Une entreprise qui
se modernise mise nécessairement sur un système d'information (SI) performant. Revers
de la médaille, comme toute technologie un SI est forcément vulnérable à un
moment ou à un autre. Il faut donc constamment surveiller les risques encourus.
Pas de la responsabilité des seuls Directeurs des SI (DSI). « La sécurité des
systèmes d'information, l'affaire de tous ». C'est autour de ce thème et
d'autres que le Club DSI Algérie du cabinet Ernst & Young consacre une
journée d'information qui a lieu aujourd'hui à l'hôtel Sofitel.
Dans cet entretien, Ouarda Deramchi,
Senior Manager IT Advisory au bureau d'Alger d'E&Y,
fait le tour de la question.
Maghreb Emergent :
Quels sont les objectifs de la rencontre sur les Systèmes d'information ?
Ouarda Deramchi : L'objectif majeur de cette rencontre c'est
d'apporter des éclairages sur la responsabilité de chaque acteur de
l'entreprise dans la sécurité du Système d'Information (SI), mais également de
permettre aux participants de partager leurs expériences sur ces sujets.
Le Club DSI
d'aujourd'hui sera organisé en deux parties. Une première pour aborder le plan
de continuité : pourquoi investir dans un plan de continuité, quels sont les
facteurs critiques pour le mettre en place, etc.
Une deuxième pour
traiter de la prévention des risques de sécurité. Nous nous appuierons sur un
film qui sensibilise aux risques de sécurité et présenterons les résultats de la
14e enquête sécurité qu'Ernst & Young vient de publier récemment.
Où en est le
niveau de prévention des risques informatiques dans les entreprises algériennes
avec lesquelles vous avez eu l'occasion de travailler ?
En matière de
gouvernance, on commence à trouver dans les organigrammes un poste de RSSI (responsable
de sécurité des systèmes d'information). Peut-être pas souvent une politique de
sécurité informatique bien claire et bien formalisée, mais on retrouve quand
même les grands axes. La pratique la plus courante est assurer la continuité de
service. C'est-à-dire la nécessité d'avoir un site nominal, qui est le site de
production, et un site backup. Il existe une prise de
conscience par rapport à cette continuité de service. On sait que le serveur
n'est pas sûr à 100% et qu'en cas de panne il faudrait qu'il y est un autre pour le remplacer.
En termes de bases
de données (BD) aussi. Les pratiques sont assez évoluées. Les entreprises qui
ont des SI assez développés arrivent à faire des réplications de BD et des
sauvegardes régulières.
Les entreprises
qui sont dans ce cas optimal sont-elles nombreuses en Algérie ?
Cela dépend du
secteur d'activité. Si vous prenez la banque et les assurances, le SI c'est le
corps du métier. Là, les pratiques de sécurité sont plus matures que ce qu'on
pourrait imaginer dans un secteur industriel. La sécurité doit être alignée sur
les enjeux de l'entreprise, comme un SI doit être aligné sur une stratégie.
Mais là où il y a
encore des choses à parfaire dans les entreprises, c'est en matière de
pratiques liées à la confidentialité des informations, notamment par la gestion
des accès, et de traçabilité de leur cheminement
depuis la source de saisie jusqu'à la diffusion. A ce niveau il y a encore des
pratiques à mettre en place.
Un SI est
vulnérable par rapport à la qualité de ses équipements, de son soft ou de ses
gestionnaires ?
C'est un tout. La
vulnérabilité peut aussi venir de l'intérieur de l'entreprise. Des personnes
qui vont avoir des informations qui sont hors de leur périmètre, voire même des
informations confidentielles ou classées top secret. Une attaque interne peut
se traduire par l'utilisation de supports contenant des virus ou par l'accès à
des sites Web pouvant véhiculer des menaces. Pour prévenir cela, il faut
notamment interdire l'accès (en entreprise) à certains sites Web et avoir une
politique de paramétrage de sécurité qui permet d'éviter des accidents.
Il y a aussi une
faille que l'on a tendance à négliger, c'est toute la documentation papier qui
contient aussi de l'information, qui nécessite elle aussi une bonne pratique de
diffusion.
Est-ce qu'il ne
faudrait pas séparer le site Web d'une entreprise du serveur contenant les
informations sensibles ?
