guide_securite_si.pdf

5/20/2018 guide_securite_si.pdf

1/100

CENTRE NATIONAL

DE LA RECHERCHE

SCIENTIFIQUE

lusagedes directeurs

des systmes dinformationGuide de la scurit


2/100


3/100

CENTRE NATIONAL

DE LA RECHERCHE

SCIENTIFIQUE

lusage des directeursdes systmes dinformation

Guide de la scurit

Cet ouvrage a t conu et rdig par

Robert LongeonChargde mission la scurit

des systmes dinformat ion du CNRS

Jean-Luc ArchimbaudChargde mission la scurit

des rseaux du CNRS


4/100

2

Avant-propos

Pourquoi protger les produitsde la recherche scientifique

La mission principale du CNRS est de faire effectuer toutes recherches prsentantun intrt pour lavancement de la science ainsi que pour le progrs conomique,social et culturel du pays. Il a aussi pour vocation de contribuer lapplication et la valorisation des rsultats de la recherche (Dcret n82-993 JOdu 25novembre 1982).

Quils soient ou non susceptibles de conduire des applications industrielles oucommerciales, les rsultats de la recherche constituent un bien commun, un patri-moine de la communaut nationale qui, juste titre, peut prtendre tre la pre-mire en tirer profit. Ce patrimoine scientifique, confi de plus en plus des cir-cuits lectroniques chargs de le traiter, transformer, prsenter, transmettre etconserver, chacun se doit de veiller son intgrit face aux menaces, accidentellesou malveillantes, qui pourraient laltrer.

Laccs, par Internet notamment, une masse en forte croissance dinformationsscientifiques actualises en temps rel ainsi que la possibilit de la traiter automa-tiquement, permet nombre dorganisations, officielles ou prives, de disposerdindicateurs sur lmergence de linnovation et ainsi de mieux orienter leursrecherches. Linnovation scientifique et technologique est donc devenue lenjeudun march stratgique de la connaissance o il ny a plus gure damis ni dallis.

Il est donc indispensable dassurer la protection physique de linformation scien-tifique labore par les laboratoires qui, lorsquelle est stocke sans prcautionssur le disque dur dun ordinateur reli lInternet, peut tre lue, copie, modifieou dtruite partir dun poste de travail situ aux antipodes sans que, trop sou-vent hlas, le propritaire sen aperoive.


5/100

Avant-propos

3

Comment les protger

Pour se prmunir contre une utilisation des rseaux qui viserait sapproprierindment des informations, il est ncessaire dappliquer strictement les recom-mandations de ce guide. Il nest pas inutile den rappeler quelques-unes:

Adopter une architecture du rseau apte interdire, ou tout au moins

compliquer, toute tentative frauduleuse de pntration. Assurer une surveillance permanente des connexions extrieures afin de

dtecter au plus tt tout accs anormal. Grer rigoureusement les logins et les mots de passe en veillant plus par-

ticulirement naccorder aux chercheurs non permanents que les facili-ts strictement indispensables leurs travaux et les leur retirer ds lafin de leur sjour.

Imposer des prcautions supplmentaires aux chercheurs souhaitant seconnecter de lextrieur et a fortiori lors dun sjour ltranger , parexemple lemploi de mots de passe usage unique.

Utiliser, en cas de ncessit, les nouveaux procds de chiffrement pourassurer la discrtion des changes de messagerie et de donnes.

Neffectuer les travaux les plus sensibles et ne stocker les fichiers confi-

dentiels que sur des machines physiquement dconnectes du rseau.Mais les systmes informatiques ne sont pas vulnrables quaux attaques ext-rieures. Lincendie, lexplosion ou le dgt des eaux, linsouciance, la maladresseou la malveillance dun collgue, peuvent perturber gravement le fonctionnementde cet incomparable outil de travail et de communication. Il faut donc, outre lesmesures dtailles plus haut, sauvegarder en un lieu sr et distant les informationset les donnes que lunit ne peut se permettre de perdre.

Il vous appartient en tant que directeur de dfinir et mettre en uvre la politiquede scurit de votre laboratoire, dinciter chacun de vos collaborateurs enprendre conscience et sy impliquer. Ce guide est le fruit de lexprience de toutela communaut scientifique et nous comptons sur vous pour lenrichir des casconcrets auxquels vous pourriez tre confronts.

Phil ippe Schreiber

Fonctionnaire de Dfense du CNRS


6/100

4

Sommaire

Introduction ................................................................................................................7

1. Les menaces de lInternet ......................................................................... 9

1.1 La scur itdes systmes di nformation..................................................10

1.2 Lagression par l Internet.............................................................................. 11

1.3 Comment se mani feste une agression......................................................121.4 Les Techniques dagression ut i l ises.........................................................13

2. Le rle du management dans la scurit..................................19

2.1 quoi sert la scur it?................................................................................ 20

2.2 Vulnrabi l i tet insouciance des labor atoires.......................................23

2.3 La scur itest une fonction de management........................................26

3. Sur quelles organisations sappuyer?...........................................29

3.1 La scur itdans l organisation gouvernementale...............................30

3.2 Protection du patr imoine scientif ique

et technologique au CNRS........................................................................... 30

3.3 Lorgani sation de la SSI au CNRS............................................................32

3.4 Les act ions scur itau CNRS....................................................................33

4. Quelques recommandations lmentaires...............................35

4.1 Organiser, prvoir et sensibi l iser............................................................... 36

4.2 Procdures de gesti on des ressources informat iques...........................38

4.3 Moyens de protecti on acti ve....................................................................... 40

4.4 Avoir une approche mthodologique........................................................42

4.5 Les phases dune mthode adapte aux labor atoires..........................43

4.6 La mthode de lUREC................................................................................. 47

4.7 Une archi tecture structure et cohrente................................................48


7/100

Som m aire

5

5. Les rgles de bon usage........................................................................... 53

5.1 Respect des rgles cr ites et non cr ites.................................................54

5.2 Le bon usage des moyens de communi cati on.......................................55

6. La vulnrabilit des autocommutateurs....................................61

6.1 Les responsabi l i ts.........................................................................................62

6.2 Recommandations dadministr ation.........................................................63

7. Virus informatiques et autres malignits..................................65

7.1 Un peu de vocabulaire.................................................................................. 66

7.2 La prvention................................................................................................... 67

7.3 Pri ncipes de lutte contre les macrovir us.................................................69

7.4 Que faire en cas dinfection par un vir us?............................................71

7.5 O trouver antivir us et documentat ion ?................................................73

8. Les aspects juridiques de la SSI ........................................................75

8.1 Les tr aitements automati ss dinformati ons nominat ives................. 76

8.2 Quelques lments de droi t se rappeler...............................................77

Conclusion ................................................................................................................81

Annexes

Annexe A : La charte util isateur....................................................................... 85

Annexe B: Vocabul ai re abrgdes techniques de pi ratage......................89

Annexe C: Serveurs dinformati ons uti les.....................................................91

Bibliographie thmatique abrge.........................................................93


8/100


9/100

7

Introduction

La qualit de nos recherches dpend troitement des changes et des dbats quenous pouvons mener au sein de notre communaut scientifique. Cette dpen-dance est telle, quon considre de plus en plus la capacit de communiquercomme un indicateur significatif de dynamisme. Le rseau Renater et lInternetont constitu une volution majeure. Ils sont maintenant si naturels, quon croi-rait quils ont toujours exist. Les facilits offertes pour les transferts de fichiers, lecourrier lectronique, les listes de diffusion, les webs, les forums entre autres ont permis un dveloppement spectaculaire et fructueux des changes scienti-fiques. Mais, paralllement la mutation extraordinaire de nos mthodes de tra-vail qua induit cette volution, nous assistons des phnomnes parasitaires

inquitants notamment depuis louverture dInternet des activits prives oucommerciales qui confirment la ncessit, pour les organismes qui veulent pou-voir librement communiquer, stocker et traiter les donnes, de protger leurs sys-tmes dinformation.

De nouvelles formes de malveillance ont rcemment fait leur apparition; elles ris-quent de perturber gravement le fonctionnement des laboratoires. Certaines de cesmalveillances constituent des crimes ou des dlits et peuvent entraner des pour-suites judiciaires; dautres provoquent une entrave la communication scienti-fique. Plus inquitante encore est lapparition dune dlinquance organise quicherche pntrer les systmes pour sapproprier de linformation et la monnayeraux plus offrants. Linformation, mme dapparence anodine, constitue aprs com-pilation, recoupements et traitements, une valeur marchande pour des groupes demieux en mieux structurs. De ce point de vue, nous avons dpass lpoque duvulgaire bricoleur solitaire qui, par jeu ou par dfi, cherche pntrer les systmesles mieux protgs. Les pirates daujourdhui oprent en bande, plus ou moinsinfiltre par les mafias; ils utilisent des recettes toutes prtes quils rcuprent surdes sites spcialiss et, contrairement la lgende, ne sont guids par aucunethique. Pour ces prdateurs dun nouveau type, les laboratoires universitaires etles diffrents instituts de recherche constituent des cibles privilgies. Nos princi-paux partenaires dans les collaborations internationales, quils soient amricains,


10/100

Guide de la scurit des systm es dinform ation

8

europens ou japonais, prennent trs au srieux ces menaces; il arrive mme quilsnous montrent du doigt pour ce quils considrent comme du laxisme de notrepart. lvidence, notre organisme ne peut rester plus longtemps lcart de cettemobilisation et ignorer ces dangers, sans courir les risques graves de voir nos sys-tmes dinformation se dgrader progressivement, notre patrimoine scientifique sefaire piller et nos partenaires internationaux se dtourner de nous, de crainte decompromettre leur propre scurit.

La scurit des systmes dinformation (SSI) au CNRS sest toujours prsentedans un contexte spcifique difficile. Nagure encore, les mots mmes de scu-rit ou de protection du patrimoine scientifique taient tabous. Le rle du

Fonctionnaire de Dfense restait trs obscur et pour certains inquitant. Lescorrespondants scurit taient jugs comme accessoires, souvent inutiles. Lesmises en garde sur les risques des rseaux ouverts ne suscitaient trop souventquindiffrence. La rgle tait la science exclusivement. Aujourdhui, ce seuil estpour lessentiel dpass; la grande majorit des personnels, dans la plupart deslaboratoires, est prte simpliquer activement dans la mise en uvre dune vri-table politique de scurit pourvu quil trouve auprs de leur Direction un soutienet des orientations. Ce guide est fait pour aider les directeurs dans ce rle.


