13.6 : Protection des ordinateurs et des informations

Last updated
Save as PDF

Page ID: 186826

\( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \) \( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)\(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\) \(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\)\(\newcommand{\AA}{\unicode[.8,0]{x212B}}\)

5. Quels sont les meilleurs moyens de protéger les ordinateurs et les informations qu'ils contiennent ?

Avez-vous déjà perdu un travail de session sur lequel vous avez travaillé pendant des semaines parce que votre disque dur est tombé en panne ou parce que vous avez supprimé le mauvais fichier ? Vous étiez bouleversé, en colère et frustré. Multipliez ce document et vos sentiments des centaines de fois et vous comprendrez pourquoi les entreprises doivent protéger les ordinateurs, les réseaux et les informations qu'ils stockent et transmettent contre diverses menaces potentielles. Par exemple, les failles de sécurité des systèmes d'information des entreprises, causées par des pirates informatiques ou des versions électroniques telles que des virus et des vers, augmentent à un rythme alarmant. La dépendance croissante à l'égard des ordinateurs nécessite des plans qui couvrent les erreurs humaines, les pannes de courant, les pannes d'équipement, le piratage informatique et les attaques terroristes. Pour résister aux catastrophes naturelles telles que les incendies majeurs, les tremblements de terre et les inondations, de nombreuses entreprises installent des systèmes informatiques spécialisés tolérants aux pannes.

Les catastrophes ne constituent pas la seule menace qui pèse sur les données. Un grand nombre de données, dont la plupart sont confidentielles, peuvent être facilement exploitées ou détruites par quiconque s'y connaît en informatique. La protection de vos réseaux contre les accès non autorisés, qu'ils proviennent de sources internes ou externes, nécessite des politiques de sécurité et des procédures d'application formelles. La popularité croissante des appareils mobiles (ordinateurs portables, tablettes et téléphones portables) et des réseaux sans fil nécessite de nouveaux types de mesures de sécurité.

En réponse aux préoccupations croissantes en matière de sécurité, les entreprises ont augmenté leurs dépenses en technologies visant à protéger leur infrastructure informatique et leurs données. Outre du matériel et des logiciels spécialisés, les entreprises doivent développer des stratégies de sécurité spécifiques qui adoptent une approche proactive afin de prévenir les problèmes techniques et de sécurité avant qu'ils ne surviennent. Cependant, un article récent du CIO a déploré l'absence de politiques de sécurité de base que les entreprises ne mettent en œuvre qu'après un piratage ou une crise des données. ¹⁵

Problèmes de sécurité des données

L'accès non autorisé aux systèmes informatiques d'une entreprise peut coûter cher, et pas seulement en termes monétaires. Juniper Networks estime que la cybercriminalité coûtera aux entreprises plus de 2 billions de dollars en 2019, contre seulement 450 millions de dollars en 2001. Les catégories de menaces les plus coûteuses sont les vers, les virus et les chevaux de Troie (définis plus loin dans cette section), le vol d'ordinateurs, la fraude financière et l'accès non autorisé au réseau. Le rapport indique également que presque toutes les entreprises américaines signalent au moins un problème de sécurité et que près de 20 % ont été confrontées à de multiples incidents de sécurité. ¹⁶

Les escrocs informatiques sont de plus en plus sophistiqués et trouvent de nouvelles façons d'accéder à des sites ultra-sécurisés. « Alors que les entreprises et les consommateurs continuent de s'orienter vers une économie en réseau et de l'information, les cybercriminels ont de plus en plus de possibilités de tirer parti des vulnérabilités des réseaux et des ordinateurs », explique Chris Christiansen, vice-président du programme du cabinet d'études technologiques IDC. ¹⁷ Alors que les premiers cybercriminels étaient généralement des pirates informatiques amateurs travaillant seuls, les nouveaux sont plus professionnels et travaillent souvent au sein de gangs pour commettre des crimes sur Internet à grande échelle en échange de grosses récompenses financières. Internet, où les criminels peuvent se cacher derrière des pseudonymes anonymes, a accru les enjeux et élargi le champ des possibilités de commettre des usurpations d'identité et des crimes similaires. Il est difficile d'attraper de tels cybercriminels, et moins de 5 % sont capturés. ¹⁸

