SÉCURITÉ DES RÉSEAUX

SÉCURITÉ DES RÉSEAUX

Analyse et mise en oeuvre

Janvier 1996

MG - 1

iii

Remerciements

L'auteur désire remercier le National Institute of Standards and Technology (NIST) desÉtats-Unis, qui a gracieusement fourni la copie électronique des normes FIPS 191Guideline for the Analysis of Local Area Network Security et Priorities for LAN Security: ACase Study of a Federal Agency's LAN Security; une partie de l'information contenue dansle présent guide est tirée de ces documents.

Demandes de renseignements

Pour obtenir des renseignements techniques sur la sécurité des réseaux, veuillezcommuniquer avec Marc Laroche - téléphone : (613) 991-7531, télécopieur : (613) 991-7455; courrier électronique : [email protected]. Pour obtenir des copiessupplémentaires du document, veuillez communiquer avec la Section des publications au(613) 991-7514/7468 ou visiter le site WWW du CST à l’adresse suivante :http://WWW.cse.dnd.ca.

© 1996 Gouvernement du Canada, Centre de la sécurité des télécommunications (CST)C.P. 9703, Terminus, Ottawa, Ontario, Canada, K1G 3Z4

Cette publication peut être reproduite telle quelle, dans sa totalité, sans contrepartiefinancière, à des fins éducatives ou pour usage personnel seulement. Cependant, il faudraobtenir la permission écrite du CST pour utiliser des extraits ou des parties modifiées de lapublication ou pour s’en servir à des fins commerciales.

iv

Résumé

Pour qu'elle soit efficace, la sécurité des réseaux doit être planifiée et administrée defaçon appropriée. À l'heure des coupures budgétaires et des restrictions touchant lefinancement public, il importe plus que jamais de mettre en place des solutions quirépondent expressément aux exigences déterminées en matière de sécurité des réseaux.Le présent document décrit une méthode qui permet de déterminer ces exigences. Certes,il existe d'autres méthodes qui peuvent mieux convenir à d'autres organisations. Maisquelle que soit la méthode utilisée, elle doit permettre à l'organisation de déterminer lesmenaces qui pèsent sur ses réseaux, la probabilité qu'elles se matérialisent et, le caséchéant, les incidences sur l'organisation, ainsi que les points vulnérables des réseaux quipourraient être exploités. De la sorte, on pourra mesurer les risques associés àl'exploitation d'un réseau.

Lorsque les risques sont connus et mesurés, on applique des solutions ou mesures desécurité appropriées afin de réduire ces risques à un niveau acceptable. Les mesures desécurité protègent les réseaux sous différents aspects : confidentialité, intégrité,disponibilité et (ou) imputabilité. L'organisation doit déterminer si la solution envisagéerépond efficacement aux exigences précédemment établies; cette démarche estnécessaire afin de déterminer si sa mise en oeuvre réduit les risques à un niveauacceptable pour l'organisation. L'efficacité de la solution envisagée dépend de plusieurséléments : sa mise en oeuvre (p. ex., chiffrement au niveau de la couche application ou dela couche réseau), sa conception, le degré de difficulté pour la contourner, ainsi que leniveau de confiance à son égard (p. ex., le produit a-t-il été évalué?). Souvent, on a lechoix entre plusieurs solutions. Le choix d'une solution doit observer un processus itératifqui évalue le risque résiduel associé à chaque solution, le risque minimal acceptable pourl'organisation et le coût de la solution. Lorsque toutes les solutions ont effectivement étémises en place, il faut alors recommencer tout ce processus, afin de déterminer s'il n'y apas de nouvelles menaces et si les réseaux ne présentent pas de nouveaux pointsvulnérables qui pourraient être exploités.

v

TABLE DES MATIÈRES

Remerciements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iDemandes de renseignements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iRésumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iiListe d’abréviations et d’acronymes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

1 DÉFINITION DES EXIGENCES EN MATIÈRE DE SÉCURITÉ DU RÉSEAU . . . . . 31.1 Préparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.1.1 Définition des limites et de la portée de la protection du réseau . . . . . 51.1.2 Inventaire et évaluation des biens informatiques . . . . . . . . . . . . . . . . 6

1.2 Évaluation de la menace et des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.2.1 Évaluation de la menace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.2.2 Estimation des incidences possibles . . . . . . . . . . . . . . . . . . . . . . . . . 171.2.3 Probabilité de matérialisation de la menace . . . . . . . . . . . . . . . . . . . 171.2.4 Degrés d'exposition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181.2.5 Points vulnérables du réseau et mesures de protection en place . . . 191.2.6 Mesure du risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251.2.7 Atténuation des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

1.3 Politique en matière de sécurité du réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

2 COMMENT RÉPONDRE AUX EXIGENCES EN MATIÈRE DE SÉCURITÉ DURÉSEAU? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322.1 Confidentialité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

2.1.1 Confidentialité par l'intermédiaire du contrôle de l'accès . . . . . . . . . . 332.1.2 Dispositifs de communication permettant d'accroître la confidentialité du

trafic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342.1.3 Chiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

2.1.3.1 Gestion des clés de chiffrement . . . . . . . . . . . . . . . . . . . . . . 362.1.3.2 Emplacement des services cryptographiques dans les

communications en couches . . . . . . . . . . . . . . . . . . . . . . . . . 362.1.4 Réutilisation des objets et voie secrète . . . . . . . . . . . . . . . . . . . . . . . 372.1.5 Mesures de confidentialité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

2.2 Intégrité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382.2.1 Intégrité du système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382.2.2 Intégrité des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

2.2.2.1 Questions liées à la gestion des clés . . . . . . . . . . . . . . . . . . 412.2.2.2 Emplacement des services d'intégrité dans les communications

en couches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412.2.3 Mise en place des services d'intégrité . . . . . . . . . . . . . . . . . . . . . . . 42

2.3 Disponibilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422.3.1 Contingentement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432.3.2 Tolérance aux pannes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442.3.3 Mise en place des services de disponibilité . . . . . . . . . . . . . . . . . . . . 45

2.4 Imputabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

vi

2.4.1 Identification et authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462.4.1.1 Authentification de l'utilisateur par un code d'identification et

un mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472.4.1.2 Autres mécanismes d'authentification . . . . . . . . . . . . . . . . . 49

2.4.2 Vérification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512.4.3 Non-répudiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522.4.4 Mise en place des services d'imputabilité . . . . . . . . . . . . . . . . . . . . . 53

2.5 Sécurité physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532.6 Choix de mécanismes de sécurité appropriés . . . . . . . . . . . . . . . . . . . . . . . . . 552.7 Assurance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

ANNEXE A – OUVRAGES SUGGÉRÉS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

ANNEXE B – EXEMPLE PRATIQUE : ÉVALUATION ET MISE EN PLACE D'UN SYSTÈME DE SÉCURITÉ DE RÉSEAU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

ANNEXE C – EXEMPLE D'UNE POLITIQUE EN MATIÈRE DE SÉCURITÉ DE RÉSEAU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

ANNEXE D – POINTS DONT IL FAUT TENIR COMPTE POUR LES ORDINATEURS PERSONNELS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

ANNEXE E – PLANS D'URGENCE POUR LES RÉSEAUX . . . . . . . . . . . . . . . . . . . . . . 103

ANNEXE F – FORMATION ET SENSIBILISATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

BIBLIOGRAPHIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

GLOSSAIRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

vii

LISTE DES TABLEAUX

Tableau I – Biens types d'un réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Tableau II – Menaces à l'endroit des réseaux . . . . . . . . . . . . . . . . . . . . . . . . . 11Tableau III – Degrés d'exposition basés sur la probabilité qu'une . . . . . . . . . .menacese matérialise et sur le niveau d'incidence . . . . . . . . . . . . . . . . . . . . . 15Tableau IV – Points vulnérables des réseaux . . . . . . . . . . . . . . . . . . . . . . . . . 17Tableau V ) Mesure des risques basée sur les degrés d'exposition, les degrés

de vulnérabilité et l'efficacité des mesures de protection en place . . . 24Tableau VI – Services et mécanismes de confidentialité . . . . . . . . . . . . . . . 36Tableau VII – Services et mécanismes d'intégrité . . . . . . . . . . . . . . . . . . . . . 39Tableau VIII – Quotas d'utilisation des ressources . . . . . . . . . . . . . . . . . . . . . 40Tableau IX – Services de tolérance aux pannes . . . . . . . . . . . . . . . . . . . . . . 41Tableau X – Services et mécanismes de disponibilité . . . . . . . . . . . . . . . . . . 42Tableau XI – Services et mécanismes d'imputabilité . . . . . . . . . . . . . . . . . . . 51Tableau B-I ) Degrés d'exposition des données de l'organisation aux

différentes menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Tableau B-II ) Risques actuels, solutions proposées et risques résiduels . . . 86

LISTE DES FIGURES

Figure 1 – Processus d'évaluation de la menace et des risques (ÉMR) . . . . . . 7Figure 2 – Degrés d'exposition : élevé et faible . . . . . . . . . . . . . . . . . . . . . . . . 16Figure 3 – Situation où un bien court un grand risque . . . . . . . . . . . . . . . . . . . 22Figure 4 – Exemple d'une solution de sécurité dans un milieu donné . . . . . . . 23Figure 5 – L'utilisation des mesures de sécurité réduit les risques . . . . . . . . . 26Figure 6 – Diagramme du réseau utilisé dans l'exemple . . . . . . . . . . . . . . . . . 59

viii

LISTE D’ABRÉVIATIONS ET D’ACRONYMES

CCEPIC Critères canadiens d'évaluation des produits informatiques deconfiance

CEM Compatibilité électromagnétiqueCST Centre de la sécurité des télécommunicationsDES Norme américaine de chiffrement des données (Data Encryption

Standard)DOS Système d'exploitation (Disk Operating System)DSA Algorithme de signature numérique (Digital signature algorithm)ÉND Énoncé de la nature délicateEMI Brouillage électromagnétique (Electromagnetic Interference)ÉMR Évaluation de la menace et des risquesFIPS Federal Information Processing Standards (normes américaines)GRC Gendarmerie royale du CanadaGTRAIT Guide d'évaluation de la menace et des risques pour les technologies

de l'informationIA Identification et authentificationLAN Réseau local (Local Area Network)LCA Liste de contrôle d'accèsNCSC National Computer Security Centre (États-Unis)NDS Services de répertoire NetWare (NetWare Directory Services)NIST National Institute of Standards and Technology (États-Unis)NSA National Security Agency (États-Unis)OSI Interconnexion des systèmes ouverts (Open Systems Interconnection)PC Ordinateur personnel (Personal Computer)PCMCIA PC Memory Card International AssociationPGS Politique du gouvernement du Canada sur la sécuritéRAM Mémoire vive (Random Access Memory)RSA Méthode de chiffrement Rivest Shamir AldermanSGÉC Systèmes de gestion électronique des clésSTI Sécurité des technologies de l'informationTCP/IP Protocole de contrôle des transmissions/Protocole Internet

(Transmission Control Protocol/Internet Protocol)TCSEC Trusted Computer System Evaluation Criteria (publication américaine,

aussi appelée «livre orange»)TSEG Lignes directrices sur les systèmes de confiance

1

INTRODUCTION

Bien que les réseaux aient tous un trait commun, soit le partage des données et desressources entre leurs utilisateurs, chaque réseau est unique en raison des protocolesutilisés, des services offerts, de son emplacement physique, du milieu dans lequel il estutilisé et de sa configuration. Pour cette raison, il ne peut pas y avoir de solutionsuniverselles qui répondent aux exigences de tous les réseaux en matière de sécurité. Cessolutions doivent plutôt répondre expressément aux besoins particuliers de chaqueréseau. Si on définit trop largement ces exigences, il est fort probable que l'on aboutira àdes solutions peu rentables. En d'autres mots, si on met en oeuvre des mesures desécurité pour un réseau sans d'abord comprendre les besoins précis pour de telles contre-mesures et les avantages que le réseau en retirera, on dépensera de l'argent pour rien.

Le présent guide s'adresse particulièrement aux décideurs ainsi qu'aux gestionnaires etadministrateurs de réseaux à qui il incombe d'évaluer et d'assurer la sécurité des réseauxau sein de leurs organisations. Le guide se divise en trois grandes parties. Dans lapremière, nous proposons une méthode que l'on peut utiliser pour identifier les segmentsdu réseau qui ont besoin de protection, pendant la durée de vie du réseau. Grâce auxrésultats ainsi acquis, on peut obtenir l'appui et l'engagement de la haute direction àl'égard de la sécurité du réseau. Dans la deuxième partie, nous décrivons les services etles mécanismes qui permettent d'élaborer des solutions pour répondre aux besoins enmatière de sécurité. Enfin, nous terminons par un exemple pratique qui illustre lesconcepts précédemment décrits. Comme les divers concepts présentés dans ce guidesont, de façon générale, d'un haut niveau et facilement assimilables, le lecteur est prié deconsulter l'Annexe A, qui énumère des ouvrages sur des domaines plus précis, commel'évaluation de la menace et des risques, le chiffrement, Internet, les coupe-feu, etc.

Le lecteur ne doit pas considérer les mécanismes, procédures et conseils présentés dansce document comme étant obligatoires pour assurer la sécurité d'un réseau. Il doit garderà l'esprit que ce guide offre seulement des suggestions, et que les mesures qui y sontprésentées le sont uniquement à titre de possibilités, et ne constituent pas des solutionsessentielles. C'est aux personnes responsables d'assurer une protection adéquate duréseau au sein de chaque organisation qu'il incombe de déterminer les procédures et lescontrôles appropriés en la matière.

2

1 DÉFINITION DES EXIGENCES EN MATIÈRE DE SÉCURITÉ DU RÉSEAU

La première question qu'il convient de se poser lorsque l'on discute de sécurité desréseaux est la suivante : pourquoi a-t-on besoin d'une telle sécurité? Il va de soi qu'il fautassurer la sécurité d'un réseau afin que celui-ci soit soumis aux politiques de sécurité del'organisation. Toutefois, il faut tenir compte d'autres facteurs pour répondre à cettequestion. Par exemple, quels actifs informatiques importants du réseau doivent êtreprotégés? Quelles sont les menaces qui pèsent sur le réseau? Quel est son degré devulnérabilité? Quels sont les risques que ces menaces puissent nuire au réseau, comptetenu de ses points vulnérables et des incidences possibles d'une telle nuisance? Quelssont les risques acceptables? Répondre à ces questions peut prendre plusieurs jours,voire plusieurs semaines, tout dépendant de la complexité du réseau, et d'aucuns jugerontque cette tâche est inutile et prend trop de temps. En fait, chaque heure consacrée à laplanification de la sécurité du réseau est un investissement pour toute organisation. Cetteplanification comporte l'évaluation de la menace et des risques, la gestion des risques et lamise en place d'une politique de sécurité du réseau. Il convient de mentionner ici un pointimportant : le résultat de ces activités doit toujours être conforme à la politique existante del'organisation en matière de sécurité, politique qui détermine comment l'organisation gère,protège et distribue ses ressources afin de réaliser ses objectifs en matière de sécurité. Laplanification de la sécurité du réseau permet d'élargir à celui-ci les exigences del'organisation en matière de sécurité. Lorsque les exigences touchant la sécurité duréseau ont été clairement définies, il est alors beaucoup plus facile de mettre en place desmécanismes ou des procédures de sécurité qui répondront efficacement à ces exigences.La mise en oeuvre des mécanismes de sécurité repose sur la planification de la sécurité;on ne devrait jamais la négliger. En outre, la planification de la sécurité devrait être lancéeet approuvée par la haute direction de l'organisation, et être constamment en harmonieavec la politique de sécurité de l'organisation. La planification de la sécurité ne relève passeulement des administrateurs du réseau ou des agents de sécurité. Les administrateurset les gestionnaires de réseau ne devraient jamais mettre en place des mécanismes et desmesures de sécurité sans avoir terminé au préalable la planification, et cette mise enoeuvre devrait toujours être conforme à la politique de sécurité pour le réseau.

La planification de la sécurité du réseau comporte quatre étapes :

a. Préparation : Définition des limites et de la portée de la sécurité du réseau, inventaireet évaluation des biens informatiques, et énoncé de la nature délicate de l'informationrésidant dans le réseau et circulant sur celui-ci.

3

b. Évaluation des menaces et exposition à celles-ci : Détermination des points suivants :menaces qui pèsent sur chaque bien du réseau, incidences pour l'organisation si cesmenaces se matérialisaient et probabilité que cela se produise. Les résultats de cetteétape permettent d'établir des degrés d'exposition pour chaque scénariobien informatique/menace/incidence.

c. Évaluation des risques : À partir des degrés d'exposition établis pour les biensinformatiques menacés, on analyse les points vulnérables du réseau et l'efficacité desmesures de protection en place afin de déterminer les risques associés à chaquescénario bien/menace/incidence.

d. Politique de sécurité du réseau : Préparation d'une politique de sécurité du réseau quiétablit les étapes requises afin de réduire les risques à des niveaux acceptables.

1.1 Préparation

1.1.1 Définition des limites et de la portée de la protection du réseau

Ce processus vise essentiellement à déterminer l'étendue de la sécurité du réseau et lafaçon dont on devrait définir les exigences en matière de sécurité. Par limites, on entendles parties du réseau que l'on désire protéger. Les limites peuvent comprendre le réseaudans son ensemble ou des segments de celui-ci, comme les volets communications desdonnées, la fonction serveur, les applications logicielles, etc. Les facteurs qui déterminentles limites peuvent être basés sur la propriété, la gestion ou le contrôle du réseau. Si leslimites comprennent une partie du réseau qui est contrôlée par une tierce partie, cela peutdonner lieu à des problèmes de coopération pouvant nuire à l'exactitude des résultats.Cette possibilité souligne combien est nécessaire la coopération entre les personnes quipossèdent et gèrent les différentes parties du réseau, et qui utilisent des applications et ytraitent de l'information.

On doit également définir jusqu'où doit aller la définition des exigences en matière desécurité. En effet, il convient d'établir une distinction entre, d'une part, les différentesparties du réseau (à l'intérieur des limites) et, d'autre part, les différents degrés de détail(ou granularité) que l'on utilisera pendant ce processus de définition. Par exemple,certaines parties peuvent être étudiées de façon générale, tandis que d'autres pourrontl'être en profondeur et de façon plus ciblée. Dans les petits réseaux (p. ex., un réseaulocal (LAN) isolé), les limites peuvent comprendre l'ensemble du réseau, et la portée peutconsister en un seul niveau uniforme de détail pour l'ensemble du réseau local. Dans lecas des grands réseaux, une organisation peut décider de délimiter seulement les partiesqu'elle contrôle et de restreindre la portée de la définition à tous les segments comprisdans ces limites. Toutefois, on accordera une plus grande attention à la transmission desdonnées, aux connexions externes et à certaines applications. La modification de laconfiguration du réseau, l'ajout de connexions externes, ou encore la mise à jour ou lamise à niveau des logiciels ou des applications réseau peuvent influer sur la portée de ladéfinition.

Un des résultats implicites de ce processus est que l'on obtient une configuration détaillée

4

du réseau et de ses utilisations. Celle-ci devrait indiquer le matériel utilisé, les principalesapplications logicielles utilisées, l'information importante traitée sur le réseau, ainsi que lafaçon dont cette information circule sur le réseau. Le degré de connaissance de laconfiguration du réseau dépendra des limites et de la portée définies au préalable.

1.1.2 Inventaire et évaluation des biens informatiques

La phase d'évaluation des biens consiste à répertorier les biens informatiques quicomposent le réseau et à leur attribuer une valeur. Toutes les parties du réseau ont unevaleur, et certains biens informatiques en ont manifestement plus que d'autres. Cetteétape donne la première indication des parties qu'il convient de cibler. Dans le cas desréseaux qui produisent de grandes quantités d'information que l'on ne peutraisonnablement analyser, il faudra sans doute opérer un choix initial. La définition etl'évaluation des biens permettraient à l'organisation de décider dès le début quelles partiesdu réseau sont considérées moins importantes et lesquelles sont jugées prioritaires.

On ne peut évaluer efficacement l'information ou les données traitées par le réseau tantque l'on n'a pas préparé un énoncé dit de la nature délicate (ÉND) de cette information.Comme son nom l'indique, un énoncé de la nature délicate décrit le caractère névralgiquede l'information dans le réseau, c.-à-d. qu'elle indique si l'information est classifiée (trèssecrète, secrète ou confidentielle) ou désignée (protégée de niveau C, B ou A). Ceténoncé peut également définir le caractère sensible des biens connexes, comme lematériel, les logiciels, les interfaces, les dispositifs de communications, etc. La politique desécurité de l'organisation peut déjà comporter un tel énoncé, sinon il faudra en préparerun. Le cas échéant, la Politique du gouvernement du Canada sur la sécurité (PGS) et leGuide d'évaluation de la menace et des risques pour les technologies de l'information(GTRAIT), de la GRC, contiennent des renseignements précieux qui pourraient s'avérerutiles pour la préparation d'un énoncé de la nature délicate.

On peut utiliser différentes méthodes pour répertorier et évaluer les biens informatiques.Par exemple, la valeur d'un bien peut être représentée en termes de pertes possibles. Cespertes peuvent être basées sur la valeur de remplacement, sur les incidences immédiatesdes pertes ou encore sur leurs incidences sur l'organisation. Une des façons les plussimples d'évaluer les pertes associées à un bien consiste à utiliser un classement qualitatifà trois niveaux : élevé, moyen et faible. Ce classement représente non seulement le coûtde remplacement d'un bien, mais également l'effet qu'aurait sur l'organisation ladivulgation, la modification, la destruction ou la mauvaise utilisation du bien, de quelquefaçon que ce soit. Le fait d'attribuer une valeur à ces classements (3 = niveau élevé,2 = niveau moyen, 1 = niveau faible) aide à définir les exigences en matière de sécurité.

Comme la valeur d'un bien doit reposer sur davantage que son simple coût deremplacement, l'évaluation des biens est un processus fort subjectif. Toutefois, si cetteévaluation est réalisée afin de définir les biens en terme d'une hiérarchie (degréd'importance ou caractère crucial), leur valeur relative est alors plus importante qu'un«bon» classement. Le tableau I énumère quelques-uns des biens qui devraient être inclusdans l'évaluation.

5

Tableau I - Biens types d'un réseau

Partie Actifs

Matériel Serveurs, postes client, dispositifs de communications (routeurs, passerellesinvisibles, concentrateurs, passerelles visibles, modems), périphériques,câbles, fibres, etc.

Logiciels (ou services) Systèmes d'exploitation de réseau, systèmes d'exploitation des postes client,applications, outils (gestion, maintenance, copies de sécurité, etc.), logicielsen développement, etc.

On devrait déterminer l'endroit où se trouvent les logiciels sur le réseau, et lespoints à partir desquels on y accède habituellement.

Données Données del'organisation :

Base de données, chiffriers, traitement de texte, courrierélectronique, etc.

Données réseau : Privilèges d'accès des utilisateurs, mots de passe desutilisateurs, pistes de vérification, configuration etréglage du réseau;

Données desutilisateurs :

Données traitées par le personnel, fichiers appartenantaux utilisateurs, etc.

On doit déterminer l'importance de toutes les données traitées et transmisessur le réseau, ainsi que les types d'utilisateurs qui ont accès aux données. Enoutre, on devrait indiquer les points du réseau à partir desquels on accèdeaux données, on les enregistre et on les traite, ainsi que dans quelle mesureles données sont «délicates».

Après avoir répertorié et évalué les biens, l'organisation devrait avoir une idée assez justede la configuration du réseau, de ce qu'il contient et de ses parties qui doivent êtreprotégées.

6

1.2 Évaluation de la menace et des risques

L'étape suivante de la planification de la sécurité du réseau consiste à déterminer toutemenace possible qui peut peser sur les biens répertoriés à l'étape précédente, puis àestimer le risque que ces menaces puissent nuire au réseau et à l'organisation. Cettephase s'appelle évaluation de la menace et des risques (ÉMR). Il y a différentes façons deprocéder à une ÉMR mais, dans tous les cas, celle-ci devrait toujours aboutir à desrecommandations au sujet des mécanismes, des produits ou des procédures efficaces desécurité du réseau, ce qu'on appelle habituellement des solutions de sécurité, desmesures de protection ou des contre-mesures. Le but d'une ÉMR est de déterminer leniveau approprié de protection requise pour un réseau.

Toute méthode ÉMR adoptée par une organisation doit comporter les éléments suivants :

! Déterminer les menaces qui pèsent sur les biens du réseau, la probabilité qu'elles seréalisent, les dommages qu'il pourrait s'ensuivre pour les biens et les incidences pourl'organisation;

! Analyser les points vulnérables du réseau et les mesures de protection en place;

! Mesurer les risques à partir des degrés d'exposition, les points vulnérables du réseauet les mesures de protection en place;

! Choisir des solutions de sécurité rentables qui réduisent le risque à un niveauacceptable.

L'un des points les plus importants qu'il faut considérer lorsque l'on choisit une méthodeou une technique est que les résultats obtenus par une ÉMR soient utiles et puissentassurer efficacement la sécurité du réseau. Si la méthode est trop compliquée, si ellenécessite des données trop détaillées ou si elle produit des résultats trop complexes pourque l'on puisse déterminer le risque posé au réseau, alors cette méthode ne sera pas utileet ne permettra pas d'instaurer une sécurité efficace. Par ailleurs, si la méthode ne permetpas de définir avec une granularité suffisante les variables comme les biens, les niveauxd'incidence et la probabilité que les menaces se matérialisent, les résultats obtenus serontpeut-être trop simples et ne refléteront pas les risques réels auxquels le réseau estexposé. Les responsables, au sein de l'organisation, devraient adopter une méthoded'évaluation des risques qui aboutisse à la mise en place d'une technique compréhensibleet facile d'utilisation, et qui produit des résultats qui aideront l'organisation à assurerefficacement la sécurité de ses réseaux.

7

Solution desécurité

Incidence

Mesure du risque

Oui

Non

Non

Oui

Menace

Degré devulnérabilité

Efficacité desmesures deprotection

Figure 1 - Processus d'évaluation de la menace et des risques (ÉMR)

8

En novembre 1994, la Gendarmerie royale du Canada (GRC) a publié un guide qui décritune méthode quantitative d'analyse des risques. Ce guide, connu sous le sigle GTRAIT,se veut un ensemble de lignes directrices et ne constitue pas une norme. On y décritcomment on peut déterminer le risque en établissant, pour chaque bien qui fait partie d'unréseau : (1) les menaces, (2) la probabilité qu'elles se manifestent, selon leur fréquence dematérialisation, (3) les conséquences (destruction, modification, divulgation ou non-disponibilité) et l'incidence (exceptionnellement grave, sérieuse ou moins sérieuse) d'unemenace qui se concrétiserait, ainsi que (4) les points vulnérables et les précautions déjàen place. Le guide GTRAIT est conforme à la politique du gouvernement (PGS), et on peutl'utiliser pour réaliser l'ÉMR pour un réseau; toutefois, une organisation peut choisird'autres méthodes et techniques, si elle les juge plus appropriées et efficaces. La méthodeÉMR présentée dans ce guide est illustrée à la figure 1; elle est basée sur le guideGTRAIT.

Il existe des outils automatisés d'analyse des risques, conçus expressément pour lesréseaux; leur utilisation peut être fort utile pendant une ÉMR. Toutefois, l'utilisation de cesoutils est sujette à caution. Il existe de nombreuses techniques permettant de calculer lesrisques. Bien que la plupart d'entre elles utilisent comme variables les pertes et laprobabilité que les menaces se concrétisent, l'utilisateur ne sait pas toujours comment cesvariables sont représentées, ni comment les calculs sont réalisés à partir de ces dernières.Cet inconvénient est aggravé par le fait qu'il n'existe actuellement pas de méthodenormalisée ou approuvée d'analyse des risques. Bien que l'on ait proposé, aux États-Unis,un cadre de travail normalisé pour l'analyse des risques et qu'il donne aux fournisseurscertaines directives quant au développement de ces outils, il n'existe aucune méthodeapprouvée qui permettrait de déterminer les variables nécessaires à une analyse desrisques, et il n'existe non plus aucune méthode approuvée pour calculer les risques àpartir de ces variables. Vu cette absence d'uniformité, et comme ces outils ne sont pasdans le domaine public, il peut donc s'avérer difficile de déterminer l'efficacité de quelqueméthode que ce soit. Par ailleurs, si l'utilisateur comprend la méthode utilisée et la jugeacceptable, cet outil peut alors s'avérer des plus adéquats. Pour déterminer si un outil estefficace pour un réseau donné, on doit se poser la question : «Qu’est-ce que mesure l'outilautomatisé d'analyse et de risques, et les résultats qu'il fournit sont-ils utiles pour assurerune bonne sécurité du réseau?»

Il existe certes d'autres méthodes. Certaines sont manuelles, d'autres se présentent sousforme de logiciels. Mais peu importe la méthode ÉMR que choisit une organisation, cetteméthode doit aboutir à la mise en place de mesures de sécurité efficaces pour le réseau,et réduire ainsi les risques pour celui-ci.

9

1.2.1 Évaluation de la menace

On doit considérer comme une menace tout ce qui peut avoir des effets «nuisibles» ou«indésirables» sur le réseau. Une menace peut être d'origine humaine ouenvironnementale, être de nature accidentelle ou intentionnelle, avoir des causesnaturelles ou être provoquée, et elle peut endommager un réseau de différentes façons.Les menaces sont inhérentes à l'existence même des réseaux et du milieu dans lequel ilsfonctionnent, et ne sont pas dues à quelques faiblesses particulières. Toutefois, l'existenced'une menace ne signifie pas qu'elle causera nécessairement des dommages.