11/100

9

1

Les menacesde lInternet

En quoi l interconnexion des rseaux le rseau mondial modif ie- t -elle

les exigences de scurit? Quelles sont les nouvelles menaces qui guet tent

nos systmes dinformat ion depuis louverture des services dInt ernet au

grand publ ic? Ce sont des questions quaujourdhui personne, surt out

pas un responsable, ne peut ignorer.


12/100


10

1.1 La scurit des systmes dinformation

Tout dabord, quentendons-nous par scurit des systmes dinformation ?

Systmes dinformation

Linformation se prsente sous trois formes: les donnes, les connaissances et lesmessages. On a lhabitude de dsigner par systme dinformation lensembledes moyens techniques et humains qui permet de stocker, de traiter ou de trans-mettre linformation. De fait, on confond souvent, mme si ce nest pas trs exact,la notion de systmes et rseaux informatiques et celle de systmes dinfor-

mation (SI). On dira donc quun systme dinformation esttout moyen dont lefonctionnement fait appel dune faon ou dune autre llectricitet qui est destinlaborer, tr ai ter, stocker, acheminer, prsenter ou dtrui re linformat ion(AGIn900/SGDN).

Scurit

Le concept de scurit des systmes dinformation recouvre un ensemble demthodes, techniques et outils chargs de protger les ressources dun systmedinformation afin dassurer:

la disponibilit des services: les services (ordinateurs, rseaux, priph-riques, applications) et les informations (donnes, fichiers) doiventtre accessibles aux personnes autorises quand elles en ont besoin;

la confidentialit des informations: les informations nappartiennent pas

tout le monde; seuls peuvent y accder ceux qui en ont le droit; lintgrit des systmes: les services et les informations (fichiers, mes-sages) ne peuvent tre modifis que par les personnes autorises(administrateurs, propritaires).

La politique de scurit du laboratoire est lexpression de ces objectifs. Elleindique lensemble des mesures prendre, des structures dfinir et lorganisa-tion mettre en place afin:

dempcher (ou tout au moins freiner) la dtrioration, lutilisation anor-male ou la pntration des systmes et rseaux;

de dtecter toute atteinte, malveillante ou non, lintgrit, la disponibi-lit et la confidentialit des informations;

dintervenir afin den limiter les consquences et, le cas chant, pour-suivre lauteur du dlit.

Valeur et proprits dune information

On ne protge bien que ce quoi on tient, cest--dire ce quoi on associe unevaleur. La trilogie confidentialit, intgrit, disponibilit, dtermine la valeurdune information. La scurit des systmes dinformation (SSI) a pour but degarantir la valeur des informations quon utilise. Si cette garantie nest plus assu-re, on dira que le systme dinformation a t altr (corrupted). Une altration


13/100

Les m enaces dInternet

11

nest pas uniquement le fait de malveillances. Il est plus souvent encore, la cons-quence de pannes, de maladresses, daccidents ou derreurs humaines dont lesplus frquentes sont les erreurs de conception. Ces phnomnes relvent de lasret de fonctionnement qui est une autre manire dapprhender la scuritglobale. Les sauvegardes, le fonctionnement en mode de repli, la redondance, etc.font aussi partie de la trousse outils traditionnelle de la scurit prise dans sonsens gnral.

Avec le dveloppement de linformatisation des changes (courriers officiels, tran-sactions financires, commerciales), la simple affirmation de la valeur de lin-formation nest plus suffisante. Il est ncessaire dy adjoindre des proprits nou-

velles comme lauthentification (garantie de lorigine dun message, de lauteurdun document), la paternit (linformation ne peut pas tre rpudie par sonauteur), la traabilit (on connat le circuit qua suivi une information), etc. La pr-servation et la garantie de ces proprits ressortent encore de la fonction scu-rit.

1.2 Lagression par lInternet

Les sources de dysfonctionnement des systmes dinformation sont diverses etvaries. Elles ont le plus souvent des causes dorigine humaines :

les sauvegardes sont mal faites ou mal gres et rendent le systme sen-sible aux pannes, aux maladresses et aux sinistres;

labsence dune vision globale de la scurit, traite par petits morceaux,au cas par cas dbouche immanquablement sur un manque dorganisa-tion (qui fait quoi dans quelle structure?) et plus spcialement sur demauvaises architectures rseaux;

le manque de consignes claires qui permettraient chacun de savoir cequil a faire, ce quil peut faire et ce quil na pas le droit de faire.

Mais le nouvel environnement cr par lInternet agit galement sur la scurit.Les rseaux mettent en relation entre eux des millions dindividus aux motivationstrs diffrentes. Il convient den connatre les dangers pour se protger.

Les laboratoires sont raccords lInternet par le rseau Renater, lui-mme fd-ration de rseaux rgionaux gre dans la forme juridique dun GIP. Internet est lerseau des rseaux. Il est mondial et ouvert. Il est bti sur un protocole de com-munication normalis (TCP/IP) et offre un ensemble de services distribus, dontles plus connus sont WWW alias HTTP pour la consultation des serveurs web,SMTP pour la messagerie, FTP pour le transfert de fichiers, TELNET pour laccsinteractif. Il en existe encore de nombreux autres, plusieurs dizaines Les agres-sions par le rseau utilisent la plupart du temps une faille de scurit dans lun deces services.


14/100


12

Lagression peut tre opportuniste. Lagresseur a repr (par un programme debalayage dInternet) une possibilit de rentrer dans votre systme, il en profite.Dans ce cas, cest loccasion qui fait le larron. Cest ce profil dagression que nousdbusquons le plus frquemment dans nos systmes, uvre souvent de no-phytes.

Une autre forme dagression est lagression cible, elle est luvre de profession-nels. Un professionnel du piratage est guid par son avidit (intellectuelle, poli-tique, religieuse, financire). Son souci, cest la discrtion, la rapidit et leffica-cit. Il a lavantage de linitiative: il sait quand, o et comment porter son attaque.Il dispose souvent dinformation sous forme lectronique (donnes). Il ne connat

pas les frontires (sauf pour sinstaller sous la protection dune lgislation laxiste).Il sait ne pas laisser de traces ou les effacer. Cette forme dagression suit des prin-cipes prcis:

Lagresseur vous connat ou commencera par effectuer une recherche derenseignements (caractristiques de votre systme dinformation, quipe-ments informatiques, centres de comptence, horaire de travail, effec-tifs).

Il a ses propres procdures et nutilise pas forcment lune des nom-breuses mthodes dattaque qui sont disponibles sur Internet.

Lattaque porte surtout sur les maillons les plus faibles de la chane detraitement de linformation (personnel, tltraitement, maintenance).

Contre ces attaques, lingnieur systme est dans la situation dun gardien de but qui on aurait band les yeux. Exception faite de quelques virtuoses (il y en a dans

nos laboratoires!) qui ont affich de belles prises leur tableau de chasse, cetype dagression reste la plupart du temps indtecte.

1.3 Comment se manifeste une agression

Du temps o linformatique tait centralise, les menaces physiques (pntra-tion dans des locaux informatiques sans autorisation, vol, vandalisme) repr-sentaient les menaces majeures. En ces temps bnis, la protection pouvait se rsu-mer en quelques mesures de contrle daccs: grosses serrures, sas et gardienstaient la panoplie usuelle. La situation est aujourdhui bien diffrente. Certes, ily a toujours les vols de matriel, lutilisation de la console matresse pour pntrerun systme ou le pigeage dun rseau Ethernet ou public pour le mettre surcoute; mais globalement, la dangerosit de ce type de menaces, dont les remdessont connus et prouvs, est sans commune mesure avec les agressions menespar le rseau, qui se ralisent sans la prsence physique de lagresseur. Ces agres-sions par le rseau ont maintenant trs largement atteint un seuil critique et ontne sait pas toujours quelle parade leur opposer. Dans le palmars de cette nouvelledlinquance, on retrouve ple-mle:


15/100


13

Tout ce qui porte atteinte lintgrit du systme

Le pigeage de systmes (bombes logiques, cheval de Troie, sniffeurs) afinde nuire au laboratoire ou de se donner les moyens de revenir plus tard.

La modification des informations afin de porter atteinte limage dulaboratoire (exemple: modification des pages web du laboratoire).

Lutilisation des ressources du site vis. Une intrusion en vue dattaques par rebond, cest--dire quune autre

cible est vise, votre systme servant seulement de point de passage.Le laboratoire est alors complice involontaire du piratage.

Tout ce qui porte atteinte la confidentialit des informations

La rcupration dinformations sensibles (mot de passe, articles avantpublications, donnes personnelles, etc.).

La fouille des messages, des donnes, des rpertoires, des ressourcesrseaux

Lusurpation didentit.

Tout ce qui porte atteinte la disponibilit des services

La paralysie du systme (considr ensuite comme un exploit par lespirates qui lont ralise).

La saturation dune ressource (serveur, imprimante). Les virus et vers informatiques.

1.4 Les techniques dagression utilises

Quelques exemples des techniques dagressions par Internet, parmi les plus cou-rantes, utilises contre nos laboratoires, illustreront mieux notre propos. Lespirates commencent la plupart du temps par une recherche systmatique des sitesmal administrs.

La recherche de trous de scurit sur les serveurs

Tout logiciel comporte des bogues dont certains sont des trous de scurit, desanomalies qui permettent de violer le systme sur lequel tourne le programme. Sicest un programme dapplication rseau, ces trous peuvent tre exploits dis-tance viaInternet. Les pirates recherchent systmatiquement les sites mal admi-nistrs en procdant un balayage de lInternet avec des programmes appelsscan. Ces programmes dcouvrent distance toutes les stations du rseau localet testent la prsence de vieilles versions des logiciels rseau sur ces stationsavec des trous de scurit connus. Les vieilles versions de sendmail, le serveurde courriers lectroniques, sont les plus testes. Cest pourquoi, veillez bien avoirtoujours la dernire version dun logiciel (surtout pour le sendmail) et filtrez lesapplications sur le routeur dentre et sur les serveurs (cf. chapitre 4.5).