Une photo montre un ordinateur portable avec des numéros de streaming sur son écran et une grande icône rouge en forme de cadenas. — Figure **13.8** La sécurité des données est constamment menacée. En 2017, des cybercriminels ont pénétré Equifax, l'une des plus grandes agences de crédit du pays, et ont volé les données personnelles de plus de 145 millions de personnes. À ce jour, elle est considérée comme l'une des pires violations de données de tous les temps en raison de la quantité de données sensibles volées, y compris les numéros de sécurité sociale des consommateurs. *Quel est l'impact du vol d'identité et d'autres problèmes de sécurité des données sur les réseaux mondiaux et le commerce électronique ?* (Crédit : Blogtrepreneur/ Flickr/ Attribution 2.0 Generic (CC BY 2.0))

Les entreprises prennent des mesures pour prévenir ces crimes et problèmes informatiques coûteux, qui se répartissent en plusieurs catégories principales :

Accès non autorisé et failles de sécurité. Qu'ils proviennent de sources internes ou externes, les accès non autorisés et les failles de sécurité sont au cœur des préoccupations des responsables informatiques. Cela peut provoquer des ravages dans les systèmes d'une entreprise et nuire aux relations avec les clients. L'accès non autorisé inclut également les employés, qui peuvent copier des informations confidentielles sur les nouveaux produits et les fournir à des concurrents ou utiliser les systèmes de l'entreprise à des fins personnelles susceptibles d'interférer avec le fonctionnement des systèmes. Les liens réseau permettent également à des personnes extérieures à l'organisation d'accéder plus facilement aux ordinateurs de l'entreprise.
L'une des formes les plus récentes de cybercriminalité consiste à installer secrètement un logiciel d'enregistrement des touches via des téléchargements de logiciels, des pièces jointes à des e-mails ou des fichiers partagés. Ce logiciel copie et transmet ensuite les saisies de touches d'un utilisateur (mots de passe, codes PIN et autres informations personnelles) à partir de sites sélectionnés, tels que les sites bancaires et les sites de cartes de crédit, à des voleurs.
Virus informatiques, vers et chevaux de Troie. Les virus informatiques et les problèmes de sécurité connexes tels que les vers et les chevaux de Troie font partie des principales menaces à la sécurité informatique des entreprises et des particuliers. Programme informatique qui se copie dans d'autres logiciels et peut se propager à d'autres systèmes informatiques, un virus informatique peut détruire le contenu du disque dur d'un ordinateur ou endommager des fichiers. Une autre forme est appelée ver parce qu'elle se propage automatiquement d'un ordinateur à l'autre. Contrairement à un virus, un ver n'a pas besoin de courrier électronique pour se répliquer et se transmettre vers d'autres systèmes. Il peut entrer par des points d'accès valides.
Les chevaux de Troie sont des programmes qui semblent inoffensifs et proviennent de sources légitimes mais qui incitent l'utilisateur à les installer. Lorsqu'ils sont exécutés, ils endommagent l'ordinateur de l'utilisateur. Par exemple, un cheval de Troie peut prétendre se débarrasser des virus mais infecter l'ordinateur. D'autres formes de chevaux de Troie constituent une « trappe » qui permet l'accès non documenté à un ordinateur, à l'insu de l'utilisateur. Les chevaux de Troie n'infectent toutefois pas d'autres fichiers et ne se répliquent pas automatiquement. ¹⁹

Les virus peuvent se cacher pendant des semaines, des mois, voire des années avant de commencer à endommager les informations. Un virus qui « infecte » un ordinateur ou un réseau peut se propager à un autre ordinateur en partageant des disques ou en téléchargeant des fichiers infectés sur Internet. Pour protéger les données contre les dommages causés par les virus, un logiciel de protection antivirus surveille automatiquement les ordinateurs pour détecter et supprimer les virus. Les développeurs de programmes mettent régulièrement à disposition des mises à jour pour se protéger contre les nouveaux virus. En outre, les experts sont de plus en plus compétents pour retrouver les auteurs de virus, qui font l'objet de poursuites pénales.
Dommages délibérés à l'équipement ou aux informations. Par exemple, un employé mécontent du service des achats pourrait accéder au système informatique de l'entreprise et supprimer des informations sur les commandes passées et les besoins futurs en stocks. Le sabotage pourrait gravement perturber la production et le système des comptes fournisseurs. Les actes délibérés visant à détruire ou à modifier les données des ordinateurs sont difficiles à prévenir. Pour réduire les dégâts, les entreprises doivent sauvegarder les informations critiques.
Spam. Bien que vous puissiez penser que le spam, ou les e-mails non sollicités et indésirables, ne sont qu'une nuisance, ils constituent également une menace pour la sécurité des entreprises. Les virus se propagent par les pièces jointes qui peuvent accompagner les spams. Les spams encombrent désormais les blogs, les messages instantanés, les messages texte sur les téléphones portables ainsi que les boîtes de réception. Le spam présente d'autres menaces pour les entreprises : perte de productivité et dépenses liées à la gestion du spam, telles que l'ouverture des messages et la recherche de messages légitimes que des filtres anti-spam spéciaux bloquent.
Piratage de logiciels et de médias La copie de logiciels, de jeux et de films protégés par des droits d'auteur par des personnes qui ne les ont pas payés constitue une autre forme d'utilisation non autorisée. Le piratage, défini comme l'utilisation d'un logiciel sans licence, prive l'entreprise qui a développé le programme de revenus, généralement à grands frais. Cela inclut la fabrication de CD contrefaits à vendre ainsi que la copie personnelle de logiciels à partager avec des amis.