Pour déterminer les menaces, il faut d'abord envisager toutes les possibilités que lesmenaces se matérialisent, y compris leur origine, les moyens par lesquels elles semanifestent ainsi que leurs incidences directes sur le réseau. Les incidences d'unemenace, qui indiquent habituellement des problèmes immédiats et à court terme, peuventcomprendre ce qui suit :

!! Accès non autorisé au réseau - dû au fait qu'une personne non autorisée accède auréseau ou à ses ressources de manière non autorisée. Même si une telle situation necause pas de dommages réels au réseau, elle peut mener à l'une ou l'autre des autresincidences ci-dessous.

!! Divulgation non autorisée d'information - due au fait qu'une personne accède à del'information ou la lit (cette information peut résider dans le réseau ou transiter parcelui-ci), et peut en révéler le contenu de manière accidentelle ou encore de manièreintentionnelle et non autorisée.

!! Modification non autorisée des données ou des logiciels - due à la modification,

par une personne, des données ou des logiciels du réseau de manière non autoriséeou accidentelle. Cette modification peut également toucher les données pendant leurtransmission sur le réseau.

! Perturbation des fonctions du réseau (non-disponibilité des données ou desservices) - due aux menaces qui empêchent, de façon temporaire ou permanente, lesressources d'être entièrement et rapidement utilisables, ou qui perturbent l'équipementet (ou) les données du réseau de manière accidentelle ou encore délibérée et nonautorisée, de telle sorte que les ressources du réseau, y compris les services,deviennent inutilisables en permanence.

!! Actions trompeuses sur le réseau - dues à des événements qui se produisent dansle réseau et dont on ne peut pas retracer l'origine (personne ou processus). En d'autresmots, on ne peut établir de lien entre l'auteur de l'action et son résultat.

Les menaces peuvent également avoir des incidences importantes, qui se manifestent àplus long terme, notamment la violation de la vie privée, les poursuites au civil, la perte

10

de technologies exclusives, des amendes, la perte de vies humaines, des situations fortembarrassantes pour l'organisation, la perte de confiance, etc.

Les menaces se divisent habituellement selon les grandes catégories suivantes :naturelles, accidentelles et délibérées. Les menaces naturelles existent en raison mêmedu milieu dans lequel les réseaux fonctionnent. Elles sont tout à fait aléatoires ettotalement indépendantes de l'objet, de la fonction et de la valeur du réseau. Lamatérialisation d'une menace naturelle a pour effet d'interrompre ou de perturber lefonctionnement du réseau. Les menaces accidentelles ne portent sur aucune partie duréseau en particulier, mais on doit néanmoins y accorder une grande attention, car ellespeuvent se produire n'importe quand sur les réseaux modernes. Les menacesaccidentelles, notamment les erreurs des administrateurs ou des utilisateurs, peuvententraîner un accès non autorisé au réseau, la perturbation du réseau ou la perte deservices et la cessation de fonctionnement. Les menaces délibérées sont préméditées etciblées. Elles se manifestent sous la forme d'actions passives ou actives prises par un ouplusieurs individus, et elles peuvent entraîner l'accès non autorisé aux ressources duréseau, la divulgation ou la modification non autorisée de données sensibles, la perte deservices, etc. Lorsque l'on détermine les menaces délibérées, on devrait tenir compte desintérêts qui y sont associés. Ceux-ci peuvent comprendre les motifs, l'occasion, l'intérêt,les ressources et les capacités de la menace. Ce sont là des points importants lorsque l'onévalue la probabilité que des menaces délibérées se matérialisent. La section 1.2.2 traitede cette probabilité.

Comme les menaces et la technologie sont dynamiques de par leur nature, il n'est pastoujours possible, ni avisé de se baser uniquement sur l'expérience passée afin dedéterminer les menaces. Les évaluateurs ne devraient pas considérer les menaces quipèsent sur les réseaux comme étant statiques, c.-à-d. qu'elles ne se matérialisent qu'uneseule fois. En fait, il convient de refaire périodiquement l'ÉMR afin d'aviser les décideursde toute modification relative aux menaces réelles à l'endroit du réseau.

Le tableau II énumère les menaces générales et leurs effets immédiats sur les réseaux.Cette liste n'est pas exhaustive, mais on peut s'en servir comme point de départ pourdéterminer les menaces dont peuvent faire l'objet les biens des réseaux. Ce tableauprésente des menaces qui se sont matérialisées par le passé, et dont on devrait tenircompte pour la protection des réseaux.

Beaucoup d'information a été publiée sur les diverses menaces et la vulnérabilité desréseaux. Certaines méthodes de gestion des risques contiennent des renseignementsadditionnels sur les menaces possibles. On peut également mettre à profit l'expériencedes utilisateurs et des gestionnaires de réseaux, ce qui peut être fort utile pour déterminerles menaces.

11

Tableau II - Menaces à l'endroit des réseaux

Menaces naturellesOrigine Menace directe à l'endroit des

réseauxIncidences immédiates sur les réseaux

Tremblements de terre,incendies, glissements deterrain, inondations,chutes de neigeimportantes et orages

Panne de courant, températuresextrêmes causées par les dommagesaux édifices, impulsionsélectromagnétiques, incendies.

Perturbation des fonctions du réseau,notamment la perte ou la dégradation descommunications et destruction de matérielet (ou) de données.

Phénomèneastrophysique

Perturbations électromagnétiques. Perturbation des fonctions de réseau, ycompris la perte ou la dégradation descommunications (notamment pour lesliaisons sans fils).

Phénomène biologique Maladie ou décès des personnescruciales.

Perturbation des fonctions des réseaux, ycompris la non-disponibilité des services.

Menaces accidentellesErreur des utilisateurs Suppression de fichiers, formatage

des lecteurs, utilisation abusive dumatériel, erreurs de saisie,déversement de café.

Perturbation des fonctions du réseau.Modification non autorisée des données.

Erreurs del'administrateur

Configuration erronée, suppressiond'information.

Accès non autorisé au réseau, causantprincipalement :divulgation non autorisée d'information,modification non autorisée des données,perturbation des fonctions du réseau et (ou)actions trompeuses sur le réseau.

Panne de matériel Problèmes techniques avec lesserveurs de fichiers, les serveursd'imprimantes, les dispositifs decommunications, les postes client, lematériel de soutien (p. ex., unités desauvegarde sur bande, contrôle del'accès) et autres.

Perturbation des fonctions du réseau, ycompris la destruction du matériel et (ou) dedonnées;modification non autorisée des données.

Accidents de natureindustrielle

Fuites de gaz, déversements desubstances chimiques, explosions,incendies, pollution atmosphérique,interruption des services publics.

Perturbation des fonctions du réseau.Destruction de matériel et (ou) de données.

Origine Menace directe à l'endroit desréseaux

Incidences immédiates sur les réseaux

12

Menaces délibéréesGouvernements étrangers Perçage des mots de passe, accès

illicite, interception non autorisée,mystification, chevaux de Troie,brouillage, virus, utilisation d'un ancienmot de passe ou d'un ancien compte,talonnage, usurpation d'identité,bombes logiques, mascarade,attaques crypto-analytiques, etc.

Divulgation non autorisée d'information,accès non autorisé au réseau, pouvantcauser :divulgation non autorisée d'information,modification non autorisée de données,perturbation des fonctions du réseau, et(ou)actions trompeuses sur le réseau.

Pirates informatiques Comme ci-dessus. Comme ci-dessus.

Médias Perçage des mots de passe,interception non autorisée et autresmenaces possibles.

Divulgation non autorisée d'information;accès non autorisé au réseau, causantassurément la divulgation non autoriséed'information.

Voleurs Vol de matériel, y compris desordinateurs, des mémoires RAM, deslecteurs de disque, des imprimantes,des bandes de sauvegarde, etc.

Perturbation des fonctions du réseau; divulgation non autorisée d'information.

Crime organisé Perçage ou interception des mots depasse, accès illicite, interception nonautorisée, mystification, chevaux deTroie, talonnage, usurpation d'identité,bombes logiques, mascarade.

Accès non autorisé au réseau, pouvaitcauser :divulgation non autorisée d'information,modification non autorisée des données,perturbation des fonctions du réseau et (ou)actions trompeuses sur le réseau.

Vandales Perçage des mots de passe, accèsillicite, interception non autorisée,mystification, chevaux de Troie,brouillage, virus, bombes logiques,mascarade, dommages physiques.

Modification non autorisée des données;perturbation des fonctions du réseau; etaccès non autorisé au réseau, pouvantcauser :modification non autorisée des données,perturbation des fonctions du réseau et (ou)actions trompeuses sur le réseau.

Employés malicieux(utilisateurs, responsablesde la maintenance,gestionnaires,entrepreneurs, etc.)

Utilisation d'un ancien mot de passeou d'un ancien compte, perçage ouinterception des mots de passe,chevaux de Troie, mystification,bombes logiques, talonnage,mascarade, dommages physiques.

Toutes les incidences énumérées dans leprésent tableau peuvent se matérialiser.

Origine Menace directe à l'endroit desréseaux

Incidences immédiates sur les réseaux

13

Industrie Perçage des mots de passe, accèsillicite ou interception non autorisée

Divulgation non autorisée d'information; accès non autorisé au réseau, pouvantcauser :divulgation non autorisée d'information et(ou)modification non autorisée des données.

Terroristes Perçage des mots de passe, accèsillicite, interception non autorisée,mystification, chevaux de Troie,brouillage, virus, bombes logiques,bombes, dommages physiques.

Perturbation des fonctions du réseau; accès non autorisé au réseau, pouvantcauser :modification non autorisée des données,perturbation des fonctions du réseau et (ou)actions trompeuses sur le réseau.

La finesse avec laquelle on analysera les menaces dépendra des limites et de la portéeprécédemment définies. Une analyse générale, dite de haut niveau, peut porter sur lesmenaces en termes généraux, tandis qu'une analyse plus ciblée peut s'attacher à unemenace qui pèse sur un composant ou une utilisation spécifique du réseau. Par exemple,une analyse générale peut indiquer que la divulgation d'information sur le réseau,entraînant la perte de confidentialité à l'égard des données, serait un trop grand risque.Une analyse plus ciblée peut également indiquer que la divulgation des données del'organisation, saisies et lues sur les circuits de transmission du réseau, présente un tropgrand risque. Il est fort probable que si les menaces étudiées dans une analyse de hautniveau sont générales, on recommandera des solutions qui auront également un caractèregénéral. Ces recommandations peuvent être acceptables si l'on a défini les exigences enmatière de sécurité du réseau de façon générale. Plus l'évaluation sera ciblée et fine, pluson sera en mesure de déterminer précisément les exigences du réseau en matière desécurité, et l'on pourra alors trouver des solutions qui aideront à atténuer un risque donné,p. ex., la divulgation des données de l'organisation.

Comme point de départ, on peut se baser sur les menaces dont nous venons de parlerdans le présent chapitre, et utiliser d'autres sources au besoin. On doit déterminer lesmenaces qui pèsent sur tous les biens énumérés, et l'on doit prendre en considération lesnouvelles menaces lorsqu'elles se manifestent. Dans le cas des évaluations ciblées, ondevrait accorder une attention particulière à la façon dont ces diverses menaces peuventse matérialiser, c.-à-d. on doit estimer les menaces directes qui pèsent sur les réseaux etqui sont énumérées au tableau II. Par exemple, on peut accéder de façon non autorisée auréseau en utilisant les enregistrements des séances d'entrée en communication, en tentantde percer le mot de passe, en greffant du matériel non autorisé au réseau, etc. Endéterminant de façon plus précise les menaces à l'endroit d'un réseau, on sera à même demieux en déterminer les points vulnérables et, donc, d'obtenir une information pertinentepermettant de trouver des solutions pour la sécurité du réseau.

14

1.2.2 Estimation des incidences possibles

Après avoir déterminé les menaces qui peuvent peser sur un bien, l'équipe chargée del'ÉMR devrait déterminer les incidences immédiates possibles sur le bien, au cas où lamenace se concrétiserait; l'équipe doit notamment déterminer à quel niveau cesincidences toucheraient le réseau et (ou) l'organisation. La matérialisation d'une menacepeut avoir plusieurs incidences sur un bien. Comme nous l'avons mentionné à lasection 1.2.1, les incidences se divisent habituellement comme suit : divulgation nonautorisée d'information, modification non autorisée des données, perturbation desfonctions du réseau ou non-disponibilité de celles-ci, ce qui comprend la non-disponibilitédu service et la destruction de matériel et (ou) de données, ainsi que les actionstrompeuses sur le réseau. Pour chaque incidence possible, il faut déterminer à quel niveauelle se situe (on peut parler également de niveau des préjudices). Cette information esttrès importante afin de calculer dans quelle mesure les biens sont exposés aux menaces.On peut illustrer les notions d'incidence et de niveau d'incidence par l'exemple d'un virus(menace) qui corrompt un fichier de données (bien). La matérialisation d'une telle menacepourrait se traduire par la modification non autorisée des données (première incidence), cequi aurait à son tour un effet très grave sur l'organisation (niveau de la premièreincidence : élevé), et perturber les fonctions du réseau (deuxième incidence), ce que l'onpeut juger sérieux (niveau de la deuxième incidence : moyen).

1.2.3 Probabilité de matérialisation de la menace

Une fois répertoriés les menaces et les niveaux d'incidence, on doit mesurer la probabilitéassociée à chaque scénario bien/menace/incidence (c.-à-d., pour chaque bien individuel,quelle est la probabilité qu'une menace donnée se matérialise et produise une incidencedonnée?). La méthode d'évaluation des risques que choisira l'organisation devraitcomprendre une technique lui permettant de mesurer cette probabilité. Cette mesure desprobabilités peut également être un processus subjectif. Il existe de l'information sur lesmenaces dites classiques (la plupart d'origine naturelle), et on peut s'en servir pourcalculer la probabilité qu'elles se matérialisent; par exemple, on peut utiliser lesstatistiques sur les pannes de courant, les incendies, les inondations, etc. On peutégalement mettre à profit l'expérience technique dans le domaine des réseaux et laconnaissance des aspects opérationnels de l'organisation, lorsque l'on mesure laprobabilité qu'une menace accidentelle ou délibérée se matérialise.

On peut mesurer cette probabilité en utilisant une échelle grossière (probabilité faible,moyenne ou élevée), ou encore plus fine (p. ex., échelle de 1 à 10). Une des méthodes lesplus simples consiste à mesurer la probabilité qu'une menace se matérialise sur uneéchelle à trois niveaux (3 = probabilité forte, 2 = probabilité moyenne, 1 = probabilitéfaible). Ce type de mesure peut coïncider avec les antécédents (3 = antécédentsimportants; 2 = quelques antécédents; 1 = pas d'antécédents). On peut également baser lamesure de la probabilité sur les attributs des menaces, comme les motifs, l'occasion, etc.,ou sur une échelle mixte faisant appel à la fois aux attributs des menaces et auxantécédents. Par attributs, on entend les motifs (collecte d'information, défis, ...), l'occasion(accès physique ou logique), l'intention (malice), les ressources (plate-forme pourl'obtention d'information) et la capacité (compétences techniques) associés aux menaces

15

délibérées, ou encore les taux d'erreurs associés aux menaces accidentelles. Il fautévaluer la probabilité de matérialisation des menaces et les niveaux d'incidence qui enrésultent, si l'on veut estimer les risques associés à chaque paire bien/menace.

1.2.4 Degrés d'exposition

Lorsque l'on a estimé la probabilité de matérialisation des menaces et les niveauxd'incidence qui en résultent, on peut mesurer le degré d'exposition de chaque bien duréseau. Ce degré d'exposition ne tient pas compte des points vulnérables du réseau, nides mesures de protection en place; ce n'est donc pas un niveau de risque. Le degréd'exposition est plutôt un paramètre qui permet à une organisation de déterminer à quelsscénarios de menaces leur réseau est le plus exposé. Le guide GTRAIT suggère decalculer les degrés d'exposition au moyen d'un tableau similaire au tableau III ci-dessous, dans lequel le niveau d'incidence a préséance sur la probabilité. Afin de faciliterl'utilisation des données obtenues à l'étape ÉMR (p. ex., liste des biens, des menaces, desincidences, probabilité de matérialisation des menaces, degrés d'exposition et mesures durisque), il y aurait lieu de les résumer sous forme d'un tableau synoptique. Ensuite, afin demesurer les risques, on utilisera les degrés d'exposition avec les résultats obtenus lors del'analyse des points vulnérables du réseau et des mesures de protection en place.

Tableau III – Degrés d'exposition basés sur la probabilité qu'une menace sematérialise et sur le niveau d'incidence

Probabilité dematérialisationd'une menace

Niveau d'incidence résultant de la matérialisation de lamenace

Élevée Moyenne Faible

Élevé 9 8 5

Moyen 7 6 3

Faible 4 2 1

16

Figure 2 - Niveaux d'exposition : élevé et faible

1.2.5 Points vulnérables du réseau et mesures de protection en place

Afin de bien évaluer le niveau de risque associé à chaque scénario, il est essentiel de biendéterminer les points vulnérables du réseau et les mesures de protection en place. Aprèsle calcul des degrés d'exposition, les décideurs doivent déterminer les points vulnérablesdu réseau par lesquels les menaces déjà établies au préalable peuvent nuire au réseau.On doit également déterminer quelles sont les mesures de protection déjà en place, afinde savoir si le niveau actuel de protection est approprié, compte tenu des pointsvulnérables du réseau et du degré d'exposition des biens aux menaces.

Par vulnérabilité du réseau, on entend une caractéristique ou un élément vulnérable duréseau ou de l'un de ses composants qui peut faciliter la matérialisation d'une menace. Ondevrait répertorier chaque point vulnérable du réseau, qu'il soit technique ou non. Commeles différents biens d'un réseau présentent des points vulnérables sous divers aspects,selon le type de menace, on devrait déterminer et analyser les points vulnérablesséparément pour chaque groupe bien/menace/incidence/ degré d'exposition. Plus cetteévaluation de la vulnérabilité sera complète et détaillée, plus on lèvera l'incertitudeentourant l'évaluation des risques et plus on pourra avoir confiance en elle.

17

Le tableau IV énumère les points vulnérables habituels des réseaux. Dans ce tableau,nullement exhaustif, nous avons regroupé les points vulnérables selon les effets qu'ilsauraient sur le réseau s'ils étaient exploités; pour chaque point vulnérable énuméré ci-dessous, nous présentons un bref scénario décrivant comment ces points vulnérables sontexploitables.

Tableau IV - Points vulnérables des réseaux

Vulnérabilité Scénarios possibles

Accès non autorisé au réseau

Absence ou insuffisance de mécanismesd'identification et d'authentification.

Des utilisateurs inconnus peuvent avoir accès auxfichiers du système, aux fichiers des utilisateurs, auxdonnées sensibles, aux files d'attente desimprimantes, aux paramètres de configuration duréseau, etc.

Mauvais choix ou mauvaise gestion des mots depasse.

On peut deviner ou percer les mots de passe.

Les mots de passe sont partagés entre les utilisateursou enregistrés dans des fichiers de commande surdes postes client.

Les mots de passe sont accessibles aux personnesnon autorisées ou peuvent être obtenus par celles-ci.

Le nombre de tentatives d'entrée en communicationn'est pas restreint à une valeur maximale.

Quelqu’un peut trouver un mot de passe valide ententant de façon répétée de se connecter au réseau,c.-à-d. en devinant le mot de passe.

Le mécanisme d'identification et d'authentification necomporte pas de vérification en temps réel, p. ex., lesdonnées ne sont pas «horodatées» pour chaquesession.

On enregistre, au moyen d'un analyseur ou«renifleur» de réseau, les données d'identification etd'authentification produites lors de l'entrée encommunication; on reprend ensuite cette informationpour communiquer avec le réseau de façon nonautorisée.

Les mots de passe et l'information d'identification etd'authentification sont transmis en clair sur le réseau.

On enregistre, au moyen d'un analyseur ou«renifleur» de réseau, les données requises pouraccéder au réseau, y compris les mots de passe.

Absence de mécanisme de contrôle des accès et (ou)de dispositifs physiques de sécurité sur les postesclient du réseau.

Un cheval de Troie est installé sur un poste client, etintercepte de façon transparente le coded'identification et le mot de passe de l'utilisateur, àmesure que celui-ci tape cette information. On viseprobablement l'ordinateur de l'administrateur.

Piètre sécurité physique des dispositifs du réseau. Un utilisateur non autorisé modifie la configuration duréseau à partir de la console d'un serveur du réseau.

Absence ou utilisation incorrecte des privilègesd'accès; p. ex., l'administrateur établit mal lesprivilèges des utilisateurs, les paramètresd'autorisation implicite du réseau sont trop permissifs,etc.

Un utilisateur autorisé, un administrateur de réseau ouun vérificateur obtient l'accès à de l'information ou àdes ressources sur le réseau pour lesquelles il n'a pasd'autorisation (p. ex., profils des utilisateurs) parceque les privilèges d'accès sont trop permissifs.

Divulgation non autorisée de l'information


18

Les données sont transmises sur le réseau sans êtrechiffrées.

L'information sensible est lue au moyen d'unanalyseur ou d'un «renifleur» de réseau.

Les écrans des postes client sont visibles à partird'endroits très passants.

Des personnes non autorisées peuvent lire desdonnées sensibles sur des écrans exposés à la vuede tous.

Les imprimantes sont placées dans des endroits trèspassants.

Les personnes non autorisées peuvent lirel'information sensible qui est imprimée.

L'information est enregistrée sur le réseau sous formenon chiffrée.

On obtient de l'information sensible en utilisant lesserveurs de fichier et (ou) les postes client.

Il n'y a pas de privilèges d'accès aux fichiers, ou ilssont incorrectement établis.

Des utilisateurs légitimes mais non autorisés ontaccès à de l'information sensible.

Les copies de sécurité des données et (ou) deslogiciels sont enregistrées dans des zones ouvertes.

On peut accéder à de l'information stratégiqueenregistrée sur les supports de sécurité.

L'information sensible est chiffrée au moyen d'unalgorithme facile à percer.

Si les intrus (personnes ou organisations) estimentque l'information vaut plus que ce qu'il en coûte pourpercer le chiffre, ils peuvent alors réussir à percer lechiffre et ainsi obtenir cette information sensible.

Modification non autorisée des données et (ou) des logiciels

Il n'y aucun outil de protection en place contre lesvirus.

Un virus est introduit dans le réseau parl'intermédiaire d'un fichier contaminé (importé par unutilisateur), ce qui corrompt le serveur de fichiers etles postes client. Un virus présent sur un poste clientpeut infecter d'autres postes, par l'intermédiaire duréseau.

Il n'y a pas de privilèges d'accès aux fichiers ou ilssont mal attribués, p. ex., la permission d'écrire estaccordée aux utilisateurs qui ont seulement besoind'un accès de lecture.

Un utilisateur légitime modifie accidentellement lesdonnées, ce qui corrompt la base de données et letableur de la société.

Une personne modifie les fichiers système du réseauà son propre avantage, p. ex., elle obtient accès à del'information désignée ou classifiée, elle obtient le motde passe de l'administrateur du système, etc.

Panne de matériel. Un disque dur défectueux sur un serveur de fichierspeut corrompre les fichiers.

L'intégrité des fichiers système sur les postes clientn'est pas vérifiée.

Un fichier système est modifié afin de charger etd'exécuter un cheval de Troie, qui intercepte del'information sensible.

L'intégrité des fichiers système du réseau n'est pasvérifiée.

Une personne modifie le fichier système du réseau àson propre avantage, p. ex., pour avoir accès à del'information désignée ou classifiée, obtenir le mot depasse de l'administrateur du système, etc.


19

L'intégrité du fichier de démarrage des postes clientn'est pas vérifiée.

Le fichier de démarrage d'un poste client (p. ex.,config.sys) ou d'un réseau (startnet.bat) est modifié,afin de désactiver un mécanisme ou un réglage desécurité qui a été initialement appelé pendantl'initialisation ou la séquence de connexion du réseau.

Absence d'un code d'authentification ou d'unesignature numérique sur les messages qui circulentsur le réseau.

Une personne peut intercepter un message pendantqu'il circule sur le réseau, en modifier le contenu et leretransmettre.

Absence de vérification en temps réel, p. ex.,horodatage des données qui circulent sur le réseau.

Une personne intercepte un message pendant qu'ilcircule sur le réseau, en modifie le contenu et leretransmet plus tard.

Perturbation des fonctions du réseau (non-disponibilité)

Absence d'un bloc alimentation sans coupure. Lorsqu'il y a panne de courant, le réseau cesseentièrement ou partiellement de fonctionner.

Incapacité de gérer les défectuosités du matériel. Des problèmes surviennent avec le contrôleur dudisque dur d'un serveur de fichiers, et l'information quiréside sur ce serveur est alors inutilisable.

Une panne du matériel de communications (routeur,passerelle invisible, passerelle visible ouconcentrateur) empêche l'utilisateur d'accéder àcertaines parties d'un réseau.

La sécurité physique du matériel du réseau estinadéquate.

Un employé mécontent vandalise des composantscruciaux du réseau, p. ex., des serveurs de fichiers,des serveurs d'imprimantes, des imprimantes, etc.

Des composants cruciaux du réseau sont volés.

Une boisson (p. ex., café ou jus) est accidentellementdéversée sur un serveur de fichiers.

La maintenance préventive du matériel du réseau estinadéquate.

Une panne de matériel imprévue survient.

Incapacité de détecter le trafic inhabituel. Une personne inonde le réseau avec un traficvolumineux, ce qui empêche les utilisateurs légitimesd'avoir accès au service.

Une personne remplit tout l'espace disque d'unserveur en un très bref laps de temps, ce quiprovoque une défaillance de système.

Un réseau est configuré de telle sorte que ladéfaillance d'un seul composant en provoque l'arrêtcomplet.

La défectuosité d'un seul composant du réseau(p. ex., serveur, routeur, câble, etc.) le metcomplètement en panne.

Protection physique inadéquate des câbles ou desfibres du réseau.

Un employé mécontent endommage les liaisons decommunications.

Une connexion de communication estaccidentellement rompue.


20

Configuration et (ou) gestion inadéquates du réseau. L'administrateur du système supprimeaccidentellement un utilisateur qui a des privilègesd'accès exclusifs pour certaines ressources duréseau; une partie des ressources du réseaudeviennent alors inaccessibles.

Des modifications non autorisées sont apportées àdes composants du matériel, p. ex., reconfigurationdes adresses sur les postes client, modifications de laconfiguration des routeurs ou des concentrateurs,etc., ce qui perturbe les fonctions du réseau.

Actions trompeuses sur le réseau

Mécanisme d'authentification absent ou inadéquat. Un utilisateur légitime «joue» dans le réseau enusurpant l'identité d'un autre utilisateur, p. ex., unutilisateur modifie les profils d'utilisateurs en sefaisant passer pour l'administrateur du réseau.

Absence de mécanisme de vérification. Les fichiers contenant de l'information sensible sontcopiés et (ou) supprimés; on ne peut pas identifier lapersonne à l'origine de cet acte.

Une personne ou un processus non identifié inonde leréseau d'un trafic très volumineux, ce qui empêcheles utilisateurs légitimes d'avoir accès aux services.

Absence de signature numérique pour les messagesqui circulent sur le réseau.

Une personne reçoit un message en se faisant passerpour le destinataire légitime.

Une personne transmet un message en modifiantl'identité de l'expéditeur ou de la machine qui est àl'origine du message. Par message, on entend ducourrier électronique, un bon d'achat, un transfert depaiement, une autorisation de congé, etc.

On doit également analyser les mesures de sécurité réseau existantes afin de déterminersi elles offrent une protection adéquate contre des menaces précises. Ces mesures deprotection peuvent être de nature technique, ou consister en procédures, etc. Si unemesure n'assure pas une protection suffisante, on peut la considérer comme un pointvulnérable. Par exemple, le système d'exploitation d'un réseau peut contrôler l'accès auniveau des répertoires, plutôt qu'au niveau des fichiers. Pour certains utilisateurs, ne pasavoir de protection au niveau des fichiers pourrait compromettre grandement l'information.Dans cet exemple-ci, la faible granularité du contrôle de l'accès pourrait être considéréecomme un point vulnérable.

On devrait également déterminer les mesures de protection actuelles pour chaquescénario bien/menace/incidence. Un service, un mécanisme ou une procédure peutconstituer une mesure de protection si elle empêche ou réduit la probabilité que ne soientexploités les points vulnérables d'un réseau. Les mesures de protection sonthabituellement effectives dans au moins un des domaines suivants :

21

! Confidentialité Protection contre les menaces qui peuvent causer la divulgationnon autorisée d'information, p. ex., chiffrement, contrôle logiqueet physique des accès, etc.

! Intégrité Protection contre les menaces qui peuvent causer lamodification non autorisée de la configuration du système oudes données, p. ex., totaux de contrôle, sceau enregistreur deviolation, signature numérique, etc.

! Disponibilité Protection contre les menaces qui peuvent causer laperturbation des fonctions du réseau, y compris la non-disponibilité des services, le vol ou la destruction de matériel et(ou) de données, ainsi que la défectuosité du matériel, p. ex.,copies de sécurité, matériel de secours automatique,maintenance préventive, quotas d'utilisation des ressources duréseau, etc.

