Christine Niox-Château : Au vu des risques encourus, quels sont actuellement les piliers de la sécurité informatique ?

- Richard Touret : Pour l’entreprise comme pour le particulier, les 3 piliers sont : un minimum d’organisation et de procédures, des outils et technologies et enfin la formation et la sensibilisation.

o Plus précisément, que conseillez vous au particulier pour se protéger ?

- Commençons par rappeler qu’Internet est un formidable outil qui rapproche les personnes, qui vous propose "le monde dans votre salon", mais que cette ouverture impose de la vigilance !
Pour reprendre ces 3 piliers, je conseille tout d’abord aux particuliers d’être au minimum sensibilisés aux risques et adopter des bonnes pratiques : être conscient des risques en faisant appel à son bon sens (qui m’a envoyé ce message et pourquoi ?), ne pas ouvrir des messages d’inconnus, ne pas “cliquer” inconsidérément sur un fichier joint, même si vous avez un antivirus. Ce fichier peut être tout type de programme malveillant cité plus haut. Vous devez régulièrement mettre à niveau votre ordinateur et vos applications clés (logiciels bureautiques, etc.) car ces ajouts corrigent généralement les failles de sécurité. Vous devez également vous méfier des sites Internet que vous visitez et donner vos coordonnées avec parcimonie, celles-ci peuvent être réutilisées à mauvais escient.
Pour les outils, je conseille un bon antivirus. Certains sont gratuits et peuvent s’avérer adaptés. Ils peuvent également être acquis auprès des grands éditeurs de logiciels de sécurité ou directement auprès de son fournisseur d’accès Internet. J’ai de nettes préférences dont je ne ferai pas état ! Sachez simplement que certains antivirus ont une efficacité et une capacité de prédiction plus fortes que d’autres. Les anti-spams et anti-programmes malveillants sont également utiles. Un firewall personnel bloquera également les tentatives de reconnaissance de votre équipement par des scanners automatisés et malveillants. Certains systèmes d’exploitation intègrent ce firewall personnel, par exemple Windows XP SP2.
Vous avez également l’opportunité d’utiliser des ordinateurs moins exposés comme les Mac d’Apple ou le système d’exploitation Linux, gratuit, plus robuste et de plus en plus convivial. Ce dernier système est formidable, mais nécessite d’être accompagné pour se lancer ...

o Quels sont les outils et moyens fiables pour l’entreprise ?

