'exploitation Windows afin de combler toute lacune importante en matière de sécurité. Consultez le site de Microsoft toutes les deux semaines pour télécharger les mises à jour les plus récentes.
  2. Pour protéger votre système contre les attaques internes, établissez les paramètres d'accès des utilisateurs en fonction des besoins de chacun et, si possible, appliquez des règles d'accès. Ne divulguez pas le mot de passe de votre compte d'administrateur, puisque toute personne y ayant accès peut causer intentionnellement ou non des torts irréparables à la configuration du système d'exploitation.
  3. Installez un pare-feu matériel ou logiciel et mettez-le à jour régulièrement. La supériorité d'un type de pare-feu par rapport à l'autre fait l'objet de discussions. Chacun comporte des avantages et des inconvénients. Consultez un spécialiste afin qu'il vous aide à choisir la solution appropriée pour votre environnement.
  4. Installez un logiciel antivirus et mettez-le à jour régulièrement, chaque semaine si possible. Soumettez à la vérification de votre logiciel antivirus tout programme que vous souhaitez installer à partir d'une disquette, d'un CD ou d'une clé USB.
  5. Tâchez de savoir qui utilise votre ordinateur et à quelles fins.

De nombreuses menaces

Plus un environnement informatique est complexe, plus il risque de faire l'objet d'une attaque. Il n'est pas rare de compter une dizaine, voire une centaine d'attaques par jour contre le pare-feu d'un système à domicile doté d'une connexion haute vitesse. Dans le cas d'un environnement plus vaste, comme le réseau de CGA-Canada, le nombre d'attaques se situe en moyenne à quelques milliers par jour. La plupart d'entres elles sont perpétrées dans le but d'obtenir divers types d'accès, mais toute attaque bien orchestrée peut s'avérer extrêmement destructrice. En outre, lorsqu'un nouveau virus se manifeste dans Internet, nous pouvons dénombrer plus de 20 000 courriels infectés acheminés à notre système.

Une perspective extérieure

La plupart des organisations dotées de réseaux de petite ou de moyenne taille ont recours aux services d'administrateurs de réseaux. Ceux-ci sont parfaits pour installer les réseaux et les gérer, ainsi que pour en définir les règles de sécurité. Cependant, un examen externe du système de sécurité d'une organisation constitue une mesure d'une valeur inestimable. Une organisation se doit de faire appel à un spécialiste compétent pour effectuer régulièrement des audits de sécurité informatique afin de garantir que tous les systèmes, politiques et règles de sécurité sont à jour. La certification CISSP ( Certified Information Systems Security Provider) est la meilleure preuve de compétence à cet égard.

Un audit de sécurité informatique mené par un spécialiste externe est un processus très complexe pouvant exiger quelques semaines. De nombreuses sociétés de consultation en TI fournissent ce type de service et les éléments les plus importants à rechercher sont les preuves de compétence des spécialistes ainsi que de solides antécédents dans le domaine des audits de sécurité informatique.

Critères de réussite d'un audit

L'auditeur doit s'assurer d'adapter les procédures d'examen aux particularités du système visé, puisque chaque système d'exploitation comprend des politiques et des règles de sécurité particulières. L'audit doit porter sur les points suivants :

  1. Architecture et procédés
    La première étape consiste à examiner l'architecture du réseau en fonction des besoins de la société et des meilleures pratiques en matière de sécurité TI. Prêtez particulièrement attention à l'examen des réseaux multizones. Effectuez l'examen de toutes les politiques, règles et processus qui régissent l'accès aux divers systèmes et l'interconnexion de ceux-ci. Séparez votre réseau interne et l'application Web en deux zones distinctes par un serveur pare-feu afin de contenir les attaques dans une seule zone.
  2. Examen des réseaux internes et externes
    Tous les réseaux internes et externes doivent faire l'objet d'un examen axé sur les vulnérabilités de la configuration du réseau, les contrôles de l'intégrité et les outils de création de rapports de sécurité.
  3. Vulnérabilité de l'ordinateur hôte
    À partir de l'information recueillie aux étapes précédentes, effectuez des tests de pénétration sur les serveurs et les ordinateurs de bureau. Les tests visent à déterminer toute vulnérabilité créée par des lacunes attribuables à des configurations déficientes ou à des correctifs logiciels désuets ainsi que toute vulnérabilité au niveau du réseau, du chiffrement ou des ports du pare-feu.
  4. Test des applications Web
    Tentez des attaques contre vos propres applications Web afin de détecter toute vulnérabilité en matière de sécurité.

Puisque nous sommes contraints à composer avec les attaques de virus et les menaces de pirates informatiques, les organisations de toute taille se doivent d'effectuer régulièrement des audits de sécurité informatique afin de garantir la sécurité de leurs systèmes et de leurs données.

[ Haut de la page ]

Gabriel Vitus est directeur, Technologies de l'information, à CGA-Canada.

© 2008 CGA-Canada

Veuillez mettre à jour votre navigateur

Les éléments graphiques du site ne sont visibles qu'au moyen d'un navigateur graphique qui accepte les standards du Web, mais son contenu est visible peu importe le navigateur ou l'appareil utilisé pour naviguer sur Internet.