! Imputabilité Protection contre les menaces qui peuvent donner lieu à desactions trompeuses sur le réseau, cette protection consistant àauthentifier les utilisateurs et à surveiller leurs actions, p. ex.,vérification, signature numérique, authentification, etc.

! Sécurité physique Protection physique du réseau et de ses ressources, contreet contrôle de les accès non autorisés.l'accès

Comme le chapitre 2 traite expressément de la technologie et de la mise en place desmesures de sécurité des réseaux, le lecteur est invité à consulter ce chapitre pourapprofondir ce sujet.

Lorsque l'on a déterminé de façon appropriée les points vulnérables du réseau et lesmesures de protection déjà en place, on doit évaluer l'efficacité de ces dernières, afind'estimer le niveau de risque associé à chaque scénario pour un ensemble donné de bien,menace, incidence, exposition, point vulnérable et mesures de protection en place. Lasection suivante («Mesure du risque») traite de l'importance d'évaluer l'efficacité desmesures de protection.

22

Figure 3 - Situation où un bien court un grandrisque

1.2.6 Mesure du risque

On peut définir le risque comme étant une mesure de la probabilité qu'une menace sematérialise et des incidences qu'elle peut avoir sur les biens d'un réseau, compte tenu deses points vulnérables et de l'efficacité des mesures de protection déjà en place. Lerésultat de ce processus devrait indiquer à l'organisation le niveau de risque associé à unbien donné. Ce résultat est important, car c'est sur celui-ci que l'on se base pour choisir,au besoin, des mesures de protection et des scénarios d'atténuation des risques.

Pour déterminer chaque niveau de risque,on combine ensemble les degrésd'exposition, les degrés de vulnérabilité etl'efficacité des mesures de protection enplace. Les degrés d'exposition (allant de9 qui est extrêmement élevé, à 1 qui est extrêmement faible) ont été définis à lasection 1.2.4; ces degrés représententune mesure de la probabilité qu'unemenace se matérialise, jumelée àl'importance des dommages possibles auréseau et à l'organisation, le cas échéant.Les degrés de vulnérabilité représententles faiblesses du réseau qui pourraientcauser la matérialisation des menaces.On peut classer ces degrés devulnérabilité sur une échelle de trois :élevé (degré 3), moyen (degré 2) ou faible (degré 1), chaque degré correspondant à lavulnérabilité relative du réseau. Par exemple, si les utilisateurs d'un réseau peuventconnecter des modems à leur ordinateur (poste client) afin d'accéder à des babillardsélectroniques et se relier à distance au réseau, à partir de leur propre ordinateur, le réseauserait probablement fort vulnérable aux accès non autorisés. Par ailleurs, si lesconnexions externes du réseau sont toutes contrôlées par l'intermédiaire d'une passerellespécialisée, la vulnérabilité du réseau aux accès non autorisés serait alors réduite audegré moyen, voire faible.

Ensuite, on devrait déterminer l'efficacité des mesures de sécurité déjà en place etrépertoriées. L'efficacité d'une mesure de protection indique l'effet qu'elle a sur laprobabilité qu'une menace se matérialise en exploitant les points vulnérables du réseau, etsur les incidences qui pourraient s'ensuivre. On doit tenir compte de nombreux facteursafin de déterminer l'efficacité des mesures de protection; ces facteurs comprennent lespoints vulnérables définis au préalable, leur exactitude et leur faiblesse relative, leurdépendance à l'égard d'autres mesures de protection, leur acceptabilité par lesutilisateurs, le facteur humain, etc. L'efficacité des mesures de protection peut égalementêtre classée sur une échelle à trois degrés : élevé (degré 3) si la probabilité d'exploitationdes points vulnérables du réseau est grandement réduite, moyen (degré 2) si elle est réduite modérément, ou faible (degré 1) si elle n'est que légèrementréduite. Par exemple, l'efficacité d'un logiciel de chiffrement approuvé et utilisé sur un

23

CONTRE-MESURE

Figure 4 ) Exemple de solution de sécuritédans un milieu donné

réseau afin d'empêcher la divulgation non autorisée de l'information serait probablementélevée. En comparaison, le contrôle logique de l'accès aux répertoires et aux fichiers peutconstituer une mesure de sécurité peu efficace contre certaines attaques, qui pourraientcauser la divulgation non autorisée d'information. Les solutions de sécurité sontprésentées au chapitre 2, et on y trouve des exemples de menaces qui peuvent êtrecontrées, ainsi que l'efficacité de ces solutions contre les menaces pesant sur les réseaux.

Rendu à cette étape, le responsabledevrait disposer de toute l'informationnécessaire pour déterminer le risqueassocié à chacun des scénarios demenace. Il y a de nombreuses façons demesurer et de représenter un risque. Toutdépendant de la méthode retenue, onpeut mesurer les risques en termesqualitatifs, quantitatifs, en unecombinaison qualitative/quantitative, ouencore selon d'autres critères. Leprocessus de mesure des risques doitêtre conforme avec la méthoded'évaluation des risques utilisée parl'organisation (et ce processus seraprobablement défini par cette méthode).Une méthode facile consiste à déterminerqualitativement les risques, selon uneéchelle à trois degrés (élevé, moyen oufaible), compte tenu des degrésd'exposition, des points vulnérables duréseau et de l'efficacité des mesures de protection déjà en place. Dans un tel cas, lesniveaux de risque sont normalisés (c.-à-d. faible, moyen et élevé); on peut les utiliser pourcomparer les risques associés à chaque menace. Un nombre restreint de niveaux derisque présente un désavantage, car il faut tenir compte du caractère critique descomposants utilisés pour déterminer le niveau de risque et établir les priorités. Parexemple, on peut obtenir, à partir de degrés élevés d'exposition, de vulnérabilité etd'efficacité des mesures de protection, le même niveau de risque qu'à partir de degrésfaibles pour ces mêmes paramètres. Le cas échéant, le responsable doit décider quellemesure de risque est la plus cruciale, même si les niveaux de risque peuvent être égaux. Ilpourrait décider que le niveau de risque établi à partir d'une exposition élevée est pluscrucial que celui obtenu à partir d'une exposition faible. Une méthode plus fine d'analyseconsisterait à classer les risques selon une échelle à cinq niveaux. On peut établir unetelle échelle de risque en utilisant le tableau V, dans lequel la vulnérabilité a préséancesur l'efficacité des mesures de précaution, ce qui offre une mesure plus prudente desrisques. Même si une approche

24

plus fine (plus granulaire) permet de mieux classer les risques et d'établir les priorités,nous ne recommandons pas d'utiliser plus de cinq niveaux de risque, car s'il y a trop deniveaux, il serait très difficile de choisir entre deux niveaux adjacents et, souvent, dejustifier ce choix.

Tableau V )) Mesure des risques basée sur les degrés d'exposition, les degrés devulnérabilité et l'efficacité des mesures de protection en place

Degré devulnérabilité

ÉLEVÉ (3) MOYEN (2) FAIBLE (1)

Efficacitédes mesures

deprotection

Auc.(0)

Faible(1)

Moy.(2)

Élevée

(3)

Auc.(0)

Faible(1)

Moy.(2)

Élevée

(3)

Auc.(0)

Faible(1)

Moy.(2)

Élevée(3)

Degréd'exposition

9 5 5 5 3 5 5 5 2 5 5 5 2

8 5 5 5 3 5 5 5 2 5 5 4 2

7 5 5 5 3 5 5 4 2 5 4 3 1

6 5 5 4 2 5 4 3 2 4 3 2 1

5 5 5 4 2 5 4 3 1 4 3 2 1

4 5 4 3 2 5 4 2 1 4 3 1 1

3 4 4 3 1 4 3 2 1 3 2 1 1

2 4 3 2 1 3 2 1 1 2 1 1 1

1 3 3 2 1 2 2 1 1 1 1 1 1

5 = risque élevé, 4 = risque modérément élevé, 3 = risque moyen, 2 = risque faible, 1 = risque très faible.

Degré de vulnérabilité : 3 = élevé, 2 = moyen et 1 = faible.Efficacité des mesures de protection : 3 = élevée, 2 = moyenne, 1 = faible et 0 = aucune mesure deprotection.

Peu importe la méthode utilisée pour évaluer les risques, l'aspect le plus important de cetype de mesure est que la représentation des risques soit compréhensible et significativepour les personnes qui doivent choisir des solutions pour la sécurité du réseau et prendredes décisions au sujet de l'atténuation des risques.

Si on dispose d'une liste des menaces possibles, des degrés d'exposition et des risquesconnexes pour chaque bien du réseau, on peut alors évaluer la situation actuelle enmatière de sécurité du réseau. Les biens suffisamment protégés ne présentent pas un

25

risque pour le réseau, tandis que ceux dont la protection est moindre nécessitent uneattention plus grande.

1.2.7 Atténuation des risques

Ce processus vise à réduire les risques répertoriés à un niveau acceptable. On peut yparvenir en choisissant des mesures de sécurité appropriées et convenant à des risquesprécis. À cette fin, on devrait comparer le niveau de risque réel (c.-à-d. le nouveau niveaude risque obtenu après la mise en place d'une mesure de sécurité) à des critèresd'acceptation, ce qui permettrait de déterminer si le niveau de risque actuel estacceptable. Bien que la sécurité effective acceptable et les coûts soient des facteursimportants, on doit peut-être également tenir compte d'autres facteurs, notamment : lespolitiques de l'organisation, la législation et la réglementation, les exigences de sécurité etde fiabilité, les exigences de rendement et les exigences techniques. Par exemple, on doitexaminer la possibilité de chiffrer l'information afin de réduire le risque qu'elle ne soitdivulguée de façon non autorisée, et on devrait rejeter cette solution si elle n'est pasconforme à la politique de l'organisation ou encore si elle réduit le rendement du réseau àun niveau inacceptable. En définitive, il revient à la haute direction et aux gestionnairesresponsables de l'exploitation du réseau de prendre la décision finale concernant la miseen place des mesures de sécurité, compte tenu des exigences opérationnelles, du budgetet des ressources.

La relation entre l'acceptation des risques et le choix des mesures de sécurité peut être denature itérative. Au début, l'organisation doit d'abord classer les différents niveaux derisque qui ont été déterminés lors de l'évaluation des risques. Dans la même foulée, elledoit décider de l'importance du risque résiduel qu'elle est prête à accepter, une fois misesen place les mesures de sécurité choisies. Lorsque l'organisation connaît lescaractéristiques des mesures de sécurité envisagées, elle peut déterminer si le niveau derisque acceptable est atteint; si ce n'est pas le cas, on peut alors décider d'accepter unrisque plus élevé, afin de tenir compte des caractéristiques connues des mesures desécurité, ou encore rechercher une autre solution. Par exemple, on peut juger que certainsrisques sont trop élevés. Toutefois, après avoir étudié les différentes mesures deprotection disponibles, l'organisation peut constater que les solutions qui s'offrent à ellesont très coûteuses et ne peuvent être intégrées facilement dans la configuration actuelledu réseau et de ses logiciels. Une telle situation peut obliger l'organisation soit à acquérirles ressources nécessaires afin de réduire le risque, soit à décider, à la suite del'évaluation des risques, qu'il faut accepter le risque car il serait trop coûteux de chercher àl'atténuer.

26

Figure 5 - L'utilisation des solutions desécurité réduit les risques

Dans la plupart des cas, la nécessité demettre en place un service précis semanifestera rapidement. Si l'évaluation desrisques indique qu'un scénario donné demenace est acceptable (c.-à-d. que lesmécanismes existants conviennent), il n'y aalors nul besoin de mettre en place desmécanismes additionnels, outre ceux quiexistent déjà. Par contre, si un risque estjugé inacceptable, de nombreuxmécanismes pourraient réduire ou éliminerla vulnérabilité ou améliorer l'efficacité desmesures de protection, et ainsi atténuer lerisque que présente la menace. Parexemple, on pourrait réduire la vulnérabilitéassociée aux mots de passe faciles à percersi on employait un générateur de mots depasse à utilisation unique, un mécanisme àjetons, etc. Le choix d'un mécanismeapproprié est un processus subjectif, quivarie d'un réseau à l'autre. Lorsque l'on a mis en place toutes les mesures de sécuritéjugées nécessaires, on devrait alors réévaluer les risques résiduels. Les risques associésà chaque bien du réseau devraient alors avoir diminué à un niveau acceptable, ou mêmeavoir été éliminés. Si ce n'est pas le cas, il y a lieu de revoir les décisions prises à l'étapeprécédente, afin de déterminer quelles mesures de protection conviennent.

Le chapitre 2 traite des mécanismes de sécurité des réseaux et de la mise en place desmesures de protection dans un réseau. On peut également consulter de nombreux autresouvrages pour obtenir de l'information sur les solutions et les techniques en matière desécurité des réseaux; à cette fin, consultez l'Annexe A, intitulée «Ouvrages suggérés».

1.3 Politique en matière de sécurité du réseau

Lorsque l'on a déterminé et compris les risques qui pèsent sur le réseau, ainsi que lesexigences précises en matière de sécurité, on doit alors définir une politique de sécuritépour le réseau. Une telle politique énonce de façon concise la position de la hautedirection au sujet de la valeur de l'information, des exigences et des responsabilités enmatière de protection, et de l'engagement de l'organisation. Cette politique décritégalement le système qui doit être protégé, ainsi que ses périmètres physiques etlogiques. Dans la présente section, nous indiquons les principales questions dont on doittenir compte lors de l'élaboration d'une politique de sécurité pour le réseau.

Cette politique devrait être émise par le niveau approprié de direction au sein del'organisation, c.-à-d. par la personne de qui relève en définitive les employés touchés parcette politique, et ceci afin que la politique déjà établie par l'organisation en matière desécurité s'applique également au réseau. Cette politique devrait être conçue par uneéquipe dont pourraient faire partie la haute direction, des agents de sécurité et des

1 Les procédures et mécanismes de sécurité du réseau sont traités au chapitre 2.

27

gestionnaires de réseau. La politique qui sera adoptée devrait comporter au moins leséléments suivants :

! Applicabilité et objectifsObjectifs et buts du réseau, et description du milieu dans lequel il fonctionne;parties du réseau qui seraient exemptées de la politique, le cas échéant.

! Valeur des biens informatiques et de l'informationPosition de la direction à l'égard de la valeur des biens du réseau et del'information qui y est traitée, cette valeur ayant été définie pendant la phase depréparation (voir la section 1.1).

! Exigences à l'égard des mécanismes et procédures de sécuritéProcédures et mécanismes qui devraient être mis en place dans le réseau, afinde réduire à un niveau acceptable les risques préalablement déterminés (p. ex.,formation, contrôle obligatoire ou discrétionnaire de l'accès - mot de passe, jetond'identification personnelle, copie de sécurité, vérification, chiffrement, détectiondes virus, signature numérique, etc.)1.

! ResponsabilitésLes responsabilités techniques et administratives des personnes chargées de laprotection du réseau et (ou) de l'information qui y est enregistrée ou transmise;ces personnes peuvent comprendre les gestionnaires de réseau, lesvérificateurs de réseau, le personnel de maintenance et les utilisateurs.

! EngagementEngagement de l'organisation à l'égard de la protection de l'information et duréseau.

On devrait rédiger la politique en matière de sécurité du réseau de telle sorte que desmodifications soient rarement requises. Si des modifications s'avèrent nécessaires, celapeut vouloir dire que la politique est trop détaillée. Par exemple, si on exige d'utiliser unlogiciel de détection des virus et que l'on indique le nom d'un programme précis dans lapolitique, cela pourrait être trop détaillé, puisque de nouveaux logiciels de détection desvirus apparaissent constamment sur le marché. Il serait plus raisonnable d'indiquerseulement qu'un logiciel de détection des virus devrait être installé sur les postes client duréseau, sur les serveurs, etc., et de laisser l'agent de sécurité ou l'administrateur duréseau préciser quel logiciel sera utilisé.

Le politique de sécurité du réseau devrait clairement définir et établir les responsabilités àl'égard de la protection de l'information traitée, enregistrée et transmise sur le réseau, etégalement à l'endroit du réseau lui-même. La responsabilité primaire devrait revenir aupropriétaire des données, c.-à-d. le gestionnaire du service qui, au sein de l'organisation,crée les données, les traite, etc. La responsabilité secondaire pourrait ensuite incomber

28

aux utilisateurs (intermédiaires et finaux), c.-à-d. les personnes qui, au sein del'organisation, se voient accorder un accès à l'information par les responsables primaires.La politique de sécurité du réseau devrait définir clairement le rôle des personneschargées de l'exploitation du réseau. L'annexe C présente un exemple de politique desécurité qui définit les responsabilités des gestionnaires fonctionnels (qui peuvent avoirune responsabilité primaire), des utilisateurs (qui peuvent avoir une responsabilitésecondaire), des gestionnaires de réseau (à qui il incombe de mettre en oeuvre et demaintenir la politique de sécurité du réseau, et d'assurer sa disponibilité), et lesadministrateurs locaux (à qui il incombe d'assurer la sécurité dans leur partie du réseau).Les administrateurs locaux sont habituellement responsables de groupes d'utilisateurs etde composants précis du réseau, comme les serveurs et les postes client.

29

2 COMMENT RÉPONDRE AUX EXIGENCES EN MATIÈRE DE SÉCURITÉDU RÉSEAU?

Pour assurer la protection du réseau et de l'information qui y est enregistrée ou qui ycircule, on peut utiliser des services, des mécanismes ou des procédures que l'on nomme,de façon générale, des solutions ou des mesures de sécurité. Les mesures de sécuritéconsistent en un ensemble de mécanismes, de procédures et d'autres moyens qui sontmis en oeuvre sur le réseau, afin de réduire les risques auxquels celui-ci est exposé. Parexemple, un service d'identification et d'authentification aide à réduire le risque que despersonnes non autorisées aient accès au réseau. Il importe de noter que les mesures desécurité ne devraient pas être mises en place tant que l'on n'aura pas défini et documentéau préalable une politique complète en matière de sécurité du réseau. En fait, les solutionset mesures de sécurité du réseau doivent être choisies afin de régler les problèmesindiqués dans la politique de sécurité du réseau.

Dans la présente section, nous traiterons des mesures suivantes :

a) confidentialité des données et de l'information;

b) intégrité du système et des données;

c) disponibilité;

d) imputabilité;

e) sécurité physique.

Dans le présent document, nous ne traitons pas expressément des interconnexions avecd'autres réseaux, par exemple avec Internet. Toutefois, il importe de mentionner que laconnexion inter-réseaux ouvre la porte à de nouvelles menaces et crée de nouveauxpoints vulnérables que les mesures de sécurité ne peuvent pas tous contrer. On ne devraitétablir une telle connexion que lorsque les nouveaux risques sont connus et acceptés.Mesurer les nouveaux risques n'est pas nécessairement une tâche facile. Il arrive souventque l'on doive faire appel aux spécialistes de la transmission des données ou de latélématique afin de déterminer les points vulnérables de tel ou tel protocole decommunications, de telle ou telle interface de connexion, etc. Les coupe-feu réduisent souvent de manière efficace et à un niveau acceptable lesrisques associés à l'interconnexion des réseaux, notamment sur Internet. La mise en placedes coupe-feu revient à établir une politique d'accès au réseau, car les connexions viaInternet doivent passer par le coupe-feu, où les connexions peuvent être examinées etévaluées. Ces coupe-feu peuvent fonctionner comme des routeurs qui filtrent les paquetsou comme des passerelles d'application, ou encore les deux simultanément, selon ce quiest le plus efficace. Les organisations devraient garder à l'esprit que même si les coupe-feu peuvent réduire grandement le risque que des personnes non autorisées accèdent àun réseau, ils n'assurent pas une protection à 100 %. La seule mesure qui assure uneprotection intégrale pour les interconnexions de réseau, consiste à ne pas avoir de

30

connexion! Le lecteur est prié de consulter l'Annexe A, «Ouvrages suggérés», pour plusd'information sur les interconnexions de réseau, les coupe-feu et Internet.

2.1 Confidentialité

Lorsqu'il faut veiller au caractère privé de l'information, on devrait utiliser des mesures (ouservices) de confidentialité. Constituant en quelque sorte une protection de première ligne,ces mesures peuvent comporter des mécanismes utilisés conjointement avec les mesuresde contrôle des accès, mais elles peuvent aussi utiliser des techniques de chiffrement afind'accroître davantage la confidentialité de l'information. On peut également utiliser latechnologie TEMPEST, qui empêche les personnes ou les systèmes non autorisésd'intercepter ou de perturber les émissions électromagnétiques provenant des composantsdu réseau. On utilise habituellement le matériel TEMPEST afin de protéger l'informationjugée très secrète ou très sensible, selon les résultats de l'ÉMR. Les mesures deconfidentialité peuvent également comprendre la réutilisation des objets et l'utilisationd'une voie de communication secrète (aussi appelée canal caché), ce dont nous traitonsbrièvement à la section 2.1.4.

2.1.1 Confidentialité par l'intermédiaire du contrôle de l'accès

On peut empêcher la divulgation non autorisée de l'information ou des données encontrôlant l'accès à celles-ci. La plupart des réseaux modernes offrent une telle fonction,habituellement sous forme d'une liste de contrôle de l'accès (LCA). Les listes LCAénumèrent les personnes, les groupes de personnes ou les processus qui sont autorisés àaccéder à certains fichiers ou répertoires. L'utilisation des contrôles de l'accès afind'assurer la confidentialité de l'information repose sur l'identification et l'authentificationdes utilisateurs, sans quoi ils sont inefficaces. La section 2.4.1 traite de l'identification etde l'authentification des utilisateurs.

Les services de confidentialité peuvent assurer une médiation obligatoire si les LCA duréseau ont été fixées par l'administrateur et ne peuvent pas être changées par lesutilisateurs généraux, ou encore une médiation discrétionnaire si ces listes peuvent êtrechangées à la discrétion des utilisateurs généraux autorisés. Dans tous les cas, les LCAn'assurent pas de protection contre la divulgation non autorisée de l'information qui circulesur le réseau, c.-à-d. que l'information ou les données peuvent toujours être interceptéeset lues pendant leur trajet sur le réseau. En outre, la mise en oeuvre des LCA, afind'assurer la confidentialité de l'information, nécessite une gestion attentive et précise deslistes, ainsi que la protection physique des supports sur lesquels l'information ou lesdonnées sensibles sont enregistrées; par exemple, si les données réseau résident dansdes serveurs de fichiers, on devrait installer ceux-ci dans des endroits sûrs, notammentdans des salles verrouillées ou sous enceinte protégée.

31

2.1.2 Dispositifs de communication permettant d'accroître la confidentialité du trafic

C'est la technologie Ethernet qui domine le marché des réseaux. Du point de vue de laconfidentialité du trafic, cette technologie présente un point vulnérable, car les donnéescirculant sur un réseau Ethernet sont diffusées vers tous les noeuds du réseau,c'est-à-dire vers tous les postes client, les serveurs et les autres éléments du réseau.Ainsi, toute personne qui a un accès physique aux câbles ou fils de communication sur leréseau peut avoir accès aux données qui y circulent. On peut assurer une confidentialitélimitée en utilisant des dispositifs de communication spéciaux comme les concentrateursou les routeurs. Ces équipements assurent la confidentialité des données, car ilsdéterminent comment et où les données transitent sur le réseau.

On peut utiliser des concentrateurs dans des sous-réseaux, par exemple des réseauxlocaux, afin d'empêcher que les données ne soient diffusées vers tous les noeuds. Unconcentrateur sûr centralise toutes les connexions des sous-réseaux (ou réseaux locaux),en une topologie en étoile. Comme chaque noeud possède sa propre connexion auconcentrateur central, chaque poste client et serveur est isolé de tous les autres. Lesdonnées transitant d'un noeud vers un autre doivent passer par le concentrateur sûr. Ainsi,toutes les communications entre deux points quelconques sont confinées sur un trajetunique, au lieu d'être diffusées sur l'ensemble du sous-réseau. Une personne qui surveillele trafic transitant sur le câble ou le fil d'un poste client pourrait intercepter seulement lesdonnées ou l'information qui circulent entre ce noeud client et le concentrateur sûr. Onutilise surtout les routeurs sûrs afin de restreindre la transmission de certaines données(d'après leur adresse d'origine ou de destination) ou des applications au-delà des limitesde certains sous-réseaux. Par exemple, les données provenant du serveur de fichiers Adans le sous-réseau 1 sont filtrées par un routeur sûr, afin de les empêcher d'êtretransmises dans le sous-réseau 2.

2.1.3 Chiffrement

Dans une grande mesure, on peut assurer la confidentialité des données réseau enrecourant au chiffrement. Le chiffrement de l'information consiste à convertir les donnéesen une forme inintelligible. Par la suite, pour reconvertir l'information dans sa formeoriginale, on doit utiliser un processus de déchiffrement. L'information sensible peut êtremise en mémoire sous forme chiffrée. De cette façon, si quelqu'un arrive à contourner lesmesures de contrôle de l'accès et parvient aux fichiers, la confidentialité de l'informationest protégée, car cette information est chiffrée. Pour les postes client qui ne sont paspourvus, en première ligne, de mécanismes de contrôle de l'accès, le chiffrement peuts'avérer essentiel.

Comme nous l'avons mentionné à la section précédente, il est possible de contrôlerl'accès non autorisé au trafic à mesure que celui-ci circule dans le réseau, en utilisant desconcentrateurs ou des routeurs sûrs. Ces mécanismes n'assurent pas une confidentialitéintégrale du trafic, car l'information et les données qui circulent sur le réseau peuventencore être surveillées et interceptées. Pour la plupart des organisations, c'est là unproblème reconnu et accepté. Les organisations qui n'acceptent pas cette vulnérabilitépeuvent recourir au chiffrement afin de réduire le risque qu'une personne intercepte et lise

2 Lorsqu'elle est mise en oeuvre sur du matériel, la norme DES permet une vitesse de chiffrement(débit) d'environ 100 Mo/s, par rapport à 50 à 100 kb/s pour la méthode RSA (modulo 512).

32

des données en transit; il s'agit alors de rendre l'information illisible pour quiconque peutl'intercepter, et seul l'utilisateur autorisé qui possède la bonne clé peut déchiffrer lemessage une fois qu'il l'a reçu. Dans d'autres cas, la décision d'utiliser ou non destechniques de chiffrement devrait être basée sur les résultats d'une évaluation ÉMR. Ondoit prendre garde, lorsque l'on choisit des programmes de chiffrement, du degré deprotection qu'ils offrent. Les organisations devraient communiquer avec le CST lorsquevient le moment de choisir de tels produits.

On peut diviser la cryptographie en deux grandes catégories, selon que l'on utilise une clésymétrique (secrète) ou asymétrique (publique). On utilise la même clé pour chiffrer etdéchiffrer les données. Pour le chiffrement de l'information désignée (protégée deniveau A, B ou C), le gouvernement du Canada approuve l'utilisation de la norme DES dechiffrement des données. La norme DES est un algorithme à clé symétrique, c'est-à-direque l'on utilise la même clé pour chiffrer et déchiffrer les données. La publicationaméricaine Federal Information Processing Standards Publication (FIPS) 46-2 décrit lamise en place de l'algorithme DES dans le matériel, les logiciels, les microprogrammes ouune combinaison de ceux-ci.

La cryptographie asymétrique (aussi dite à clé publique) utilise deux clés : une clépublique et une clé privée. Les deux clés sont reliées entre elles, mais elles ont lapropriété que si l'on connaît la clé publique, il est impossible de trouver par calcul la cléprivée. Dans un système cryptographique à clé publique, chaque partie possède sa proprepaire de clés publique/privée. Tout le monde peut connaître la clé publique; par contre, laclé privée demeure secrète. Voici comment un tel système peut assurer la confidentialitédes communications : deux utilisateurs, Simon et Jeanne, désirent échanger desinformations sensibles, tout en assurant leur confidentialité. Simon peut chiffrerl'information avec la clé publique de Jeanne. La confidentialité de l'information estmaintenue, car seule Jeanne peut la déchiffrer au moyen de sa clé privée. À l'heureactuelle, aucun algorithme de chiffrement à clé publique n'a encore été approuvé auCanada pour assurer la confidentialité de l'information. Toutefois, l'utilisation de méthodesde chiffrement symétrique assurant la confidentialité, notamment les méthodes RSA etDSA, est approuvée par le CST au cas par cas. Comme la technologie du chiffrementasymétrique est moins performante que celle du chiffrement symétrique (le chiffrementsymétrique permet habituellement un débit plus élevé2), on utilise normalement lechiffrement symétrique pour chiffrer les données ou l'information dont on doit protéger laconfidentialité, tandis que l'on utilise le chiffrement asymétrique pour assurer la distributionsûre des clés symétriques dont on doit protéger la confidentialité. On utilise également latechnologie de chiffrement asymétrique avec une fonction de hachage, afin de produiredes signatures numériques qui assurent des services d'intégrité et de non-répudiation.Ces questions sont traitées aux sections 2.2 et 2.4.3.

2.1.3.1 Gestion des clés de chiffrement

33

Pour être efficace, tout système de chiffrement doit reposer sur la gestion des clés. Unebonne gestion des clés comprend la production de clés de chiffrement qui ont despropriétés particulières (p. ex., longueur, caractères aléatoires, etc.), la distribution desclés aux utilisateurs ou aux systèmes appropriés, la protection des clés contre leurdivulgation, la modification et (ou) la substitution des clés, ainsi que leur distribution, cequi peut comprendre l'archivage. Lorsque l'on décide d'utiliser les technologies dechiffrement dans un réseau, il est crucial d'instaurer un système approprié de gestion desclés, afin d'épauler le chiffrement : en effet, un système de chiffrement ne vaut rien si lasécurité des clés n'est pas assurée.

Le CST met actuellement au point et conçoit des systèmes de gestion électronique desclés (SGÉC) pour les données désignées et classifiées, afin d'assurer la protection del'information dans les systèmes informatiques et de télécommunications du gouvernementcanadien, et en vue des applications de la téléinformatique dans le commerce (p. ex.,virements de fonds, paiement par carte de crédit ou de débit). Ces systèmes de gestiondes clés offriront divers services aux clients du gouvernement canadien, notamment : laconfidentialité, des services de gestion des signatures numériques et des certificats declés, des services de répertoire, des services de gestion des privilèges, des services denon-répudiation, des services de gestion des jetons personnels, et plus encore. Lessystèmes SGÉC pour l'information désignée et classifiée devraient entrer en service en1997 et 1999, respectivement.

2.1.3.2 Emplacement des services cryptographiques dans les communications encouches

Comme les communications sur réseau fonctionnent normalement selon les architecturesen couches (p. ex., TCP/IP, OSI), il est possible d'insérer les services cryptographiques àdivers emplacements de la pile de communication. Le choix de l'emplacement devraitdépendre des exigences en matière de sécurité, c.-à-d. les menaces qui peuvent êtrerencontrées. Chaque emplacement offre des avantages et des désavantages; en fait, il n'ya pas de «meilleur» emplacement. Dans la couche supérieure, p. ex., la coucheapplication, les en-têtes des protocoles de communication ne sont pas protégés, et lesadresses d'origine et de destination sont donc transmises en clair. Toutefois, le chiffrementà ce niveau préserve la possibilité de transmettre des données par l'intermédiaire de relaismultiples afin d'atteindre la destination. Cette méthode, dont la mise en oeuvre se fait parlogiciel, convient particulièrement à la transmission du courrier électronique, car elleprotège le contenu du message contre la divulgation non autorisée; elle peut égalements'avérer efficace pour le codage d'autres types de données propres à des applications quirésident en un site ou sont transmises sur un réseau. Comme le chiffrement et ledéchiffrement sont réalisés à chaque extrémité d'un trajet de communication, on parlealors de chiffrement de bout en bout. Pour réaliser le chiffrement au milieu de la pile decommunication (c.-à-d. dans la couche réseau), on peut utiliser des logiciels à cet effet oumettre en place les fonctions de chiffrement dans le matériel. Le chiffrement est alorsindépendant des applications, et il est transparent pour celles-ci. Les donnéesencapsulées provenant des couches supérieures sont chiffrées, et la confidentialité desen-têtes des protocoles des couches supérieures (transport, présentation ou TCP) estprotégée. Comme la couche réseau correspond normalement aux points d'interface

34

physiques normalisés (p. ex., interfaces de réseaux locaux, X.25, etc.), il est relativementfacile de trouver des produits de sécurité qui fonctionnent à ce niveau. L'implantation surmatériel offre habituellement un plus grand degré de confiance, car on peut, dans lescirconstances normales, mieux préserver l'intégrité physique des dispositifs. En outre, laprotection des données essentielles à la sécurité, comme les clés cryptographiques, estplus facile à réaliser lorsqu'elle est implantée sur matériel que par logiciel. Les dispositifsde chiffrement sur les couches inférieures (p. ex., la couche physique) codent l'informationtransmise sur le câble ou le fil de la connexion réseau, indépendamment de tout protocolede communication de niveau supérieur, et de façon transparente vers ceux-ci. Comme laprotection de la confidentialité est assurée de lien à lien, ce qui signifie que les donnéesdoivent être déchiffrées à l'extrémité de chaque liaison de communication avant qu'elles nesoient traitées, on parle alors de chiffrement point à point. Ce type de chiffrement peutégalement assurer la confidentialité du débit du trafic. En d'autres mots, on peut obtenir undébit constant sur des liaisons protégées afin d'éviter la divulgation d'information touchantle volume de trafic. Le chiffrement au niveau des liaisons est habituellement réalisé par dumatériel (p. ex., modem crypteur, crypteur de liaison T1, etc.). On les trouve facilement surle marché et on peut les insérer aux points d'interface physique normalisés et habituels.

2.1.4 Réutilisation des objets et voie secrète

Afin d'éliminer l'information qui subsiste dans certaines parties d'un réseau partagé,notamment la mémoire des serveurs ou les supports d'enregistrement, on doit, danscertains cas, recourir à certains services de confidentialité. On peut également utiliser cesservices afin de révoquer des autorisations d'accès aux ressources du réseau, avant deréassigner ces autorisations à un utilisateur ou à un processus. Ces mécanismes sontnormalement fournis avec le système d'exploitation du réseau, et comprennent desfonctions de recouvrement des fichiers supprimés ou d'écrasement des blocs mémoireavant leur réassignation, etc.

Les voies secrètes comptent parmi les points vulnérables les moins connus d'un réseau.Les mécanismes permettant d'éliminer ou de réduire les voies secrètes sur un réseau sontencore moins bien compris, si ce n'est que par une poignée d'experts en sécuritéinformatique. Vu la complexité de ce sujet, nous ne traiterons pas en détail de la protectioncontre les voies secrètes. Toutefois, il faut savoir qu'une voie secrète permet de transférerde l'information d'une personne ou d'un processus à un autre sans passer par lesmécanismes de confidentialité. En d'autres mots, une voie secrète est un trajet caché decommunications qui contourne les mesures de sécurité en place et qui permet le transfertdes données. L'élément de base d'une voie secrète est le support d'enregistrement. Laprincipale caractéristique de tout support d'enregistrement est la variabilité d'au moinsl'une de ses propriétés, p. ex., l'état de stabilité d'une cellule de mémoire, la tension sur unfil, la polarité dans une région d'un disque, etc. On peut transmettre de l'information surune voie secrète en modifiant l'état du support. Les techniques visant à éliminer ou réduirel'efficacité des voies secrètes comprennent la limitation des accès à cette voie,l'introduction de bruit afin de réduire la largeur de bande utilisable, le chiffrement desdonnées, la surveillance et l'élimination des processus qui utilisent de telles voies, etc. Siles voies secrètes présentent un problème pour un réseau, on devrait confier à un experttechnique la tâche d'identifier et d'analyser toutes les voies secrètes.

35

2.1.5 Mesures de confidentialité

Le tableau IV ci-dessous résume les différents mécanismes de sécurité que l'on peutmettre en oeuvre afin d'assurer des services de confidentialité.

2.2 Intégrité

Les services d'intégrité des réseaux visent à assurer le bon fonctionnement desressources du réseau, et la transmission ou l'enregistrement sans problème des donnéessur le réseau. Ces services assurent une protection contre la modification délibérée ouaccidentelle et non autorisée des fonctions du réseau (intégrité du système) et del'information (intégrité des données).

2.2.1 Intégrité du système

Les mécanismes d'intégrité physique sont habituellement des solutions à faible coût etfaciles à mettre en oeuvre, et elles assurent l'intégrité physique d'un réseau, lorsquel'accès physique à celui-ci peut présenter un problème. Ces mécanismes peuvent être denatures diverses - mécanismes enregistreurs de violation, mécanismes inviolables,mécanismes avertisseurs de violation. En voici quelques exemples :

Enregistreurs : étiquettes de sécurité, revêtements durs, écoulement de peinture,sceaux;

Inviolables : boîtiers blindés, salles verrouillées, encapsulation sous revêtementdur, cadenas;

Avertisseurs : alarmes, indicateurs visuels, mise à zéro, vérification des entrées.

36

Tableau VI – Services et mécanismes de confidentialité

Mécanismes,procédures outechniques deprotection

Attaques ou points vulnérables exploitables :

Absence decontrôle del'accès auxdonnées

Absencedesécuritéphysique

Accèsillicite

Analyseurde réseau

Moniteursetimprimantes exposés

Réutili-sationdesobjets

CEM/EMI

Exploitationd'une voiesecrète

ChevaldeTroie

Contrôle del'accès auxfichiers

////// //

Contrôle del'accès physiqueaux ressourcesdu réseau

////// // // //// // // //

Chiffrement avecune gestionappropriée desclés

////// ////// ////// ////// //// // //// //

Mécanismes desuppression desdonnées parécrasement

//////

ÉquipementTEMPEST

// // //////

Règles etprocédures

// // // ////// // //

Concentrateurs etrouteurs sûrs

//// // // // //

Détection desvirus et desprogrammesrésidents

// ////1

///: Cette mesure offre un potentiel élevé pour contrer efficacement la menace ou réduire lavulnérabilité.

// : Cette mesure a le potentiel de contrer efficacement la menace ou de réduire la vulnérabilité./ : Cette menace offre un certain potentiel pour contrer efficacement la menace ou réduire la

vulnérabilité.1 : Le cheval de Troie sera détecté s'il s'agit d'un programme résident.

Afin de se prémunir contre la menace que représentent les mesures accidentelles nonautorisées, ou d'en limiter les effets, on peut faire en sorte que les gestionnaires du réseauaient à l'égard de celui-ci des rôles distincts, sur une base de privilège minimum. Parexemple, si on crée des rôles distincts d'administrateur, de vérificateur et d'opérateur, onlimite les dommages possibles aux seules parties du réseau auxquelles une personnedonnée a accès; si ces trois rôles étaient combinés en un seul, l'effet d'une actionaccidentelle sur le fonctionnement du réseau serait potentiellement plus grand.

Les services d'auto-contrôle effectués sur un réseau permettent d'en valider le bonfonctionnement. Ces services servent à déterminer si le réseau et (ou) ses ressourcesfonctionnent correctement. Certains auto-contrôles sont lancés automatiquement par leréseau pendant son fonctionnement normal, tandis que d'autres doivent l'être par unadministrateur ou un opérateur. Les essais automatiques lancés par le réseau accroissentnormalement l'intégrité du système, et réduisent l'erreur humaine. On peut mettre en placeun mécanisme de reprise qui annule les dernières mesures ou la dernière série de

3 Pour désigner les valeurs de contrôle cryptographiques, on utilise d'autres termes, notamment :code d'authentification des messages, contrôle de redondance cyclique chiffré et sceaux.

4 Si on a utilisé des numéros séquentiels, il est possible de détecter s'il y a des données suppriméesou manquantes.

37

mesures prises, et ramène le réseau à un état précédent connu lorsque l'auto-contrôleéchoue. Les services d'auto-contrôle sont habituellement implantés séparément dansdiverses parties du réseau; les composants les plus cruciaux qui peuvent avoir besoin dece type de service sont les serveurs de réseau, les systèmes d'exploitation de réseau, lesdispositifs de communication et les fonctions de sécurité. Les nombreuses stratégiesd'intégrité des données, présentées ci-dessous, peuvent prendre en charge l'aspectlogiciel de l'intégrité des systèmes.

2.2.2 Intégrité des données

Les services d'intégrité des données aident à protéger les données et les logiciels quirésident sur les postes de travail client, les serveurs de fichiers et les autres composantsdu réseau, contre les modifications non autorisées, lesquelles pouvant être de natureintentionnelle ou accidentelle. Ce type de service peut être assuré par l'utilisation devaleurs de contrôle cryptographiques3 (CC), ainsi que des mécanismes très granulaires deprivilège et de contrôle de l'accès. Plus le contrôle de l'accès ou le mécanisme de privilègeest granulaire, moins une modification non autorisée ou accidentelle des données risquede se produire.

À la différence du contrôle des accès, les services d'intégrité des données permettent unmoyen de vérifier si les données ont été altérées, supprimées ou ajoutées de quelquemanière que ce soit pendant leur transmission. La plupart des techniques de sécuritéutilisables de nos jours ne peuvent empêcher la modification des données pendant leurtrajet sur un réseau; elles ne peuvent que détecter leur modification, en autant qu'ellesn'aient pas été entièrement supprimées4. La modification accidentelle des données,attribuable au bruit, à une mauvaise connexion, etc., est normalement prise en charge parles protocoles de communication de niveau inférieur, p. ex., Ethernet 802.3.

L'utilisation des valeurs de contrôle cryptographique permet de déceler les modifications.Ce mécanisme assure une protection contre la modification tant accidentellequ'intentionnelle, mais non autorisée, des données. Une valeur de contrôle se calculeinitialement par l'application, sur des données ou un résumé des données, d'un algorithmecryptographique à clé secrète. La valeur de contrôle initiale est préservée. Les donnéesfont l'objet d'une vérification ultérieure, par application de l'algorithme cryptographique etde la même clé secrète, ce qui produit une autre valeur de contrôle; on compare alorscette dernière à la valeur originale. Si les deux valeurs de contrôle sont égales, on jugealors que les données sont authentiques. Sinon, on présume qu'il y a eu modification nonautorisée des données. Toute partie qui tente de modifier des données, sans connaître laclé, serait normalement incapable de calculer les valeurs de contrôle appropriéescorrespondant aux données modifiées.

5 En effet, les couches inférieures de la pile de communication manipulent habituellement lesdonnées sous forme de «bits», et non sous forme d'information.

38

Les signatures numériques (que l'on peut considérer comme un genre particulier de valeurde contrôle) permettent également de détecter la modification des données ou desmessages. On peut générer une signature numérique en utilisant la technologie de lacryptographie asymétrique. Grâce à une clé publique, on génère un résumé d'un élémentd'information (il peut s'agir d'un fichier, d'un message électronique ou d'un autre type dedonnées), que l'on signe (ou chiffre) électroniquement en utilisant la clé privée del'expéditeur. La signature numérique ainsi obtenue et l'information peuvent ensuite êtreenregistrées ou transmises. On peut vérifier la signature en utilisant la clé publique del'expéditeur. Si la signature correspond, le destinataire peut alors présumer quel'information a été signée au moyen de la clé privée de l'expéditeur et qu'elle n'a pas étémodifiée après avoir été signée. Comme seul le propriétaire connaît sa clé privée, il estpossible de vérifier l'expéditeur de l'information acheminée vers une tierce partie. Unesignature numérique offre donc deux services distincts : la non-répudiation et l'intégritédes messages; non seulement les signatures numériques assurent-elles l'intégrité desdonnées, mais elles offrent également la base pour les services de non-répudiation. Cesderniers sont expliqués à la section 2.4.3.

2.2.2.1 Questions liées à la gestion des clés

Le calcul de la valeur de contrôle dépend de l'utilisation de clés cryptographiques. Sansune gestion appropriée de ces clés, l'utilisation des valeurs de contrôle est à toute finpratique inutile. Comme nous l'avons mentionné à la section 2.1.3.1, il est crucial que lesclés soient générées avec des caractéristiques précises, qu'elles soient distribuées demanière sûre et, enfin, qu'elles soient annulées de manière efficace.

2.2.2.2 Emplacement des services d'intégrité dans les communications en couches

Tout comme nous l'avons décrit à la section 2.1.3.2 pour les services de chiffrement, lafonction de calcul des valeurs de contrôle peut être implanté dans diverses couches del'architecture des communications sur réseau. Toutefois, les services d'intégrité ne sontnormalement pas disponibles dans les couches inférieures, là où l'information n'est pasreconnue5. L'implantation de ces services dans les couches supérieures de la structurepermet d'assurer l'intégrité des données propres aux applications; ces données peuventêtre transmises sur le réseau ou résider sur un poste local. On peut également implanterdes services locaux dans la couche médiane, principalement afin de protéger l'intégritédes données pendant leur trajet sur le réseau. Ce type d'implantation peut s'avérerparticulièrement efficace dans les cas où l'information doit transiter par des sites peufiables.

2.2.3 Mise en place des services d'intégrité

Le tableau VII ci-dessous résume les types de mécanismes de sécurité que l'on peutmettre en place afin d'assurer les services d'intégrité.

6 Par chiffrement, on désigne ici le chiffrement des données, le calcul d'une valeur de contrôle ou lasignature numérique utilisant un algorithme approuvé par le CST.

39

Tableau VII – Services et mécanismes d'intégrité

Mécanisme,procédure outechnique


Absence decontrôle del'accès auxdonnées

Absence desécuritéphysique

Analyseurde réseau

Virus Défectuositéde matériel

Défectuosité delogiciel

Absence derôles distincts

Erreurhumaine

Contrôle del'accès auxfichiers

////// //// //

Contrôle del'accès physiqueaux ressourcesdu réseau

////// // // // //

Chiffrement6

avec une gestionappropriée desclés et descopies desécurité desdonnées

////// ////// ////// ////// ////// ////// ////// ////


// // // //// //// //

Reprise //// //// //////

Détection desvirus et desprogrammesrésidents

//////

Auto-contrôle // ////// ////// //



vulnérabilité.

2.3 Disponibilité

Comme leur nom l'indique, les services de disponibilité assurent à tous les utilisateursl'accès aux ressources et aux données, comme prévu. Dans certaines applications, cesservices visent expressément à contrer les attaques ou les événements pouvant mener àun déni de service sur le réseau. Dans les organisations où la perturbation des fonctionsdu réseau peut causer de graves préjudices, il ne sera probablement pas suffisant de fairerégulièrement des copies de sécurité des données. Les services de disponibilité vontau-delà de la simple copie de sécurité. En fait, on peut diviser ces services en deuxgroupes principaux. Dans le premier, nous retrouvons des services de contingentement,c.-à-d. les services qui sont requis pour empêcher les personnes, que leurs intentionssoient malicieuses ou non, de surutiliser les ressources du réseau, comme l'espacedisque, la mémoire, la largeur de bande, etc., de telle sorte que ces ressources ne soientplus disponibles pour les autres utilisateurs. Par ailleurs, un deuxième groupe de servicesde disponibilité assure le maintien des fonctions du réseau lorsqu'il y a une panne dematériel ou de logiciel; ce groupe est désigné sous l'appellation «tolérance aux pannes».

40

2.3.1 Contingentement

Les services de contingentement servent à restreindre l'accès ou l'utilisation desressources d'un réseau à un certain niveau, afin d'empêcher les utilisateurs d'en abuser,de telle sorte que d'autres utilisateurs ne puissent y avoir accès. La méthode decontingentement la plus commune consiste à imposer des quotas. Avec des quotas, lesutilisateurs ne peuvent utiliser au-delà d'une certaine quantité maximale toute ressourcedu réseau. Toutes les ressources du réseau ainsi protégées font l'objet d'une surveillance,afin d'assurer que leur utilisation ne dépasse pas les valeurs limites. Le tableau VIIIénumère les ressources d'un réseau auxquelles on peut appliquer les quotas.

Tableau VIII – Quotas d'utilisation des ressources

QUOTA DESCRIPTION

Espace disque maximal Espace disque maximal alloué à l'utilisateur.

Mémoire maximale Mémoire maximale allouée par utilisateur ouprocessus.

Temps machine Temps maximal d'utilisation du CPU alloué parutilisateur ou processus.

Sortie des données Quantité maximale de données utilisateurpouvant être sortie par séance (c.-à-d. limite dutrafic réseau généré).

Entrée en communication Nombre maximal de tentatives d'entrée encommunication et (ou) durée maximale avantqu'une tentative d'entrée en communication nesoit interrompue.

Séance Durée maximale d'une séance en direct et (ou)nombre maximal d'erreurs alloué par séance.

Les quotas peuvent changer de manière dynamique sur l'ensemble du réseau, selonl'évolution des exigences opérationnelles. Par exemple, un administrateur pourrait définirdes utilisateurs ou groupes d'utilisateurs prioritaires, dont les quotas d'utilisation desressources du réseau pourraient être accrus dans certaines circonstances. Ainsi, unréseau pourrait se trouver dans une situation où seuls les utilisateurs prioritaires auraientaccès à certaines ressources, et ce, aux dépens des autres utilisateurs. À la limite,certains utilisateurs pourraient se voir dénier l'accès aux ressources du réseau afin derendre celles-ci encore plus accessibles aux utilisateurs prioritaires.

2.3.2 Tolérance aux pannes

Les services de tolérance aux pannes permettent aux réseaux de préserver la disponibilitéde leurs ressources, même après une panne de composants. Ces services offrent donc auréseau la possibilité de résister aux défectuosités et aux pannes de composants, et de

41

continuer à fonctionner pendant que l'on remplace les composants défectueux et (ou) quel'on récupère les données après une interruption de service. Ces services sont cruciaux,car ils maintiennent la fonctionnalité du réseau; malheureusement, on les néglige souvent.Ces services peuvent être mis en place au niveau logiciel, p. ex., dans le systèmed'exploitation du réseau, ou au niveau matériel; ils peuvent constituer un systèmeautonome ou, au contraire, un sous-système. L'objectif de base des services de toléranceaux pannes est de préserver le bon fonctionnement du réseau. Le tableau IX énumère lesservices de ce type les plus courants utilisés de nos jours :

Tableau IX – Services de tolérance aux pannes

Composant Service Description

Serveurs, postes client,dispositifs de communication

Alimentation sans coupure Alimente en courant le systèmelorsque l'alimentation secteurtombe en panne.

Réseau Compte de l'administrateur derelève

Permet de gérer le réseaulorsque l'administrateur ne peutexécuter ses tâches.

Serveur Disques durs synchronisés etjumelés

Les données enregistrées sur unserveur sont reproduites; ledisque dur de remplacementprend la relève lorsque le disquedur principal tombe en panne.

Serveur Copie de sécurité des données Les données enregistrées dansun serveur sont copiées etpeuvent être récupérées. Cettecopie de sécurité devrait êtreenregistrée en un endroitdifférent, afin d'empêcher ladestruction simultanée duserveur et de la copie desécurité.

Composant matériel (ordinateurou dispositif de communication)

Module à relève instantanée Dans un équipement, un moduleest installé en double; le modulede remplacement prend larelève lorsque le moduleprincipal tombe en panne.

Communications Liaison de relève Assure une liaison de relèvelorsque la liaison principaletombe en panne.

Système cryptographique Archivage et copie de sécuritédes clés

Une copie des clés dechiffrement est entreposée enlieu sûr; seules les personnesautorisées peuvent les utiliserpour déchiffrer les données, s'iladvient que les clés originalessoient perdues, endommagéesou inaccessibles.

42

2.3.3 Mise en place des services de disponibilité

Le tableau X ci-dessous résume les types de mécanismes de sécurité que l'on pourraitmettre en place afin d'assurer des services de disponibilité.

Tableau X – Services et mécanismes de disponibilité

Mécanisme,procédureou techniquede protection


Destructionphysiqueaccidentelle(p. ex.,déversement decafé)

Destructiondes données(p. ex.,suppression,formatage dudisque)

Sabotage Non-disponibilitédu personnelclé

Panne dematériel

Défectuo-sité delogiciel

Défectuosité deslogiciels decommuni-cation

Chevalde Troieou virus

Contrôle del'accès auxdonnées

//// //

Contrôle del'accèsphysiqueauxressources du réseau

//// ////// //// // // // //

Copie desécurité desdonnées

//// ////// //// //// ////


//// //// //

Liaisons derelève

// //////

Module àrelèveinstantanée

//// //// //////(pour lematériel)

//////(pour leslogiciels)

//////(pour lesdispositifsde comm.)

Compte del'administrateur de relève

//////

Détectiondes virus etdesprogrammesrésidents

//////



vulnérabilité.

2.4 Imputabilité

L'objectif des services d'imputabilité est d'attribuer la responsabilité d'une action à labonne personne. Ces services fonctionnent de trois façons différentes. Tout d'abord, cesservices s'assurent que seuls les utilisateurs reconnus aient accès au réseau et (ou) à ses

43

ressources protégées. Dans ce cas, ces services servent en fait à identifier et àauthentifier les utilisateurs, et on peut les considérer comme un mécanisme de contrôle del'accès au réseau. Ils comportent également des volets de surveillance et de consignationdes activités générales sur le réseau, ou d'activités plus spécifiques comme l'entrée encommunication, la modification des mots de passe, la suppression des fichiers, etc. Onparle alors de services de vérification. Enfin, ils offrent le moyen de prouver au destinataireque le message provient bien de l'origine indiquée et (ou) à l'expéditeur du message quecelui-ci s'est bien rendu à destination. Les réseaux utilisent ces services aux fins denon-répudiation et de preuve de livraison.

2.4.1 Identification et authentification

La première étape afin de protéger les ressources d'un réseau est de pouvoir vérifierl'identité des utilisateurs. Cette vérification s'appelle authentification. L'authentification estla procédure de base qui permet d'assurer l'efficacité des autres contrôles utilisés sur leréseau. Par exemple, le mécanisme de vérification fournit de l'information sur l'utilisationdu réseau, d'après le code d'identification de l'utilisateur. Le mécanisme de contrôle desaccès fournit également de l'information sur l'accès aux ressources du réseau, d'après lemême code. Ces deux contrôles ne sont efficaces que dans la mesure où le requérant d'unservice fourni par le réseau est l'utilisateur légitime à qui est assigné un coded'identification donné. Toutefois, le réseau ne peut s'assurer que l'utilisateur est réellementla personne qu'il prétend être, sans d'abord procéder à son authentification. On authentifieun utilisateur en lui demandant de fournir quelque chose que seule cette personne a(p. ex., un jeton), une information qu'elle seule connaît (p. ex., un mot de passe) ou encorequelque chose qui est propre à cet utilisateur, comme une empreinte digitale (voir lasection 2.4.1.2 ci-dessous). Plus l'utilisateur doit fournir de renseignements de ce type,plus faibles sont les risques qu'une autre personne parvienne à se faire passer pour cetutilisateur légitime.

Chaque politique de sécurité du réseau devrait exiger la mise en place d'un mécanismed'authentification. Cette exigence peut être formulée de manière implicite dans leprogramme de sécurité, lequel peut souligner la nécessité de contrôler effectivementl'accès à l'information et aux ressources du réseau, ou de manière explicite dans unepolitique détaillée de sécurité du réseau, laquelle pourrait indiquer que tous les utilisateursdoivent être identifiés et authentifiés sans équivoque.

2.4.1.1 Authentification de l'utilisateur par un code d'identification et un mot depasse

Sur la plupart des réseaux, le mécanisme d'identification et d'authentification utilise unepaire code d'identification/mot de passe. Les systèmes à mot de passe peuvent êtreefficaces s'ils sont bien gérés, mais c'est malheureusement rarement le cas. Lesmécanismes d'authentification qui reposent uniquement sur les mots de passe ont souventfailli à la tâche, et ce, pour un certain nombre de raisons. Les utilisateurs ont tendance àcréer des mots de passe qui sont faciles à mémoriser et, donc, faciles à deviner. Parailleurs, les mots de passe consistant en caractères aléatoires sont difficiles à deviner,mais ils sont également difficiles à mémoriser par les utilisateurs. Ceux-ci doivent donc les

44

écrire quelque part, la plupart du temps dans un endroit facilement accessible dans le lieude travail. L'utilisation de mots de passe multiples ne fait qu'aggraver le problème. Lechoix d'un mot de passe approprié (c.-à-d. un mot de passe à la fois facile à mémoriserpour l'utilisateur mais difficile à deviner pour toute autre personne) a toujours été unproblème. Les mots de passe composés de syllabes prononçables ont plus de chanced'être mémorisés que les mots de passe consistant seulement en caractères aléatoires. Ilexiste des logiciels de vérification des mots de passe; ils peuvent être utiles pourdéterminer si un nouveau mot de passe est jugé trop facile à deviner et, donc,inacceptable.

Les mécanismes d'authentification par code d'identification et mot de passe, notammentceux qui transmettent le mot de passe en clair (c'est-à-dire sous forme non chiffrée), sontsusceptibles d'être surveillés et interceptés. Ce problème peut devenir épineux car, sur denombreux réseaux, les liaisons de communication ne sont pas contrôlées; le meilleurexemple est peut-être Internet. Les organisations qui envisagent de connecter leur réseauaux réseaux extérieurs, notamment Internet, devraient étudier toutes les conséquencesavant d'aller de l'avant. Si, après étude de toutes les options d'authentification, l'ÉMRdétermine que les systèmes utilisant un code d'identification et un mot de passe sontacceptables, il deviendra alors primordial de bien gérer la création des mots de passe, leurenregistrement, leur expiration et leur destruction.

Voici une série de mesures qui aident à réduire les points vulnérables associés auxmécanismes d'authentification des utilisateurs par code d'identification et mot de passe :

1) Sensibiliser les utilisateurs, y compris les administrateurs, au sujet de lavulnérabilité du réseau due à l'authentification par code d'identification et mot depasse.

2) S'assurer que les mots de passe sont modifiés régulièrement.

3) Allouer un mot de passe à chaque utilisateur. Les mots de passe ne doivent pasêtre partagés.

4) S'assurer que lorsque l'on tape les mots de passe sur le clavier, ils ne soient pasaffichés à l'écran.

5) Les utilisateurs doivent mémoriser les mots de passe. Ils ne doivent pas les écrirequelque part.

6) Limiter le nombre de tentatives infructueuses d'entrée en communication.

7) Imposer un délai entre les tentatives successives d'entrée en communication.

8) Changer les mots de passe implicites (p. ex., sur les installations système) le plusrapidement possible.

45

9) Imposer des restrictions touchant la longueur minimale des mots de passe,l'utilisation des caractères numériques ou autres, et éviter de recourir à des «motsde passe faciles à deviner» ou à des mots de passe inclus dans les dictionnairespropres au site informatique.

10) Empêcher la transmission des mots de passe en clair sur le réseau.

11) S'assurer que toute information sur les mots de passe transmise sur le réseau,qu'elle soit chiffrée ou non, ne puisse être réutilisée en vue d'une authentificationnon autorisée, afin d'éviter les attaques «reprise».

