Ébauche de politique de Mathieu Lalancette, consultant informatique

Introduction

À l’intérieur d’un système informatique de compagnies certaines normes doivent s’appliquer.  La situation problème du travail pratique #5 est tirée d’un fait réel de compagnie qui veut pouvoir soumissionner pour des contrats gouvernementaux et militaires.   La compagnie demande à avoir une politique de sécurité informatique qui se conforme aux normes gouvernementales à ce sujet.

Dans le texte qui suit vous trouverez toutes les informations relatives aux normes qui doivent être observées par l’organisme.  Il sera question du personnel de sécurité informatique et de ses responsabilités, de tout ce qui entoure les accès au système et les traités de confidentialité, des protections face aux incidents volontaires et involontaires et aussi des marches à suivre si de pareils événements surviennent, de la formation des employés face à la sécurité du système, la sécurité physique du matériel et la sécurité matérielle en tant que telle.
 

Politique

1.1 Nomination du personnel de sécurité

Afin de pouvoir soumissionner pour des contrats gouvernementaux il est de mise de nommer des gens aux postes suivants :

• Agent de sécurité
• Si nécessaire, un coordonnateur de la sécurité informatique
• Un agent COMSEC

1.2 Responsabilités de l’agent de sécurité informatique

L’agent de sécurité se doit d’informer le dirigeant de l’organisme de toutes les questions relatives à la sécurité.  L’agent de sécurité doit aussi s’occuper de l’élaboration, l’application, la mise à jour, la coordination et la vérification des politiques informatiques dans le but que les utilisateurs de système soient bien formés et la sécurité physique et informatique soit suffisante.  L’agent de sécurité doit aussi tenir une liste des données classifiées délicates qui devront êtres vérifiées aux 5 ans par l’EIES de la GRC.  Certaines données classées encore plus délicates devront être vérifiées au 3 ans.  Il doit de plus s’occuper de tenir les dossiers de changements au système ainsi que les comptes rendus d’incidents et de la bibliothèque des logiciels.

Un agent COMSEC doit assurer la garde du matériel cryptographique et s’occuper de l’intégrité des données ainsi que s’occuper de se débarrasser des documents périmés.  Il doit aussi voir au respect des normes de la COMSEC.  Cet agent nommé par le gouvernement s’occupera d’évaluer ces choses.

2.1 Contrôle et autorisation des accès

On doit contrôler l’accès au ressources de ceux qui ont accès au système.

• Comptabilité
• Secrétaire
• Usagers
• Agent de sécurité informatique
• Direction

2.2 Contenu des règlements d’accès au système

• Le système et les ressources ne doivent être utilisées que pour des projets autorisés
• On doit avoir des autorisations particulières afin de pouvoir modifier des instructions informatiques exécutables (configurations, logiciels, etc.)
• L’utilisateur est le seul responsable de tout ce qui concerne ses noms d’utilisateur et ses mots de passe sur le système.
• L’autorisation est requise pour créer, modifier ou supprimer des données de nature délicate.
• Un accès doit nous être autorisé pour accéder à des logiciels.
• On doit demander une autorisation pour incorporer des logiciels au système ou pour les déplacer à l’intérieur du système.
• L’utilisateur est responsable des données et des programmes protégés par des droits d’auteur.
• L’utilisateur est le seul responsable de la perte de données en cas d’oubli de sauvegarder.
• L’utilisateur doit vérifier les logiciels avant usage afin d’éviter les virus.
• Toute infraction pourra amener des sanctions telles que la suppression de privilèges, au renvoi, à des mesures disciplinaires ou même à une poursuite judiciaire.

Un mécanisme doit être implanté à l’intérieur de l’organisme afin de faire vérifier si les règlements sont respectés par les utilisateurs.

2.4 Dossiers de sécurité

On doit tenir à jour une liste des employés autorisés à utiliser le système et les ressources.  Tous les incidents de sécurité informatique doivent être consignés et signalés à une autorité compétente.

2.5 Examen de la sécurité

L’EIES de la GRC se doit de faire des vérifications de la sécurité des organisations qui veulent soumissionner pour des contrats gouvernementaux.

On doit faire des examens dans les cas suivants :

• Après un incident majeur
• Après une reconfiguration
• Après une modification des contrôles exercés sur les communications
• Après une modification de la liste des données de nature délicates
• Après une modification du mode d’exploitation

3.1 Contrôle des incidents de sécurité intentionnels

3.1.1 Un utilisateur accède à des données ou des ressources non-autorisées

Définition : Un utilisateur s’infiltre dans des répertoires de données confidentielles à laquelle il n’est pas autorisé.