16/100


14

Une fois le site mal administr repr, lexploitation des vulnrabilits est la por-te de nimporte quel malfrat: on trouve sur Internet des sites proposant des pro-grammes tout prts accompagns de toutes les explications dtailles pour pn-trer les systmes en utilisant les trous de scurit connus.

Blocage des systmes ou de la liaison dentre

Des mthodes (concrtement des programmes) sont trs connues pour perturberfortement les systmes et les rseaux et ont t trs souvent utilises ces derniersmois pour:

Bloquer un systme (par exemple en ouvrant distance un grand nombre deconnexions ou en mettant certains messages, pings longs). Les construc-

teurs ont corrig ces erreurs dans les nouvelles versions de leurs systmes.Une version rcente installe sur chaque systme constitue le remde.

Surcharger la liaison daccs lInternet dun site (jusqu la bloquer) enenvoyant des messages (echo broadcast) auxquels toutes les stationslocales rpondent engendrant ainsi un surcrot trs volumineux de trafic.Un filtre adapt sur le routeur dentre est une bonne solution.

SPAM Relais de messagerie

Un autre type de dlit consiste utiliser le serveur de messagerie dun site pourenvoyer des messages souvent publicitaires un grand nombre de destinataires,en cachant son identit. Ce site sert alors de relais sans avoir donn son accordet son nom apparat dans lorigine des messages. Cette attaque bloque la messa-gerie du site utilis son insu (surcharge des files dattente dans le serveur), nuit

limage du laboratoire (cela engendre des centaines de messages de protestationdes victimes de ces publicits) et peut engager la responsabilit du laboratoire.Cette utilisation dtourne est en trs forte hausse ces derniers temps. Peut-tre cesuccs est-il d sa facilit de mise en uvre et lanonymat quelle assure(cf. http://www.isoc.asso.fr/AUTRANS98/at-abus.htm).

Pour se protger contre ce type de malveillance, il faut avoir un seul serveur demessagerie par laboratoire, bien administr, avec une version du logiciel serveur(sendmail) rcente o la fonction relay est invalide.

Intrusion dans un systme

Pour prendre le contrle dun systme, les agresseurs doivent commencer par syintroduire. Il faut donc que quelquun (ou quelque chose) leur ouvre une porte:

un identificateur (login/passwd) a t prt ou rcupr (vol demot de passe);

un compte a t laiss labandon (sans mot de passe par exemple) ; une application rseaux installe a t mal matrise (configuration mau-

vaise ou trop ouverte); une ancienne version dun logiciel dont les failles de scurit ont t

publies est encore en service sur une machine;


17/100


15

un logiciel install en mode debug, dont on oublie trop quil ouvrebant un trou de scurit;

un utilisateur interne a aid volontairement lagresseur.

Un systme qui a t pntr on dira que le systme est compromis ouviol nest plus fiable: il faut le rinstaller ainsi que tous les systmes dumme partitionnement rseau. Lintrusion dans un sous-rseau complet ou dansun systme, est mre de toutes les malveillances. Elle constitue la menace prin-cipale. Le milieu de la recherche y est extrmement vulnrable.

Il nest pas question, dans le cadre de ce guide, de rentrer dans les dtails des

diverses techniques dintrusion, mais penchons-nous quelques instants sur cellequi reste, dans le palmars des diverses techniques tabli par Renater, lincident leplus recens: le vol de mot de passe.

La plupart des pirates informatiques sont loin dtre les petits gnies dcrits parune littrature complaisante. Leurs mthodes sont classiques. La plus utilise com-mence par la rcupration dun couple login-password leur permettant de seconnecter au systme comme simple utilisateur. Ce premier pas franchi, le restenest souvent plus que jeu denfant! Il y a sur lInternet tout ce quil faut, pro-grammes, modes demploi dtaills, description des mthodes, etc., pour lui per-mettre, une fois un compte utilisateur vol, dacqurir les droits de ladministra-teur (root, super utilisateur) en quelques minutes!

Quelles sont les mthodes utilises pour dcouvrir un couple nom mot de

passe ?

La premire et la plus banale est la recherche des comptes sans mots depasse (guests, visitors) qui sont installs par dfaut sur certainesmachines. Des programmes de balayage automatique de sites (les scans)permettent de trouver ces comptes.

Des mthodes opportunistes dans lesquelles lagresseur cherche tirerprofit dune circonstancefavorable: Le mot de passe a t prt. Le mot de passe a t trouv (par hasard ou non) sur un autocollant

sous le clavier, dans le tiroir dun bureau, dans un agenda, ou bienrepr la drobe au moment de la frappe.

Le mot de passe a pu tre devin grce aux informations recueillies surun utilisateur.

Des mthodes systmatiques dans lesquelles lagresseur commence parla rcupration du fichier des mots de passe chiffrs qui par dfaut estaccessible tous sur les machines Unix. Une fois ce vol accompli, lepirate a tout son temps pour rechercher sur son PC, tranquillement chezlui, les mots de passe faibles du fichier. Avec CRACK, le programme bien


18/100


16

connu des initis, un mot de passe tir dun dictionnaire (il y en a detoutes sortes quon peut tlcharger partir de lInternet en diffrenteslangues et sur diffrents thmes), ou dune composition proche dun motdu dictionnaire, ne rsiste pas trs longtemps.

La scurit commence donc par des mesures de prcautions lmentaires pourlimiter toute usurpation didentit dun utilisateur connu du systme:

Il faut avoir une procdure de rception des machines qui inclut la sup-pression des comptes sans mot de passe.

Il faut sensibiliser les utilisateurs pour quils adoptent des bons mots depasse et quils les gardent secrets

(cf. http://www.urec.cnrs.fr/securite/docs/92.07.mot.de.passe.txt). Ladministrateur doit mettre en uvre des fonctionnalits du systme:pour cacher le fichier des mots de passe chiffrs (shadow password) etpour limiter la validit dun mot de passe. Il doit tester la robustesse desmots de passe avec le logiciel CRACK (celui-l mme quutilisent lespirates).

coute du rseau Ethernet

Un rseau Ethernet est fondamentalement un rseau diffusion ; toute infor-mation qui circule sur ce rseau peut tre capte par toutes les stations du rseau(mme celles qui ne sont pas destinataires des messages). On peut donc espion-ner un rseau Ethernet. Un sniffeur est un programme install sur une machinepour couter le rseau et collecter tous les couples login/password qui tran-

sitent en clair sur lEthernet local. Ce programme peut tre install distance, eton le retrouve dans presque tous les cas dintrusion.

Quelques recommandations pour limiter ce problme dcoute: Quand vous tes en dplacement, vous ne pouvez jamais tre sr

quun sniffeur nest pas install sur le rseau sur lequel vous travaillez.Cest pourquoi, si vous devez vous connecter votre laboratoire lorsdune invitation ltranger, utilisez plutt un mot de passe provisoire ouun compte particulier.

Quand vous tes prvenu dune intrusion, demandez que soit vrifirapidement si un sniffeur na pas t install. Si cest le cas, il est indis-pensable de changer tous les mots de passe, sur toutes les stations. Sanscette prcaution, vous pouvez tre certain que lalien y est toujours, etquaprs stre fait oublier pendant quelques semaines, il rapparatra!Le directeur doit intervenir pour faire comprendre chacun cettemesure.

On peut limiter la diffusion dun rseau Ethernet (et ainsi rduirelcoute possible) en utilisant des commutateurs, des routeurs, desconcentrateurs (hubs) scuriss. Cela fait partie dune bonne architecturede rseau.


19/100


17

La charte utilisateur est loccasion de sensibiliser les personnels du labo-ratoire sur le caractre dlictueux de ce comportement et de diminuerainsi la menace interne.

Attaques des services rseau

Les serveurs web ou FTP anonyme ou de messagerie peuvent tre facilement atta-qus sils sont mal configurs ou mal administrs. Cette vulnrabilit, mais aussila ncessit de contrler la diffusion dinformations faite par le laboratoire, ren-dent imprative la matrise de tous les serveurs rseau. Il ne faut pas tolrer quedes utilisateurs aux vellits individualistes installent des serveurs sauvages. Ilssont toujours mal administrs, donc vulnrables et mettent la scurit de len-

semble du rseau en pril. La charte et un rseau structur sont les bons moyensdarriver faire comprendre et appliquer cette rgle.

Comportements dlictueux de certains utilisateurs de nos laboratoires

Certains utilisateurs ont des comportements inadmissibles qui doivent tre corri-gs ou sanctionns:

changes de mots de passe (fichiers de mots de passe) ou dinformationssur les failles ventuelles dun site (entre tudiants de diffrents tablisse-ments).

Envoi de message caractre injurieux, raciste, pdophile, etc. ou mise disposition (par des liens vers des URL indsirables) de ceux-ci sur desserveurs ftp ou web du laboratoire.

Rcupration (stockage et [re]diffusion) de logiciels connus pour tre

pirats (sur sites warez*), de contenus protgs par un droit dauteur etdupliqus, ou de tous autres contenus rprhensibles au vu de la loi.

Ces comportements dlictueux doivent tre sanctionns avec la plus grande dter-mination.

* Un site warez est gnralement un FTP-anonyme, ouvert en criture, squatt par des piratesqui y ont cr une arborescence cache pour y dposer des binaires illicites (textes, photos, pro-grammes pirats,), afin de pouvoir les changer anonymement dans des forums de discus-sions. Le laboratoire est ainsi compromis dans des trafics qui sont parfois extrmement graves!


20/100


21/100

2

Le rle du management

dans la scuritLa dterminat ion et la supervision de la polit ique de scuritsont des

fonct ions de direction. Rien de valable ne peut se faire sans le directeur :

encore faut - il qui l en connaisse tous les enjeux. Largument la scurit,

cest le problme dun administrat eur systmenest- il pas une forme de

dmission ? Nest-ce pas avouer quon cherche des solut ions techniques

des problmes qui sont dabord organisat ionnels? Certes, avec davantage

de moyens, nous ferions plus et mieux. Certains laboratoires en savent

quelque chose! Cependant, un moment ou un aut re, il faut bien faireavec ce quon a le mieux possible. Cet autre argument, la scur it, a

cote trop cher, nest- il pas lexcuse facile au laxisme?