12) Éviter de placer les mots de passe dans les fichiers de commandes (pour la saisieautomatique des mots de passe).

13) S'assurer que les mots de passe soient sauvegardés de façon appropriée et sûre.

46

2.4.1.2 Autres mécanismes d'authentification

En raison de la vulnérabilité constamment associée à l'utilisation de la paire coded'identification/mot de passe, il est souvent recommandé de recourir à des mécanismesplus robustes. Les paragraphes qui suivent décrivent quelques exemples de techniquesd'authentification plus robustes.

a) Mot de passeutilisableune seule fois Lors de chaque authentification d'un utilisateur, on utilise, dans ce

système, un mot de passe unique et utilisable une seule fois. Lesmots de passe sont habituellement générés par un dispositifspécial, similaire à une carte à mémoire ou une calculatrice de lataille d'une carte de crédit, ce que l'on peut considérer comme«quelque chose que l'on a» (voir la section 2.4.1). L'utilisateurintroduit le mot de passe affiché par ce dispositif, afin de pouvoiraccéder au site hôte. Cette technologie présente moins de pointsvulnérables que le mécanisme code d'identification/mot de passeque nous venons de décrire, notamment en ce qui concerne le faitde deviner le mot de passe, sa divulgation et les attaques«reprise». Toutefois, cette technique n'annule pas la possibilitéqu'une personne utilise la séance à ses propres fins après avoirpassé l'étape d'authentification.

b) Sommation/réponse Le mécanisme dit sommation/réponse se présente comme suit : un

utilisateur transmet son identité à un système hôte éloigné. D'aprèsl'identité de l'utilisateur, ce système lui transmet une interrogation,ou sommation, composée de nombres et (ou) de caractères.L'utilisateur introduit cette interrogation dans un dispositif similaireà celui que nous avons décrit ci-dessus (générateur de mots depasse utilisables une seule fois), qui génère alors une réponse,d'après l'interrogation introduite. L'utilisateur transmet la réponseau système hôte, afin de pouvoir y accéder. Le principal avantagede ce mécanisme, par rapport à la technique du mot de passeutilisable une seule fois, est que la synchronisation entre siteséloignés n'est pas requise. Toutefois, la force de ce mécanismerepose sur l'algorithme utilisé pour convertir l'interrogation en uneréponse. Lorsque l'on choisit un tel produit, on devrait donc tenircompte de l'algorithme et des clés utilisés, ainsi que du caractèrealéatoire de l'interrogation. Tout comme le mécanisme précédent,la sommation/réponse ne réduit pas la possibilité qu'une personnedétourne la séance à ses propres fins, après avoir accédé ausystème hôte.

c) Carte à mémoire Un mécanisme très efficace pour authentifier les utilisateurs etétablir une séance sûre consiste à utiliser la technique

47

sommation/réponse, suivie du chiffrement des données. À cette fin,l'utilisateur doit d'abord disposer d'une carte à mémoire ou d'unjeton similaire (p. ex., un dispositif PCMCIA), qu'il insère dans unlecteur. La phase sommation/réponse se déroule entre le systèmehôte et la carte à mémoire de l'utilisateur. Après l'authentificationmutuelle des deux sites, les deux parties se partagent une clé dechiffrement pour la séance, afin de chiffrer les données qui seronttransmises pendant celle-ci. En plus de réduire les pointsvulnérables associés au mot de passe utilisable une seule fois et àla technique sommation/réponse, ce mécanisme offre égalementune protection contre le piratage, et assure aussi la confidentialitédes données transmises pendant la séance. Cette technologie estparticulièrement efficace pour le téléaccès aux réseaux parmodem, ou encore pour l'authentification des communications avecun site éloigné d'un réseau et qui transitent des circuits ou desrelais peu sûrs. Le niveau de confiance associé à ce mécanismerepose grandement sur l'efficacité de la gestion des clés, sur lesalgorithmes de chiffrement et de codage de la sommation/réponse,et sur la bonne gestion des cartes à mémoire fournies auxutilisateurs. Comme les cartes à mémoire actuelles n'ont pasnécessairement le débit suffisant pour chiffrer les messages, lafonction de chiffrement doit être réalisée à l'extérieur de la carte;toutefois, on peut utiliser ces cartes pour mémoriser des donnéessensibles comme les clés privées et les mots de passe, ou encoreles utiliser comme jetons.

d) Biométrique L'utilisation de la biométrique (p. ex., les empreintes digitales, lavoix, le scannage de la rétine, etc.) dans le processusd'authentification fait appel à «quelque chose qui est inhérent àl'utilisateur». C'est le meilleur moyen de s'assurer que lespersonnes sont vraiment ce qu'elles prétendent être. Toutefois,l'utilisation de l'information biométrique peut être ramenée, àplusieurs égards, à l'utilisation de mots de passe spéciaux etuniques. Ainsi, les points vulnérables associés à la transmission del'information biométrique sur le réseau sont similaires à ceux quisont associés à la transmission des mots de passe. Pour cetteraison, l'utilisation des techniques biométriques d'authentificationpour entrer en communication avec les systèmes éloignés neprésente pas véritablement d'avantage. Toutefois, cettetechnologie convient particulièrement au contrôle de l'accèsphysique ou à l'authentification locale, et elle est recommandée àcette fin.

Le téléaccès aux réseaux, par l'intermédiaire de modems sur lignes commutées, exigehabituellement que l'on accorde une attention particulière à la connexion. Un intrus quipeut avoir accès au modem pourrait également accéder au réseau en réussissant àdeviner le mot de passe d'un utilisateur. L'accès au modem, comme critère

48

d'authentification des utilisateurs, peut également être un problème si l'intrus continued'avoir accès au modem. On devrait authentifier les utilisateurs qui veulent accéder à unréseau éloigné avant même qu'ils ne puissent accéder au programme de connexion auréseau.

Les mécanismes qui fournissent à l'utilisateur de l'information sur son compte peuventl'aviser si celui-ci a été employé de façon anormale (p. ex., échecs répétés de tentativesde connexion). Ces mécanismes donnent la date, l'heure et l'emplacement de la dernièreconnexion réussie, ainsi que le nombre d'échecs précédents de tentatives de connexion.

Pour les utilisateurs qui doivent souvent quitter leurs aires de travail, on peut recourir àdes mécanismes d'authentification qui verrouillent les dispositifs de réseau, les postes detravail ou les ordinateurs personnels. Ces dispositifs de verrouillage permettent auxutilisateurs de demeurer connectés au réseau et de quitter leur aire de travail (pour unepériode de temps courte et acceptable), sans pour cela créer un point d'entrée illicite dansle réseau.

2.4.2 Vérification

Les services de vérification servent habituellement à détecter la matérialisation d'unemenace et son origine. Tout dépendant de la finesse de la piste de vérification,l'événement détecté peut être retraçable dans l'ensemble du système. Par exemple,lorsqu'un intrus entre dans le système, le journal d'exploitation devrait indiquer qui s'estconnecté au réseau et quand, quels sont tous les fichiers sensibles auxquels on n'a pasréussi à accéder, tous les programmes que l'on a tenté d'exécuter, etc. Le journald'exploitation devrait également indiquer les fichiers et les programmes sensibles auxquelson a réussi à accéder pendant cette connexion. Il conviendrait également d'équipercertaines parties du réseau (postes de travail, serveurs de fichiers, etc.) d'un type précisde service de vérification. On ne détecte habituellement pas les événements menaçantsen temps réel, à moins que l'on utilise une fonction de surveillance en temps réel. Il s'agitalors de fixer des sondes dans le réseau (ou parfois sur les dispositifs de communication)qui déclenchent une alarme dès qu'elles détectent une menace. Ce type d'alarme peutconsister, par exemple, en un message affiché sur la console de l'agent de sécurité et (ou)en la fermeture de tous les accès à certaines ressources du réseau.

Une autre fonction des services de vérification est de fournir aux administrateurs duréseau des statistiques indiquant que le réseau et ses ressources fonctionnentcorrectement. Cela peut se faire par un mécanisme de vérification qui utilise les donnéesdu journal d'exploitation pour en tirer une information utile au sujet de l'utilisation de lasécurité du système. On peut également faire appel à une fonction de surveillance quidétecte les problèmes de disponibilité du réseau à mesure qu'ils se développent.

Seuls les utilisateurs autorisés (p. ex., les vérificateurs) devraient avoir la permissiond'utiliser les outils de vérification, d'en régler les options ou de choisir les événements quiseront consignés. Les vérificateurs devraient, de préférence, ne pas être lesadministrateurs du réseau. En nommant des personnes différentes pour les tâches devérification du réseau, on peut ainsi mettre en place une politique impartiale et objective

49

de vérification dans l'ensemble du réseau, et qui est indépendante des utilisateurs, desadministrateurs, des gestionnaires et des événements en cause. L'accès aux données devérification devrait être strictement restreint aux vérificateurs, et on devrait veiller àpréserver l'intégrité des données. Toute transmission des données de vérification (p. ex.,pour le traitement en différé) doit se faire de telle manière qu'elle en assure l'intégrité (et laconfidentialité au besoin). Dans tous les cas, le choix des vérificateurs et des événementsqui feront l'objet d'une vérification doit être basée sur l'ÉMR et être conforme à la politiqueen matière de sécurité du réseau.

Lorsque l'on choisit le support physique sur lequel seront enregistrées les données devérification (habituellement sur disque dur, sur disquette ou sous forme d'état imprimé), ondevrait tenir compte de son utilisation opérationnelle ou de son rendement, et de lagranularité requise pour la vérification. Si les données de vérification sont enregistrées surun support de capacité limitée, le vérificateur devrait être avisé lorsque les fichiers dedonnées de vérification l'ont presque rempli, afin d'en effectuer la maintenance manuelleau besoin. La politique en matière de sécurité du réseau devrait indiquer les mesures quiseront prises lorsqu'une telle situation se présente, p. ex., soit fermer le réseau et (ou) desressources de celui-ci, soit cesser de consigner les événements (ce qui n'est pas uneméthode très sûre), etc.; normalement, on doit établir un équilibre entre, d'une part,l'imputabilité et, d'autre part, la disponibilité du réseau et des ressources. De plus, on doitprévoir l'archivage des données de vérification.

En raison de leur volume et de leur complexité, il peut être très difficile d'analyser etd'utiliser efficacement les fichiers de données de vérification et (ou) les rapports devérification. Les services de vérification devraient comporter des outils qui condensent etorganisent les données de vérification, afin d'en faciliter l'étude. Ces outils devraientégalement offrir des fonctions de tri des données par catégories (entrées des utilisateurs,entrées dans le système des fichiers, etc.), selon la date et l'heure, selon l'emplacementphysique, etc. Pour que les données de vérification soient utiles, les vérificateurs doiventdisposer d'outils efficaces et faciles d'emploi. Toutefois, ici aussi il faut trouver uncompromis entre le nombre d'événements que l'on vérifiera (nombre qui dépend de la tailledes fichiers de vérification et de la quantité d'information à scruter) et le degré de difficultéet de complexité que représente l'analyse de ces données.

2.4.3 Non-répudiation

Par non-répudiation, on entend le service de sécurité qui permet aux entités qui participentà une communication de ne pas nier y avoir participé. Ce service comporte la production,l'accumulation, la recherche et l'interprétation de données à l'effet qu'une partie donnée abel et bien traité un élément donné. Lorsque l'on utilise des services de non-répudiation,une entité qui, par exemple, a envoyé un message ne peut pas nier l'avoir fait (on parlealors de non-répudiation grâce à la preuve d'expédition) et l'entité qui l'a reçu ne peut pasnier l'avoir reçu (non-répudiation grâce à la preuve de réception). Ce service estparticulièrement important dans le courrier électronique et dans les applicationscommerciales électroniques (EAA). Pour employer les services de non-répudiation, on doitutiliser des techniques cryptographiques avec clés publiques et privées, ainsi que lessignatures numériques. Lorsque les signatures numériques sont employées à cette fin, il

50

est crucial que les clés privées soient protégées contre la copie et la divulgation. On nepeut pas assurer la confiance envers les services de non-répudiation si on ne protège pas,au préalable, les clés privées de signature. Le lecteur peut se reporter à la section 2.2.2,«Intégrité des données», qui décrit les signatures numériques et leur emploi.

2.4.4 Mise en place des services d'imputabilité

Le tableau XI énumère les diverses solutions que l'on peut mettre en place afin d'assurerles services d'imputabilité.

2.5 Sécurité physique

Par sécurité physique, on désigne les mesures destinées à empêcher l'accès physiquenon autorisé aux ressources du réseau, à ses équipements, installations, matériels etdocuments, et visant à les protéger contre les dommages, le vol et la modification. Lasécurité n'est pas associée à un service de sécurité particulier. En fait, les services desécurité physique recoupent tous les services de sécurité susmentionnés, qu'il s'agisse dela confidentialité, de l'intégrité, de l'imputabilité et, surtout, de la disponibilité. Pourcontrôler l'accès aux ressources du réseau, on peut recourir à divers moyens de sécuritéphysique, notamment des verrous, des gardes, des laissez-passer, des alarmes et d'autresdispositifs similaires.

51

Tableau XI – Services et mécanismes d'imputabilité

Mécanisme, procédure outechnique de protection


Perçage oudivulgation du motde passe

Absence oufaiblesse dumécanisme devérification

Attaque contrela piste devérification

Utilisation d'un fauxcode ID (mascarade)

Action non autoriséesur le réseau

Détourne-ment deséance

Authentification du mot depasse seulement

//// //

Utilisation de mot de passeutilisable une seule fois ousommation/réponse

////// //

Carte à mémoire etchiffrement

////// ////// //// //////

Contrôle de l'accèsphysique aux ressourcesdu réseau

// // // //

Vérification de réseau biengérée

////// //

Protection physique etlogique de la piste devérification

//////

Règles et procédures //// //

Signature numérique //// ////// ////// //////

///: Cette mesure offre un potentiel élevé pour contrer efficacement la menace ou de réduire lavulnérabilité.


vulnérabilité.

Tout réseau devrait comporter des mesures minimales de sécurité physique. Par exemple,tous les serveurs et dispositifs de communication du réseau devraient être situés dans deszones dont l'accès physique est contrôlé. L'accès à ces ressources devrait êtrenormalement limité aux seules personnes dont le travail est lié à la gestion et à lamaintenance du réseau. De la sorte, on réduit le risque qu'une personne non autoriséepuisse lire, modifier ou détruire de l'information sensible, comme une piste de vérification,ou encore que cette même personne ne modifie la configuration du réseau en changeantle réglage du serveur ou des dispositifs de communication. En outre, l'accès aux postesclient devrait être restreint aux personnes qui doivent les utiliser pour faire leur travail.C'est souvent à partir des postes de travail que les actions malicieuses ou les erreurshumaines se produisent. Une personne malicieuse peut facilement y installer un cheval deTroie ou un virus qui peut gravement endommager le réseau. On peut se servir d'uncheval de Troie pour intercepter les mots de passe des utilisateurs ou extraire du systèmede l'information sensible. Un virus peut se propager à tous les ordinateurs reliés à unréseau, et être programmé pour reformater tous les disques durs simples ou détruire lespartitions d'amorçage. On doit également protéger les ordinateurs contre le vol, y comprisle vol de composants comme les disques durs, les puces RAM, les contrôleurs, etc. Enrestreignant l'accès aux ordinateurs, on réduit le risque que le vol de matériel ne perturbe

52

les fonctions du réseau et (ou) la disponibilité des services. On peut protéger les postes detravail du réseau en surveillant l'accès aux pièces où ils sont situés ou en utilisant desmécanismes de contrôle de l'accès aux ordinateurs, et en tenant à jour un inventairedécrivant en détail chaque ordinateur et sa configuration.

Il faut également tenir compte des phénomènes naturels. L'utilisation de tapis spéciaux, desocles ou d'aérosols antistatiques réduit l'électricité statique qui peut endommager lescomposants informatiques et dégrader la disponibilité et l'intégrité d'un réseau. En outre,on devrait utiliser des circuits de protection contre les surtensions et des filtres secteur afinde réduire les risques associés à une alimentation secteur instable, aux surintensités ou àla foudre.

Enfin, les supports contenant de l'information désignée (protégée de niveau B ousupérieur) ou classifiée devraient être placés dans un endroit sûr, p. ex., dans uncoffre-fort. Ces supports comprennent les disquettes, les bandes de sauvegarde et lesdisques durs (amovibles). Si de l'information sensible est sauvegardée sur les postesclient, il est préférable d'en retirer le disque dur afin de placer cette information dans unendroit sûr, lorsque le système est laissé sans surveillance.

Comme la plupart des données sont enregistrées sur des supports magnétiques, on doitles manipuler avec soin. Il s'agit de faire preuve de bon sens, et notamment de ne pasplier les supports, de les entreposer dans des endroits où la température et l'humidité sontacceptables, de ne pas les placer près d'un champ magnétique, etc. 2.6 Choix de mécanismes de sécurité appropriés

Pour chaque actif d'un réseau, la mise en place des solutions de sécurité vise à réduire lerisque à un niveau acceptable pour l'organisation, tout en maintenant un équilibre entre lecoût de ces solutions et les risques résiduels. Par exemple, dans le cas d'un réseau quicontient des informations dont la divulgation non autorisée embarrasserait gravement legouvernement, il serait sage de dépenser des milliers de dollars pour acheter un systèmede chiffrement offrant une gestion appropriée des clés, afin de réduire les risquesrésiduels à un niveau minimal acceptable. Dans le cas d'un autre réseau sur lequel la non-disponibilité de l'information ne causerait qu'une perturbation mineure dans un servicedonné, l'achat de systèmes perfectionnés de sauvegarde en temps réel et de blocsd'alimentation sans coupure ne serait probablement pas justifié, car l'investissementnécessaire serait très élevé par rapport aux risques résiduels. Dans ce cas-ci, les risquesrésiduels seraient de beaucoup inférieurs au niveau accepté de risque maximal.

Comme nous l'avons mentionné à la section 2.2.6, une organisation peut être forcée, dansdes conditions particulières, soit d'accepter des risques résiduels additionnels parce queles solutions de sécurité disponibles sont trop coûteuses, soit au contraire d'allouer desfonds additionnels si l'organisation juge les risques inacceptables. Avant que la hautedirection prenne une telle décision, il y aurait lieu de réévaluer avec soin les risquesassociés aux biens en cause, afin d'évaluer précisément les risques résiduelsadditionnels, en termes d'incidences possibles sur l'organisation.

53

Parfois, la sélection des solutions de sécurité peut révéler des points vulnérables que l'onpeut corriger en améliorant sur-le-champ la gestion du réseau et les contrôlesopérationnels. De telles améliorations réduisent habituellement jusqu'à un certain point lerisque de matérialisation d'une menace, en attendant que des améliorations plus pousséespuissent être planifiées et mises en place. Par exemple, pour contrer la menace quereprésentent les intrus qui tentent de deviner les mots de passe, on pourrait allonger lalongueur et la composition du mot de passe utilisé aux fins d'authentification. Cette mesurese met en place rapidement et accroît la sécurité du réseau, et ce, à un coût minime pourl'organisation. Par ailleurs, l'organisation peut poursuivre la planification, le financement etla mise en place d'un mécanisme plus poussé d'authentification.

2.7 Assurance

Lorsqu'une organisation décide de mettre en place une solution de sécurité, elle doitnormalement choisir entre plusieurs produits de sécurité, et donc tenir compte du degréd'assurance fourni par chacun. On a ainsi l'assurance, à des degrés divers, que laconception d'un produit est adéquate et appropriée, et qu'il fonctionnera comme il estcensé.

Il y a principalement deux moyens de s'assurer qu'un produit fonctionnera comme prévu.Tout d'abord, les produits peuvent être évalués, validés ou examinés par des organismesimpartiaux comme le Centre de la sécurité des télécommunications (CST) au Canada, et laNational Security Agency (NSA) ou le National Computer Security Centre (NCSC) auxÉtats-Unis. L'évaluation des produits est réalisée par des évaluateurs qualifiés, à lalumière d'un ensemble objectif de critères d'évaluation, comme les Critères canadiensd'évaluation des produits informatiques de confiance (CCEPIC), les Trusted ComputerSystem Evaluation Criteria (TCSEC ou «livre orange», du Département américain de ladéfense), ou encore les Common Criteria for Information Technology Security Evaluation(CC), récemment publiés. Les produits évalués (ou homologués) sont cotés selon leursfonctions, la robustesse de leur mécanisme et le niveau de confiance (assurance). Lescotes d'évaluation diffèrent selon les critères d'évaluation utilisés. Le CST et le NationalInstitute of Standard and Technology (NIST) ont homologué des laboratoires qui peuventvalider les modules cryptographiques utilisés dans les produits de chiffrement visant àprotéger l'information désignée. Les validations des modules cryptographiques sonttraitées conformément à la publication américaine Federal Information ProcessingStandard (FIPS) 140-1. Le niveau d'assurance conféré à un produit de chiffrement seranormalement plus élevé si celui-ci utilise un module cryptographique validé. Enfin, le CSTévalue des produits; à cette fin, il les met à l'essai afin de vérifier si les mécanismes desécurité offerts correspondent vraiment aux prétentions des fournisseurs. Bien que lesproduits évalués ne soient pas cotés, car on ne vérifie pas leur conception (l'évaluationdes produits est réalisée sans que l'on connaisse leurs détails de conception), cesévaluations fournissent néanmoins de l'information au sujet du fonctionnement desproduits et de l'exactitude de la documentation qui les accompagne.

On peut également tester les produits de sécurité à l'interne afin d'en vérifier lefonctionnement et de déterminer dans quelle mesure ils protègent le réseau (c.-à-d., sont-ils difficiles à déjouer?). Comme on réalise habituellement ces essais internes sans

54

recourir à des critères normalisés d'essai ou d'évaluation des fonctions de sécurité, on nedoit pas se laisser leurrer par la performance apparente d'un système, par rapport à uneréelle assurance de performance.

55

ANNEXE A – OUVRAGES SUGGÉRÉS

[1] CHESWICK, William R. et Bellovin, Steven M., Firewalls and Internet Security,Repelling the Wily Hacker, Addison-Wesley Publishing Company, Reading,Massachusetts, 1994, 306 pages.

[2] Centre de la sécurité des télécommunications, Introduction à l'Internet et à la sécuritésur l'Internet, septembre 1995, 43 pages.

[3] National Institute of Standards and Technology, Keeping Your Site Comfortably Secure:An Introduction to Internet Firewalls (publication spéciale, NIST 800-10), décembre1994, 70 pages.

[4] STALLINGS William, Network and Internetwork Security - Principles and Practice,Prentice Hall, 1995, 462 pages.

56

ANNEXE B – EXEMPLE PRATIQUE : ÉVALUATION ET MISE EN PLACED'UN SYSTÈME DE SÉCURITÉ DE RÉSEAU

1 Introduction

Dans l'exemple qui suit, nous nous proposons d'illustrer les concepts présentés dans lespages précédentes. Nous avons partiellement évalué un réseau hypothétique selon laméthode décrite au chapitre 1, afin de déterminer les risques. Nous avons recommandé lamise en place de services de sécurité afin de pallier les points vulnérables et de contrerles menaces qui ont été constatées, ce qui permet de réduire les risques à des niveauxacceptables. Nous estimons que la méthode basée sur les risques et décrite dansl'exemple ci-dessous est applicable à d'autres réseaux et permet de déterminer pour ceux-ci les exigences en matière de sécurité.

1.1 Approche

La méthode utilisée dans cet exemple consiste à évaluer les risques en deux étapes,comme suit :

Étape 1 - Définition du réseau et identification des biens informatiques

Dans cette étape, nous définissons les limites et la portée de la sécurité du réseau, puisnous dressons un inventaire des biens informatiques. Nous supposons que l'on a déjàétabli un énoncé de la nature délicate (ÉND) de l'information qui réside et circule sur ceréseau. Nous présentons la configuration du réseau, y compris les dispositifs, services etautres ressources qui y sont associés. Cette étape vise à déterminer quels sont les biensdu réseau qu'il convient de protéger.

Étape 2 - Évaluation des risques pour chaque bien, choix des mesures de protectionet estimation des risques résiduels.

Cette étape consiste habituellement à évaluer tous les biens du réseau qui ont étérépertoriés, afin de déterminer les menaces possibles; ensuite, nous évaluons le degréd'exposition des biens à ces menaces, d'après la probabilité que celles-ci se matérialisentet leur incidence. Nous évaluons également les points vulnérables du réseau et l'efficacitédes mesures de protection déjà en place, afin de mesurer un facteur de risque pourchaque scénario bien/menace/incidence. Lorsque les risques sont jugés trop élevés, nousproposons des solutions appropriées afin de réduire les risques à un niveau acceptable.Dans l'exemple qui suit, nous évaluons un seul bien informatique.

7 Dans le présent document, la mention de noms de produits spécifiques est uniquement à des finsdescriptives et ne signifie pas que le CST endosse ou recommande ces produits.

57

2 Définition du réseau et inventaire des biens informatiques

2.1 Configuration et gestion du réseau

Il s'agit ici d'un réseau Novell 4.x7 multiserveurs, composé de 10 serveurs et de 250 postesclient (ordinateurs personnels). Chaque serveur utilise le programme NetWare 4.x (avecles services de répertoire NetWare (NDS)), une unité de sauvegarde sur bande, unealimentation sans coupure interne, une ou plusieurs cartes Ethernet, des cartes decommunications série, ainsi que des imprimantes. Les serveurs sont disséminés en cinqsites, et sont reliés par des routeurs et des services de relais de trames entre ces sites. Leréseau de l'organisation fonctionne sur câbles à paire torsadée et à fibres optiques.

Une division de l'organisation assure la gestion du réseau. Cette division est responsabledu réseau physique et de sa configuration, et elle assure des services sur l'ensemble duréseau, comme le courrier électronique et les services communs de télécopieur et demodem. Deux administrateurs du réseau s'occupent des questions administratives, commela gestion des utilisateurs, les services de fichiers locaux et la sauvegarde des donnéesenregistrées sur les serveurs de fichiers. L'information sur l'aménagement, la configurationet les services du réseau est fournie par les gestionnaires de réseau, et elle est égalementen grande partie étayée par des documents.

2.2 Capacités du réseau

Dans la discussion qui suit, nous décrivons les services réseau offerts aux utilisateurs.Bien que nous ne le mentionnions pas de façon explicite, il y a lieu de noter quel'identification et l'authentification des utilisateurs sont des conditions préalables pour queceux-ci puissent accéder à l'un ou l'autre de ces services.

A. Services de fichiers sur réseau

Ce service permet aux utilisateurs du réseau d'enregistrer leurs propres fichiers DOS surle disque dur du serveur. Ces fichiers peuvent être mémorisés dans des sections privéesou dans des sections communes de fichiers. Des mesures de sécurité logiques protègentl'information enregistrée sur les disques du serveur.

B. Services d'impression réseau

Ce service permet aux utilisateurs d'imprimer des documents sur une imprimante réseauphysiquement connectée à un serveur, ou sur une imprimante réseau spécialisée, reliée àl'ordinateur personnel d'un utilisateur. Les demandes d'impression peuvent être

58

transmises à n'importe quelle imprimante du réseau. Certaines imprimantes sont situéesdans des aires ouvertes.

C. Logiciels d'application sur réseau

Ce service offre aux utilisateurs la possibilité d'accéder à des logiciels d'application qui ontété enregistrés sur un serveur du réseau, afin de libérer de l'espace disque sur leursordinateurs personnels.

D. Connexion du réseau à divers serveurs

Avec le système Novell 4.x, les utilisateurs ne sont pas requis de se connecter à chaqueserveur de fichiers. En fait, dès qu'ils sont connectés au réseau, les utilisateurs ont accèsà toutes les ressources du réseau, peu importe sur quel serveur elles se trouvent. L'accèsaux ressources du réseau est contrôlé par la fonction de sécurité Novell qui utilise desdroits d'accès, des listes de contrôle de l'accès (LCA) et des attributs.

E. Courrier électronique

Un des services réseau les plus utilisés est le courrier électronique. À cette fin, on utilisesur ce réseau un logiciel Novell, ainsi qu'un logiciel commercial standard de courrierélectronique.

F. Accès au réseau à partir d'un ordinateur personnel éloigné et d'un modem

Ce service permet aux utilisateurs d'accéder au réseau à partir d'un PC autonome équipéd'un modem et d'un logiciel approprié. Ce service est commode pour les utilisateurs quipeuvent être éloignés de leur bureau, mais qui doivent accéder au réseau à partir d'unordinateur personnel qui n'y est pas physiquement relié.

G. Calendrier électronique

Le calendrier électronique est un outil intégré d'ordonnancement des travaux pour ungroupe de travail. Les utilisateurs peuvent indiquer les événements sur le calendrier etcoordonner ainsi les horaires des réunions avec leurs collègues. Un contrôle approprié del'accès est essentiel, afin que seuls les utilisateurs légitimes faisant partie du groupe detravail puissent modifier les événements et les horaires, tandis que d'autres personnespeuvent avoir la possibilité de les consulter, mais non de les modifier.

H. Fonction de télécopie

Ce service offre aux utilisateurs du réseau la possibilité de transmettre une copie d'undocument mémorisé soit sur leurs ordinateurs personnels, soit sur le disque du serveur,vers tout télécopieur standard. Si le document contient de l'information sensible, on nedevrait pas le télécopier.