Pour contrôler ces accès rien de plus simple que de donner d’abord des droits sur les logiciels seulement aux utilisateurs qui auront besoin de l’utiliser dans le cadre des contrats de l’organisme.  Cette première étape enrayera bien des problèmes d’intrusions.  De plus, l’accès aux fichiers d’un utilisateur ne sera octroyer à lui-même et aux administrateurs seulement ce qui revient à dire de mettre les droits complets seulement aux administrateurs et au propriétaire du fichier.  Ceci étant fait, les risques que cet incident survienne sera énormément réduit.

En tant qu’utilisateur averti, chaque utilisateur se devrait de rapporter à l’agent de sécurité informatique un délit de ce type élaboré en sa connaissance.

Sanctions :  Un délit de ce genre devrait avoir une sanction variable selon le cas.  Le mieux serait d’avoir recours à des mesures disciplinaires dans un cas comme celui-ci.  Après avoir été pris deux fois, on lui retire ces privilèges.

3.1.2 Un utilisateur utilise le système ou des ressources à des fins non autorisées

Définition : Un utilisateur utilise le système ou des ressources pour des usages personnels et non professionnels.

Plusieurs moyens peuvent être pris pour empêcher les utilisateurs d’avoir accès au système et aux ressources sans autorisation.  D’abord, on peut limiter les heures d’utilisation de l’utilisateur à des heures de bureau et quelques moments propices où l’administrateur du système pourra garder l’œil sur cette utilisation.  Ce contrôle physique de l’administrateur est un atout important.  De plus, il faudrait que l’administrateur consulte régulièrement les fichiers « logs » afin de pouvoir savoir quelles ressources ont été accédées, à quel moment  et par qui.

Un utilisateur ayant vent d’un accès à des fins non autorisées à des ressources et au système doit immédiatement en informer ses supérieurs afin qu’il puisse remédier à la situation.

Sanctions :  Un délit de ce genre devrait avoir une sanction variable selon le cas.  Le mieux serait d’avoir recours à des mesures disciplinaires dans un cas comme celui-ci.  Après avoir été pris deux fois, on lui retire ces privilèges.

3.1.3 Un utilisateur installe ou déplace des logiciels dans le système

Définition :  Un utilisateur déplace les fichiers d’un logiciel ou en installe un qui n’a pas été autorisé par l’administrateur et la direction.

Pour contrôler ce genre de délit il serait préférable que les logiciels se trouvent sur les serveurs avec les fichiers ce qui les protégeras mieux grâce au coupe-feu du serveur.  Les seules autres mesures pouvant être prises sont la vérification des « logs » qui pourra servir à retracer la personne qui a commis le délit et la surveillance physique des utilisateurs (principalement grâce aux autres utilisateurs).

Un utilisateur qui découvre un logiciel non permis ou qui découvre qu’un déplacement de logiciel à été effectué se doit de le communiquer à l’administrateur dans les plus brefs délais afin qu’il puisse rétablir la situation avant qu’il y ait des dégâts majeurs.

Sanctions :   Dans le cas de ce délit, on devrait enlever des privilèges à l’utilisateur sans tarder et le renvoyer en cas de récidives répétées parce que certains logiciels qu’il pourrait installer peuvent créer des brèches importantes dans la sécurité du réseau.

Liste de types de logiciels à ne pas tolérer à l’intérieur de l’organisme

• Échange de fichier (Kazaa, I-Mesh, Direct Connect)
• Bavardage (MSN Messenger, ICQ, mIRC)
• Musiques et vidéos (Winamp, Real Player, Windows Media Player)
• Le reste sera à la discrétion de l’administrateur et du directeur

Définition :  Un utilisateur fait des copies de logiciels et de données diverses qui sont protégées par des droits d’auteur ou même non autorisées par l’administrateur ou le directeur.

Afin de prévenir ces choses, le moyen qui sera utilisé sera de ne pas munir les ordinateurs de lecteur graveur, mais on peut quand même laisser les lecteurs disquettes.  Vu que les disquettes n’ont pas beaucoup de capacité les chances de ces copies sont moins probables.  Cependant, pour que des copies de certaines choses autorisées puissent se faire, il faudra être muni d’un graveur CD externe.

