Vulnérabilité des systèmes TI par D.Muller

by

Dans notre monde d’aujourd’hui, tout va vite. On veut communiquer et avoir une réponse rapidement et à toute heure du jour, du soir et même de la nuit. Afin de donner le service nécessaire à ses clients, plusieurs entreprises doivent être branchées à internet pour être capable de donner un service de qualité. Internet étant un réseau public, il est assailli de toute part (car il est ouvert à tous), ce qui rend les systèmes des entreprises à la merci de logiciels malveillants. L’usage de plus en plus répandu des courriers électroniques, de la messagerie instantanée et des programmes de partage de fichiers poste-à-poste contribue également à augmenter la vulnérabilité des systèmes. Les texto que l’on envoie régulièrement dans une journée de travail et qui utilise un accès sans fil, sont aussi une autre source de vulnérabilité dans l’infrastructure TI de l’entreprise même si la portée de la norme WI-FI est assez limitée soit quelques dizaines de mètres. Avec quelques outils comme un portable, d’une carte sans fil, une antenne externe et d’un logiciel de piratage, il est facile pour quelqu’un qui s’y connaît un peu d’entrer dans les secrets d’une organisation.

Menaces qui guettent les systèmes TI des entreprises
La première menace pour le système TI des entreprises est souvent le logiciel utilisé par la compagnie. Bien que tout semble au point lors de sa conception sur papier, c’est en l’essayant en pratique que l’on voit vraiment si tout fonctionne à la perfection. C’est là que l’on voit s’il y a des bogues, quels en seront les impacts sur le rendement de l’entreprise et les coûts pour remettre le tout en fonction. Les ordinateurs tout comme nous les humains peuvent être pris avec des maladies. Qu’il s’agisse d’attraper un virus, d’être parasiter par un vers, ces machines comme les humains peuvent être infectées de diverses façon. Il ne faut pas oublier aussi le cheval de Troie et les logiciels espions. Tous ces types de logiciels peuvent prendre le contrôle de votre ordinateur et lui commander de faire des actions inhabituelles et même le rendre inutilisable. Très embarrassant pour une compagnie qui se doit de fonctionner de façon continue pour pouvoir être rentable. En plus des logiciels qui peuvent paralyser vos TI et par le fait même votre entreprise, il y a aussi les personnes qui ont des idées malhonnêtes. Ici on peut nommer les pirates informatiques qui usent de trucs plus ou moins légaux pour prendre le contrôle de votre ordinateur. Plusieurs façons de faire sont à leur disposition, soit la mystification, le reniflage, les attaques par déni de service. En poussant plus loin on peut tomber dans la criminalité informatique. Ici on peut penser au vol d’identité, l’hameçonnage et la fraude par clic. Mais la menace peut venir aussi de l’intérieur de l’entreprise. Les employés, qui pour toutes sortes de raisons et du fait qu’ils ont souvent libre accès aux fichiers informatiques de l’entreprise en partie ou en totalité, peuvent permettre la transmission d’informations vers l’extérieur. Comme vous pouvez le constater, il existe une quantité impressionnante de moyens pour déjouer un système TI dans une entreprise et ainsi risquer de s’approprier des informations confidentielles.

Comment protéger les systèmes TI d’entreprises
Maintenant que l’on sait que les systèmes TI sont vulnérables et surtout à quoi ils le sont, comment peut-on essayer de remédier au problème. Au départ on veut protéger notre système, mais il ne faut pas oublier les renseignements confidentiels relatifs aux clients. Si ces renseignements sont divulgués, l’entreprise peut s’exposer à des poursuites judiciaires. Pour se faire, on peut commencer par une analyse du risque et se demander si ça vaut la peine d’investir dans un moyen de corriger une ou des lacunes dans notre système TI. Si c’est juste pour éliminer un bogue dans un logiciel, il existe des programmes conçus pour le faire et qui ne nécessitent probablement peut d’investissement mais si le problème touche plusieurs processus les dépenses seront sans doute plus onéreuses. Établir une politique de sécurité informatique qui permettra de fixer des objectifs en matière de sécurité et d’expliquer comment les atteindre. Il faut aussi planifier l’après problème (sinistre). Cette étape permet de trouver quels processus sont vitaux pour l’entreprise et comment s’assurer qu’ils seront remis en service en premier après le bris ou la panne. Au niveau technologique, il y a tout ce qui touche les logiciels de protection antivirus dont vous avez déjà entendu parler, les systèmes de détection d’intrusion et les pare-feux. Le contrôle d’accès, l’authentification par jeton, carte à puce et biométrique ainsi que le cryptage et l’infrastructure à clé publique sont d’autres possibilités de rendre les systèmes TI plus sécuritaires. Pour les utilisateurs de réseau sans fil, il existe des systèmes de protection, il suffit de s’en servir. En matière de protection, il ne faut pas oublier l’audit des systèmes d’information, qui s’est fortement développé dans les 5 dernières années suite aux contraintes réglementaires apparues en réaction à de grands scandales financiers soit aux USA : lois Sarbane Oxley et en France : loi sur la sécurité financière. En matière d’audit pour les TI on peut nommer le référentiel COBIT( Control Objectives for information and related technology) qui est le modèle de référence en matière d’audit et de maîtrise des risques liés aux systèmes d’information. COBIT définit une ensemble de bonnes pratiques pour la gouvernance des systèmes d’information. Il est l’œuvre commune de l’ISACA ( Information Systems AUDIT And Control Association) et l’ITGI ( IT Governance Institute).

En conclusion :
On sait que les systèmes TI des entreprises sont exposés à diverses menaces venant de personnes mal intentionnées. Divers moyens sont à leurs dispositions pour arriver à leurs fins. Il existe aussi des moyens de protection qui sont plus ou moins coûteux. Savoir si ça vaut la peine d’investir constitue la première étape du processus de défense de notre système. Une panne plus ou moins étendue, peut entraîner des pertes considérables pour l’entreprise et aussi des poursuites par des clients frustrés de voir leurs informations personnelles mises à jour publiquement. C’est pourquoi il est important de savoir quelles sont les lacunes à améliorer et quels sont le ou les outils de protection qui permettront à notre système TI de performer en toute sécurité et de continuer d’être au service de notre entreprise.

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s


%d blogueurs aiment cette page :