59

Figure 6 - Diagramme du réseau utilisé dans l'exemple

2.3 Biens du réseau

Les biens du réseau qui devront être protégés comprennent ce qui suit :

a) ordinateurs - serveurs;b) ordinateurs - ordinateurs personnels (PC);c) ordinateurs - routeurs;d) composants d'ordinateur (mémoire RAM, cartes vidéo, disques durs, cartes d'interface

réseau, etc.);

60

e) modems;f) imprimantes;g) câbles et fibres optiques;h) fichiers du système d'exploitation NetWare;i) fichiers Novell d'exploitation, de maintenance et d'administration;j) systèmes d'exploitation utilisés sur les postes client (DOS);k) fichiers des logiciels d'application;l) unités de sauvegarde sur bande;m) bandes de sauvegarde;n) blocs d'alimentation sans coupure;o) données de l'organisation, y compris divers fichiers : bases de données, tableurs,

logiciels de traitement de texte, messages électroniques et calendrier électronique;p) données réseau - fichiers des profils des utilisateurs;q) données réseau - pistes de vérification;r) données réseau - fichiers de configuration et de réglage du réseau, enregistrés sur les

serveurs;s) données réseau - fichiers de démarrage du réseau et des ordinateurs personnels sur

les postes client (PC);t) données des utilisateurs - données traitées par le personnel et enregistrées dans les

répertoires communs sur les serveurs;u) données des utilisateurs - données traitées par le personnel et enregistrées dans les

répertoires privés sur les serveurs;v) données des utilisateurs - données traitées par le personnel et résidant sur leurs

ordinateurs personnels.

Nous supposons que l'on a déjà établi un énoncé de la nature délicate (ÉND) del'information au sein de l'organisation. Les résultats de cette évaluation ont démontréqu'environ 75 % des données de l'organisation sont du niveau désigné protégé B et queles 25 % restants sont de niveau protégé et non classifié. La majeure partie del'information désignée consiste en des données personnelles sur des citoyens canadiens,y compris des personnalités en vue comme des députés fédéraux, des ministres, despremiers ministres provinciaux, etc.; ces renseignements sont enregistrés dans une basede données.

Dans une situation réelle, la liste des biens pourrait être bien plus longue que ce que nousavons indiqué ci-dessus, et elle pourrait être encore plus détaillée. Par exemple, lesdonnées de l'organisation qui sont enregistrées sur chaque serveur du réseau pourraientêtre considérées comme des biens distincts. Dans notre exemple, toutes les données del'organisation constituent un seul bien.

61

3 Évaluation des risques auxquels le réseau est exposé

Une évaluation complète de la menace et des risques (ÉMR) pour le réseau qui est décritdans cet exemple serait un processus long et détaillé. Pour effectuer une telle évaluation,nous aurions besoin d'information additionnelle, notamment l'emplacement physique descomposants du réseau, des renseignements sur les utilisateurs (connaissancestechniques, heures de travail, attestations de sécurité, etc.), les procédures demaintenance, etc. Comme le présent document porte surtout sur les notions générales dela sécurité des réseaux, et non expressément sur les ÉMR, nous présenterons seulementles risques auxquels les données de l'organisation sont exposées, afin d'illustrer lesconcepts que nous avons décrits dans les pages précédentes.

3.1 Évaluation de la menace et degrés d'exposition aux menaces

Nous supposons que l'on a déterminé toutes les menaces possibles qui pèsent sur lesdonnées de l'organisation, et que seulement quelques-unes d'entre elles feront l'objetd'une analyse plus poussée, car la probabilité que les autres menaces se matérialisent aété jugée extrêmement faible. Les menaces suivantes ont donc été examinées :

a) incendie;b) erreur des utilisateurs;c) erreur des administrateurs;d) panne de matériel;e) piratage - interception ou perçage des mots de passe;f) gouvernements étrangers - interception non autorisée;g) vandales - virus;h) employés malicieux - cheval de Troie.

Pour chaque menace, nous avons déterminé leurs incidences possibles (divulgation nonautorisée, modification non autorisée, perturbation des fonctions du réseau et (ou) actionstrompeuses à l'égard du réseau). Dans le cas qui nous intéresse, la perturbation desfonctions du réseau se traduit par la non-disponibilité des données de l'organisation,causée, par exemple, par un déni de service ou la destruction de données. Par actionstrompeuses à l'égard des données de l'organisation, nous entendons les actions que l'onne peut imputer à personne, ou aux mauvaises personnes. Nous évaluons ensuite laprobabilité qu'une menace se réalise et le degré d'incidence (élevé, moyen ou faible), etce, pour chaque scénario menace/incidence. La probabilité de matérialisation comprend àla fois la probabilité qu'une menace se concrétise et, le cas échéant, la probabilité que lesincidences se réalisent. On obtient ainsi les degrés d'exposition des données del'organisation à chaque menace, tirées du tableau III. Ces degrés sont énumérés dans letableau B-I.

62

Tableau B-I )) Degrés d'exposition des données de l'organisation aux différentes menaces

Menace Probabilité Niveaud'incidence

Degréd'exposition

Incendie, pouvant exposer les données de l'organisation à :

Perturbation Faible Élevé 4

Erreurs des utilisateurs, pouvant exposer les données de l'organisation à :

Divulgation non autorisée Moyenne Élevé 7

Modification non autorisée Moyenne Moyen 6

Perturbation Faible Moyen 2

Actions trompeuses Faible Moyen 2

Erreurs de l'administrateur, pouvant exposer les données de l'organisation à :


Modification non autorisée Moyenne Élevé 7

Perturbation Moyenne Élevé 7

Actions trompeuses Faible Moyen 2

Panne de matériel, pouvant exposer les données de l'organisation à :

Modification non autorisée Faible Élevé 4

Perturbation Moyenne Moyen 6

Pirates utilisant des techniques de perçage ou d'interception des mots de passe, et pouvantexposer les données de l'organisation à :



Perturbation Élevée Élevé 9

Menace Probabilité Niveaud'incidence

Degréd'exposition

63

Actions trompeuses Moyenne Élevé 7

Gouvernements étrangers utilisant des techniques d'interception non autorisées, exposant lesdonnées de l'organisation à :

Divulgation non autorisée Moyenne Moyen 6

Vandales utilisant des virus, exposant les données de l'organisation à :

Modification non autorisée Élevée Élevé 9


Employés malicieux utilisant un cheval de Troie, et exposant les données de l'organisation à :

Divulgation non autorisée Faible Moyen 2



Actions trompeuses Moyenne Élevé 7

3.2 Évaluation des risques auxquels le réseau est exposé

Après avoir mesuré les degrés d'exposition du bien informatique, nous allons maintenantanalyser les principaux points vulnérables du réseau et l'efficacité des mesures deprotection en place, afin de mesurer le risque pour chaque scénario de menace. Lesmesures de protection déjà en place comprennent les fonctions de sécurité Novell et lesprocédures de sécurité déjà implantées dans le réseau. Nous supposons que le niveaumaximal de risque acceptable pour l'organisation est faible (2). Lorsque le risque est deniveau moyen (3) ou supérieur, nous décrivons les solutions possibles qui réduiraient lerisque à un niveau acceptable. Dans un réseau Novell 4.x, la sécurité est assurée par lesservices de répertoires NetWare (NDS). Le NDS est un service de répertoires réparti quimaintient les noms et les attributs de toutes les ressources critiques du réseau. Il permetaux autres services du réseau de contrôler l'accès des utilisateurs et d'assurer, surl'ensemble du réseau, une assignation dynamique uniforme des noms. Le NDS metégalement en oeuvre les mécanismes de sécurité du réseau et authentifie toutes lesdemandes touchant l'information - accès, ajout et modification.

64

3.2.1 Menace d'incendie, pouvant causer :

3.2.1.1 Perturbation

A. Points vulnérables

Extincteurs : Il y a des extincteurs dans les plafonds de toutes les pièces dans lesbâtiments, y compris les pièces où les serveurs sont installés. En cas d'incendie, lesdonnées de l'organisation pourraient être détruites ou endommagées par l'eau, et elles neseraient donc plus disponibles pour les utilisateurs.

Supports d'enregistrement : Les supports sur lesquels les données de l'organisation sontenregistrées sont très sensibles à la poussière, à l'humidité et aux températures extrêmes.En cas d'incendie, il est probable que les données de l'organisation seraient partiellementou entièrement perdues.

Matériel informatique : Le réseau est composé de matériel informatique qui est trèssensible à la poussière, à l'humidité et aux températures extrêmes. En cas d'incendie, ilest probable qu'une partie du matériel cesserait de fonctionner, ce qui réduirait ladisponibilité des données de l'organisation.

Nous estimons que les données de l'organisation sont très vulnérables (3) au feu, lequelpourrait les détruire ou le rendre non disponibles.

B. Mesures de sécurité en place

Sauvegardes hebdomadaires : Les sauvegardes sont réalisées une fois par semaine, levendredi après-midi, et une copie de sécurité est faite mensuellement sur chaque serveuret elle est entreposée à l'extérieur du site (sauvegarde hors-site).

Extincteurs :

Même si les données enregistrées pendant une période d'un mois pourraient êtrepartiellement perdues, on pourrait néanmoins en récupérer une partie en utilisant lessauvegardes; en termes de services de disponibilité, nous estimons que cette mesure estmodérément efficace (2).

C. Risque

D'après le tableau V, si on utilise un degré d'exposition de 4, un degré de vulnérabilité de3 et une efficacité de 2 pour les mesures de protection (3:2), on obtient un niveau derisque jugé moyen (3), ce qui est INACCEPTABLE.

65

D. Solutions possibles

Une solution peu coûteuse consisterait à faire une sauvegarde quotidienne des serveursde fichiers (après les heures de travail), et à mettre à jour les sauvegardes hors-site aumoins une fois par semaine. Cette solution serait très efficace, et elle réduirait le niveau derisque de 3 à 2, ce qui est jugé acceptable.

Une autre solution serait de relocaliser les serveurs dans des pièces où il n'y a pasd'extincteurs, de modifier le système d'extincteurs ou d'installer des couvercles deprotection sur les serveurs. Le cas échéant, on réduirait probablement le degré devulnérabilité à 2, ce qui réduirait également le niveau de risque de 3 à 2. Toutefois, le coûtde ces solutions serait plus élevé que la solution susmentionnée, c'est-à-dire lasauvegarde quotidienne. La mise en place de deux solutions (sauvegarde plus une dessolutions ci-dessus) réduirait le risque à un niveau très bas (1), inférieur au risque minimalacceptable, et ce, pour un coût élevé. C'est là un bel exemple d'une solution de sécuriténon rentable.

3.2.2 Menace d'une erreur d'un utilisateur, pouvant causer :

3.2.2.1 Divulgation non autorisée des données de l'organisation


Erreurs humaines : Le caractère confidentiel des données de l'organisation reposeprincipalement sur la fiabilité des utilisateurs, laquelle varie d'une personne à l'autre.

Fonctions de télécopieur du réseau : Les utilisateurs ont la possibilité de transmettre unecopie d'un document enregistré sur le poste de travail ou sur un disque du serveur à touttélécopieur situé à l'intérieur et à l'extérieur de l'organisation.

Aucune vérification des informations télécopiées.

Nous estimons que le réseau est très vulnérable (3) aux erreurs des utilisateurs, quipourraient se traduire par la divulgation non autorisée d'information.

B. Mesures de protection déjà en place

Listes de contrôle de l'accès (LCA) aux fichiers : L'accès à tout fichier enregistré sur undes serveurs du réseau est contrôlé par le système d'exploitation NetWare de Novell, etpar le NDS, au moyen de listes de contrôle de l'accès. Nous présumons que ces listessont bien configurées, de sorte qu'un utilisateur ne peut accéder à un fichier pour lequel iln'a pas les autorisations nécessaires.

66

Directive interdisant la transmission par télécopie d'information sensible.

Le réseau n'a aucun contrôle sur l'information transmise par télécopie. Rien n'empêche latransmission d'information sensible, ou la transmission de numéros erronés partélécopieur. La mesure de protection déjà en place n'est pas jugée très efficace (1).

C. Risque

D'après le tableau V, si on utilise un degré d'exposition de 7, un degré de vulnérabilité de3 et une efficacité de 1 pour les mesures de protection (3:1), on obtient un niveau derisque jugé élevé (5), ce qui est INACCEPTABLE.


Une solution facile serait d'élimer du réseau la fonction de télécopie. Bien qu'ils'agisse d'une solution qui ne coûte rien, le prix à payer serait une perte de productivité etd'efficacité. Cette solution réduirait le risque à un niveau très bas (1).

Lorsque le degré d'exposition est élevé (7, 8 ou 9), il faut absolument diminuer lavulnérabilité du réseau si l'on veut réduire le risque à un niveau acceptable. L'installationd'un crypteur de télécopie entre les télécopieurs et la ligne téléphonique réduirait le degréde vulnérabilité et accroîtrait l'efficacité des mesures de protection, car le crypteurprotégerait l'information contre sa divulgation non autorisée à des personnes autres queles destinataires. Cette solution serait peu coûteuse, puisqu'il s'agit d'acheter seulementquelques crypteurs de télécopieur. La plupart des destinataires des télécopies transmisespar le réseau font déjà partie du réseau gouvernemental sûr de télécopieurs, et ils utilisentdonc des crypteurs de télécopieur afin d'assurer l'acheminement sûr des télécopies. Cettesolution empêcherait la divulgation non autorisée de l'information en cas de transmissiondes télécopies à de mauvais numéros. Cette solution pourrait employer les procéduresappliquées par les LCA du réseau, en vertu desquelles seules les personnes chargées derecevoir les documents que les utilisateurs veulent télécopier auraient accès auxtélécopieurs; ces personnes en vérifieraient le contenu afin de s'assurer qu'il n'y a pasd'information sensible, puis les transmettraient par télécopieur. Cette solution réduirait ledegré de vulnérabilité à 2 tout en accroissant l'efficacité et les mesures de protection à 3,ce qui aurait pour effet de réduire le niveau de risque de 5 à 2.

3.2.2.2 Modification non autorisée des données de l'organisation


Absence de mécanisme de validation : Les applications utilisées sur le réseau ne vérifientpas les erreurs humaines. Il n'y a pas de validation des données saisies afin de détecterles erreurs évidentes, comme les numéros de téléphone à 8 chiffres, les numérosd'assurance sociale à 9 chiffres, etc.

Erreurs humaines : L'intégrité des données de l'organisation repose principalement surl'exactitude des utilisateurs dans leur travail, ce qui varie d'une personne à l'autre.

67

Nous jugeons que le réseau est très vulnérable (3) aux erreurs des utilisateurs, ce quipourrait entraîner la modification non autorisée de l'information.

B. Mesures de protection en place

Listes de contrôle de l'accès (LCA) aux fichiers : L'accès à tout fichier du réseau estcontrôlé par le système d'exploitation NetWare de Novell et par le NDS, au moyen deslistes LCA. Nous supposons que ces listes sont correctement configurées, de sorte qu'unutilisateur ne peut pas modifier par erreur un fichier auquel il n'a pas accès.

Sauvegardes hebdomadaires : Comme à la section 3.2.1.1 B.

Vérification : L'accès aux données désignées de l'organisation fait l'objet d'une vérification,ce qui permet aux vérificateurs d'identifier la personne à la source de l'erreur, et de lacorriger si possible.

Le réseau peut limiter efficacement les parties dans lesquelles les erreurs dues auxutilisateurs peuvent survenir, bien qu'aucune mesure ne puisse assurer une protectionintégrale contre les erreurs humaines. Au besoin, on peut utiliser les donnéessauvegardées et les données de vérification. Ces mesures de protection sont jugéesmodérément efficaces (2).

C. Risque



Dans ce cas-ci, on pourrait mettre en place un mécanisme de validation pour toutes lesdonnées de l'organisation saisies par les utilisateurs. Ce mécanisme vérifierait notammentla taille, le type et l'orthographe des données saisies, avant leur sauvegarde. Cettesolution réduirait le degré de vulnérabilité de 3 à 2, et augmenterait l'efficacité desmesures de protection de 2 à 3, ce qui donnerait un niveau de risque de 2. Cette solutionserait peu coûteuse si on la mettait en place en même temps qu'une nouvelle application.Sinon, le coût serait moyen.

68



Erreurs humaines : Un utilisateur peut enregistrer des données au mauvais endroit sur leréseau, ce qui produirait un trafic excessif, supprimerait des fichiers, remplirait l'espacedisque du serveur, etc.

Emplacement des serveurs de fichiers : Certains serveurs de fichiers sont situés dans desaires ouvertes, ce qui les rend vulnérables aux déversements de café, aux chocs, auxmises hors tension par inadvertance, etc.

Nous jugeons que le réseau est modérément vulnérable (2) aux erreurs de l'utilisateur quipourrait entraîner la non-disponibilité des données de l'organisation.


Liste de contrôle de l'accès (LCA) aux fichiers : L'efficacité de ces listes repose sur leurconfiguration correcte, afin qu'un utilisateur ne puisse pas supprimer un fichier auquel iln'a pas accès.

Fonction «Undelete» (annulation de la suppression) de NetWare : Cette fonction Novellpermet d'annuler la suppression d'un fichier effacé par erreur.

Enceintes des ordinateurs : Tous les ordinateurs utilisés comme serveurs de fichiers dansle réseau devraient être mis sous boîtier métallique.

Sauvegardes hebdomadaires : Voir la section 3.2.1.1 B.

Le réseau peut limiter efficacement les parties dans lesquelles les erreurs peuventsurvenir; même si on a supprimé un fichier par mégarde, il existe des mécanismes quipermettent de récupérer l'information perdue. Toutefois, le trafic généré par chaqueutilisateur n'est pas surveillé afin de déceler toute activité inhabituelle. Ces mesures deprotection sont jugées modérément efficaces (2), mais le seraient encore plus si onaméliorait les procédures de sauvegarde et les plans d'urgence.

C. Risque

D'après le tableau V, si on utilise un degré d'exposition de 2, un degré de vulnérabilité de2 et une efficacité de 2 pour les mesures de protection en place (2:2), on obtient un niveaude risque jugé très faible (1).

69

3.2.2.4 Actions trompeuses


Les utilisateurs du réseau sont des humains, et on peut donc s'attendre à ce que deserreurs humaines se produisent.

Les ressources du réseau sont partagées.

Le réseau est jugé modérément vulnérable (2) aux erreurs des utilisateurs qui pourraientdonner lieu à des actions trompeuses à l'égard des données de l'organisation.


Identification et authentification (IA) : Le réseau doit identifier et authentifier chaqueutilisateur avant de lui accorder quelque accès que ce soit aux ressources du réseau.

Vérification : L'accès à l'organisation fait l'objet d'une vérification, d'après l'informationobtenue lors du processus d'identification et d'authentification.

Procédures : Les données de l'organisation ne devraient pas résider dans un répertoirepartagé, les utilisateurs sont responsables de leurs actions sur le réseau, etc.

Ces mesures sont jugées très efficaces (3).

C. Risque

D'après le tableau V, si on utilise un degré d'exposition de 2, un degré de vulnérabilité de2 et une efficacité de 3 pour les mesures de protection en place (2:3), on obtient un niveaude risque jugé très faible (1).

3.2.3 Erreurs de l'administrateur, pouvant causer :



L'exactitude de la configuration du réseau et du réglage des paramètres reposegrandement sur les compétences de l'administrateur.

Les administrateurs, qui représentent des points de défaillance uniques, sont actuellementdébordés de travail, ce qui accroît le risque des erreurs.

Le réseau est jugé très vulnérable (3) à la divulgation non autorisée des données del'organisation et attribuable à des erreurs des administrateurs.


70

Privilèges d'accès réels : Les administrateurs peuvent vérifier les privilèges d'accès réelsde tout utilisateur du réseau, pour les données enregistrées sur celui-ci, grâce à lafonction «Effective Rights» de Novell. Ils peuvent également vérifier quels utilisateurs ontaccès aux données de l'organisation, et quels sont leurs privilèges à cet égard.

Formation des administrateurs : Les administrateurs ont une bonne formation qui leurpermet de bien gérer le réseau.

Vérification : Toutes les actions des administrateurs à l'égard du réseau sont vérifiées parun vérificateur indépendant.

Tous les employés de l'organisation font l'objet d'une vérification approfondie de fiabilité;cette mesure réduit les conséquences de la divulgation non autorisée d'information au seinde l'organisation.

Gestion efficace des demandes de service par le programme Novell NetWare.

Le réseau ne peut empêcher entièrement les erreurs des administrateurs. Toutefois,certaines fonctions permettent de détecter les erreurs, que l'on corrigera afin d'empêcherla divulgation non autorisée d'information. En outre, les conséquences possibles de ladivulgation non autorisée d'information aux employés sont réduites, car les utilisateurs fontl'objet d'une enquête de sécurité. Ces mesures de protection sont jugées modérémentefficaces (2).

C. Risque

D'après le tableau V, si on utilise un degré d'exposition de 7, un degré de vulnérabilité de3 et une efficacité de 2 pour les mesures de protection en place (3:2), on obtient un niveaude risque jugé élevé (5), ce qui est INACCEPTABLE.


Une solution pour réduire le risque serait de partager la responsabilité de l'administrationdu réseau avec une autre personne qualifiée. De la sorte, chaque administrateur verrait sacharge de travail diminuer à un niveau acceptable, ce qui réduirait le risque que deserreurs surviennent et diminuerait le degré de vulnérabilité au niveau moyen (2). Ainsi,chaque administrateur aurait plus de temps pour vérifier et surveiller les droits accordésaux utilisateurs, d'où une efficacité accrue des mesures de protection déjà en place, quideviendrait élevée (3). Par conséquent, le niveau de risque serait réduit de 5 à 2. Cettesolution peut être coûteuse.



Identiques à ceux que nous avons indiqués à la section 3.2.4.1 A.

71

L'administrateur a un accès complet aux données de l'organisation, aux profils desutilisateurs, aux listes de contrôle de l'accès, etc.

Le réseau est jugé très vulnérable (3) aux erreurs de l'administrateur qui pourraiententraîner la modification non autorisée de l'information.


Identiques à celles que nous avons indiquées à la section 3.2.4.1 B, plus la mesuresuivante :

Sauvegardes hebdomadaires.

Le réseau ne peut empêcher entièrement les erreurs de l'administrateur. Toutefois, ilexiste des fonctions permettant de déceler ces erreurs, lesquelles pourraient entraîner lamodification non autorisée des données de l'organisation; au besoin, on peut récupérer lesdonnées originales à partir de la copie de sécurité. Ces mesures de protection sont jugéesmodérément efficaces (2).

C. Risque



Une mesure efficace serait de partager la responsabilité de l'administration du réseauentre trois personnes qualifiées, au lieu de deux. Ainsi, on réduirait le degré devulnérabilité à 2 et on accroîtrait l'efficacité des mesures de protection à 3, ce qui réduiraitle niveau de risque de 5 à 2.

3.2.3.3 Perturbations du réseau



Le réseau est jugé très vulnérable (3) aux erreurs des administrateurs qui pourraiententraîner la non-disponibilité de l'information.


Identiques à celles que nous avons déterminées à la section 3.2.4.2 B, plus :

Fonction Undelete (suppression) de NetWare.

72

Le réseau ne peut empêcher entièrement les erreurs des administrateurs. Toutefois, leprogramme NetWare offre des fonctions qui font en sorte que les données ne deviennentpas inaccessibles pendant trop longtemps. Ces mesures de sécurité sont jugéesmodérément efficaces (2).

C. Risque



En effectuant une sauvegarde quotidienne des fichiers contenus dans les serveurs,comme nous l'avons décrit à la section 3.2.1, on pourrait accroître l'efficacité des mesuresde protection déjà en place à un degré élevé, et ce, à un faible coût. On réduirait ainsi leniveau de risque de 5 à 3, ce qui, toutefois, demeure inacceptable.

L'ajout d'un administrateur de réseau, comme nous l'avons mentionné précédemment, etd'une procédure de sauvegarde quotidienne aurait pour effet de réduire le degré devulnérabilité à 2, ce qui abaisserait à son tour le niveau de risque à 2.

3.2.3.4 Actions trompeuses



Le réseau est jugé modérément vulnérable (2) aux erreurs des administrateurs, ce quipourrait entraîner des actions trompeuses touchant les données de l'organisation.


Identiques à celles que nous avons indiquées à la section 3.2.4.1 A, plus des mesuresd'identification et d'authentification.

Ces mesures de précaution sont jugées très efficaces (3) pour prévenir les actionstrompeuses touchant les données de l'organisation et dues à des erreurs desadministrateurs.

C. Risque

D'après le tableau V, si on utilise un degré d'exposition de 2, un degré de vulnérabilité de2 et une efficacité de 3 pour les mesures de précaution (2:3), on obtient un niveau derisque jugé très faible (1).

3.2.4 Menace de panne de matériel, pouvant causer :

73

3.2.4.1 Modification non autorisée (corruption) des données de l'organisation


Certains composants du réseau (serveurs et dispositifs de communication) sont exposés àl'humidité et à des écarts de température.

Il n'y a pas de liaisons de communication de relève.

Les pannes peuvent survenir en de nombreux points.

Le réseau est jugé très vulnérable (3) aux pannes de matériel, ce qui pourrait entraîner lacorruption de l'information.


Contrat de maintenance.

Fonction «Disk-Duplexing» : Fonction Novell qui copie les données sur deux disques durs,chacun sur une voie de disque séparée pour chaque serveur.


Fonction «Hot Fix» : Fonction Novell qui empêche les données d'être écrites sur lessecteurs de disque défectueux.

Le réseau peut empêcher efficacement la corruption des données causée par les pannesde matériel. Ces mesures de protection sont jugées très efficaces (3).

C. Risque

D'après le tableau V, si on utilise un degré d'exposition de 4, un degré de vulnérabilité de3 et une efficacité de 3 pour les mesures de protection (3:3), on obtient un niveau derisque faible (2).



Identiques à ceux que nous avons indiqués à la section 3.2.4.1 A, plus :

Les données de l'organisation sont concentrées sur des serveurs précis (selon lesapplications), lesquels représentent des points de panne uniques.

Le réseau est jugé très vulnérable (3) aux pannes du matériel, ce qui pourrait causer lanon-disponibilité de l'information.

74


Identiques à celles que nous avons indiquées à la section 3.2.4.1 B.

Comme le réseau offre une certaine protection contre la non-disponibilité des données dueaux pannes de matériel, ces mesures de protection sont jugées modérément efficaces (2).

C. Risque

D'après le tableau V, si on utilise un degré d'exposition de 6, un degré de vulnérabilité de3 et une efficacité de 2 pour les mesures de protection (3:2), on obtient un niveau derisque jugé modérément élevé (4), ce qui est INACCEPTABLE.


On pourrait éliminer ou réduire certains points de panne uniques en utilisant uneapplication qui reproduit et répartit les données de l'organisation sur l'ensemble du réseau,conjointement à la mise en place de liaisons de communication de relève. Cette solutiondiminuerait la vulnérabilité à un niveau faible (1), ce qui réduirait le risque de 4 à 2. Lerecours à de nouvelles procédures de sauvegarde n'améliorerait pas suffisammentl'efficacité des mesures de protection pour réduire le risque à un niveau acceptable.

3.2.5 Menace que des pirates informatiques percent ou capturent les mots de passe,ce qui pourrait causer :



Connexions non surveillées des modems sur les postes client.

Les mots de passe servant à l'accès aux postes client et au réseau sont transmis en clairsur le réseau téléphonique public.

Aucune vérification de la robustesse des mots de passe.

Le réseau est jugé hautement vulnérable (3) au piratage informatique : les pirates peuventaccéder de façon non autorisée au réseau, ce qui peut entraîner la divulgation nonautorisée d'information.


Diverses fonctions Novell de sécurité lors de la connexion, comprenant : longueurminimale des mots de passe fixée à 8 caractères, impossibilité de réutiliser les mots depasse précédents, nombre maximal de tentatives de connexion fixé à 3, et comptes desutilisateurs désactivés après 3 tentatives infructueuses de connexion.

75

Les LCA permettent aux utilisateurs d'accéder à certains fichiers seulement; un pirateinformatique qui décoderait ou capturerait le mot de passe d'un utilisateur n'aurait accèsqu'aux fichiers autorisés pour cet utilisateur.

Vérification (afin de détecter les intrusions).

Les procédures sont en place afin d'obliger les utilisateurs à taper 2 mots de passe pourse connecter à distance avec le réseau, par l'intermédiaire d'un modem et d'un posteclient, c'est-à-dire un mot de passe pour accéder au poste client et un autre pour accéderau réseau.

La longueur minimale du mot de passe de l'administrateur est fixée à 10 caractères.

Le téléaccès aux routeurs est désactivé.

Il est extrêmement difficile de protéger un réseau qui comporte plusieurs connexionsinternes non contrôlées, particulièrement lorsque les mots de passe sont transmis en clair.Les mesures de protection actuelles offrent une bonne protection contre les tentatives deperçage, au niveau du réseau, des mots de passe utilisés pour l'établissement desconnexions. Toutefois, le système demeure très vulnérable au piratage informatique, carles pirates peuvent intercepter les mots de passe lorsqu'ils sont transmis sur le réseautéléphonique, ou tenter de décoder les mots de passe permettant d'accéder aux modems.Pour cette raison, la sécurité des mesures de protection en place est jugée faible (1).