Un utilisateur se doit de dénoncer les personnes qui sont prises avec des copies illégales de logiciels de la compagnie ou des données non autorisées.

Sanctions :  Dans le cas de ce délit, on devrait enlever des privilèges à l’utilisateur sans tarder et le renvoyer en cas de récidive parce que les droits d’auteur est quelque chose qui coûte très cher et qui pourrait provoquer des poursuites de la part de la compagnie fabricante.

3.1.5 Un intrus externe consulte les données

Définition :  Quelqu’un, quelque part dans le monde, réussi à passer les barrières de protection du système et peut alors accéder aux données.

Plusieurs moyens doivent être pris pour éviter ces intrusions.  D’abord, on doit insérer des coupe-feu sur les serveurs.  L’utilisation de canaux cryptés pour les accès à distance des utilisateurs et aussi pour envoyer des informations à ceux chez qui nous soumissionnons pour des contrats (gouvernement, armée) est un autre moyen de protection efficace face au problème des intrus externes.  L’ajout d’un proxy est d’autant plus de mise et permettra de donner des adresses locales aux machines et aussi de mieux filtrer les entrées et sorties du système ce qui rendra la défense plus robuste.  Une segmentation du réseau permettra aussi d’améliorer la sécurité.  Pour vérifier s’il y a eu des intrus, une consultation quotidienne des « logs » serait aussi de mise.  L’administrateur doit veiller au grain s’il veut que les intrus ne soient pas capable d’entrer.  Cependant, il ne faut pas trop rendre les accès difficile.  De plus, la compagnie pourrait avoir un serveur web pour la promotion.  Il suffirait d’installer un serveur pour le web qui ne contient aucune données critiques, mais qui serait quand même connecter à un routeur qui sert de coupe-feu et qui pourrait quand même être disponible au grand public.  Il suffit de couper l’accès à tous les ports autres que 80 et le tour sera joué.

Sanctions :  La seule solution est de traîner ceux qu’on attrape en justice.

3.2 Contrôle des incidents de sécurité accidentels

Ces incidents implique tous les imprévus de la vie qui causent des pertes d’information.  En d’autres mots, tout ce qui provient de défaillances matérielles, logicielles, d’erreurs humaines, de catastrophes ou d’incohérence en raison de duplication d’information.

Les mesures prises pour ces cas commencent par l’installation d’unités pour les copies de sauvegarde.  On en installe sur tous les serveurs pour s’assurer de ne pas perdre de données.  De plus, afin de combattre le cauchemar qu’est la panne de courant, on munira les serveurs de système UPS qui permettra aux serveurs de continuer à opérer quand même.  La seule autre mesure qui serait bonne de prendre serait de former les utilisateurs dans la voie où il devront savoir que de se sauvegarder souvent c’est permettre d’éviter de perdre son travail de la journée.

4.1 Procédures en cas d’attaque interne

On doit tout d’abord identifier l’appareil par lequel l’attaque a été commise.  Une fois cette appareil localisé, on doit trouver qui pouvait potentiellement se servir de ce poste à ce moment.  À partir de là, on pourra trouver le coupable.  Une fois ce coupable démasqué on se doit de faire appliquer les sanctions citées dans la section 3.1.

4.2 Procédures en cas d’attaque externe

Pour les retracer il existe des tas de moyen.  D’abord trouver d’où ça vient par les « logs » est un bon départ.  Si on arrive à obtenir des informations sur son IP on a des chances de le retrouver par des commandes comme « traceroute ».  Une fois qu’il a été retracer, contacter des autorités compétentes afin de pouvoir localiser très exactement la nature des cette attaque.  De plus, il ne faudra pas oublier de garder des traces de l’attaque.  Sinon, il n’y aura plus de preuves contre lui.  Si des données on été compromises ou encore tout simplement détruites, il est conseillé d’utiliser la dernière copie de sauvegarde du système qui a été faite.

5.1 Formation des employés

Tout d’abord les employés se doivent d’être informés de leurs obligations en matière de sécurité.  Ils se doivent de savoir qu’ils ne doivent pas prendre en note leur nom d’utilisateur et leur mot de passe.  Ceci pourrait permettre à des intrus de pouvoir accéder à des comptes internes et ainsi pouvoir faire des dégâts.  Les employés se doivent d’être informé de cette problématique au plus vite.  Il faut de plus leur faire signer l’entente qui est mentionné en 2.1 qui contient le règlement qui lui contient des éléments important pour les utilisateurs.  Il se doive aussi de savoir que si un document peut comporter un conflit d’intérêt, on doit préciser la nature des données afin d’éloigner le conflit d’intérêt.  Ceci permettra d’éviter des poursuites.