19


22/100


20

2.1 quoi sert la scurit?

Nous avons mentionn au dbut du chapitre prcdent les causes diverses de dys-fonctionnement dun systme dinformation en prcisant que le plus souvent ellestaient dorigines accidentelles ou avaient pour cause des dfaillances techniques ouhumaines. La SSI comporte donc une composante sret de fonctionnement dontlobjectif est dagir sur les causes de ces dysfonctionnements et den rduire lesconsquences. Mais nous avons vu que les menaces nouvelles, plus particulirementcelles lies lInternet, nous obligent nous prmunir sur un autre plan: celui de laprotection contre la criminalit informatique. Cest une proccupation qui vacroissante. Les statistiques sont parlantes. Elles montrent que la dlinquance infor-

matique est en forte hausse. Aux tats-Unis (source: Ernst & Young), 42% des sitesinformatiques ont signal des attaques en 1997, contre moins de 16% lanne pr-cdente. Cette hausse signifie probablement aussi, une meilleure prise en compte dela scurit (les sites signalent des piratages quils ne voyaient pas auparavant). Onremarque galement une hausse significative de lespionnage industriel: 38% desattaques contre 6% lanne prcdente. Dautres tudes, ralises partir de simu-lations, ont montr que plus de 80% des attaques ne sont pas dtectes. Ces rsul-tats sont significatifs de leffort qui reste accomplir en matire de scurit.

En France, dans notre organisme en particulier, les statistiques fiables sur la dlin-quance informatique sont rares. Cette carence prsente incontestablement unavantage, celui de masquer les problmes et donc de permettre de les ignorer. Mal-heureusement, elle prsente aussi linconvnient de laisser supposer que la situa-

tion nest pas plus brillante quailleurs. En particulier, pouvons-nous lgitimementsupposer que notre milieu universitaire est mieux loti?

Mieux quun long dveloppement thorique ou incantatoire, quelques anecdotes,tires dhistoires vcues dans les laboratoires, feront comprendre la diversit desproblmes rencontrs.

Prter, cest donner!

Dans ce laboratoire, un gros effort avait t fait pour faciliter la connexion aux sys-tmes informatiques partir de lextrieur. Les chercheurs peuvent se connecterde chez eux sur leur station et travailler comme sils taient leur bureau. Cestpratique, dautant que, en se faisant rappeler par le modem du labo, cela ne leurcote que le prix dune communication locale. La tentation est grande, cependant,

de confier la famille les mots de passe, et donc laccs aux moyens informa-tiques de cet important laboratoire. Pour le gamin lycen, cest loccasion de navi-guer sur le web dans des conditions idales et sans que les parents se fchent larception des factures tlphoniques. Mais, trs rapidement, les joies de la navi-gation sur le web saffadissent, et, apprenant plutt vite, le bambin passe dautresactivits beaucoup moins innocentes. Le laboratoire travaille dans des domainesqui intressent apparemment beaucoup de monde, car lenfant se fait contacterpar un groupe de pirates internationaux pour changer des informations.


23/100

Laffaire est grave car elle touche la scurit de ltat. Que risque le gamin? Lepre est-il complice sans le savoir? Quelle est la responsabilit du laboratoire?

Receleur malgr soi!

Les sites warez, vous connaissez? Il sagit de sites sur lesquels des pirates interna-tionaux dposent travers lInternet, linsu de ladministrateur du systme, deslogiciels pirats, des images pornographiques souvent pdophiles, des docu-ments rvisionnistes, etc. Les FTP anonymes en criture libre (souvent le rper-toire incoming) mal grs sont lune des cibles les plus frquentes. Les siteswarez servent de bourses dchange entre pirates. Les victimes (de nombreux labo-ratoires CNRS en sont) sont ainsi transformes leur insu en receleurs ou distri-

buteurs de logiciels pirats, de photos pdophiles ou de textes rvisionnistes. Cesdlits peuvent se poursuivre pendant de longs mois avant que quelquun com-mence se douter de quelque chose Cest souvent pendant le week-end que lespirates mettent en place leur dispositif: le site warez est ouvert le vendredi soirvers minuit et referm le lundi tt dans la matine. Tout le week-end, il a fonc-tionn plein rgime, mais le lundi matin, tout est redevenu calme. Une affairegrave a, il y a quelque temps, touch un grand laboratoire. Le soir du dpart envacances de Nol de lingnieur systme, 700 Mo de photos pdophiles sont tl-chargs dans le FTP anonyme du laboratoire. Elles vont y rester pendant les dixjours des vacances. Paralllement, sur de nombreuses listes de diffusion, dans lesforums de discussion, apparat linformation: Si vous tes intress par des pho-tos hard-sex, allez sur. Pendant ces dix jours, le FTP du laboratoire a eu detrs nombreux visiteurs la fin des vacances, les enregistrements journaliers de

lactivit du site contenant les noms et les adresses de tous ceux qui ont extrait desphotos pdophiles ont t rcuprs par les pirates. Quel tait leur but? Se consti-tuer un carnet de contacts intressants ? Rechercher des noms de personna-lits pour, ventuellement, exercer un chantage? Compromettre le laboratoire?

Dtournement de sites

Un serveur web, quand il est administr par des personnes aux intentions mal-veillantes, peut servir pirater les systmes clients qui utilisent des navigateursmal configurs. Cest la raison pour laquelle il faut tre trs prudent quand vousautorisez lexcution dapplet Java, dactiveX ou mme simplement quon vousdemande de remplir un formulaire. Vous serez dautant plus prudent que le siteque vous visitez ne prsente pas de garanties dintgrit suffisantes. Maislorsque le serveur est celui dune honorable institution (comme un laboratoire),

vous avez toute confiance et vous avez bien raison. Mais parfois Nombreux sontles serveurs web qui se font pirater et sur lequel on retrouve des sniffeurs (dis-positif permettant dcouter les mots de passe). Pour installer un sniffeur surune machine, il faut avoir les privilges du super administrateur. Cela signifie que,outre que le pirate rcupre tous les couples login/password qui circulent en clair(cas standard) sur le rseau, il a pris le contrle total de votre machine serveur etquil pourra faire subir vos clients tous les derniers outrages la mode.Quelle est votre responsabilit juridique si la victime porte plainte? Dans tous les

Le rle du m anagem ent dans la scurit

21


24/100

cas de figure, quelle est votre responsabilit morale, si vous navez pas pris toutesles mesures ncessaires pour prvenir ce type de dlit?

Histoire dun courrier trop bien diffus

Le courrier lectronique, cest facile, ce nest pas cher et a peut coter gros. Uncas rcent le prouve une fois encore. La scne se droule dans un laboratoire ocampent de lourds conflits de personnes, malgr laction nergique de son direc-teur qui essaye de reconstituer une dynamique dquipe. Ce faisant, il est entire-ment dans son rle, mais il sattire ainsi des rancurs pugnaces. Certains nont pashsit espionner son courrier lectronique et diffuser pour information, auxpersonnes concernes, des changes de courriers confidentiels. But recherch:

pourrir latmosphre du laboratoire. Objectif atteint! Mais ces personnes qui sesont laisses entraner par la dynamique de leur rancur, savent-elles quelles ontcommis un dlit grave puni de trois ans de prison et 300 000 F damende(Art. 311-1 du nouveau code pnal) ? Si elles ont agi en groupe, la peine est encoreaggrave au motif dassociation de malfaiteurs (cinq ans et 500kF) ! Que peutfaire un directeur dans cette situation? Comment peut-il la prvenir?

Combien a cote?

Le CNRS traite tous les ans plusieurs dizaines daffaires de piratage ayant entrandes dommages graves. Les cas courants sont ceux relatifs aux vols de rsultats derecherche dbouchant sur des produits industriels. Il est difficile de chiffrer leprjudice global par manque de remonte dinformations , mais tout laisse sup-poser quil est considrable Un laboratoire constate des incursions de pirates sur

une machine sensible, souponne une entreprise aux murs lgres, et,quelques jours aprs, retrouve dans la presse lannonce dun accord entre un grandditeur de logiciel et lentreprise en question sur la cession dun produit trsproche du leur. Montant de la transaction: 39 M$. Cette intrusion a cot cher enmanque gagner! Quant vous, comment auriez-vous ragi? Peut-on se faireaider ou conseiller? Ne faut-il pas mieux garder pour soi lincident?

La confiance oui, mais pas nimporte quel prix!

De trs nombreuses fois, lorsquune machine a t pntre dans un laboratoire,on retrouve, dpos par le pirate dans cette machine, un sniffeur. Ce programmequi tourne en permanence, coute toutes les donnes qui transitent sur le rseauet en extrait les triplets nom/mot de passe/machine. Cette coute inclut lesconnexions locales de machines machines, mais aussi les connexions depuis ouvers lextrieur qui ont transit par le rseau. Le pirate peut ensuite utiliser cesdonnes pour pntrer les machines distantes dun autre site.Une cole dingnieur se fait attaquer par des pirates, les dgts sont normes:rinstallation du systme sur les machines pouvant avoir t compromises (en fait,la plupart des machines), plusieurs mois de surveillance soutenue, des donnesimportantes perdues, etc. Lcole en question tait bien protge, la scurit srieu-sement prise en compte, le personnel comptent et bien form, mais le pirate est


22


25/100

pass par un chemin dtourn pour attaquer sa cible: il sest servi dun laboratoirelaxiste comme rebond. Ce sont donc des collgues, par leur inconscience, quiont ouvert les portes aux malfrats. Pourquoi investir dans la scurit si des col-lgues moins rigoureux peuvent tout faire chouer? Ne faut-il pas plutt refuserles demandes de connexions venant de sites risque ?

Ce que sauvegarder veut dire

Un brillant tudiant arrivait la fin de sa thse: trois ans dun dur et passionnanttravail; des jours, des soires, des week-ends passs en tte tte avec son ordi-nateur. La rdaction tait enfin termine, il ne restait plus que quelques correc-tions de principe. Tout tait sur le disque dur: les six chapitres, les annexes, les

programmes, les calculs et les rsultats soigneusement classs. Mais aussi tous lescourriers lectroniques: les avis critiques, les commentaires, les encouragements,les contacts pour un post-doc et les recommandations. Trs prudent, il faisait sessauvegardes soigneusement quil rangeait mticuleusement dans un tiroir de sonbureau ferm cl. Et pourtant Un matin, quand il est arriv son laboratoire,on avait vol son ordinateur et forc les tiroirs de son bureau pour voler les bandesde sauvegarde. La catastrophe, tout avait disparu!

Encore une mauvaise fiction? Erreur! Mme si elle ne se termine pas toujoursdune manire aussi dramatique, cette histoire avec de nombreuses variantes arrive plusieurs fois par an. Le destin naturel dun disque dur est de tomber enpanne. Ce nest quune question de temps Circonstance aggravante, il tombe enpanne toujours quand on sen sert, cest--dire quand on en a besoin! Faire des

sauvegardes est donc une prcaution lmentaire. lmentaire mais insuffisante,comme le montre lhistoire de cet tudiant. Dans combien de laboratoires, lesmicro-ordinateurs des secrtariats, sur lesquels il y a parfois toute la comptabilitou dautres informations tout aussi vitales, sont-ils sauvegards correctement?

2.2 Vulnrabilit et insouciance des laboratoires

Combiencote la scurit?

On dit souvent la scurit, a cote cher, mais on oublie que labsence de scu-rit cote plus cher encore. Ces quelques anecdotes le montrent amplement! Toutlart de la gestion du risque est de trouver le juste compromis entre ce que acote et ce que a rapporte. La SSI nest donc pas une recherche mythiquedu risque zro, mais plutt la recherche de lorganisation offrant la meilleureefficacit. Le bon niveau de scurit, cest celui au-del duquel tout effort suppl-mentaire a un cot plus important que les avantages quon peut en attendre. Lecot de la prvention est donc mettre en relation avec celui dun ventuel inci-dent de scurit. Cette valuation ncessite une claire conscience des dommagesque peuvent causer les malveillances informatiques et des avantages quon retiredune organisation adapte.


23


26/100

Le retour sur investissement dune politique de prvention est dabord finan-cier. Il svalue en dommages directs vits: pertes de donnes, de proprits intel-lectuelles, de savoir-faire, dinformations

Ces dommages sont souvent cits car leurs cots sont visibles; mais il ne faut pasoublier le cot en organisation des malveillances informatiques. Elles sexpri-ment par exemple en pertes de capacit et de productivit:

indisponibilit des machines gnrant des pertes de temps (une intru-sion peut coter une coupure des services de plusieurs jours) ;

immobilisation du personnel pour rparer ou pour attendre le retour une situation normale (une intrusion cote un quasi temps complet din-

gnieur systme pendant prs dune semaine et un travail supplmen-taire dobservation de lactivit pendant plusieurs mois).

Cest aussi une altration de limage du laboratoire et, par contrecoup, de laconfiance de partenaires industriels ou de collaborations de recherche, surtout sielles sont internationales. Les pertes dimage peuvent provoquer des ruptures decontrat, des pertes de crdit ou la mise en place, par les partenaires inquiets,de procdures plus contraignantes de connexion sur leur site (dgradation de sou-plesse organisationnelle).

Sur lInternet on voit aussi apparatre des black list, liste des domaines avec lesquelsil est risqu dchanger du courrier lectronique, des rseaux avec lesquels on ne doitplus communiquer. Un laboratoire peut tre inclus dans ces listes noires par dnon-ciation, si un de ses utilisateurs a mis trop de courriers publicitaires par exemple,

ou si ses quipements sont mal configurs (comme le serveur de messagerie o lafonction relais nest pas invalide) et peuvent servir de tremplin des pirates. Dslors, ce laboratoire aura des difficults de communication avec certains sites.

Ces pertes, souvent sous-estimes, parfois mme ignores, sont considrablesprises globalement.A contrario, une bonne politique de scurit permet damliorer lorganisation, larecherche et les services. Le retour sur investissement svalue alors comme leprix quon est prt payer pour atteindre cet tat.

Nos 100 millions damis

Nous sommes actuellement 100 millions dinternautes dans le monde : tous desamis? Beaucoup de choses ont chang depuis louverture dInternet au grandpublic, et cest un euphmisme de dire que la grande fraternit des habitusdu rseau nest pas toujours bien respecte. Cest cette volution que nous navonspas vu venir et qui nous dpasse encore trs largement. Nous continuons agiravec les rgles qui taient celles du temps o lInternet tait exclusivement ledomaine de lenseignement et de la recherche. Pourquoi des pirates sen pren-draient-ils nos laboratoires? Qui sont-ils? O voudraient-ils en venir? Quelsrisques courrons-nous?


24


27/100

Depuis quelque temps, les actes dlictueux sont en forte augmentation et nousnen dtectons qu peine 10%! Ceux que nous reprons le plus facilement sontperptrs par des pirates suffisamment maladroits pour laisser des traces fla-grantes. Ils sont luvre de non-spcialistes aux mobiles varis qui tentent leurchance partir de recettes connues et publies sur Internet.

Figure 1 : Le Figaro20/03/98

On retrouve parmi ceux-ci:

le mobile ludique: cest celui des nophytes quon repre le plus fr-quemment. Il aboutit parfois des actes de malveillance, comme la des-truction de donnes, pour tenter deffacer les traces de lintrusion;

le mobile de pure malveillance: la destruction des donnes est le butfix. Cela peut tre luvre dun collgue irascible ou jaloux, ou lactepurement gratuit dun malade qui cherche simplement nuire (en hausse).

Les autres mobiles de la dlinquance sont la recherche dinformations dans un butmercantile ou de concurrence et le piratage pour exploiter des ressources ou pourcompromettre une machine (activit semble-t-il, en trs forte hausse). Ellesnaboutissent pas, sauf maladresse de lintrus, la destruction des donnes.Dautres types de piratage (les services spciaux trangers, les mafias, certainsindustriels) laissent peu de traces visibles car ils sont luvre de professionnels.

Le monde des rseaux a donc bien chang depuis quelques annes et le gentle-man pirate vant par certains mdias complaisants nest quun mythe destin endormir notre mfiance. Nous devons nous protger!

Le devoir de se protger

Le besoin de scurit augmente avec le rle de plus en plus essentiel des systmesdinformation. Pourtant leur vulnrabilit va croissant et volue de pair avec leur


25


28/100

complexit. Plus notre dpendance est grande vis--vis de ces systmes, plus ilssont devenus fragiles:

la technique avance plus vite que la scurit; la diversification des domaines dapplication aboutit une complexit

accrue; le savoir-faire et les moyens techniques se gnralisent; les mafias tentent dorganiser dans lInternet des zones de non-droit.

Face ces dfis, il y a de grandes faiblesses: la mconnaissance des protectionsexistantes, les comportements moutonniers, les effets de modes Dans un passencore proche, la menace principale contre les systmes dinformation tait de

nature physique. Aujourdhui, avec laugmentation des interconnexions, cest unemenace virtuelle et omniprsente laquelle nous devons nous opposer.

Le rseau est notre outil de travail commun. Il est devenu indispensable unerecherche de qualit. Il ne dpend que de nous quil ne soit pas facile de porteratteinte sa fiabilit, ses performances, lintgrit et laccessibilit des infor-mations transportes. Il ne dpend que de nous de refuser une dgradation de cetoutil, notre outil, afin quil reste au service dune bonne recherche et que nous nesoyons pas montrs du doigt par nos partenaires. La scurit est ainsi un devoircollectif. Il revient chacun de nous de se protger pour ne pas mettre en dangerla scurit de tous.Dans cet effort, les responsables, de tous niveaux, ont un rle particulier jouer.

2.3 La scurit est une fonction de management

Un problme de gnralistesqui agissent avec le soutien du directeur

La scurit des systmes dinformation est une discipline transversale qui recouvredes aspectstrs varis. Elle est donc de la responsabilit de gnralistes qui ontsu acqurir plusieurs spcialits adaptes concrtement linstallation dont ils ontla responsabilit. Ces gnralistes spcialiss ne peuvent mener bien leur mis-sionquavec le soutien sans fail le de leur directeur. Le directeur doit tre informdes risques et des vulnrabilits de son systme dinformation; il doit treconscient des enjeux pour quil puisse, avec laide de ces hommes de lart, dfi-nir la politique de scurit du laboratoire et la faire appliquer.

Or quobservons-nous dans notre organisme? Peu de responsables, quel que soitleur niveau, savent si leur site a dj t attaqu, si des donnes les leurs peut-tre ont t voles. Cest un signe (qui ne trompe pas) de limportance quils accordentaux problmes de scurit. Mais comment peuvent-ils, dans ces conditions, dsignerles menaces, mobiliser leur personnel, faire accepter lensemble des acteurs la miseen place dune politique de prvention et demander den vrifier lefficacit? Faut-ilquils attendent dtre confronts des situations pires encore que celles que nousvenons de dcrire pour quils prennent la juste mesure des enjeux?


26


29/100

Cest le directeur qui dcide!

Certains directeurs croient que ce nest pas dans leur rle de connatre leur systmedinformation ou les risques qui psent sur lui, pourvu que a marche. Quilssachent que dautres verront ce quils ne veulent pas voir: ils prendront leur temps,mais ils le verront et sauront en profiter! Quils sachent aussi que personne dautrequeux ne peut prendre les dcisions dorganisation quimplique la scurit.

Lorganisation est au service dun objectif global. Les choix dorganisation exigentdonc une intelligence densemble. Le systme dinformation est lpine dorsale delorganisation, il est son service, mais en mme temps il la structure. Organisa-tion et systme dinformation sont en troite interdpendance. Faire des choix sur

les structures, cest placer les acteurs dans le systme dinformation. Inversement,agir sur le systme dinformation, cest modifier, de fait, lorganisation.La dfinition dune politique de scurit nimplique pas seulement des choix dor-ganisation, mais aussi de stratgie et de mobilisation du personnel. Il faut mettreen place des structures, distribuer des rles (qui fait quoi?) et fixer des objec-tifs. Il faut faire des arbitrages budgtaires, choisir le niveau du risque rsiduel,juste compromis entre les vulnrabilits acceptes et les moyens quon est prt mettre pour les rduire. Est-ce la tche du gnraliste spcialis dont nousavons parl plus haut? Non, car il na ni les perspectives globales, ni lautoritncessaire pour le faire. La dfinition de la politique de scurit nest pas un pro-blme seulement technique, le rle de lhomme de lart est en aval: appliquerla politique qui a t dfinie, avec son conseil, par le directeur.