C. Risque


76

D. Solution possible

Pour que le risque soit à un niveau acceptable, on doit réduire le degré de vulnérabilité. Àcette fin, on devrait interdire toute connexion par modem avec les postes client. Lesconnexions internes devraient être assurées par l'intermédiaire d'une passerelle sûre, quiétablirait des séances chiffrées avec les utilisateurs éloignés. Les utilisateurs devraientd'abord être authentifiés par la passerelle sûre, au moyen d'un mécanisme à clés publiqueet privée, ou de tout autre mécanisme d'authentification robuste, p. ex., l'utilisation d'unjeton d'authentification, d'un mot de passe à utilisation unique, etc. Lorsqu'un utilisateur aété identifié et authentifié, le chiffrement des données à transmettre peut alors débuter,afin d'empêcher que le mot de passe employé par l'utilisateur pour se connecter au réseaune soit transmis en clair sur le système téléphonique. Dans les endroits éloignés, lechiffrement et le déchiffrement seraient effectués de préférence par le matériel, c.-à-d.dans un boîtier autonome en ligne, un crypteur de modem, une carte PCMCIA fonctionnanten différé, une carte d'ordinateur ou une carte à mémoire. En supposant que l'on mette enplace cette solution, d'un coût moyen, concurremment à l'implantation d'un systèmeapproprié de gestion des clés, on réduirait le degré de vulnérabilité à 1, tandis quel'efficacité des mesures de protection monterait à 3 (en raison de la protection accrue del'accès aux sites éloignés), ce qui réduirait le niveau de risque à une valeur de 2.




Le réseau est jugé très vulnérable (3) aux attaques des pirates informatiques qui peuventaccéder de façon non autorisée au réseau, ce qui peut entraîner la modification nonautorisée de l'information.

B. Mesures de protection en place.

Identiques à celles que nous avons indiquées à la section 3.2.5.1 B, plus :


Pour les mêmes raisons que nous avons mentionnées à la section 3.2.5.1, le réseau estfort vulnérable aux tentatives des pirates informatiques tentant d'intercepter les mots depasse pendant leur transmission sur le réseau téléphonique. Même si l'informationoriginale peut être récupérée à partir des copies de sécurité, celles-ci ne sont effectuéesqu'une fois par semaine, et rien n'assure que l'information sauvegardée ne soit pas elleaussi altérée. Pour cette raison, l'efficacité des mesures de protection est jugée faible (1).

77

C. Risque

D'après le tableau V, si on utilise un degré d'exposition de 7, un degré de vulnérabilité de3 et une efficacité de 1 pour les mesures de protection (3:1), on obtient un niveau derisque élevé (5), ce qui est INACCEPTABLE.


Si on réalisait des sauvegardes quotidiennes, l'efficacité des mesures de protectionpasserait assurément à 2, voire à 3. Toutefois, le réseau demeure tellement vulnérableque même une solution de sécurité très efficace ne pourrait réduire le risque à un niveauacceptable. La solution précédemment mentionnée, soit l'utilisation d'une passerelle sûreavec chiffrement des données, serait suffisamment efficace dans ce cas pour réduire lavulnérabilité à un niveau de 2 et améliorer l'efficacité des mesures de protection à 3, ce quiréduirait le niveau de risque à 2.



Identiques à ceux que nous avons indiqués à la section 3.2.5.1 A, plus :

Les sauvegardes ne sont faites qu'une fois par semaine.

Il n'y a aucune surveillance du trafic et de l'utilisation des ressources, lesquelles ne fontl'objet d'aucun quota.

Les points de panne uniques sont nombreux :

Le réseau est jugé très vulnérable (3) aux attaques des pirates informatiques, quipourraient accéder ultérieurement au réseau de façon non autorisée, et ainsi causer lanon-disponibilité de l'information.



Fonction «Undelete» de Novell

Comme nous l'avons mentionné précédemment, le réseau demeure hautement vulnérableaux attaques des pirates informatiques qui peuvent capturer les mots de passe pendantleur transmission sur le réseau téléphonique. Si les données de l'organisation étaientdétruites par suppression des fichiers ou reformatage d'un disque dur, on pourrait lesrécupérer à partir des copies de sécurité ou encore utiliser la fonction d'annulation de lasuppression (Undelete). Toutefois, ces fonctions ne sont pas

78

conçues pour assurer une disponibilité efficace. L'efficacité des mesures en place est doncjugée moyenne (2).

C. Risque


D. Solution possible

La mise en place de la passerelle sûre décrite à la section 3.2.5.1 D réduirait le risque àun niveau faible (2).

3.2.5.4 Actions trompeuses touchant les données de l'organisation

Les actions trompeuses qui peuvent résulter de l'accès au réseau par un pirateinformatique utilisant le mot de passe et le code d'identification valides d'un utilisateur,comprennent l'envoi de messages électroniques, l'établissement de réunions et de rendez-vous, etc.



Le réseau est jugé très vulnérable (3) au piratage informatique, qui pourrait entraîner desactions trompeuses à l'endroit des données de l'organisation.



Pour les mêmes raisons que nous avons mentionnées à la section 3.2.5.1, le réseaudemeure très vulnérable aux tentatives des pirates informatiques d'intercepter les mots depasse pendant leur transmission sur le réseau téléphonique. Une fois que les pirates ontaccédé au réseau en utilisant le mot de passe et le code d'identification valides d'unutilisateur, ils peuvent exécuter toute sorte d'actions trompeuses. Pour cette raison,l'efficacité des mesures de protection contre cette menace est jugée faible (1).

C. Risque

D'après le tableau V, si on utilise un degré d'exposition de 7, un degré de vulnérabilité de3 et une efficacité de 1 pour les mesures de protection (3:1), on obtient un risque jugéélevé (5), ce qui est INACCEPTABLE.

79


La mise en place de la passerelle sûre décrite à la section 3.2.5.1 D. réduirait le risque àun niveau faible (2).

3.2.6 Menace d'interception non autorisée des données sur le réseau par desgouvernements étrangers, pouvant causer :



Les données sont transmises en clair sur le réseau de l'organisation et sur le réseautéléphonique public.

Certaines connexions sont effectuées par câbles à paire torsadée non blindée.

On n'utilise aucun équipement TEMPEST ou à faible émission.

Certains moniteurs sont situés juste à côté de fenêtres.

La plupart des imprimantes se trouvent dans des aires ouvertes, et certaines sont très prèsdes fenêtres.

On utilise des topologies Ethernet (les données sont diffusées sur des segments deréseau).

Le réseau est jugé très vulnérable (3) à l'interception non autorisée, ce qui pourrait causerla divulgation non autorisée d'information.


À chaque emplacement, on contrôle l'accès physique des lieux.

En certains endroits, on utilise du câble à fibres optiques.

Ces mesures ne sont pas une protection efficace contre l'interception non autorisée,l'accès illicite ou la lecture de l'information par les fenêtres. L'efficacité des mesures deprotection est jugée faible (1).

C. Risque


80


Avec un degré d'exposition de 6, on pourrait difficilement réduire les risques à un niveauacceptable sans recourir à une solution de sécurité très efficace qui, dans ce cas-ci, doitinclure du matériel TEMPEST. Dans ce scénario, la solution pourrait comporter à la foisdes procédures et des mécanismes. Par exemple, on pourrait établir une procédure afind'empêcher que les moniteurs puissent être lus par les fenêtres; à cette fin, il suffirait derelocaliser ou de réorienter les ordinateurs, les écrans et les bureaux. On devrait aussireconfigurer les services d'impression du réseau, afin d'obliger les utilisateurs à imprimersur les imprimantes qui leur sont assignées. On pourrait également utiliser une méthodede chiffrement avec une gestion appropriée des clés pour toutes connexions externes, ycompris les lignes extérieures et les connexions de relais de trames. En outre, on pourraitremplacer les câbles à paire torsadée par des câbles à fibres optiques et par des cartesEthernet correspondantes. Cette solution, d'un coût moyen, ferait passer le degré devulnérabilité de 3 à 2, et l'efficacité des mesures de protection augmenterait de 1 à 2, cequi réduirait le risque à un niveau moyen (3). Par ailleurs, on pourrait avoir déterminé queseul le matériel TEMPEST pourrait réduire le risque à un niveau faible; comme cettesolution est très coûteuse, un niveau moyen de risque pourrait alors être acceptable pourl'autorité supérieure dans ce cas-ci, conformément à la Politique du gouvernement sur lasécurité (PGS).

3.2.7 Menace de la propagation de virus sur le réseau, pouvant causer :



Aucun programme de détection des virus n'est installé.

Les utilisateurs font de nombreuses connexions externes non contrôlées, à partir despostes client.

Les fichiers de démarrage du réseau sont enregistrés sur chaque poste client.

Le réseau est jugé très vulnérable (3) aux attaques des virus, ce qui peut causer lamodification non autorisée de l'information.


Les fonctions Novell de contrôle de l'accès assurent une protection contre l'accès nonautorisé au réseau.


Les procédures indiquent que l'on ne devrait pas utiliser sur les postes client desdisquettes provenant de l'extérieur du réseau.

81

Le réseau ne peut restreindre efficacement les parties où un virus peut être introduit ettransmis sur le réseau. Les mesures de protection en place sont jugées peu efficaces (1)pour protéger le réseau contre les données altérées par les virus, même si les donnéesoriginales peuvent être récupérées à partir des copies de sécurité.

C. Risque



Identiques à ce que nous avons indiqué à la section 3.2.5.1 B. Si on contrôlait les lignesde connexion externes au moyen d'une passerelle sûre, au lieu d'utiliser des modems noncontrôlés sur les postes clients, on réduirait le degré de vulnérabilité du réseau aux virusde 3 à 2. L'ajout de logiciels modernes et efficaces de détection des virus sur chaqueposte client et chaque serveur de fichiers du réseau, concurremment à des procédures desauvegarde quotidienne, augmenterait certainement l'efficacité des mesures de protectionde 1 à 3, ce qui réduirait le risque à un niveau faible (2).




Le réseau est jugé hautement vulnérable (3) aux attaques des virus, qui peuvent entraînerla non-disponibilité des données de l'organisation.



Les mesures de protection en place ne sont pas jugées efficaces (1) pour protéger leréseau contre les attaques de virus pouvant perturber le réseau ou supprimer des fichiers,ce qui pourrait causer la non-disponibilité des données de l'organisation, même si on peutles récupérer à partir des copies de sécurité, au besoin.

C. Risque


82


On peut réduire ce risque à un faible niveau (2) en utilisant la même solution que nousavons décrite à la section 3.2.7.1.

3.2.8 Menace que les employés malicieux utilisent un cheval de Troie, pouvantcauser :

3.2.8.1 Divulgation non autorisée d'information


Le réseau n'offre aucune protection contre les utilisateurs autorisés, mais mécontents enraison de mises à pied et (ou) de baisses de salaire (bon nombre d'employés possèdentdes compétences techniques poussées qu'ils peuvent utiliser contre les ordinateurs).

Le matériel informatique est situé dans des aires ouvertes.

Les postes client ne sont pas protégés par des mots de passe, au moment de leur mise enmarche. Lorsque les utilisateurs se trouvent loin de leurs ordinateurs, ils ont tendance àles laisser connectés au réseau.

Le réseau est jugé très vulnérable (3) aux attaques par des chevaux de Troie, ce qui peutcauser la divulgation non autorisée d'information.


Tous les employés de l'organisation font l'objet d'une vérification minimale de fiabilité.

L'accès aux données est également vérifié.

L'accès aux comptes des utilisateurs est limité selon l'adresse des postes client (fonctionNovell).

Les LCA sont établies de telle sorte que toutes les commandes exécutables enregistréessur le réseau peuvent seulement être exécutées, c.-à-d. qu'elles ne peuvent pas êtrecopiées, supprimées ou modifiées.

Les mesures de protection en place sont modérément efficaces (2) pour protéger le réseaucontre l'intrusion de chevaux de Troie et les attaques résultant d'un accès non autorisé auxdonnées de l'organisation, principalement parce que les employés n'agiraient pas de façonmalicieuse pour obtenir des informations auxquelles ils peuvent, par ailleurs, avoir accès.

83

C. Risque

D'après le tableau V, si on utilise un degré d'exposition de 2, un degré de vulnérabilité de2 et une efficacité de 1 pour les mesures de protection (2:1), on obtient un niveau derisque jugé faible (2).

3.2.8.2 Modification non autorisée de l'information



Le réseau est jugé très vulnérable (3) aux attaques par cheval de Troie, ce qui peut causerla modification non autorisée de l'information.



Fonction «NCP Packet Signature» de Novell : Ce mécanisme assure que les données nesont pas modifiées pendant leur transmission sur le réseau.


Les sauvegardes actuelles ne sont pas jugées très efficaces (1) pour protéger le réseaucontre l'intrusion d'un cheval de Troie, qui pourrait causer la modification non autoriséedes données de l'organisation. Un cheval de Troie pourrait certainement fonctionner surles postes client, et modifier les données après leur saisie par un utilisateur et avant leurtransmission sur le réseau, c.-à-d. avant la signature du paquet. Lorsque le cheval deTroie est découvert, les copies de sécurité peuvent également contenir des donnéesaltérées.

C. Risque



Avec un degré d'exposition de 7, on ne peut pas diminuer le risque à un niveau acceptablesans réduire au préalable le degré de vulnérabilité. La façon la plus facile d'y parvenir, ence qui concerne la menace que représentent les chevaux de Troie, est assurément decontrôler l'accès à tous les postes client. On peut, à cette fin, installer une pièced'équipement qui oblige les utilisateurs à s'identifier et à s'authentifier avant quel'ordinateur se mette en marche. La même pièce d'équipement pourrait également protégerles fichiers de démarrage (amorçage des ordinateurs et connexion au réseau) et les

84

fichiers du système, y compris les sous-programmes d'interruption, contre toutemodification (par contrôle de l'accès, valeur de contrôle cryptographique ou signature).Cette solution serait très efficace pour protéger le réseau contre l'intrusion d'un cheval deTroie. D'un coût moyen, elle permettrait de réduire le degré de vulnérabilité de 3 à 2 etd'accroître l'efficacité des mesures de protection jusqu'à 3, ce qui réduirait le risque à unniveau acceptable de 2.




Le réseau est jugé très vulnérable (3) aux attaques par cheval de Troie pouvant causer lanon-disponibilité d'information.


Identiques à celles que nous avons indiquées à la section 3.2.8.1 B, sauf que lavérification ne serait probablement d'aucune aide.

Les mesures de protection en place ne sont pas jugées très efficaces (1) pour protéger leréseau contre l'intrusion d'un cheval de Troie pouvant causer la non-disponibilité desdonnées de l'organisation. Un cheval de Troie pourrait fonctionner sur les postes client,nuire à la performance du réseau et, probablement, filtrer une partie des données avantqu'elles n'atteignent l'utilisateur. Bien que l'information détruite pourrait probablement êtrerécupérée à partir des copies de sécurité, il n'existe aucun mécanisme pour déceler uncheval de Troie ou l'empêcher de nuire au réseau.

C. Risque



Les solutions possibles décrites à la section 3.2.8.2 pourraient également être efficaces etréduire le risque à un faible niveau (2).

3.2.8.4 Actions trompeuses touchant les données de l'organisation

Les actions trompeuses peuvent être attribuables a un employé malicieux qui installeraitun cheval de Troie, afin de capturer les mots de passe des utilisateurs ou desadministrateurs. Disposant de ces renseignements, cet employé pourrait ensuitetransmettre des messages par courrier électronique, envoyer des télécopies, fixer desréunions et des rendez-vous, etc.

85



Le réseau est jugé très vulnérable (3) aux attaques par cheval de Troie servant à capturerles mots de passe.


Identiques à ce que nous avons indiqué à la section 3.2.8.1 B, sauf que la vérification neserait d'aucune aide dans ce cas-ci.

Les mesures de protection en place ne sont pas jugées très efficaces (1) pour protéger leréseau contre l'intrusion d'un cheval de Troie. Celui-ci pourrait capturer, de façontransparente, le mot de passe qu'un utilisateur introduirait sur son poste de travail. Lapersonne malicieuse pourrait plus tard utiliser ce mot de passe afin de se connecter ausystème, sous un autre nom, et causer des préjudices au réseau. Il n'y a aucunmécanisme en place pour détecter les chevaux de Troie ou les empêcher de nuire auréseau.

C. Risque



La solution décrite à la section 3.2.8.2 serait également efficace pour réduire le risque à unniveau faible (2).

3.3 Choix des solutions et des risques résiduels

D'après l'analyse des risques que nous venons d'effectuer, nous recommandons desmesures et mécanismes de sécurité qui sont rentables et appropriés, et qui permettent deréduire les risques associés aux données de l'organisation. Le tableau B-II indique lesrisques actuels, les services et mécanismes recommandés pour le réseau, ainsi que lesrisques résiduels après la mise en place de ces mesures de protection. Il est possibled'utiliser plusieurs mécanismes afin de contrer une même menace; le cas échéant, nousindiquons plusieurs mécanismes. Il convient de noter que pour assurer et préserver lasécurité d'un réseau, il est essentiel d'énoncer clairement une politique en matière desécurité, de bien définir un ensemble de procédures de sécurité et d'assurer la formationadéquate des utilisateurs.

Tableau B-II )) Risques actuels, solutions proposées et risques résiduels

86

Scénario de menace Risqueactuel

Solution Risquerésiduel

Incendie, pouvant causer :

divulgation non autorisée 0 Non requise. 0

modification nonautorisée

0 Non requise. 0

perturbation 3 a) Sauvegardes quotidiennes.b) Entreposage hors-site de la sauvegardehebdomadaire.

2

Erreurs de l'utilisateur, pouvant causer :

divulgation non autorisée 5 a) Télécopieurs sûrs; se joindre au réseaugouvernemental de télécopieurs sûrs.b) Contrôle de l'accès aux services de télécopie.c) L'information est contrôlée avant d'êtretélécopiée.

2


5 a) Validation de la saisie des données. 2

perturbation 1 Non requise. 1

actions trompeuses 1 Non requise. 1

Erreurs des administrateurs, pouvant causer :

divulgation non autorisée 5 a) Ajout d'un administrateur de réseau additionnel;l'administration du réseau serait partagée entretrois personnes qualifiées, au lieu de seulementdeux.b) Mise en place de nouvelles procédures afin deconstamment vérifier les droits d'accès desutilisateurs aux ressources et aux données duréseau.

2


5 a) Ajout d'un administrateur de réseau additionnel. 2

perturbation 5 a) Ajout d'un administrateur de réseau additionnel.b) Sauvegardes quotidiennes.

2


Pannes du matériel, pouvant causer :



2 Non requise. 2

perturbation 4 a) Élimination des points de panne uniques par lamise en place d'une nouvelle application quireproduit les données de l'organisation surl'ensemble du réseau et installe des connexions derelève entre les serveurs. C'est ce que nousappellerons plus loin la «nouvelle application».

2



87

Piratage informatique (perçage ou capture des mots de passe), pouvant causer :

divulgation non autorisée 5 a) Interdiction des connexions par modem avecles postes client.b) Surveillance continue des lignes téléphoniquesde l'organisation afin de s'assurer que l'on neconnecte pas de modems.c) Installation d'une passerelle, pour le téléaccèsau réseau.d) Mise en place d'un mécanisme robusted'identification et d'authentification au niveau de lapasserelle, et utilisant la technologie des cartes àmémoire.e) Chiffrement DES du trafic entre la passerelle etles sites éloignés.Toutes ces mesures sont appelées plus loin«passerelle sûre».

2 à 1,selon lesproduitschoisis


5 a) Passerelle sûre. 2

perturbation 5 a) Passerelle sûre. 2

actions trompeuses 5 a) Passerelle sûre. 2

Gouvernements étrangers (accès illicite), pouvant causer :

divulgation non autorisée 5 a) Procédures prévoyant l'orientation desmoniteurs sur les postes client de telle sorte queles données affichées ne puissent être lues à partirdes fenêtres.b) Chiffrement du trafic entre la passerelle et lessites éloignés.c) Chiffrement du trafic en transit, selon la normeDES, sur toutes les interconnexions du réseauutilisant le réseau téléphonique public.

3


0 Non requise. 0

perturbation 0 Non requise. 0




88

Vandales (virus), pouvant causer :



5 a) Passerelle sûre.b) Mise en place d'un programme de détection desvirus qui fera une recherche continue des virus surles postes client et les serveurs.c) Sauvegardes quotidiennes.

2

perturbation 5 a) Passerelle sûre.b) Détection des virus.

2


Employés malicieux (cheval de Troie), pouvant causer :

divulgation non autorisée 2 Non requise. (Le risque sera réduit à un niveau de 1 lorsque lecontrôle de l'accès aux ordinateurs personnelssera mis en place.)

2


5 a) Contrôle de l'accès aux postes client, au moyend'une pièce d'équipement à cet effet.b) Contrôle de l'accès aux fichiers de démarrageet du système.

2

perturbation 5 Comme ci-dessus. 2

actions trompeuses 5 Comme ci-dessus. 2

0 = risque minimal 1 = risque très faible 2 = risque faible 3 = risque moyen 4 = risque modérément élevé 5 = risque élevé

Les niveaux de risque et les solutions présentés dans le Tableau B-II s'appliquentseulement aux données de l'organisation et aux menaces qui y sont indiquées. Pourexaminer toutes les menaces possibles qui pèsent sur chaque bien du réseau, il faudraitréaliser une ÉMR exhaustive pour l'ensemble du réseau.

Il y aurait lieu de tenir compte d'autres points vulnérables qui pourraient avoir un effet surla mesure du niveau de risque, selon le milieu, la culture de l'organisation et la granularitéde l'ÉMR. Ces autres points vulnérables sont indiqués ci-dessous :

A. Faible niveau d'assurance

L'utilisation de produits non évalués, notamment le système d'exploitation du réseau,assure un faible degré d'assurance que le produit ne pourra pas être déjoué.

89

B. Piètre contrôle physique des dispositifs du réseau

Bien que les réseaux soient habituellement situés dans des édifices gardés, cela nesignifie pas nécessairement que la sécurité soit toujours appropriée. Les serveurs peuventse trouver dans des pièces qui sont verrouillées la nuit seulement et non en tout temps,car les utilisateurs veulent pouvoir accéder facilement aux imprimantes du réseau qui sontreliées aux serveurs. L'accès non autorisé aux serveurs pourrait causer des dommagesélevés; toutefois, on devrait protéger par mot de passe toutes les consoles des serveurs.

C. Accès aux ressources du réseau

Bien que l'un des avantages d'avoir un réseau soit de pouvoir partager de nombreusesressources parmi les utilisateurs, toutes les ressources ne doivent pas nécessairementêtre mises à la disposition de tous les utilisateurs. L'accès non autorisé aux ressources duréseau se produit habituellement lorsque les droits d'accès n'ont pas été assignés defaçon appropriée, ou lorsque le mécanisme de contrôle de l'accès n'est pas suffisammentdétaillé.

90

ANNEXE C – EXEMPLE D'UNE POLITIQUE EN MATIÈRE DE SÉCURITÉDE RÉSEAU

1 Contexte

L'information qui réside dans le réseau d'une organisation est cruciale pour sa mission. Lataille et la complexité des réseaux au sein des organisations ont augmenté, et les réseauxtraitent maintenant d'énormes quantités d'information désignée. Pour cette raison, on doitmettre en oeuvre des mesures et des procédures de sécurité précises afin de protégerl'information traitée sur les réseaux. Un réseau facilite le partage de l'information et desprogrammes entre de nombreux utilisateurs. Ce mode de fonctionnement accroît lesrisques de sécurité et oblige donc la mise en place de mécanismes de protection plusstricts que ce qui serait requis pour un micro-ordinateur (PC) autonome. La présentepolitique traite donc de l'utilisation du réseau dans une organisation et tient compte desexigences croissantes de la sécurité informatique.

Le présent énoncé de politique vise deux objectifs. En premier lieu, il s'agit de soulignerauprès de tous les utilisateurs l'importance de la sécurité du réseau et de les aviser deleur rôle afin de la préserver. En second lieu, la politique assigne des responsabilitésprécises pour la sécurité des données, de l'information et du réseau lui-même.

2 Portée

La présente politique couvre tous les biens et services informatiques qui sont utilisés parle réseau. La politique s'applique également aux serveurs, au matériel périphérique et auxpostes client (ordinateurs personnels) faisant partie du réseau. Les ressources du réseaucomprennent les données, l'information, les logiciels, le matériel, les installations et lestélécommunications. La politique s'applique également à toutes les personnes associéesau réseau, y compris tous les employés et les entrepreneurs qui utilisent le réseau.

3 Objectifs

Les objectifs de la politique sur la sécurité du réseau sont d'assurer l'intégrité, ladisponibilité et la confidentialité des données qui résident et circulent sur le réseau, detelle sorte que la politique de sécurité de l'organisation puisse également s'appliquer auréseau. Plus particulièrement, les objectifs se définissent comme suit :

! assurer que le milieu dans lequel fonctionne le réseau offre une sécurité appropriéepar rapport à la nature délicate de l'information, à son caractère critique, etc.;

! assurer que la sécurité soit basée, de façon rentable, sur un rapport coût/risques,ou sur ce qui est requis afin que le réseau soit conforme aux mandats applicables;

! assurer qu'un soutien approprié soit fourni pour la sécurité des données danschaque partie fonctionnelle;

91

! assurer que les utilisateurs soient responsables des données, de l'information etdes autres ressources informatiques auxquels ils ont accès;

! assurer la vérifiabilité du milieu dans lequel fonctionne le réseau;

! assurer que des directives suffisantes soient fournies aux employés afin de lesaider à assumer leurs tâches touchant la sécurité informatique;

! assurer que des plans appropriés d'intervention en cas d'urgence ou derécupération en cas de désastre soient établis pour toutes les fonctions critiques duréseau, de façon à assurer la continuité du fonctionnement;

! assurer que tous les mandats et politiques applicables des organisations etministères fédéraux soient appliqués et respectés.

4 Responsabilités

Les groupes suivants sont responsables de la mise en place et du maintien des objectifsde sécurité énoncés dans la présente politique. Les responsabilités détaillées sontprésentées à la section 5.2 de la présente annexe, intitulée Responsabilités visant àassurer la sécurité du réseau.

1. Gestion fonctionnelle (GF) - employés qui ont une responsabilité à l'égard d'unprogramme ou d'une fonction (mais non dans le domaine de la sécurité informatique), ausein de l'organisation. Il incombe au gestionnaire fonctionnel d'informer le personnel ausujet de la présente politique, de s'assurer que chaque personne en possède unexemplaire ou y ait accès, et de discuter avec chaque employé au sujet des questionstouchant la sécurité.

2. Division de la gestion du réseau local (DG) - employés qui voient à la gestion et aufonctionnement quotidiens du réseau. Ils doivent s'assurer du bon fonctionnement continudu réseau. Il incombe à la Division de la gestion du réseau de mettre en place les mesuresappropriées de sécurité du réseau, afin de se conformer à la présente politique.

3. Administrateurs locaux (AL) - employés qui doivent s'assurer que les utilisateurs ontaccès aux ressources requises sur le réseau. Il incombe aux administrateurs locaux des'assurer que la sécurité des utilisateurs et des ressources du réseau dont ils ont la chargesoient conformes à la présente politique.

4. Utilisateurs (U) - tout employé qui a accès au réseau. Les utilisateurs doivent utiliser leréseau conformément à la présente politique. Il incombe à tous les utilisateurs de respecterla politique de sécurité établie par les personnes dont la tâche principale est d'assurer lasécurité des données; de plus, ils doivent signaler à la direction tout manquement présuméaux règles de sécurité.

92

5 Application

Le non-respect de la présente politique peut exposer l'information à des risquesinacceptables pendant son enregistrement, son traitement ou sa transmission, ce quipourrait entraîner une perte aux plans de la confidentialité, de l'intégrité, de la disponibilitéou de l'imputabilité. Toute violation des normes, procédures ou directives énoncées dansle cadre de la présente politique doit être portée à l'attention de la direction, afin que desmesures soient prises, ce qui peut comprendre des mesures disciplinaires pouvant allerjusqu'au congédiement des employés responsables.

5.1 Politiques générales en matière de réseaux locaux

PG1. L'accès à tout poste client du réseau, y compris l'accès aux fichiers de démarragedu système et du réseau, doit être contrôlé et surveillé au moyen d'un équipementstandard. À chaque ordinateur personnel doit être assigné un «propriétaire» ou un«gestionnaire de système», qui est responsable de sa maintenance et de sasécurité, et aussi de l'application de toutes les politiques et procédures associées àl'utilisation de l'ordinateur et de l'équipement de sécurité. Ce rôle sera assigné auxadministrateurs locaux. On devrait fournir à ces personnes la formation et lesdirectives nécessaires, afin qu'elles puissent suivre adéquatement toutes lespolitiques et procédures.

PG2. Afin d'empêcher tout accès non autorisé aux données, logiciels et autresressources du réseau, tous les mécanismes de sécurité du réseau, y comprisl'installation et la location d'équipement, doivent être sous le contrôle exclusif del'administrateur local et du personnel approprié de la Division de la gestion duréseau.

PG3. Afin d'empêcher la diffusion de logiciels malicieux et d'aider au respect deslicences commerciales pour l'utilisation des programmes, les utilisateurs doivents'assurer de posséder les licences nécessaires pour les logiciels qu'ils utilisent, etégalement s'assurer que ces derniers soient sûrs.

PG4. Sur les postes client et les serveurs de fichiers, on utilisera des programmes dedétection des virus et des programmes résidents illégaux.

PG5. Les données de l'organisation doivent être copiées et reproduites sur l'ensembledu réseau, afin d'éliminer les points de panne uniques.