Prévenir les problèmes

La création de politiques de sécurité des informations écrites formelles pour définir des normes et fournir la base de leur mise en œuvre constitue la première étape de la stratégie de sécurité d'une entreprise. Malheureusement, une récente enquête menée auprès de responsables informatiques du monde entier a révélé que plus des deux tiers s'attendent à une cyberattaque dans un avenir proche. Stephanie Ewing, experte en sécurité des données, déclare : « Le fait de disposer d'un processus documenté et testé met de l'ordre dans les situations chaotiques et permet à chacun de se concentrer sur la résolution des problèmes les plus urgents ». Sans stratégies de sécurité des informations en place, les entreprises passent trop de temps en mode réactif, à répondre aux crises, et ne se concentrent pas suffisamment sur la prévention. ²⁰

Les plans de sécurité doivent bénéficier du soutien de la haute direction, puis suivre les procédures de mise en œuvre des politiques de sécurité. Étant donné que l'informatique est un domaine dynamique où les équipements et les processus évoluent en permanence, il est important de revoir régulièrement les politiques de sécurité. Certaines politiques de sécurité peuvent être gérées automatiquement, par des mesures techniques, tandis que d'autres impliquent des politiques administratives qui s'appuient sur des humains pour les exécuter. Des exemples de politiques administratives sont les suivants : « Les utilisateurs doivent changer leur mot de passe tous les 90 jours » et « Les utilisateurs finaux mettront à jour leurs signatures virales au moins une fois par semaine ». Le tableau 13.4 présente les types de mesures de sécurité utilisées par les entreprises pour protéger les données.

Cinq sujets de préoccupation concernant la protection des données
Pourcentage	Préoccupation concernant la protection des données
52	Vous ne savez pas comment sécuriser les appareils et applications connectés
40	Ne modifiez pas immédiatement les mots de passe par défaut
33	Ne pensez pas qu'ils peuvent contrôler la manière dont les entreprises collectent les informations personnelles
33	Les parents admettent qu'ils ne connaissent pas suffisamment les risques pour les expliquer aux enfants
37	Utiliser des services de surveillance du crédit

Tableau 13.4 Source : Adapté de Tony Bradley, « Top 5 Concerns to Focus on for Privacy Day », Forbes, https://forbes.com, 27 janvier 2017.

Pour éviter des problèmes coûteux, il suffit de sauvegarder régulièrement des applications et des données. Les entreprises doivent mettre en place des systèmes qui sauvegardent automatiquement leurs données chaque jour et stockent des copies des sauvegardes hors site. En outre, les employés devraient régulièrement sauvegarder leur propre travail. Une autre bonne politique consiste à maintenir une base de données complète et à jour contenant l'ensemble du matériel informatique, des logiciels et des informations sur les utilisateurs afin de faciliter la gestion des licences et des mises à jour logicielles et le diagnostic des problèmes. Dans de nombreux cas, le personnel informatique peut utiliser la technologie d'accès à distance pour surveiller et résoudre automatiquement les problèmes, ainsi que pour mettre à jour les applications et les services.

Les entreprises ne doivent jamais négliger le facteur humain dans l'équation de la sécurité. L'un des moyens les plus courants par lesquels des personnes extérieures pénètrent dans les systèmes de l'entreprise consiste à se faire passer pour un employé, en obtenant d'abord le nom complet et le nom d'utilisateur de l'employé à partir d'un message électronique, puis en appelant le service d'assistance pour demander un mot de passe oublié. Les escrocs peuvent également obtenir des mots de passe en les visualisant sur des notes attachées à un bureau ou à un écran d'ordinateur, en utilisant des machines que les employés laissent connectées lorsqu'ils quittent leur bureau et en laissant des ordinateurs portables contenant des informations sensibles non sécurisées dans les lieux publics.

