Compte-rendu
 

  

Pour une Société de l'Information sécurisée
 14 décembre 2000
     Château de Colonster

Exposés de :

- M. Eric PREUD’HOMME, Security & Network Manager
- M. Roland SPADA, E-Business Manager, COMPUTERLAND
- M. Pierre VANDEVENNE, Administrateur délégué, DATARESCUE.
- M. Diego CUTAIA, IT Manager, EUROGENTEC.
- M. Bernard VAN DER LANDE, Electronic et mobile Commerce Business Manager, BANKSYS

Conseils pratiques pour l’utilisation d’Internet en toute sécurité.  
Introduction

“ Le système le plus sûr n’est pas connecté à un réseau.  Il n’a pas d’utilisateurs et n’est pas branché ”  Ó SGG-SEC.  Informatique décentralisée, intranets, Internet, e-paiement, bases de données on-line, ... autant de tendons d'Achille pour la sécurité des informations sensibles de l'entreprise.  Au-delà de la responsabilisation de chacun des acteurs, une gestion appropriée des accès en fonction des besoins opérationnels est l'élément crucial d'un dispositif de sécurité optimal.

Top


La sécurité informatique dans les PME 
par M. Eric PREUD’HOMME, Security & Network Manager 
et M. Roland SPADA, E-Business Manager, COMPUTERLAND.


Selon une enquête européenne, la peur prédominante formulée est la crainte des virus.  Pour M. Preud’homme, la sécurité est avant tout une politique globale de la société, une attention de tous les jours.  Souvent le danger ne vient pas de l’extérieur, 82% des fraudes sont commises en interne.

Il est nécessaire de procéder à un audit sécurité afin :

1-    d'analyser les risques en vue de disposer d’un inventaire des menaces et des protections tant techniques qu’organisationnelles ;

2-    de définir des solutions ainsi que d’identifier la personne responsable de la maintenance du système et du suivi de la politique instaurée ;

3-    de décider de la mise en place d’outils et de procédures : outre leur installation, le paramétrage adapté des outils et équipements est essentiel ;

4-    de tester

La sécurité peut raisonnablement se scinder en deux grandes catégories : (I)- la sécurité interne à l’entreprise (mono ou multi-sites) et (II)- la sécurité externe (ouverture sur Internet).


(I)- Sécurité interne

Les espaces partagés -disques et fichiers-, le courrier électronique, la sensibilité aux virus sont autant de points de fragilité du réseau interne d’une organisation.  La sécurité, plus que la simple installation d’instruments de protection, demande une réflexion.  Il est souvent plus prudent de concevoir une architecture de réseau segmentée en plusieurs groupes avec leurs propres règles de sécurité.  Parmi les solutions à la portée de l’entreprise, l’orateur a développé les notions de firewall, VPN (Virtual Private Network), chiffrement (symétrique ou asymétrique), certificat numérique.


(II)- Sécurité externe

Que l’on se place du point de vue de l’internaute, du webmaster ou de la connexion web, la connaissance des dangers liés à l’utilisation d’Internet et des solutions (voire de leur évolution) est la meilleure arme.  Les risques se situent à plusieurs niveaux : confidentialité des documents transmis ou reçus, perte de l’anonymat, contenu actif (Java scripts, ActiveX, etc.), hacking de serveurs.  Aussi tout ce qui est publié sur Internet n’est pas nécessairement fiable (faux sites, informations erronées, “ rumeurs ”, sites de désinformation, etc.).

Exemples à l’appui, M. Spada a démontré que l’anonymat sur Internet (cfr. cookies, espiogiciels) est un leurre.  Ainsi, le profil d’un internaute peut être dressé à son insu et stocké dans une base de données ; l’identification précise (nom, adresse, adresse IP…) est possible.  Aussi, tout navigateur (browser) a des trous de sécurité pouvant avoir comme répercussion l’espionnage des habitudes de surf, l’envoi non volontaire d’e-mails, l’obtention du répertoire des fichiers, le téléchargement d’un fichier, etc.  L’éventualité du web hacking au niveau du serveur pose la question de la nécessité d’installer son serveur web dans l’entreprise ou de l’héberger chez un ISP.

 


Connexion permanente à Internet : risques et solutions.  
par M. Pierre VANDEVENNE, Administrateur délégué, DATARESCUE.


La généralisation des connexions permanentes à Internet bouleverse le paysage de la sécurité informatique.  Des données confidentielles qui étaient auparavant isolées sont maintenant accessibles au monde entier (par maladresse ou par méconnaissance des dangers potentiels). 

Trois aspects de la sécurité : (1) le spam, (2) les virus et (3) les hackers ont été développés par l’orateur.

(1) Courrier électronique non sollicité, le spam se sert de relais ouverts (serveurs de courrier électronique qui acceptent des messages extérieurs de n’importe quelle adresse et les relaient vers n’importe quelle adresse) pour polluer les mailbox.  Vu de l’extérieur, la responsabilité de la nuisance semble incomber au propriétaire du serveur utilisé entraînant ainsi une identité abusée et une image de marque ternie.