PG6. Toute modification des logiciels et les sauvegardes effectuées sur les serveursseront la responsabilité de la Division de la gestion du réseau. Les sauvegardesseront faites chaque jour. Les sauvegardes du lundi seront entreposées àl'extérieur.

PG7. On remettra aux utilisateurs un mot de passe initial et un code d'identification pouraccéder au réseau (ou toute autre information d'identification et d'authentification)seulement après avoir rempli toute la documentation nécessaire. Les utilisateurs

93

ne doivent pas partager leur mot de passe ni leur code d'identification, et nedoivent pas introduire leur mot de passe dans un fichier de commandes.

PG8. Les mots de passe des utilisateurs auront une longueur d'au moins 8 caractères.La longueur du mot de passe des administrateurs doit être d'au moins10 caractères. Chaque compte d'utilisateur, y compris les comptes desadministrateurs, sera désactivé pour une période de 48 heures après troistentatives infructueuses de connexion.

PG9. Les utilisateurs doivent s'authentifier auprès du réseau avant de pouvoir accéder àses ressources.

PG10. Les comptes d'utilisateur seront suspendus après une période consécutive de60 jours sans utilisation.

PG11. L'utilisation du matériel de réseau comme les moniteurs/enregistreurs de trafic etles routeurs doit être autorisée et contrôlée par la Division de la gestion du réseau.

PG12. Le téléaccès au réseau se fera par l'intermédiaire d'une passerelle sûre. Lesdonnées circulant entre cette passerelle et les sites éloignés devront être chiffrées.

PG13. Il est interdit de connecter un modem aux postes client. La Division de la gestiondu réseau surveillera toutes les lignes téléphoniques au sein de l'organisation, afinde détecter l'utilisation de modems et autres dispositifs électroniques nonautorisés.

PG14. Pour accéder au réseau à partir de l'extérieur, les utilisateurs devront êtreauthentifiés au niveau de la passerelle sûre, avant d'être connectés au réseau.Pour accéder à la passerelle, on devra utiliser des jetons d'authentification.

PG15. Les employés responsables de la gestion, de l'exploitation et de l'utilisation duréseau doivent recevoir une formation dans les domaines de la sécuritéinformatique et des méthodes informatiques acceptables. La formation en sécuritéinformatique devrait être incorporée dans les programmes de formation existants,notamment les programmes d'orientation pour les nouveaux employés et les coursde formation portant sur les logiciels, le matériel et les systèmes utilisés entechnologie de l'information.

PG16. Les rapports de sécurité doivent être produits et examinés chaque jour.

5.2 Responsabilités visant à assurer la sécurité du réseau

5.2.1 Utilisateurs

Les utilisateurs sont censés connaître les politiques en matière de sécurité réseau et yadhérer, ainsi que les autres lois, politiques, mandats et procédures applicables. Demanière plus précise, les responsabilités suivantes incombent aux utilisateurs :

94

U1. Comprendre et respecter les lois, politiques et procédures du ministère, lespolitiques et procédures applicables au réseau, ainsi que les autres politiques etpratiques touchant la sécurité du réseau.

U2. Utiliser les mécanismes de sécurité disponibles afin de protéger la confidentialitéet l'intégrité de leur propre information, au besoin.

U2.1. Observer les procédures établies pour le site en matière de sécurité desdonnées sensibles, ainsi que les politiques établies pour l'ensemble duréseau. Utiliser les mécanismes de protection des fichiers afin de maintenirun contrôle approprié de l'accès aux fichiers.

U2.2. Choisir et préserver des mots de passe appropriés. Les utilisateurs nedoivent pas écrire leur mot de passe sur un bout de papier, ni le révéler àautrui ou le partager.

U3. Aviser les autres personnes qui négligent d'utiliser de façon appropriée lesmécanismes de sécurité disponibles, aider à protéger la propriété des autrespersonnes et les aviser des ressources (p. ex., fichiers et comptes) laissées sansprotection.

U4. Aviser l'administrateur local ou la direction s'ils observent ou détectent uneviolation de la sécurité ou une défaillance à ce chapitre.

U5. Ne pas exploiter les faiblesses du système.

U5.1. Les utilisateurs ne doivent pas modifier, détruire, lire ou transférerintentionnellement de l'information de manière non autorisée, ni empêcherintentionnellement d'autres personnes d'accéder aux ressources et àl'information du réseau, ou de les utiliser.

U5.2. Les utilisateurs doivent fournir au besoin leur identité et une preuved'authentification appropriée, et ils ne doivent pas tenter d'usurper l'identitéd'une autre partie.

U6. S'assurer de faire des copies de sécurité des données et des logiciels qui setrouvent sur le disque dur installé à demeure dans leurs propres postes de travail.

U7. Se familiariser avec le fonctionnement des logiciels malicieux, leurs méthodesd'introduction et de propagation, ainsi que les points vulnérables qui sont exploitéspar ces logiciels et par les utilisateurs non autorisés.

U8. Connaître et suivre les politiques et procédures appropriées de prévention, dedétection et d'élimination des logiciels malicieux.

95

U9. Savoir comment surveiller des systèmes spécifiques et des logiciels afin dedétecter des signes d'activité anormale, et savoir quoi faire ou avec quicommuniquer pour obtenir plus d'information.

U10. Utiliser les contrôles techniques qui sont mis à leur disposition pour protéger lessystèmes contre les logiciels malicieux.

U11. Connaître et utiliser les procédures d'intervention d'urgence afin de prévenir lesaccidents possibles et de rétablir le fonctionnement du réseau.

U12. Passer au détecteur de virus toutes les disquettes et tous les logiciels avant de lescopier sur le disque dur d'un poste de travail ou d'un serveur de fichiers.

5.2.2 Gestionnaires fonctionnels

Il incombe aux gestionnaires fonctionnels (et ceux des niveaux supérieurs) d'élaborer et demettre en oeuvre les politiques de sécurité efficaces qui reflètent les objectifs spécifiquesdu réseau. C'est à eux qu'il revient, en définitive, de veiller à ce que la sécurité del'information et des communications soit et demeure un objectif crucial et hautement visibledes opérations quotidiennes. Plus précisément, les gestionnaires fonctionnels sontresponsables des tâches suivantes :

GF1. Assurer une gestion efficace des risques, afin de formuler une politique sensée.Pour gérer les risques, on doit déterminer les actifs informatiques qu'il fautprotéger, évaluer leur vulnérabilité, analyser les risques qu'ils soient exploités etmettre en place des mesures de protection rentables.

GF2. S'assurer que chaque utilisateur reçoit au moins un exemplaire de la politique desécurité et un manuel pour le site où il travaille (s'il en existe un) avant de lui créerun compte.

GF3. Mettre en oeuvre un programme de sensibilisation à la sécurité, à l'intention desutilisateurs, afin qu'ils connaissent bien la politique de sécurité pour le site, ainsique les méthodes approuvées.

GF4. S'assurer que tout le personnel de l'unité opérationnelle soit au courant de cettepolitique et sache qu'il doit l'incorporer dans les programmes de formation et lesréunions sur la sécurité informatique.

GF5. Aviser les administrateurs locaux et la Division de la gestion du réseau de toutemodification relative au statut de tout employé qui utilise le réseau. Cettemodification de statut peut comprendre une mutation ou la fin de l'emploi au seinde l'organisation.

GF6. S'assurer que les utilisateurs comprennent la nature des logiciels malicieux, de leurdiffusion et des contrôles techniques utilisés pour s'en prémunir.

96

5.2.3 Division de la gestion du réseau

Dans la mesure du possible, la Division de la gestion du réseau (ou le personnel désigné)est censée appliquer les politiques de sécurité touchant les contrôles techniques dumatériel et des logiciels, archiver les programmes et les données critiques, contrôlerl'accès et protéger les installations physiques du réseau. Plus précisément, la Division dela gestion du réseau est responsable des tâches suivantes :

GR1. Appliquer rigoureusement les mécanismes de sécurité disponibles, afin derespecter la politique de sécurité locale.

GR2. Aviser la direction de l'applicabilité des politiques existantes et des pointstechniques qui pourraient améliorer les pratiques.

GR3. Assurer la sécurité du réseau sur place même ainsi que ses interfaces avec lesréseaux extérieurs.

GR4. Répondre aux urgences rapidement et efficacement.

GR4.1. Aviser les administrateurs locaux si quelqu'un tente de pénétrer dans leréseau et aider les autres administrateurs locaux à répondre auxviolations de la sécurité.

GR4.2. Coopérer avec les administrateurs locaux afin de localiser les intrus etd'appliquer les mesures prévues.

GR5. Employer des outils de vérification approuvés et facilement disponibles afin defaciliter la détection des violations de la sécurité.

GR6. Vérifier en temps opportun les journaux d'exploitation et l'accès à l'information.

GR7. Demeurer au fait des pratiques recommandées et des politiques extérieures et, aubesoin, aviser les utilisateurs et la direction des changements ou des progrès.

GR8. Utiliser avec circonspection les pouvoirs et privilèges extraordinaires inhérents àleurs tâches. On devrait toujours avoir à l'esprit la protection de la vie privée.

GR9. Élaborer des procédures appropriées et fournir des instructions afin d'assurer laprévention, la détection et l'élimination des logiciels malicieux, conformément auxdirectives contenues dans le présent document.

GR10. Sauvegarder chaque jour toutes les données et tous les logiciels qui se trouventsur les serveurs du réseau.

GR11. Déterminer et recommander des logiciels permettant de détecter et d’éliminer leslogiciels malicieux.

97

GR12. Élaborer des procédures qui permettent aux utilisateurs de signaler les virusinformatiques, puis d'aviser subséquemment toutes les parties pouvant êtretouchées par cette menace.

GR13. Aviser rapidement le personnel approprié du service de sécurité ou d'interventionde tous les incidents informatiques, y compris la présence de logiciels malicieux.

GR14. Fournir de l'aide afin de déterminer la source des logiciels malicieux et l'ampleur dela contamination.

GR15. Fournir de l'aide afin d'éliminer les logiciels malicieux.

GR16. Réaliser des examens périodiques afin de vérifier si les procédures appropriéessont suivies, y compris les procédures prévues pour assurer une protection contreles logiciels malicieux et l'utilisation non autorisée des modems.

5.2.4 Administrateurs locaux

En ce qui concerne les ressources assignées et les utilisateurs, les administrateurs locaux(ou le personnel désigné) sont censés utiliser les services et mécanismes disponibles desécurité du réseau afin de soutenir et d'appliquer les politiques et procédures pertinentesen matière de réseau. Plus précisément, les administrateurs locaux sont responsables destâches suivantes :

AL1. Gérer les privilèges d'accès des utilisateurs aux données, aux programmes et auxfonctions.

AL2. Surveiller tous les événements touchant la sécurité et le suivi à l'égard de touteviolation réelle ou présumée, selon le cas. S'il y a lieu, aviser la Division de lagestion du réseau et coordonner avec celle-ci la surveillance ou les enquêtestouchant les événements liés à la sécurité.

AL3. Maintenir et protéger les logiciels du réseau et les fichiers pertinents en utilisantles mécanismes et procédures de sécurité disponibles.

AL4. Vérifier régulièrement s'il y a des virus dans le réseau au moyen de logiciels anti-virus, afin de s'assurer qu'aucun virus ne se loge dans les serveurs du réseau.

AL5. Assigner un mot de passe initial et un code ID unique à chaque utilisateur (oud'autres données d'identification ou d'authentification), seulement après avoirrempli la documentation appropriée.

AL6. Aviser rapidement le personnel approprié du service de sécurité ou d'intervention,de tous les incidents informatiques, y compris les logiciels malicieux.

98

AL6.1. Aviser la Division de la gestion du réseau si quelqu'un tente de pénétrerdans le réseau et aider les autres administrateurs locaux à réagir en casde violation de la sécurité.

AL6.2. Coopérer avec les autres administrateurs locaux et la Division de lagestion du réseau afin de localiser les intrus et d'appliquer les mesuresprévues.

AL7. Fournir de l'aide afin de déterminer la source des logiciels malicieux et l'ampleur dela contamination.

AL8. Vérifier le degré de robustesse des mots de passe des utilisateurs.

99

ANNEXE D – POINTS DONT IL FAUT TENIR COMPTE POUR LESORDINATEURS PERSONNELS

Les ordinateurs personnels n'offrent habituellement pas de contrôles techniques pouvantassurer l'authentification des utilisateurs, le contrôle de l'accès ou la protection de lamémoire, et faire la différence entre la mémoire système et la mémoire utilisée pour lesapplications de l'utilisateur. Vu l'absence de contrôles et la liberté avec laquelle lesutilisateurs peuvent partager et modifier les logiciels, les ordinateurs personnels sontdavantage exposés aux attaques par les virus, par les utilisateurs non autorisés et pard'autres menaces.

La protection contre les virus sur les ordinateurs personnels doit reposer sur la vigilancecontinue de l'utilisateur, qui doit savoir détecter les menaces possibles, les confiner, puisréparer les dégâts. Les utilisateurs d'ordinateurs personnels sont, de par leur naturemême, des gestionnaires d'ordinateurs personnels et, à ce titre, ils doivent intégrer unvolet gestion dans leur pratiques informatiques. Les ordinateurs personnels ne contiennenthabituellement pas de fonctions de vérification; l'utilisateur doit donc être en courant entout temps du rendement de son appareil, c.-à-d. qu’il doit savoir déceler les activitésanormales. En fin de compte, les utilisateurs des ordinateurs personnels doiventcomprendre certains des aspects techniques de leurs appareils afin de détecter lesproblèmes de sécurité et d'y pallier. Tous les utilisateurs d'ordinateurs personnels ne sontpas des techniciens dans l'âme, ce qui présente un problème et souligne la nécessité demieux les informer au sujet des virus et de leur indiquer comment les prévenir.

En raison de la nécessité de faire participer les utilisateurs, les politiques sur la sécuritédes réseaux (et, donc, sur l'utilisation des ordinateurs personnels) sont plus difficiles àmettre en oeuvre que dans un milieu informatique multi-utilisateurs. Toutefois, en insistantsur ces politiques dans le cadre du programme de formation des utilisateurs, ceux-cipourront mieux les intégrer. On devrait montrer aux utilisateurs, par des exemples illustrés,ce qui peut se passer s'ils n'observent pas les politiques. Pour bien illustrer ce point, onpourrait décrire ce qui se passe lorsque des utilisateurs partagent des logiciels infectés, cequi clarifiera l'objectif de la politique et la rendra plus susceptible d'être suivie. (Nous nesuggérons pas ici de présenter un exemple réel, mais seulement de l'expliquer.) Un autremoyen efficace d'accroître la coopération des utilisateurs consiste à créer une liste despratiques de gestion de l'informatique personnelle pour chaque milieu informatique. Grâceà une telle liste, les utilisateurs n'auront pas à se demander comment bien appliquer lespolitiques, et cette liste pourrait servir de document de référence que les utilisateursconsulteraient au besoin.

100

ANNEXE E – PLANS D'URGENCE POUR LES RÉSEAUX

Une atteinte à la sécurité informatique (ou incident) est tout événement où certainsaspects de la sécurité informatique peuvent être menacés : perte de confidentialité desdonnées, perte de l'intégrité des données ou du système, perturbation, déni de service.Dans le cadre d'un réseau, on peut étendre la notion d'atteinte à la sécurité informatique àtoutes les parties du réseau (matériel, logiciels, données, transmission, etc.), y compris leréseau lui-même. On devrait élaborer des plans d'urgence afin que de telles atteintessoient contrées rapidement et qu'elles aient le moins de conséquences possibles sur lacapacité de l'organisation de traiter et de transmettre les données. Un plan d'urgencedevrait tenir compte de trois aspects : (1) réaction à l'incident, (2) opérations desauvegarde et (3) remise en service.

1. Le volet réaction à l'incident vise à réduire les effets négatifs possibles associés à uneatteinte grave à la sécurité informatique d'un réseau. Il s'agit non seulement de réagir auxatteintes à la sécurité, mais également de prévoir les ressources pour alerter et informerles utilisateurs au besoin. Ce volet nécessite la coopération de tous les utilisateurs, afin designaler et prendre en charge les incidents et d'empêcher tout incident futur.

2. Les plans prévoyant les opérations de sauvegarde visent à ce que l'on puisse réaliserles tâches essentielles (déterminées lors de l'analyse des risques) après la perturbation del'environnement du réseau et les poursuivre jusqu'à sa remise en service.

3. Les plans de remise en service permettent une reprise en main progressive et rapidedes activités du réseau après sa perturbation. On devrait rédiger et tenir à jour desdocuments connexes afin de réduire au minimum le temps de reprise. On devrait donner lapriorité aux applications, services, etc., jugés critiques au bon fonctionnement del'organisation. Les procédures de sauvegarde devraient permettre que ces services etapplications critiques soient accessibles aux utilisateurs.

101

ANNEXE F – FORMATION ET SENSIBILISATION

Afin d'assurer la sécurité du réseau, on devrait donner aux utilisateurs du réseau uneformation au sujet de certains aspects de l'exploitation et de l'utilisation du réseau. Malutilisés, les mécanismes, procédures et autres méthodes de sécurité peuvent êtreinefficaces. Nous énumérons ci-dessous les sujets sur lesquels devraient porter laformation des gestionnaires fonctionnels, des gestionnaires de réseau et des utilisateursen général. Pour les gestionnaires fonctionnels, la formation devrait porter sur (1) lanécessité de comprendre l'importance des problèmes de sécurité et (2) la façon dont lespolitiques doivent être mises en oeuvre dans le réseau pour qu'elles soient efficaces. Laformation des gestionnaires et des administrateurs de réseau devrait soulignerl'importance de bien comprendre comment la sécurité est assurée au niveau opérationneldans le réseau. De plus, elle devrait insister sur la nécessité de réagir efficacement auxincidents. Enfin, la formation destinée à tous les utilisateurs devrait porter sur les pointssuivants : 1) reconnaître le rôle de l'utilisateur dans la politique de sécurité et lesresponsabilités assignées par celle-ci; (2) utiliser efficacement les services et mécanismesde sécurité; (3) comprendre comment suivre les procédures en cas d'atteinte à la sécurité.Nous allons maintenant expliquer un peu plus en détail ces différents points.

1. Fonctions

1. Reconnaître l'importance des politiques de sécurité du réseau et la façon dont ellesinfluent sur les décisions prises en matière de sécurité du réseau. Reconnaîtrel'importance de déterminer une sécurité appropriée pour les différents typesd'information que possède le gestionnaire fonctionnel (ou dont il est responsable).

2. Reconnaître que le réseau constitue une ressource précieuse et qu'il faut la protéger.Reconnaître l'importance d'assurer une protection adéquate (par un financementapproprié, par du personnel, etc.).

2. Gestion et administration

1. Comprendre comment fonctionnent tous les aspects du réseau. Pouvoir reconnaître lefonctionnement normal et le fonctionnement anormal.

2. Comprendre les rôles des gestionnaires et des administrateurs du réseau dans la miseen place de la politique de sécurité du réseau.

3. Comprendre comment fonctionnent les services et mécanismes de sécurité. Pouvoirreconnaître le mauvais emploi des mécanismes de sécurité par les utilisateurs.

4. Comprendre comment utiliser efficacement la capacité de réaction du réseau en casd'incident.

102

3. Utilisateurs du réseau

1. Comprendre la politique de sécurité et les responsabilités des utilisateurs qui y sonténoncées. Comprendre pourquoi il est important de maintenir la sécurité du réseau.

2. Comprendre comment utiliser les services et les mécanismes de sécurité fournis par leréseau afin d'en assurer la protection et d'en protéger l'information critique.

3. Comprendre comment utiliser la capacité de réaction du réseau en cas d'incident,comment signaler les incidents, etc.

4. Reconnaître le fonctionnement normal des postes client et des ordinateurs personnelspar rapport au fonctionnement anormal.

103

BIBLIOGRAPHIE

1) Centre de la sécurité des télécommunications, Canadian Dictionary of InformationTechnology Security, version 1.1, Ottawa, 1989, 70 pages.

2) Centre de la sécurité des télécommunications, Product Review: Novell NetWare 4.01,version 1.2, Ottawa, novembre 1994, 35 pages.

3) Centre de la sécurité des télécommunications, Critères canadiens d'évaluation desproduits informatiques de confiance, version 3.0e, Ottawa, janvier 1993, 208 pages.

4) Centre de la sécurité des télécommunications, Lignes directrices sur les systèmes deconfiance, Ottawa, décembre 1992, 34 pages.

5) Conseil du Trésor du Canada, Politique sur la sécurité, Manuel du Conseil du Trésor,juin 1994, 131 pages.

6) FORD, Warwick, Computer Communications Security - Principles, Standard Protocolsand Techniques, Englewood Cliffs, NJ, Prentice Hall, 1994, 494 pages.

7) Gendarmerie royale du Canada, Guide d'évaluation de la menace et des risques pourles technologies de l'information, Ottawa, novembre 1994, 26 pages.

8) National Institute of Standards and Technology, Chang, Shu-jen H., Priorities for LANSecurity - A Case Study of a Federal Agency's LAN Security, Gaithersburg, Maryland,1994, 10 pages.

9) National Institute of Standards and Technology, Guideline for the Analysis of LocalArea Network Security (FIPS 191), Gaithersburg, Maryland, novembre 1994, 54pages.

10) National Institute of Standards and Technology, Security Requirements forCryptographic Modules (FIPS 140-1), Washington, janvier 1994, 39 pages.

11) STEVEN L. et Simon, Alan R., Network Security, Shaffer, AP Professional, Cambridge,MA, 1994, 318 pages.

104

GLOSSAIRE

Accès illicite : Surveillance et (ou) enregistrement de donnéestransmises sur une voie de communication (aussi appeléaccès clandestin).

Accréditation : Déclaration formelle effectuée par la directionresponsable selon laquelle un système automatisé estapprouvé pour fonctionner dans un mode déterminé,avec un ensemble donné de mesures de protection.L'accréditation est le processus officiel par lequel ladirection accepte les risques qu'elle comporte.L'accréditation dépend des résultats de certification ainsique d'autres considérations de nature administrative.

Analyse rétrospective : Ensemble de dossiers qui constituent une preuvedocumentée du traitement, servant à faire le suivi enaval, des transactions originales jusqu'aux dossiers etrapports, ou en amont, des dossiers et rapportsjusqu'aux transactions qui y ont donné naissance (aussiappelée piste de vérification).

Assurance : Degré de confiance accordé à une mesure de protection àl'effet que celle-ci mette en oeuvre correctement la politique desécurité propre au système en cause.

Attaque : Tentative de contourner par des moyens agressifs lescontrôles de sécurité sur un réseau (ou tout autresystème informatique). Le fait qu'une attaque soit tentéene signifie pas qu'elle réussira. Le degré de succèsdépend de la vulnérabilité du système ou de l'activité,ainsi que de l'efficacité des mesures de protection enplace.

Authentification : Procédure de validation positive d'une identitéprésumée.

Bombe logique : Programme résident qui, lors de son exécution, vérifie sile système est dans un état donné; le cas échéant, ildéclenche l'exécution d'un acte non autorisé.

Brouillage : Perturbation délibérée d'une voie de communication.

105

Caractéristiques de sécurité : Fonctions, mécanismes et caractéristiques de sécuritépour du matériel ou des logiciels informatiques.

Certification : Examen par une personne qualifiée des solutions misesde l'avant pour un système informatique, compte tenu deses besoins en sécurité.

Cheval de Troie : Programme informatique qui a une fonction utile réelleou apparente, mais qui contient des fonctions cachéesqui exploitent furtivement les autorisations légitimes duprocessus d'appel, au détriment de la sécurité.

Chiffrement : Transformation de données lisibles en un flux illisible decaractères, au moyen d'une procédure réversible decodage.

Cible : Objectif d'un agent ou d'une menace hostile.

Compromission : Violation de la politique de sécurité d'un systèmepouvant causer la divulgation, la destruction, lamodification ou la perturbation non autorisée del'information et (ou) de services.

Confidentialité : Qualité ou état de ce qu'il serait délicat de divulguer.

Cryptographie : Discipline qui traite des principes, moyens et méthodespermettant de rendre inintelligible l'information. C'estégalement la discipline qui permet de rendre intelligiblel'information inintelligible.

Déni de service : Impossibilité d'accéder aux ressources pour desutilisateurs autorisés, ou introduction d'un retard dans lesopérations critiques dans le temps.

Disponibilité : Accessibilité des systèmes, programmes, services etrenseignements au moment opportun et sans retardexcessif.

Écrasement : Procédure d'élimination ou de destruction des donnéesenregistrées sur support magnétique et qui consiste àécrire des données par-dessus les données qui y sontdéjà enregistrées (aussi appelé recouvrement).

Énoncé de la nature délicate : Description des exigences de confidentialité, d'intégritéou de disponibilité associées à l'information ou aux biens

106

informatiques enregistrés, traités ou transmis sur unréseau.

Évaluation de la menace : Évaluation de la nature, de la probabilité et desconséquences d'actes ou d'incidents qui pourraientmettre en péril de l'information délicate ou des biensinformatiques.

Évaluation des risques : Évaluation, fondée sur l'efficacité des mesures desécurité existantes ou proposées, de la probabilité queles points vulnérables soient exploités.

Gestion des clés : Procédures manuelles et électroniques de production, dediffusion, de remplacement, de stockage et dedestruction des clés qui contrôlent les procédures dechiffrement ou d'authentification.

Incidence : Effet direct de la matérialisation d'une menace àl'encontre d'un réseau.

Information désignée : In formation qui n'est pas d'intérêt national et que l'onpeut exempter ou exclure aux termes de la Loi surl'accès à l'information ou de la Loi sur la protection desrenseignements personnels.

Intégrité : Qualité ou état de ce qui est exact ou complet.

Liste de contrôle d'accès : Liste des entités (et de leurs droits d'accès) qui sontautorisées à accéder à une ressource donnée.

Bien (informatique) : Un bien informatique est un élément ou une partie d'unréseau auquel le ministère assigne en propre une valeurindiquant son importance pour ses «activités», sonexploitation ou sa mission, et qui mérite par conséquentun degré de protection appropriée.

Mascarade : Tentative d'accéder à un système ou à un service par unintrus prétendant être un utilisateur autorisé (aussiappelée usurpation d'identité).

Menace : Événement ou acte potentiel pouvant avoir l'une oul'autre des conséquences suivantes : divulgation,destruction, élimination, modification ou interruption nonautorisée d'information, de biens informatiques ou deservices sensibles. Une menace peut être naturelle,délibérée ou accidentelle.

107

Mesure de protection : Mesure de sécurité minimale approuvée qui, lorsqu'elleelle est employée correctement, éliminera ou réduira lerisque.

Mot de passe : Chaîne de caractères protégée ou privée utilisée pourauthentifier une identité. Connaître un coded'identification d'un utilisateur légitime et le mot de passequi y est associé est une preuve d'autorisation jugéesuffisante pour accéder à un réseau ou à un système.

Motif : Ce qui pousse une personne à agir malicieusementcontre un système.

Mystification : Acte délibéré consistant à induire en erreur un utilisateurou une ressource afin qu'il commette une actionincorrecte.

Pénétration : Pénétration réussie et non autorisée dans un réseau ouun système.

Plan anti-catastrophe : Plan visant à restaurer les opérations informatiques encas de perturbation.

Politique de sécurité : Ensemble de lois, règles et pratiques qui indiquentcomment une organisation gère, protège et diffusel'information sensible.

Ressources : Matériel, équipement, argent, personnes,connaissances, etc., pouvant être exposés à unemenace.

Risque : Indication de la probabilité et des conséquencesd'incidents ou d'actes pouvant exploiter les pointsvulnérables d'un système et en compromettre les biensinformatiques.

Risque résiduel : Risque qui demeure après l'application des mesures desécurité.

Signature numérique : Transformation cryptographique des données qui,annexée à un bloc de données, en authentifie l'origine,en protège l'intégrité et en assure la non-répudiation parle signataire.

Talonnage : Obtention d'un accès non autorisé à un réseau ou unsystème, par l'intermédiaire de la connexion légitime d'un

108

autre utilisateur (aussi appelé accès à califourchon ouaccès en resquille).

Valeur : Mesure ou énoncé de l'utilité d'un bien ou d'unrenseignement, ou encore coût de ce bien ou de cerenseignement s'il était porté atteinte à son intégrité. Lavaleur peut s'exprimer en termes quantitatifs ouqualitatifs. L'utilité et le coût sont tributaires du contexteet ils dépendent des besoins et de la situation del'organisation. La valeur ne constitue pasnécessairement un paramètre objectif.

Valeur de contrôle : Valeur calculée à partir d'un bloc de données, et servantà détecter des modifications non autorisées et (ou) deserreurs dans les données enregistrées et transmises.

Vérification : Étude et examen indépendants des dossiers et activitésd'un système afin de déterminer si ses contrôles sontadéquats, et si les politiques et les procéduresopérationnelles établies sont respectées.

Violation de sécurité : Violation des contrôles sur un réseau donné et qui enexpose de manière excessive les biens informatiques.

Virus : Cheval de Troie autopropagateur et comportant troissegments : un volet mission, un volet déclenchement etun volet autopropagation.

Voie secrète : Voie de communication qui permet à deux processusmutuellement d'accord de se transmettre de l'informationd'une manière qui viole la politique de sécurité dusystème (aussi appelée canal caché).

Vulnérabilité : Caractéristique d'un système qui permet à une menacede se matérialiser.

Documents

SÉCURITÉ DES RÉSEAUX