La scurit des systmes dinformation est donc une fonction de direction, lesaspects techniques ne venant quen second lieu. Sans limplication personnelle dudirecteur, la scurit va vau-leau. Elle nest plus alors, suivant les cas, quun dis-cours incantatoire, une somme de vux pieux rpondant des besoins hypoth-tiques ou une fuite en avant dans la recherche de solutions techniques des pro-blmes de management.

Cest une dmarche qualit globale

La scurit est une partie de la sret de fonctionnement et rciproquement, sui-vant le point de vue que lon adopte. Il faut laborder avec les mmes mthodes.Par exemple, un systme qui a t mal conu (ou mont au fil de leau) ne fonc-tionnera pas bien; il ne rpondra pas correctement aux besoins et comportera desfailles de scurit plus ou moins bantes. Les problmes de scurit dgraderont

davantage les conditions de fonctionnement qui agiront nouveau sur la scu-rit et ainsi de suite. Un systme dinformation qui na pas t correctementconu est impossible scuriser proprement. Une approche mthodologique doitdonc tre adopte ds la phase de conception.Cette ncessit dune approche mthodologique rejoint un autre impratif, ladmarche qualit, rendue ncessaire par le caractre collectif de la recherchequi fait travailler ensemble des milliers de personnes, bien au-del du laboratoire.La recherche nest pas (la-t-elle jamais t?) une entreprise solitaire et individua-


27


30/100

liste. Elle participe et dpend de la transmission des connaissances et des savoir-faire travers les gnrations et par-del les frontires.

La norme AFNOR NF X50120 dfinit la qualit comme laptitude dun produitou dun service satisfaire les besoins des utilisateurs. Cette conceptionexigenon seulement une claire conscience de ces besoins, mais galement unemtrologie permettant dapprcier le comportement du produit ou du service etde vrifier quil est conforme ses spcifications. Cest ce quon appelle le pro-cessus de contrle de la qualit. Il intervient de plus en plus en amont du cyclede vie des produits et services, ce qui impose une mthodologie dans leurconception et leur valuation (mthodes formelles).

Le contrle et lvaluation de la qualit dun systme au sein dune organisationpartent de ces principes et ont donn lieu des techniques spcifiques:

laboration de la politique de scurit (rglement intrieur, chartes, dfi-nition des objectifs, utilisation des ressources) ;

laboration du schma directeur; matrise de mthodes, techniques et outils utiliss pour la ralisation de

projets (conduite de projet, AGL, gestion des configurations) ; matrise des procdures dexploitation; etc.

La qualit des systmes dinformation participe de la qualitglobale du pro-cessus de recherche, au sens de la norme ISO 9000. Cette norme simposera bien-tt tous. Ainsi est-il prvoir, dans un avenir imminent, quelle intgrera rgle-

mentairement des contraintes de scurit. On voit dj merger outre-Atlantiquelexigence dune certification un niveau de scurit donn, comme pr-requis toute collaboration, surtout lorsquil faut interconnecter des systmes entre parte-naires. Cette tendance se dessine trs clairement dans les milieux de la recherchenord-amricaine. Cest le cas, entre autres, du Stanford Linear Accelerator Center.


28


31/100

3

Sur quelles organisationssappuyer?

Qui, au CNRS, soccupe de scurit? Que font - il s? Quelle aide puis- je en

at tendre? Au-delde notre organisme, quelles sont les structures qui

soccupent de scuri t? Ces questions ne sont pas sans intrt car elles

mont rent qui l y a une relle mobil isat ion, dabord dans not re organisme,

mais aussi lchelle de ltat , pour prendre en considrat ion la scur it

des systmes dinformat ion.

29


32/100

3.1 La scurit dans lorganisation gouvernementale

Figure 2

3.2 Protection du patrimoine scientifiqueet technologique au CNRS

Le Fonctionnaire de Dfense du CNRS

La recherche publique franaise doit se nourrir dchanges avec lensemble de lacommunaut scientifique internationale, mais elle doit simultanment protgerson patrimoine scientifique et technologique pour que la communaut nationaleen soit le premier bnficiaire.Cest pourquoi, auprs du Directeur Gnral du CNRS comme auprs de tous lestablissements publics scientifiques et techniques, se trouve un Fonctionnaire deDfense, charg de veiller qu loccasion de cooprations internationales, de

contrats, de missions hors de France ou daccueils de chercheurs trangers, ne secrent les conditions de transferts inopportuns de savoir, de savoir-faire ou detechnologies.

Le patrimoine scientifique et technologique sensible

lorigine, et dans un contexte mondial de guerre froide, les prcautions prendreconcernaient principalement les domaines scientifiques susceptibles de dbou-


30

PREMIER MINISTRE

MINISTRES

Surveillancedu Territoire

Police judiciaireSEFTI

CESSSICentre dtudes suprieuresde la scurit des systmes

dinformation

Ministrede lIntrieur

SCSSIService central de la scuritdes systmes dinformation

Secrtariat gnralde la Dfense nationale

Fonctionnairede Dfense

Haut fonctionnairede Dfense

Autres ministres

Direction gnrale de laPolice nationale


33/100

Sur quelles organisations sappuyer?

31

cher sur des applications militaires et, plus particulirement, sur la technologiedes armes de destruction massive et de leurs vecteurs. Depuis dix ans, la menacedune agression arme majeure contre le territoire national stant dilue aurythme o se mondialisaient les changes, notre vigilance doit surtout sexercer lgard des pays, potentiellement instables, qui cherchent se doter darmementsnuclaires, biologiques et chimiques, ainsi qu lgard de ceux qui les aideraientdans leur entreprise.

Figure 3 : Le Figaro10/04/98

Par les temps qui courent, cest sur le terrain de lconomie et de la matri se desrseaux dinformation que laffrontement international devient le plus proccu-pant. Les services de renseignement ont suivi cette volution pour consacrerdsormais 60% de leurs activits la recherche de linformation scientifique, co-

nomique et technologique. Paralllement lapparition du concept dintelligenceconomique se sont cres des entreprises prives, spcialises dans le recueil, letraitement et la diffusion commerciale de telles informations.

Lepatrimoine scientifique et technologique sensible dun laboratoire est donctout ce qui ne doit pas tre mis la libre disposition de tout un chacun, que cesoit pour des raisons stratgiques, conomiques, voire dans le souci lgitime deprotger la confidentialit dinformations nominatives.


34/100

Les vulnrabilits des laboratoires

Les mthodes traditionnelles de recueil (cooprations internationales, envoi destagiaires et de visiteurs, photos et photocopies, vol de documents ou dchan-tillons) gardent leur attrait et nous imposent de rester vigilants lorsque la relationentre le projet de recherche et la nationalit du partenaire prsente une sensi-bilit particulire. Cest la raison pour laquelle un contrle pralable est effectusur les demandes de stages de chercheurs trangers et sur les projets de coopra-tion internationale.

Il est pourtant une manire bien plus discrte, rapide et efficace de sapproprierde linformation scientifique. Pourquoi se dplacer sur des milliers de kilomtres

lorsque lon peut, par les rseaux, pntrer sur le systme informatique dunlaboratoire et aller scruter la machine dun chercheur particulier pour y consultertout ce quil pense ingnument y avoir mis labri. Si lenvironnement des labo-ratoires de recherche publique (ouverture sur le monde, multiplicit des tutelles,nombreux utilisateurs non-permanents) les rend particulirement vulnrablesaux attaques venues de lextrieur, il ne faut pas pour autant baisser les bras.

3.3 Lorganisation de la SSI au CNRS

Le CNRS a pris conscience progressivement des enjeux: cest pourquoi il a mis enplace des structures et dsign des responsables. Ces moyens sont mis en uvresur les trois niveaux traditionnels de notre organisme:

Au niveau central

Au niveau central existent une structure fonctionnelle et une structure opration-nelle. La structure fonctionnelle est constitue par le service du Fonctionnaire deDfense aid de ses deux chargs de mission: un charg de mission la scuritdes systmes dinformation, Robert Longeon; un charg de mission pour la scu-rit des rseaux ( mi-temps), Jean-Luc Archimbaud. Le Fonctionnaire de Dfenseparticipe aux travaux des instances charges dorienter la politique de ltablisse-ment en matire de systmes dinformation.La structure oprationnelle est constitue au sein de lUREC (Unit Rseaux duCNRS) dune petite quipe anime par Jean-Luc Archimbaud, aid de NicoleDausque.

Au niveau rgionalAu niveau rgional a t mis en place un rseau de correspondants de scuritinformatique rgionaux, en liaison troite avec les correspondants scurit deslaboratoires. Ils ont t nomms sur la base du volontariat pour assumer, en plusde leurs tches de service, un rle de relais pour la diffusion de linformation etdalarme en cas de problmes, et organisent les formations scurit dans leurrgion.


32


35/100

Au niveau des laboratoires

Au niveau du terrain, le directeur de lunit est responsable de la scurit desmoyens dinformation de son unit. Il dtermine la politique de scurit de sonlaboratoire et les mesures tenir en cas dincidents. Il peut dsigner parmi ses col-laborateurs un agent charg de la scurit des systmes dinformation (ce quontfait les units dune certaine taille) qui est alors correspondant scurit du labo-ratoire. Les directeurs suivent, leur prise de fonction, une formation qui com-prend un module sur la protection du patrimoine scientifique.Ces structures collaborent troitement avec le CERT (Computer Emergency ResponseTeam) Renater, cellule qui assure la coordination entre les membres de Renater etla liaison avec les rseaux trangers dans la diffusion dinformation, les alarmes, la

recherche de lorigine des attaques et les mesures de prventions.

3.4 Les actions scurit au CNRS

Plusieurs actions ont t menes et se poursuivent pour aider les laboratoiresCNRS amliorer leur scurit.

