Mon compte Devenir membre Newsletters

“ Pare-feu, antivirus et sauvegarde, trio gagnant de la sécurité Internet ”

Publié le par

Pascal Lointier, vice-président du Clusif, club de la sécurité des systèmes d’information français.
Créé en 1984, le Clusif est un lieu d’échange entre les différents acteurs de la sécurité des systèmes d’information. Il rassemble 600 membres appartenant à 300 organismes.

Action Commerciale - Le Net joue-t-il un rôle important dans les problèmes de sécurité informatique ?

Pascal Lointier

- Toute nouvelle technologie génère, il est vrai, des risques. Le Net, lui, comporte un danger dans la mesure où l’accès Web est assez mal sécurisé : cela permet alors à tout un chacun d’accéder très rapidement aux données informatiques de l’entreprise. D’ailleurs, après les attentats du 11 septembre, des journalistes nous ont appelés pour avoir notre avis sur d’éventuelles cyberattaques d’Al-Qaeda. Au-delà de menaces exceptionnelles de ce type, les entreprises doivent tout simplement protéger leur site, leur messagerie et leurs données.

Où en sommes-nous par rapport aux autres pays ?

On ne peut pas dire que nous soyons en retard. Par exemple, aux États-Unis, il n’existe aucune loi pour protéger les données nominatives, comme le fait la Cnil (Commission nationale informatique et libertés), en France.

Quels sont les problèmes les plus fréquemment rencontrés par les entreprises ?

Elles font souvent preuve d’insouciance et d’irresponsabilité. Ainsi, selon une étude que nous venons de mener sur la sinistralité informatique en France, l’antivirus est mis en place par 91 % des entreprises, mais la fonction mise à jour automatique n’est pas utilisée partout. Les entreprises de plus de 200 salariés mettent leur antivirus à jour douze à treize fois par an en moyenne, alors que celles de moins de 200 salariés ne le font que trois fois par an. Pourtant les solutions sont simples et pas forcément chères.

Précisément, quelles sont les règles d’or de la sécurité sur le Net ?

Il y en a trois. Une entreprise qui possède un site Web doit absolument le protéger à l’aide d’un firewall (ou pare-feu), un système de sécurité qui permet de contrôler les entrées et les sorties des données. Les pare-feux peuvent être mis en place par des prestataires extérieurs spécialisés. L’entreprise doit également se procurer un antivirus performant, qui vérifiera tous les mails entrants et sortants. Il doit être mis à jour toutes les semaines pour faire face aux nouveaux virus qui font régulièrement leur apparition. Enfin, une entreprise doit constamment sauvegarder toutes ses données informatiques sur disquettes ou CD-Rom, puis les conserver à l’extérieur, dans une banque ou chez un collaborateur. C’est une question de bon sens, surtout aujourd’hui, où ces données sont devenues un précieux capital.

Le commerce électronique est-il davantage menacé ?

Pour les sociétés d’e-business, le problème majeur réside dans la sécurité des transactions bancaires. Les données qu’il est primordial de protéger lors de la transmission concernent les informations relatives à la carte de crédit du client. Dans le cas de vente de contenu électronique ou de service électronique, il faut également protéger la transmission de ces données. Là encore, ce n’est pas si compliqué !

Comment l’entreprise doit-elle procéder ?

Il faut s’assurer de la sécurité des numéros de cartes bancaires. Ils ne doivent pas rester sur le Web, mais être renvoyés vers des sites de traitement qui, eux, sont totalement sécurisés. L’e-marchand peut également mettre en place un processus de vérification du numéro de carte auprès de la banque, lorsqu’un achat est effectué sur son site. La démarche est un peu longue, (elle demande 24 heures), mais elle en vaut la peine. Quant à l’information qui transite via le Web, elle doit passer par un protocole sécurisé. La solution la plus répandue pour sécuriser les transactions est le protocole de communication d’information SSL (Secure Socket Layer), créé par Netscape. Il permet d’assurer l’authentification, la confidentialité et l’intégrité des données échangées.

L’internaute, lui, est sans aucun doute plus démuni face au risque…

Pour s’assurer qu’une transaction commerciale est bien sécurisé, l’internaute doit commencer par vérifier que la clé ou le cadenas qui apparaît à l’écran est bien de couleur jaune et qu’il est fermé. Les entreprises doivent également faire face à un autre type d’attaques, plus pernicieuses : les “hoaxes”, des rumeurs quelquefois diffamantes.

Quel danger représentent-elles ?

Elles ne sont pas une menace au sens strict du terme, mais, dans la mesure où elles sont diffusées à grande échelle au travers des messageries et des listes d’abonnés, elles peuvent perturber, voire bloquer le système de communication. La diffamation est plus gênante. Pour la contrer, il faut être à l’affût de toutes les informations qui pourraient vous concerner sur le Web et les démentir très rapidement, si besoin est. Par exemple, on sait aujourd’hui que le mouvement “Je boycotte Danone”, apparu il y a quelques mois, n’était pas le fruit de réactions spontanées d’internautes en colère, mais une action menée et sponsorisée par le Réseau Voltaire.

Parcours

Pascal Lointier adhère au Clusif en 1989. En 1991, il y crée un groupe de travail “virus”, qui deviendra par la suite une commission à part entière. En 1997, il intègre Ace Europe, compagnie spécialisée dans l’assurance des systèmes d’information, en tant qu’ingénieur “sécurité systèmes”. En 1999, il est nommé vice-président du Clusif. Il fait paraître un ouvrage écrit en collaboration avec Philippe Guichardaz et Philippe Rosé : L’infoguerre, stratégies de contre-intelligence économique pour les entreprises, Éditions Dunod, 22,71 E (149 F).

Lexique

Firewall ou pare-feu : système de sécurité qui permet de contrôler les entrées et les sorties de données. Hoaxes : le terme s’applique à une rumeur malveillante et non fondée diffusée sur le Net, dont le but est de leurrer les internautes et de nuire à l’entreprise. Lettre en chaîne : il s’agit d’une lettre demandant à chaque destinataire de la renvoyer en copie à plusieurs personnes. Attaques logiques ciblées : ce sont toutes les attaques qui visent l’entreprise de façon isolée, dans le but de lui faire du tort.