Les appareils portables, qu'il s'agisse d'ordinateurs de poche, de minuscules clés USB prêtes à l'emploi ou d'autres dispositifs de stockage (y compris les téléphones portables), présentent également des risques de sécurité. Ils sont souvent utilisés pour stocker des données sensibles telles que des mots de passe, des coordonnées bancaires et des calendriers. Les appareils mobiles peuvent propager des virus lorsque les utilisateurs téléchargent des documents infectés sur les ordinateurs de leur entreprise.

Imaginez les problèmes qui pourraient survenir si un employé voyait une entrée de calendrier sur un appareil mobile, telle que « réunion concernant les licenciements », si un étranger assistait à une « réunion sur la fusion avec ABC Company » ou si un employé perdait une clé USB contenant des fichiers concernant les plans marketing d'un nouveau produit. Les fabricants répondent aux préoccupations des responsables informatiques en matière de sécurité en ajoutant une protection par mot de passe et un cryptage aux clés USB. Les entreprises peuvent également utiliser un logiciel de surveillance des lecteurs flash qui empêche tout accès non autorisé aux PC et aux ordinateurs portables.

Les entreprises disposent de nombreux moyens pour éviter une crise informatique, comme le montre le Tableau 13.5.

Procédures de protection des actifs informatiques
Élaborez un plan et des politiques complets qui incluent les équipements portables et fixes. Protégez l'équipement lui-même grâce à des mesures de sécurité physique strictes des locaux. Protégez les données à l'aide d'une technologie de cryptage spéciale pour coder les informations confidentielles afin que seul le destinataire puisse les déchiffrer. Bloquez les accès indésirables depuis l'intérieur ou l'extérieur grâce à des systèmes d'autorisation spéciaux. Elles peuvent être aussi simples qu'un mot de passe ou aussi sophistiquées que l'identification par empreinte digitale ou vocale. Installez des pare-feux, du matériel ou des logiciels conçus pour empêcher tout accès non autorisé vers ou depuis un réseau privé. Surveillez l'activité du réseau à l'aide de systèmes de détection d'intrusion qui signalent les éventuels accès non autorisés et documentent les événements suspects Réalisez des audits informatiques périodiques pour cataloguer tous les périphériques de stockage connectés ainsi que les ordinateurs. Utilisez une technologie qui surveille les ports pour détecter les périphériques connectés non autorisés et désactive ceux qui ne sont pas approuvés pour une utilisation professionnelle. Formez les employés à résoudre les problèmes à l'avance, plutôt que de simplement y réagir. Organisez fréquemment des sessions de formation du personnel pour leur enseigner les bonnes procédures de sécurité, telles que la déconnexion des réseaux lorsqu'ils déjeunent et le changement fréquent des mots de passe. Assurez-vous que les employés choisissent des mots de passe intelligents, composés d'au moins six et idéalement de huit caractères, contenant des chiffres, des lettres et des signes de ponctuation. Évitez les mots du dictionnaire et les informations personnelles. Créez une base de données contenant des informations utiles et des FAQ (questions fréquemment posées) à l'intention des employés afin qu'ils puissent résoudre eux-mêmes les problèmes. Instaurez une atmosphère de communication saine.

Procédures de protection des actifs informatiques

Élaborez un plan et des politiques complets qui incluent les équipements portables et fixes.
Protégez l'équipement lui-même grâce à des mesures de sécurité physique strictes des locaux.
Protégez les données à l'aide d'une technologie de cryptage spéciale pour coder les informations confidentielles afin que seul le destinataire puisse les déchiffrer.
Bloquez les accès indésirables depuis l'intérieur ou l'extérieur grâce à des systèmes d'autorisation spéciaux. Elles peuvent être aussi simples qu'un mot de passe ou aussi sophistiquées que l'identification par empreinte digitale ou vocale.
Installez des pare-feux, du matériel ou des logiciels conçus pour empêcher tout accès non autorisé vers ou depuis un réseau privé.
Surveillez l'activité du réseau à l'aide de systèmes de détection d'intrusion qui signalent les éventuels accès non autorisés et documentent les événements suspects
Réalisez des audits informatiques périodiques pour cataloguer tous les périphériques de stockage connectés ainsi que les ordinateurs.
Utilisez une technologie qui surveille les ports pour détecter les périphériques connectés non autorisés et désactive ceux qui ne sont pas approuvés pour une utilisation professionnelle.
Formez les employés à résoudre les problèmes à l'avance, plutôt que de simplement y réagir.
Organisez fréquemment des sessions de formation du personnel pour leur enseigner les bonnes procédures de sécurité, telles que la déconnexion des réseaux lorsqu'ils déjeunent et le changement fréquent des mots de passe.
Assurez-vous que les employés choisissent des mots de passe intelligents, composés d'au moins six et idéalement de huit caractères, contenant des chiffres, des lettres et des signes de ponctuation. Évitez les mots du dictionnaire et les informations personnelles.
Créez une base de données contenant des informations utiles et des FAQ (questions fréquemment posées) à l'intention des employés afin qu'ils puissent résoudre eux-mêmes les problèmes.
Instaurez une atmosphère de communication saine.