La diffusion dinformationset de recommandations

La diffusion dinformations et de recommandations a t faite de manire varie.Citons pour mmoire:

Le bulletin Scur itinformatique, bimestriel trs largement diffus dans

les laboratoires et lextrieur du CNRS: (http://www.cnrs.fr/Infosecu/Revue.html). Des serveurs dinformation de lUREC (http://www.urec.cnrs.fr/securite/)

et du Fonctionnaire de dfense (http://www.cnrs.fr/Infosecu/accueil.html). Ces serveurs mettent en ligne des cours, des articles, des recom-mandations gnrales et officielles CNRS, des outils logiciels, et donnentdiffrents pointeurs vers des serveurs spcialiss en scurit.

Des listes de diffusions lectroniques fermes (140 correspondants scu-rit de laboratoire) ou accs contrl (sur les virus: http://www.services.cnrs.fr/Listes/liste.cgi?liste=sos-virus).

Lorganisation de diffrents cours en collaboration avec le SCSSI, les uni-versits et la formation permanente du CNRS.

La diffusion dantivirus

La diffusion dantivirus (http://www.cnrs.fr/Infosecu/AVP.html) et de logicielslibres (http://www.urec.cnrs.fr/securite/outils/index.html ).

Ldition de diffrentes recommandations

Ldition de diffrentes recommandations: charte utilisateur, installation et gestiondun serveur WEB (http://www.urec.cnrs.fr/securite/).

Sur quelles organisations sappuyer?

33


36/100

Les oprations scurit

La mise en place doprations scurit dans les dlgations de Sophia, Marseille,Toulouse, Grenoble, Nancy, Gif et bientt Orlans (cf. http://www.urec.cnrs.fr/securite/articles/ope.secu.html). Avec une mthodologie adapte aux laboratoires,ces oprations ont pour but de sensibiliser les units, les aider faire un bilan deleurs vulnrabilits, amliorer et organiser leur scurit, proposer des actionscorrectrices et des outils de scurisation. Elles se poursuivront.


34


37/100

4

Quelques recommandationslmentaires

Aucune mesure qui permette damliorer la scuri tdu systme dinf or-

mat ion du laborat oire ne doi t tre nglige, mme si par fois elle parat

drisoire par rapport l import ance des besoins. Tout ne peut tre fait en

un jour. Une approche mthodologique nous aidera dterminer le niveau

de vulnrabilitaccepten mme temps quelle nous permett ra dtaler

dans la dure les invest issement s quexige la polit ique de scuri t. Bien

souvent , quelques mesures lmentaires qui ne cotent que le mal quon

se donne pour y rflchir un peu suf f isent pour amliorer considrable-

ment une situat ion qui paraissait dsespre: grer le parc de matriel,

grer les comptes ut il isat eurs, met t re en place une archi tecture rseau

adapte

35


38/100

Que voyons-nous, quand on tudie les causes des vulnrabilits dans les labora-toires? Citons ple-mle, parmi les plus importantes:

labsence de mthodologie de scurit; labsence de structure de scurit; labsence de plan de secours (ou sil y en a, il na jamais t test) ; labsence de formation: Les uti li sateurs savent; la mconnaissance de la rglementation.

Sattaquer ces causes de vulnrabilit permettrait dviter au moins 80% desproblmes. Cela signifie:

Mieux organiser, mieux prvoir et mieux sensibiliser.

Appliquer des procdures de gestion des ressources informatiques. Mettre en place des moyens de protection active. Avoir une approche mthodologique. Concevoir une architecture structure et cohrente.

4.1 Organiser, prvoir et sensibiliser

La scurit, cest dabord sorganiser. Cest aussi prvoir les incidents et cest infor-mer.

Les structures de scurit

Le directeur doit diriger les hommes et grer les moyens. Il agit en dlguant ses

pouvoirs et en distribuant les responsabilits, desquelles on lui rend compte. Pourla scurit, dont fonctionnellement il est le responsable, il nomme quand cestpossible un correspondant de la scurit informatique et rseaux qui linformera,le conseillera et fera appliquer ses directives. Ce correspondant a une dlgationde pouvoir sur tout ce qui concerne la scurit et il en rend compte au directeur.Il est linterlocuteur, mandat sur ce problme, du laboratoire auprs des autori-ts et des entits lies au systme dinformation: la Direction scientifique, la Dl-gation, lUREC, le service du fonctionnaire de dfense, Renater, Il participe linformation et la sensibilisation des utilisateurs. En particulier, il fait connatreles consignes sur ce que chacun doit faire sil est victime ou sil est tmoin dunincident de scurit. Pour mener bien lensemble de cette mission, le corres-pondant scurit doit tre lui-mme particulirement motiv et correctementform.

En cas dincident, savoir que faire et le faire savoir!

Un incident de scurit est toujours, a priori, un vnement grave. Si un utilisa-teur dcouvre des traces permettant de suspecter une malveillance quelconque surune machine, il doit dabord, et avant toute chose, en informer le directeur. Maisce nest pas tout. Il faut aussi empcher que le mal stende en prvenant ceux dontla charge est dessayer de garder la scurit au rseau. Il faut galement isoler les


36


39/100

systmes qui ont t viols, faire le bilan des dgts et enregistrer tout ce qui peutpermettre de retrouver lorigine de lagression. Ce nest quaprs tout cela que, fina-lement, on peut commencer rparer.

En rsum, lors dun incident, il faut:1. Dconnecter du rseau, la ou les machines suspectes, ou mettre un

filtre qui empche tout accs de lextrieur.2.Effectuer une sauvegarde du systme pour conserver les traces de linci-

dent.3.Avertir le CERT Renater http://www.urec.fr/securite/chartes/fiche_

suivi_incident.txt.

et envoyer une copie [email protected] (message qui arriveradans la bote lettres de N. Dausque, R. Longeon, et J.-L. Archimbaud)4.Faire le bilan des dgts:

http://www.cru.fr/securite/Documents-generaux/Recommandations.htmlEn particulier il faut vrifier toutes les machines du rseau et contrlersil y a un sniffeur install. Si cest le cas, changer les mots de passe detous les utilisateurs sur toutes les stations.

5.Rinstaller le systme et les comptes utilisateurs.6.Ne donner aucune information sur lincident des tiers non habilits.

Si vous dsirez dposer une plainte, contacter le Fonctionnaire de dfense([email protected], tl.: 0144 96 41 88).

Ne pas avoir honte de stre fait pirater!Certains hsitent faire partager leur exprience dun incident de scurit par peurdtre mal jugs. Cest une erreur, car se faire pirater arrive aux meilleurs dentrenous. Au contraire, ils peuvent tre fiers de sen tre aperus, cest la marque dunsystme bien gr; si de surcrot ils font remonter linformation ceux qui en ontbesoin pour assurer la scurit lchelle de lorganisme tout entier, ils rendent unservice inestimable la collectivit. Les mesures de scurit qui sont prises par lor-ganisme dpendent de ces remontes dincidents.

Les incidents de scurit sont trs nombreux dans nos laboratoires. Globalement,leurs cots budgtaires, au niveau des units comme au niveau de lorganisme,sont loin dtres ngligeables. Mais le plus grave, cest quils compromettent ga-lement la qualit de la recherche, cest--dire la raison dtre de notre organisme.

On value que moins de 10% des incidents de scurit sont actuellement dtec-ts. Parmi ceux-ci, moins dun tiers nous est signal. Parmi ceux qui nous ont tsignals en 1997, nous avons considr que prs de cinquante cas prsentaient uncaractre gravissime, soit un cas sur deux. Trois plaintes, dont une avec constitu-tion de partie civile, ont t dposes auprs des services de police comptents.Elles concernaient cinq units propres du CNRS, travaillant sur des domaines sen-

Quelques recom m andations lm entaires

37


40/100

sibles et victimes de pntrations malveillantes. Lun des cas pourrait, si lenqutede police le confirmait, couvrir une action dintelligence conomique menedepuis un pays tranger.

4.2 Procdures de gestion des ressources informatiques

Veiller au respect de la lgislation en vigueur

Parmi les rgles lmentaires de bonne gestion, la premire est de veiller ce queles lois, le code gnral de la fonction publique et le rglement intrieur du labo-

ratoire soient respects scrupuleusement par chacun. Les textes lgislatifs les plusimportants connatre sont rappels au chapitre 5.1.

Rappelons plus particulirement quil est de la responsabilit du directeur deveiller ce que:

toutes les mesures soient effectivement prises, pour empcher le piratageou lutilisation de logiciels pirats dans son laboratoire;

tous les fichiers nominatifs aient t dclars la CNIL suivant la proc-dure adquate (cf. chapitre 8.1) ;

les webs du laboratoire ne violent pas la lgislation sur la proprit intel-lectuelle, respectent les recommandations du Comit web du CNRS(cf. chapitre 5.2.) et ne portent pas atteinte limage du CNRS (pas depages personnelles nayant rien voir avec les missions du laboratoirepar exemple) ;

les moyens informatiques du laboratoire, en particulier le rseau qui estune ressource rare et chre, ne soient pas exagrment dtourns deleurs finalits professionnelles.

Pour que lensemble de ces contraintes qui simposent tous soit bien clair etport la connaissance de chacun, il est indispensable de proposer chaque uti-lisateur, une charte du bon usage des moyens informatiques. Elle doit treannexe au rglement intrieur (cf. annexe A et http://www.cnrs.fr/Infosecu/Charte.html).

Une gestion du parc informatique

Ladministrateur systme doit avoir la connaissance et la matrise de tous les qui-pements informatiques (mme personnels) et rseaux. Il doit tenir jour la listedes quipements (stations, routeurs, imprimantes), des prises rseaux (localisa-tion, utilisateur connect sur cette prise). Il doit tenir la liste jour des espacesdisques, de leur type de montage, de leur protection et de leur affectation.Dans les petites units o il ny a pas dITA, une personne du laboratoire doit nan-moins centraliser toutes les informations concernant ces quipements et faireoffice de responsable informatique mme si ce nest pas son travail de base.


38


41/100

Une procdure dinstallation des nouvelles machines

Mme sagissant dune station personnelle o lutilisateur administre sa propremachine, il faut appliquer une procdure dinstallation.