(2) Les vers, virus et troyens peuvent voler les mots de passe, corrompre des données, utiliser un réseau comme base de déni de service distribué vers un tiers, déstabiliser de gros serveurs, etc.  Leur vecteur de dissémination principal est le courrier électronique.  Le troyen est d’autant plus dangereux qu’il transforme un danger externe en danger interne.  La solution passe par l’installation et la mise à jour régulière d’une protection anti-virus et l’éducation des utilisateurs.  Il faut être conscient que le firewall ne résout pas tout, il est un plus s’il conscientise l’entreprise mais il ne doit pas être un outil de déresponsabilisation.

(3) Même sans connaissance technique un hacker peut réussir à endommager le réseau de n’importe quelle organisation à haute sécurité en utilisant des programmes (par exemple scanner de vulnérabilité) en distribution libre sur Internet.

Monsieur Vandevenne conclut en rappelant que le meilleur réseau est le réseau le plus simple possible, protégé de l’extérieur par un firewall bien configuré dont les limites sont perçues.  La gestion des serveurs est sécurisée ; le nombre d’applications actives est limité ; la protection anti-virus est opérationnelle et ses bases de signature sont récentes (moins d’une semaine).

 


Personnaliser la sécurité selon ses besoins : un cas concret.  
par M. Diego CUTAIA, IT Manager, EUROGENTEC.

L’exposé de M. Cutaia a porté sur la sécurisation des données dans son entreprise.

EUROGENTEC dispose de deux sites physiques reliés par une ligne louée.  La connexion vers Internet est protégée par un firewall, tandis que la ligne inter-sites bénéficie d’une solution VPN. 

La sécurité des données sur les serveurs est assurée par des systèmes RAID (méthode de stockage qui distribue l’information sur plusieurs disques durs) et des backup journaliers.  Une gestion des accès est mise en place : accès physique sécurisé et accès électronique par mots de passe.  Les machines connectées en réseau sont dotées d’un anti‑virus dont la mise à jour est centralisée et automatique.

Pour M. Cutaia, la sécurité est un compromis entre facilité de gestion et verrouillage absolu.  Il faut trouver un juste équilibre selon son budget.

 


Le paiement sur Internet : problème de sécurité, risques pour les marchands et pour les clients. Solutions actuelles et futures.  
par M. Bernard VAN DER LANDE, Electronic et mobile Commerce Business Manager, BANKSYS.


De l’avis de M. Van der Lande, l’e-commerce résidentiel en est encore aux balbutiements mais certains secteurs (voyages, assurances) vont être révolutionnés. 

La nécessité du paiement sécurisé dans le monde virtuel est motivé par le manque de confiance des clients, les risques au niveau des marchands et les coûts administratifs ‑au niveau bancaire- générés par les fraudes.  Ainsi, les acteurs son tentés de lancer leur propre solution de paiement (ex. : DigiCash, eCash, BBL HomePay, etc.) avec comme conséquence et inconvénient l’explosion des moyens de paiement auxquels le marchand doit souscrire. 

D’après l’orateur, résoudre les problèmes liés au paiement virtuel peut se résumer à (1) éviter le stockage d’informations sensibles au niveau du site marchand (n° de cartes de crédit des clients) et (2) assurer l’authentification du marchand.  Pour ce second point, la difficulté réside dans le déploiement aisé des certificats numériques.

Le label Banxafe tente d’y répondre.  Ce nouveau brand sécurisé recouvre plusieurs moyens de paiement ; il a nécessité la collaboration des banques (garantie), de Bank Card Company (Visa, Mastercard/Eurocard) et de Banksys .  Cette solution utilise la technologie de la carte à puce et est basée sur le protocole SET (Secure Electronic Transaction).  Banxafe agit comme un serveur de portefeuilles virtuels contenant les certificats propres aux différents “ brands ”.  Il ne nécessite plus l’introduction manuelle du numéro de carte de crédit, il permet l’authentification du client (insertion de la carte à puce dans un lecteur et pincode), l’authentification du marchand (par son label banxafe) et la protection des données financières qui ne transitent plus sur le réseau.

 

Chacune des interventions a été suivie du feu nourri des questions des participants.  

(c) FORUM TELECOM SPI+


Rappelons qu’en marge des conférences (agenda en ligne), le FORUM TELECOM offre un service de help-desk téléphonique et publie flashs d’informations et news électroniques.  

En outre, un "Position Paper" destiné à faire valoir les requêtes de ses membres dans le domaine des télécommunications paraît en fin de chaque cycle. 

De plus amples informations (participation et/ou adhésion au FORUM TELECOM -gratuite pour les PME dont le siège social est situé dans la zone Objectif 2-) sont diffusées sur le site www.forumtelecom.org

Compte-rendus d'autres conférences du FORUM