En résumé, voici ce que cette formation devrait contenir :

• Sensibilisation aux faiblesses du système
• Sensibilisation aux dernières nouvelles concernant la sécurité
• Leur montrer les infractions et préoccupations relative à la sécurité
• Leur montrer les procédures de compte rendu des infractions

NOTE :  Tout ce qui est relatif à ces points est défini plus tôt.

5.2 Formation des utilisateurs avec privilèges

On doit organiser des séances d’information sur les données privilégiés qu’ils manipulent, voici de quoi il serait mieux de parler :

• Leur privilèges d’accès
• Leur responsabilités face aux données de nature délicates et de leur protection
• Les articles pertinents des lois applicables à leurs fonctions
• Les règles de sécurité informatique

Il faut bien s’assurer que l’on sait ses fonctions face à la sécurité pour qu’on puisse savoir à quel point il est un danger pour l’entreprise.  On doit de plus détruire son nom d’utilisateur et son mot de passe afin de s’assurer qu’il ne puisse pas compromettre le système

7.1 Sécurité physique

Plusieurs mesures physiques doivent être prises.  En voici la liste :

• Les serveurs doivent être dans des salles sous clé restreinte d’accès.
• La clé doit être détenue par le directeur et l’administrateur du réseau seulement
• Un système de sécurité doit être installé dans l’établissement (caméras, système d’alarme, etc.)
• Il faut aussi établir une étude des risques de catastrophes (inondation, feu, etc.) pour savoir où mettre la salle des serveurs.
• L’écran des ordinateurs manipulant des données de natures discrètes ne doivent absolument être tournés vers des fenêtres et on doit placer les imprimantes dans des salles sécuritaire.
• Les circuits électriques, le chauffage, la ventilation et la climatisation doivent être conformes aux normes sur la protection contre l’incendie du matériel de traitement électronique de l’informatique.

Plusieurs mesures matérielles doivent être prises.  En voici la liste :

• On doit tenir un liste de tout le matériel contenu dans l’entreprise.
• Il faudra munir les serveur d’UPS pour qu’il tiennent le coup en cas de panne d’électricité.
• Des back-up devront être fait tous les jours après les heures de travail afin de pouvoir les installer s’il y a un accident le lendemain.
• Pour ce qui est des serveurs ils auront besoin de machine de back-up sur chaque serveurs.
• Des routeurs pour segmenter le réseau sera aussi de mise.
• On devra donner des adresses privées aux postes afin d’augmenter la protection des données.

Toutes les données de nature discrètes contenues sur les serveurs sont sous clé dans une chambre, mais il faut quand même entreposé les bandes de copie de sauvegarde.  Un coffre fort pour conserver ces données serait de mise.  Ces bandes contenant toutes les données doivent être en sécurité absolument parce que c’est souvent ce qui est visé des voleurs d’information.

8.2 Destruction des supports informatiques

Avant la destruction de matériel contenant des données de nature délicate, on doit absolument continué à les conserver avec précautions.  Les données doivent êtes détruites par un employé ayant accès à ces données au départ.  La façon de les détruire se retrouve dans les normes de sécurité matérielle.

Conclusion

     Voilà de quoi devrait avoir l’air une politique pour une compagnie comme Alba.  Cette politique pourra leur permettre de pouvoir soumissionner pour des contrats gouvernementaux et ce, sous peu.  Il faudra cependant tout mettre en œuvre rapidement s’ils veulent que ce soit fonctionnel.

     Pour ce qui est du réseau que le coordonnateur de la sécurité informatique de la firme Alba, tout était parfait sauf qu’il manquait des petits éléments.  Tout d’abord, il n’y avait pas de machine à back-up sur le serveur web.  De plus, il manquait des UPS pour pallier au problèmes occasionnés par les pannes de courant.  Finalement, il manquait des spécifications sur l’endroit où était placé les pièces d’équipements critiques, mais tout est contenu dans la politique.

     Donc, j’espère que vous avez appréciez cette politique autant que j’ai apprécié la préparer.  La sécurité est quelque chose d’important dont tous devraient se préoccuper.

Références

Norme de sécurité technique dans le domaine de la technologie de l'information
www.commentcamarche.net
The SANS Security Policy Project
 

Travail 4

Retour à l'index