1.Faire une sauvegarde des fichiers de configuration et une empreinte dusystme en utilisant un logiciel tel que tripwire (cf. http://www.urec.cnrs.fr/securite/outils/index.html ). Automatiser cette proc-dure pour pouvoir la refaire aprs les mises jour ou linstallation decorrectifs.

2.Tenir jour la liste des logiciels (systmes de base, applications, ser-

vices) avec leurs implantations, leur fournisseur et numro delicence. Il est prfrable que cette liste soit centralise.

3.Supprimer les services rseaux dclars et inutiles (demons).

4. Installer ce qui est ncessaire pour avoir des accs journaliss et contr-ls (tcpwrapper par exemple).

Installez les correctifs de scurit?

Ds quune faille de scurit est annonce par les CERT, elle est immdiatementexploite. Il faut donc passer les correctifs (patchs) le plus tt possible, car cestalors une course poursuite entre ladministrateur systme qui doit mettre jourses machines en permanence et les pirates qui esprent, en utilisant la toute der-

nire faille, prendre en dfaut un certain nombre de machines.

Cependant la plus grande prudence est de mise dans le choix du serveur lorsquevous voulez tlcharger un logiciel. Certains sites pigent les logiciels quils pro-posent (cheval de Troie, bombe logique, etc. Cf. chapitre 7). Alors ne faitesconfiance quaux sites connus et reconnus et vrifiez les signatures*. Cette pr-caution est utile pour tous les outils de scurit dont il faut se mfier a priori.Elle lest plus encore pour les correctifs systmes.

La gestion des comptes des utilisateurs

Chaque compte doit appartenir un utilisateur clairement identifi.Proscrire les accs banaliss (guest, visitor, invit).

Pour chaque nouvel utilisateur, mettre en service une procdure den-tre: signature de la charte, attribution despace disque, machine,compte, ressources alloues.

Vrifier rgulirement que tous les comptes ouverts sont encore dactua-lit. Les comptes inutiliss depuis plus de trois mois doivent tre ferms.

Vrifier rgulirement la solidit des mots de passe (avec un logiciel telque crack : cf. http://www.urec.cnrs.fr/securite/outils/index.html). Il


39

* Valeur permettant de vrifier si le contenu dun fichier t modifi.


42/100

est recommand que les utilisateurs changent rgulirement leurs motsde passe (cela implique une procdure mettre en place et grer).

Crer une procdure de sortie de lutilisateur: ladministrateur systme doittre inform immdiatement du dpart dun utilisateur, les comptes provi-soires (thsards, stagiaires, visiteurs) ne peuvent tre laisss vau-leau.

La gestion du libre-service

Le libre-service est gr, et les consignes impratives, telles que la dconnexionaprs usage, sont clairement affiches. Les stations en libre-service sont sur unsous-rseau particulier, avec des droits restreints et trs contrls. Toute machineen libre-service doit tre considre comme aussi dangereuse quune machine

externe au laboratoire.

4.3 Moyens de protection active

Contrle des accs physiques dans certaines parties du laboratoire

Certains fichiers peuvent prsenter un degr particulier de confidentialit. Cest lecas des fichiers nominatifs dans certaines recherches mdicales par exemple. Ontrouve aussi cette particularit dans des collaborations industrielles o des clausesde confidentialit sont imposes par contrat, ou dans des laboratoires qui utilisentdes matriels particuliers. Le responsable doit alors proposer des moyens spci-fiques pour mettre en uvre des mesures de scurit particulires. Ce peut tre

des contrles daccs plus stricts, ou bien de chiffrement des donnes et/ou descommunications; ce peut tre aussi la dcision de ne pas connecter une machinesensible au rseau. Associ un contrle des accs, lisolement dune machineest le moyen le plus sr que lon connaisse pour protger les donnes quellecontient. Sil faut que certains serveurs soient physiquement protgs et placsdans des locaux accs scuriss, il peut tre judicieux de dfinir diffrentes zonesdans le laboratoire: une zone accs libre et une zone o laccs est contrl.Plus particulirement, il ne faut pas perdre de vue quun ordinateur, surtout unPC, est une proie tentante pour les voleurs. Il ny a gure dautre moyen de le pro-tger que de fermer les portes des bureaux cl et de contrler les entres dans lelaboratoire.

Les sauvegardes

Il faut effectuer rgulirement des sauvegardes, on ne le dira jamais assez. Lemieux est ddicter des rgles prcises qui permettent dtre sr quelles sont faitescorrectement: quest-ce quon sauvegarde? Avec quelle priodicit? Avec quelsrecouvrements? Ces rgles dfinissent aussi o doivent tre rangs les supportsdes sauvegardes, de faon que:

en cas de sinistre ou de vol, elles ne soient pas perdues avec la (ou les)machine(s). Ne pas laisser la sauvegarde proximit du systme quelleest sense protger est une vidence qui nest pas toujours partage;


40


43/100

elles ne soient pas porte de main du premier venu, surtout si ellescontiennent des fichiers confidentiels: rien ne sert de bien protger sonsystme si les sauvegardes sont en accs libre pour tous!

Noubliez pas quil faut vrifier les sauvegardes. On sait dexprience que des sau-vegardes jamais testes en restauration rvlent de grosses surprises. Comme parhasard (mais est-ce vraiment un hasard?), cest le jour o on en a rellementbesoin quon saperoit des problmes et de la catastrophe que reprsente laperte dun travail de parfois plusieurs mois.

Dans les secrtariats des laboratoires, domaine de la bureautique par excellence,

il est trs frquent quil nexiste aucun moyen de sauvegarde. Il y a pour cela desraisons historiques: les documents importants taient jusqu prsent sauvegardssur disquettes. Les disques durs des machines de bureau ont atteint aujourdhuide telles capacits quil est devenu impossible de les sauvegarder par ce moyen. Ilfaut donc associer, aux machines de bureau, des dispositifs de sauvegarde spci-fiques. Rappellerons-nous quun disque dur est destin tomber en panne un jourou lautre mme celui de votre secrtaire!

Dtection des attaques

Une protection efficace ne peut se limiter renforcer la solidit des systmes.Il faut savoir que, tt ou tard, il sera attaqu avec succs, souvent de faon totale-ment inattendue et avec des consquences imprvues. Il faut tre capable de dtec-ter ces attaques, de les contrler et dassurer que les dommages seront rduits.

Lenregistrement de lactivit rseau anormale permet une premire possibilit dedtection:

il faut installer des dispositifs de dtection des tentatives dintrusion auniveau des quipements dentre (alarmes gnres par les filtres sur lesrouteurs) et des stations (messages de tcp_wrapper par exemple,cf. http://www.urec.cnrs.fr/securite/outils/index.html ) ;

il faut veiller lexamen quotidien de ces alarmes.

Sur les stations: il faut veiller ce que la comptabilit soit effectivement vrifie afin de

reprer les comptes qui ne consomment plus de ressources et les fermer,ainsi que ceux dont les consommations sont insolites;

il faut sassurer que les systmes sont vrifis rgulirement de faon dtecter leurs modifications anormales. Ces vrifications doivent trefaites plus attentivement en priodes dalertes (annonces dintrusions surdes sites avec lesquels on est en relation, par exemple).

Procdure dalerte

Il faut dfinir la conduite tenir en cas dintrusion ou de malveillance informa-tique. Un utilisateur qui dtecte un fait anormal doit avertir le correspondant


41


44/100

scurit du laboratoire. Ce dernier doit coordonner, avec le directeur, les mesures prendre en suivant les recommandations Que faire en cas dincidents?dcrites chapitre 4.1.

Existence dune procdure de repliet de remise en service aprs sinistre

Il ny a rien de plus angoissant quun incident de scurit lorsque vous ne savezpas quoi faire; cest pourquoi il faut avoir rflchi lavance la conduite tenir.Il est bon davoir envisag les consquences de quelques incidents types et davoirtudi les rponses possibles. Dans certains laboratoires, les consquences de dys-fonctionnement peuvent tre trop graves pour tre ngliges: il est parfois nces-

saire de maintenir un certain niveau de service, mme dgrad, pendant la phasede restaurations du bon fonctionnement du systme. Cette question se pose, parexemple, pour les serveurs vitaux du laboratoire tels que les serveurs de fichiersou de messagerie.

4.4 Avoir une approche mthodologique

Pour savoir comment faire

Bon nombre de responsables ne savent pas comment aborder la scurit.Nayant pas de mthode, ils procdent au coup par coup, errant du de toute faon,a ne sert rien, au vaut mieux en faire de trop que pas assez. Ainsi mal pense,

la scurit aboutit tantt au verrouillage complet du systme tout en laissant desvulnrabilits bantes , tantt une dmobilisation totale et un laxisme irres-ponsable.

Une approche mthodologique consiste laborer des modles, dfinir desprocdures, caractriser les cycles de vie Un systme se construit toujourssuivant des modles. Quand il ny en a pas, ils sont en ralit implicites. Alors cha-cun dans lorganisation projette inconsciemment les siens propres. Les dcisionssont prises au coup par coup, dune manire erratique en fonction des rapports deforce, des humeurs du jour, des modes et souvent de la pression commerciale desconstructeurs. En revanche, si les modles sont explicites, les dcisions sont coh-rentes et raisonnes. Elles peuvent tre mauvaises si la modlisation est fausse,mais on peut alors ladapter, ce quon ne peut videmment pas faire avec unemodlisation implicite.

Pour savoir ce quon veut

Les modles dfinissent, chaque moment du cycle de vie du systme dinforma-tion, des rgles sur les ressources, les contraintes, les fonctions et lesproduits. Ils expriment:

ce quon veut protger et pourquoi, le niveau de protection dont on a besoin,


42


45/100

contre quoi protger, comment protger, leffort quon est prt faire pour assurer cette protection.

Pour savoir o on va

Nous avons vu au chapitre 2 que la qualit dun produit est dfinie comme lad-quation de celui-ci sa fonction et que, dans la dmarche qualit globale, onfixe cet objectif ds la phase de conception, pour le systme tout entier. Or unemauvaise apprciation des menaces (maladresse, malveillances, dfaillances, acci-dents, sinistres) est