ANALYSE
Sommaire Sécurité 
Malveillances : l'ennemi est aussi dans les murs
Prévenir les actes de malveillance internes suppose l'engagement contractuel des salariés au travers de chartes et des mesures techniques comprenant les volets chiffrement, habilitation et segmentation.   (03/01/2007)
  En savoir plus
 Outils Open Source pour tester sa sécurité
 5 grands mythes de la sécurité
Dossier Virus, vers, chevaux de Troie...
Le mythe du hacker, du pirate capable de s'infiltrer dans un réseau au mépris des différentes sécurités occulte parfois une autre réalité, bien tangible elle aussi, qui est celle des attaques internes. Sans pour autant négliger les risques d'intrusions externes, les entreprises doivent garder à l'esprit que leurs salariés, pour des motifs divers (curiosité, défi, vengeance, appât du gain), peuvent eux aussi être amenés à commettre des actes de malveillance. En outre, ils bénéficieront d'un accès physique et logique aux actifs, privilège que doivent acquérir quant à eux les pirates.

Et les conséquences de certaines de ces actions peuvent s'avérer particulièrement préjudiciables pour l'entreprise : divulgation de données confidentielles, atteinte à l'image, entraves ou arrêts de l'activité. Des procédures de prévention de ces attaques doivent donc être définies. Reste cependant à les identifier préalablement et à évaluer leur probabilité d'occurrence.

De quelles natures sont donc ces menaces internes ? "Ce que l'on constate le plus souvent, c'est un usage abusif de l'informatique, bien plus que des intrusions. Derrière cette dénomination, vous trouvez donc ce qui a trait à des activités plus ou moins illicites - navigation sur des sites pédophiles, pornographiques ou révisionnistes - en utilisant les moyens mis à disposition par l'entreprise. C'est également le P2P sur le réseau, en stockant les contenus sur son poste de travail", explique Laurent Bellefin, directeur de l'activité Sécurité de Solucom (Clusif).

Plus ponctuelles, la divulgation volontaire d'informations et la fourniture de données personnelles nominatives à des fins lucratives. Collectées grâce au système d'information, elles peuvent ensuite être expédiées hors du périmètre de l'entreprise par messagerie électronique, fax, ou stockées sur un support amovible, voire simplement imprimées sous format papier.

Ce sont les grandes entreprises (+ 1000 salariés) qui sont les plus exposées à ce type d'attaque. Celles-ci sont en effet plus susceptibles de détenir des informations critiques. Selon le dernier rapport sur la sinistralité publié par le Clusif, 10% d'entre elles auraient déclaré avoir été victimes de divulgation d'information. Ce taux n'est en revanche que de 3,5% parmi les sociétés de 200 à 1000 collaborateurs.

"Aucun cas d'utilisation de bombe logique n'a même été recensé en France"
(L. Bellefin - Solucom)
Des actes de sabotage ne sont pas non plus à exclure. Il pourra s'agir par exemple de l'introduction volontaire d'un virus, de l'installation de bombes logiques, ou encore de la destruction pure et simple de fichiers. Fort heureusement, ces malveillances sont extrêmement rares. "Aucun cas d'utilisation de bombe logique n'a même été recensé en France", selon Laurent Bellefin qui souligne en outre que ce type de procédé "impose un haut niveau de connaissances techniques".

Hormis des utilisateurs avertis, les employés au profil technique, comme les administrateurs systèmes, sont a priori ceux qui, s'ils manifestaient la volonté de commettre des actes de malveillance, pourraient occasionner le plus de dégâts. Selon une étude réalisée en 2005 par les services secrets américains et le CERT du Carnegie Mellon University Software Engineering Institute, l'attaquant interne serait un homme, occupant un poste technique dans 86% des cas. Pour 92% d'entre eux, la vengeance était la première motivation.

En plus de la charte de sécurité commune à l'ensemble des salariés, Laurent Bellefin recommande donc "une seconde charte, spécifique aux administrateurs. Deux points particuliers y figureront, indiquant les cas où leur responsabilité peut être directement engagée : la divulgation de données auxquelles leurs droits et tâches leur donnent accès et l'abus de privilèges à des fins malveillantes".

"On protégera la donnée sensible au plus près"
(L. Bellefin - Solucom)
La prévention des risques devra cependant tenir compte de toutes les populations de l'entreprise, et ne pas reposer uniquement sur des dispositifs techniques. "Chartes d'utilisation de l'informatique et de sécurité spécifieront ainsi ce qu'il est autorisé et défendu de faire. Elles institueront un usage personnel - une interdiction totale étant de toute façon illégale - tout en fixant des limites claires. Sera en outre inscrit le principe du contrôle et de la sanction. Annexées au règlement intérieur, elles seront soumises aux instances du personnel, voire signées par les salariés", précise le responsable sécurité de Solucom.

Toutefois, une charte ne peut dissuader un salarié décidé à commettre un acte de malveillance. Au même titre que pour se protéger des attaques externes, une transition doit s'équiper d'une stratégie de sécurité périmétrique vers un système de défense en profondeur comprenant chiffrement, habilitation et cloisonnement. "On protégera la donnée sensible au plus près. Plutôt que d'avoir un grand réseau ouvert, ce sont plusieurs lignes de protection successives qui seront déployées", explique Laurent Bellefin.

  En savoir plus
 Outils Open Source pour tester sa sécurité
 5 grands mythes de la sécurité
Dossier Virus, vers, chevaux de Troie...
Chiffrement : les données les plus sensibles seront chiffrées afin qu'un accès non-autorisé ne permettent pas leur lecture. Habilitation : les droits sur le poste, le réseau et les applications devront répondre à un besoin. Laisser à un salarié un accès à une base de données sans que cela soit justifié, même si celui-ci est reconnu pour sa probité, fait potentiellement courir un risque à l'entreprise.

Enfin, cloisonnement des groupes de travail et du réseau, voire des requêtes applicatives. Cette segmentation allègera en outre les tâches de supervision (analyse des logs et corrélation des événements).
Christophe AUFFRAY, JDN Solutions Sommaire Sécurité
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters