Actualité

Journée technique sur la « sécurité informatique »

La Direction Centrale des Systèmes d’Information (DCSI) a organisé, le Dimanche 11 Avril 2010 au siège de la Direction Générale, une rencontre technique portant sur la « Sécurité Informatique ». Cette demi-journée technique a été animée par un expert en Sécurité Informatique de la société Indienne PALADION, assisté par les ingénieurs de la société MBIS Algérie et avec la participation des cadres informatiques représentant la DCSI et les Groupes Informatiques des Branches COM, CBR et GPL.

Cette rencontre a porté sur quatre (04) thèmes à savoir :

1- Les risques liés à la sécurité de l’infrastructure informatique :

L’intervenant a donné une définition de la Sécurité Informatique, qui consiste en un ensemble de techniques et de bonnes pratiques pour protéger les ordinateurs et les données qui y sont stockées, élaborées par des spécialistes, ou par des amateurs.

Il a expliqué par la suite que les systèmes d’information s’exposent à des menaces de types divers, susceptibles d’altérer ou de détruire l’information « intégrité de l’information », ou de la révéler à des tiers qui ne doivent pas en avoir connaissance « confidentialité de l’information », ou bien porter atteinte à sa disponibilité.

Depuis les années 1970, l’accès rapide aux informations, la rapidité et l’efficacité des traitements, les partages de données et l’interactivité ont augmenté de façon considérable.

Par ailleurs, les cas de pannes sont également très fréquents se traduisant par des indisponibilités, des incidents, des erreurs, des négligences et des malveillances, particulièrement avec l’ouverture de l’accès à l’internet.

Certaines de ces menaces qui peuvent aussi, indirectement, causer d’importants dommages financiers, comme ceux liés au vol de numéros de cartes de crédit, ont été abordés en détails.

Outre les aspects financiers, des bris de sécurité informatique peuvent causer du tort à la vie privée d’une personne en diffusant des informations confidentielles sur elle (entre autres ses coordonnées postales ou bancaires), et peuvent pour cette raison être sanctionnés lorsqu’une négligence de l’hébergeur est établie. Indirectement aussi, certaines menaces peuvent nuire à l’image même du propriétaire du système d’information. Des techniques répandues de « defacing » (une refonte d’un site web) permettent à une personne mal intentionnée de mettre en évidence des failles de sécurité sur un serveur web. Ces personnes peuvent aussi profiter de ces vulnérabilités pour diffuser de fausses informations sur son propriétaire, on parle alors de désinformation.

Tenter de sécuriser un système d’information revient à essayer de se protéger contre les risques pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu’il traite.

2- Les procédures de diagnostic de vulnérabilité d’une infrastructure informatique :

L’expert a expliqué que les systèmes d’information sont basés sur des infrastructures informatiques et de télécommunication. Par conséquent, la vulnérabilité des infrastructures implique forcément la vulnérabilité des systèmes d’information.

Dans ce cas de figure, deux dangers majeurs guettent ces derniers en l’occurrence:

– Perte de données

Les causescourantes sont :

– Feu, inondations, tremblements de terre, guerres, émeutes, rats ;

– Les erreurs matérielles ou logicielles : Fonctionnement défectueux du processeur, disques et bandes illisibles, erreurs de télécommunication, bogues dans les programmes ;

– Les erreurs humaines : Saisie de données erronées, utilisation d’un mauvais disque, mauvaise exécution d’un programme, perte d’une disquette.

L’expert a indiqué, à cet effet, que la solution universelle à ces problèmes reste la sauvegarde.

– Fuite de données et intrusions

Les causes courantes sont :

– Indiscrétion des utilisateurs ;

– Furetage ;

– Appât du gain : modification de données, vente d’information, chantage informatique ;

– Espionnage industriel ou militaire.

Les solutions recommandées par le conférencier se résument aux mécanismes de protection à travers :

– L’identification ;

– L’authentification ;

– L’autorisation ;

– L’encryptage;

– L’audit;

– Les logiciels anti-virus ;

– Les programmes de tests de vulnérabilité et d’erreurs de configuration ;

– La détection d’intrusion ;

– Firewalls.

3- La certification sur la sécurité informatique ISO 27001 :

L’ingénieur a mis au clair la norme ISO 27001 en expliquant qu’elle a été publiée en octobre 2005 par l’ISO. Véritable ISO 9001 de la sécurité et complémentaire à la norme ISO 17799:2005, elle définit les exigences de mise en oeuvre d’un Système de Management de la Sécurité de l’Information (SMSI) et s’harmonise avec les démarches qualité (ISO 9001) et environnementales (ISO 14001).

Basée sur la structure de la BS 7799-2, elle constitue la norme de référence pour la mise en oeuvre d’un Système de Management de Sécurité de l’Information et permet d’aller jusqu’à l’obtention d’une certification de son SMSI par un organisme certificateur accrédité. Cette norme est la première d’une série de normes sur le management de la sécurité de l’information.

La certification sur la sécurité informatique ISO 27001 signifie pour les clients une garantie en matière de transaction.

4- Les outils de supervision de la sécurité de l’infrastructure informatique :

La supervision est la surveillance du bon fonctionnement d’un système ou d’une activité, elle permet de surveiller, rapporter et alerter les fonctionnements normaux et anormaux des systèmes informatiques.

Elle répond également aux préoccupations suivantes :

– Technique : surveillance du réseau, de l’infrastructure et des machines ;

– Applicative : surveillance des applications et des processus métiers ;

– Contrat de service : surveillance du respect des indicateurs ;

– Métier : surveillance des processus métiers de l’entreprise.

En cas de dysfonctionnement, selon le même expert, le système de supervision permet d’envoyer des messages sur la console de supervision, ou bien d’envoyer un courriel à l’opérateur.

Si le dysfonctionnement se produit en dehors des heures de bureau, et en l’absence de système approprié, l’alerte n’est pas reçue par l’opérateur, et les utilisateurs des applications ne sont pas prévenus du dysfonctionnement.

C’est pourquoi, il peut être utile de compléter le superviseur par un logiciel de gestion des alertes, qui envoie automatiquement un courriel, un SMS, ou un appel téléphonique à un opérateur sous astreinte.

Enfin, cette rencontre a permis aux participants de profiter de l’expertise des intervenants de la société MBIS Algérie et de son partenaire Indien PALADION, par le transfert de connaissance et le partage des expériences, pour mieux appréhender les aspects spécifiques liés à ce thème d’importance cruciale.

Ces intervenants ont eu également à répondre aux préoccupations, questionnements et autres précisions soulevés par l’assistance notamment sur des notions liées à la certification ISO 27001.

Il est à noter, par ailleurs, que PALADION est une société indienne spécialisée dans la sécurité informatique qui a des logiciels qui permettent d’évaluer le niveau de sécurité des infrastructures informatiques.