- Pour se limiter à des illustrations et reprendre les 3 piliers cités plus haut :
Formation et sensibilisation : avoir des équipes informatiques bien préparées, sensibiliser le personnel aux risques et aux bonnes et mauvaises pratiques, par exemple l’ouverture de mails d’inconnus ou répondre (par téléphone ou mail) à un soi-disant informaticien de l’entreprise vous demandant votre mot de passe, ce que l’on appelle l’ingénierie sociale.
Organisation : avoir un responsable de la sécurité informatique, même s’il n’y consacre que 10% de son temps, disposer d’un plan de secours et de reprise d’activité (et au moins de sauvegarde des données) en cas d’incident majeur, disposer d’une charte d’utilisation de l’informatique et d’Internet, etc. Les responsables informatiques doivent adopter une série de “bonnes pratiques” reconnues par la profession comme la configuration robuste du poste de travail, des navigateurs Internet, des serveurs sensibles (retirer les services inutiles, appliquer les correctifs de sécurité), contrôler les entrées et sorties de données (par filtrage), protéger le réseau, rechercher les codes malveillants et le trafic anormal, chiffrer les données sensibles...
Outils : la panoplie est large et de plus en plus complexe. Une sécurité à plusieurs niveaux est nécessaire. Les entités malveillantes vont généralement viser 3 cibles : les contenus (les informations internes et confidentielles), les services (par exemple, un site d’achat en ligne) et l’infrastructure (votre réseau, vos machines).
Actuellement, l’accent est mis sur la protection de l’infrastructure : 95% des entreprises ont un firewall et un antivirus. Ceci est nécessaire mais pas suffisant. Il existe environ 14 familles de produits de sécurité qu’il faut adapter en fonction du risque réel encouru par l’entreprise. Citons les réseaux privés virtuels pour protéger les échanges de données, le chiffrement des données sensibles, les outils anti-intrusion, les moyens d’authentification forte comme la biométrie qui est très à la mode, mais va se banaliser ...
N’oublions pas bien sûr les aspects plus physiques de la sécurité et de la pérennité du système d’information qui sont très importants également : des sauvegardes fréquentes avec des copies externes à l’entreprise, des machines sensibles protégées physiquement contre le vol, la redondance de certains équipements voire la répartition de charge entre machines pour éviter les indisponibilités intempestives, la double alimentation électrique, la présence d’un onduleur (malheureusement très utile à La Réunion !), la protection contre l’incendie, contre les inondations, contre la chaleur excessive ...
Un chiffre à retenir, les entreprises et collectivités consacrent de 2 à 8% de leur budget informatique à la sécurité. Ce chiffre varie bien sûr en fonction des activités. Un épicier est moins exposé qu’une banque !
Je dis toujours à mes clients que la sécurité informatique est un juste équilibre entre le risque, les coûts et la facilité d’utilisation. Elle doit rester simple et pas trop contraignante. Elle ne doit pas empêcher une entreprise d’être productive. La première question à se poser : qu’est ce qui peut intéresser des personnes extérieures ? Mes données ? Mes travaux de recherche ou mes informations commerciales, la réponse à un futur appel d’offres ? Mon site Internet ou mes machines pour pouvoir dissimuler des sites interdits ou des attaques ? Le site d’achat en ligne que je viens de mettre en œuvre ? Car le niveau de sécurité d’une entreprise est celui du maillon le plus faible !

o Que nous préparent les pirates du futur ?

- Les pirates se professionnalisent et ont l’argent pour principal moteur. Le vol de données confidentielles et nominatives va se poursuivre. N’entrons pas non plus dans la paranoïa, il y a moins de fraudes à la carte bleue sur Internet que de vols dans un magasin ! Et la législation française protège l’acheteur de bonne foi et la victime de fraudes.
De même, la constitution de réseaux de robots risque de se développer. En octobre 2005, la police néerlandaise a arrêté trois hommes soupçonnés d’avoir constitué un réseau de robots de 100.000 machines ! Même fait divers aux États-Unis en novembre 2005 avec un réseau de 400.000 machines démantelées !
Les différents codes malveillants vont continuer à se propager, dans la discrétion.
Les menaces sur les sites Internet sont de plus en plus fortes car les sites sont exposés et vulnérables et sont généralement une véritable porte d’entrée vers des données sensibles. Mon entreprise a d’ailleurs pour principale mission de protéger les sites Internet. Nous éditons un logiciel que nous vendons sur Internet, depuis La Réunion !
Je pense également que la voix sur IP va être source de malveillance (écoutes, virus, ...) car elle se développe très rapidement.
Enfin, les outils de mobilité (téléphones mobiles, de 2ème et 3ème génération, notamment ceux permettant le surf sur Internet, PDA) deviennent une proie intéressante.

Après ce panorama alarmiste, je voudrais terminer sur une note plus positive : oui, Internet et l’informatique sont des formidables outils de communication, de services et d’échange ! Oui, ces outils vont se développer au bénéfice de chacun ! Ils sont une vraie chance pour l’île de la Réunion. Mais soyons protégés et conscients ! Et pour faire un parallèle avec l’actualité brûlante réunionnaise : le chikungunya est un virus ! On sait que la meilleure façon de s’en prémunir est une protection à plusieurs niveaux (protection de la personne, de la chambre, de l’habitation, de la cour, démarche active de démoustication des lieux à risque, information des populations, communication et coordination des services sanitaires et des collectivités, actions combinées, constitution de statistiques fiables, cellule de crise). Cette approche vaut également pour la sécurité informatique !