Bien sûr qu'il
faut séparer. Ça sert à cela les firewall. Il s'agit
de mettre un mur entre votre SI et ce que vous allez ouvrir à l'extérieur. Il
n'est pas du tout recommandé de regrouper les deux.
Quelles sont les
autres formes d'attaques des systèmes d'information d'entreprises ?
Elles sont de natures
très différentes, et il ne faut pas négliger les risques liés à l'internet.
Parmi ces formes, il
y a le déni de service (rendre indisponible le site ou le système en l'inondant
de milliers de requêtes depuis des milliers d'ordinateurs infectés), l'altération
de données plus ou moins sensibles, les «faux» site web, avec téléchargement
d'un programme qui contient un cheval de Troie (trojan)
ou un logiciel espion (spyware), via un email
contenant une pièce jointe vérolée pouvant inclure un virus, un ver ou autre trojan, ou via un réseau, une machine infectée tente de
contaminer les autres ordinateurs interconnectés.
Quelles sont les
données les plus prisées dans les cyber-attaques ?
Données
personnelles (nom, prénom, adresse, coordonnées bancaires), données
commerciales ou confidentielles des entreprises. Au delà des données, le risque
d'image est très important.
Les AET «Advanced Evasion Techniques» sont-elles plus virulentes que
les virus ? Pourquoi ?
Il est important
de comprendre que ce ne sont pas des attaques en tant que telles, mais des
méthodes de transport des menaces par le firewall et
les IPS - Les évasions aident simplement le pirate à contourner le système de
prévention des intrusions (IPS) ou les NextGen Firewalls (NGFW).
Une particularité
est qu'elles sont par définition difficilement détectables - Pour le reste, les
solutions sont les mêmes : évaluez les éléments les plus essentiels de
l'entreprise ; réévaluez la gestion de correctifs de sécurité périodiquement ; réévaluez
périodiquement les solutions de prévention des intrusions.
Existe-il des
«bonnes pratiques» pour éviter les attaques et les pertes d'informations ?
Oui bien sûr. D'abord,
les entreprises doivent aborder les sujets liés à la sécurité au niveau global
de l'entreprise, les rendre plus visibles avec une stratégie clairement définie
qui protège l'activité tout en créant de la valeur en s'alignant avec les
besoins des métiers.
Elles doivent
faire de la sécurité une étape à part entière dans la chaîne de valeur d'un
service ou produit et l'ancrer dans l'esprit des salariés au quotidien.
En matière de
sécurité, il apparaît nécessaire de se concentrer sur les données clients et
les problématiques liées à la propriété intellectuelle
Enfin, il est
important d'avoir une vision globale et complète de l'ensemble des risques
informatiques, pour pouvoir les anticiper, les identifier et les gérer.
Ensuite, les
entreprises doivent déterminer les zones de fuite de données auxquelles elles
peuvent potentiellement être confrontées.
Enfin elles
doivent procéder à des tests d'attaques et de pénétration pour évaluer leurs
dispositifs.
Il est nécessaire
de définir une «politique de sécurité » qui détermine les grandes orientations
et les procédures techniques ou opératoires concernant des environnements
informatiques ciblés.
La sensibilisation
doit être importante : mot de passe de qualité, avoir des systèmes
d'exploitation et des logiciels à jour, effectuer des sauvegardes régulières, contrôler
la diffusion de données confidentielles, faire attention aux comptes
administrateurs, etc.
La sécurité
informatique est-elle du seul ressort des DSI ? Sinon, qui sont les véritables
responsables de la sécurité des données ?
Il existe beaucoup
de débats sur le sujet et les responsables de la sécurité des données sont à la
fois les métiers et la DSI. La
création d'un rôle de RSSI est une bonne pratique qui permet de faire le lien
entre compréhension des données importantes pour l'entreprise et dispositifs de
sécurité à mettre en place pour les protéger.
En l'état il
s'agit d'une problématique d'entreprise qu'il ne faut pas cantonner à la DSI dont le rôle est, toutefois,
de proposer des solutions techniques et d'anticiper sur des menaces.
-
Votre commentaire
Votre commentaire s'affichera sur cette page après validation par l'administrateur.
Ceci n'est en aucun cas un formulaire à l'adresse du sujet évoqué,
mais juste un espace d'opinion et d'échange d'idées dans le respect.
Posté Le : 30/11/2011
Posté par : sofiane
Ecrit par : Abdelkader Zahar
Source : www.lequotidien-oran.com