Tableau 13.5

Préserver la confidentialité des informations : problèmes de confidentialité

L'existence même d'immenses classeurs électroniques remplis d'informations personnelles constitue une menace pour notre vie privée. Jusqu'à récemment, nos dossiers financiers, médicaux, fiscaux et autres étaient stockés dans des systèmes informatiques distincts. Les réseaux informatiques facilitent le regroupement de ces données dans des entrepôts de données. Les entreprises vendent également les informations qu'elles collectent à votre sujet à partir de sources telles que les cartes d'enregistrement de garantie, les dossiers de cartes de crédit, les inscriptions sur des sites Web, les formulaires de données personnelles requis pour les achats en ligne et les cartes de réduction des clubs d'épicerie Les télévendeurs peuvent combiner des données provenant de différentes sources pour créer des profils de consommateurs assez détaillés.

La tragédie du 11 septembre 2001 et d'autres atteintes à la sécurité massives ont soulevé des préoccupations supplémentaires en matière de protection de la vie privée. En conséquence, le gouvernement a commencé à chercher des moyens d'améliorer la collecte de renseignements nationaux et d'analyser les menaces terroristes aux États-Unis. Les applications de base de données sophistiquées qui recherchent des modèles cachés dans un groupe de données, un processus appelé exploration de données, augmentent le potentiel de suivi et de prévision des activités quotidiennes des personnes. Les législateurs et les défenseurs de la vie privée craignent que des programmes tels que celui-ci et ceux qui écoutent électroniquement n'entraînent une surveillance gouvernementale excessive qui empiète sur la vie privée. Les enjeux sont également bien plus importants : les erreurs d'exploration de données commises par des entreprises commerciales peuvent avoir pour conséquence qu'un consommateur soit ciblé par des publicités inappropriées, alors qu'une erreur gouvernementale en traquant des terroristes présumés pourrait causer des dommages indicibles à une personne injustement ciblée.

Les consommateurs se battent de plus en plus pour reprendre le contrôle de leurs données personnelles et de la manière dont elles sont utilisées. Les défenseurs de la vie privée s'efforcent de bloquer la vente d'informations collectées par les gouvernements et les entreprises. Par exemple, ils veulent empêcher les gouvernements des États de vendre les informations relatives aux permis de conduire et les supermarchés de collecter et de vendre les informations collectées lorsque les clients utilisent des cartes de réduction en plastique à code-barres. Grâce à des informations sur leurs habitudes d'achat, les annonceurs peuvent cibler les consommateurs pour des programmes marketing spécifiques.

Le défi pour les entreprises est de trouver un équilibre entre la collecte des informations dont elles ont besoin et la protection des droits individuels des consommateurs. La plupart des formulaires d'enregistrement et de garantie qui posent des questions sur les revenus et les intérêts comportent une case que les consommateurs peuvent cocher pour empêcher l'entreprise de vendre leur nom. De nombreuses entreprises déclarent désormais dans leurs politiques de confidentialité qu'elles n'abuseront pas des informations qu'elles collectent. Les régulateurs prennent des mesures contre les entreprises qui ne respectent pas la vie privée des consommateurs.

VÉRIFICATION DU CONCEPT

Décrivez les différentes menaces qui pèsent sur la sécurité des données.
Comment les entreprises peuvent-elles protéger les informations contre la destruction et l'utilisation non autorisée ?
Pourquoi les défenseurs du droit à la vie privée sont-ils inquiets face à l'utilisation de techniques telles que les entrepôts de données et l'exploration de données ?