4. La sécurité

Des risques variés

On peut classer les risques selon plusieurs modes de classement, soit par type, soit par nature. Par exemple :

• risques humains : maladresse, inconscience, malveillance, ingénierie sociale (attaques se basant sur le comportement des personnes, pour leur faire faire des opérations qu'elles ne réaliseraient pas naturellement, ou leur faire donner des informations qu'elles ne fourniraient pas dans un autre contexte), espionnage ;
• risques techniques : incidents liés aux matériels, aux logiciels, ou à l'environnement (inondation, panne électrique, etc.)
• risques juridiques : dans le domaine informatique, les risques concernent principalement le non-respect de la législation relative à la signature numérique, à la protection du patrimoine informationnel, à la vie privée, au droit de la preuve et une mauvaise gestion des documents d'archive.

Les différents types d'attaques

• programmes malveillants : virus, chevaux de Troie, etc...
• attaque par messagerie : pourriel, hameçonnage, canular ;
• attaques sur le réseau : écoute du réseau, déni de service, usurpation (se faire passer pour quelqu'un d'autre ou pour une machine existante)... ;
• attaques pour « casser » les mots de passe : soit à partir d'un dictionnaire, soit par force brute (on essaie toutes les combinaisons possibles) ;
• recensement des éléments du réseau, pour en obtenir une cartographie qui facilitera les attaques ultérieures ;
• et d'autres attaques variées (cassage de logiciel, détournement et utilisation de données WEB,...).

Des incidents aux impacts multiples

Perte de notoriété sur une personne « clé

Un poste informatique connecté au réseau interne peut atteindre n’importe quelle source d’information – serveur bureautique, poste de travail – sans grande difficulté. Le vol d’information ciblé sur une personnalité – notes personnelles, notes confidentielles , échanges de messages, etc. – permet ensuite son utilisation à des fins malveillantes.

Perte majeure d’image

Les causes de perte d’image sont multiples. La divulgation d’information sensible – il s’agira selon le climat médiatico-politique du moment : des dépenses de l’état, des rapports d’inspection, des consignes de paiements des aides ou d’allocation de budget.

Crise sociale

La possibilité de paralysie des systèmes permettant l’instruction des aides communautaires apporte un risque de non paiement en temps et en heure des aides. L’impossibilité de reprise des activités en cas de sinistre sur certaines parties du système d’information entraîne un risque important d’arrêt de certaines activités clefs

Perte des intérêts de l’État dans les négociations à l’international, au plan européen ou au plan national

L’absence de moyens de protection sur certains points et, de façon générale, un manque de sensibilisation des agents renforce la possibilité de récupération d’information au bénéfice d’une puissance étrangère ou d’un lobby hostile à la politique nationale.

Sanctions financières

Le manque de sensibilisation des utilisateurs, la gestion peu rigoureuse par endroits des droits d’accès aux systèmes d’information liés aux aides peut entraîner l’usurpation de droits, la fraude, et donc déboucher sur des sanctions financières de la part de l’union européenne.

L'organisation au sein de l'administration – la politique de sécurité du système d'informations

L'organisation interministérielle

Le SGDSN

Service du Premier ministre travaillant en liaison étroite avec la Présidence de la République, le secrétariat général de la défense et de la sécurité nationale (SGDSN) assiste le chef du Gouvernement dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale.

L'ANSSI

L’agence nationale de la sécurité des systèmes d'informations assure la mission d’autorité nationale en matière de sécurité des systèmes d’information. A ce titre elle est chargée de proposer les règles à appliquer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées.

Dans le domaine de la défense des systèmes d’information, elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l’État.

Elle a notamment pour mission de :

• détecter et réagir au plus tôt en cas d’attaque informatique, grâce à un centre de détection chargé de la surveillance permanente des réseaux sensibles et de la mise en œuvre de mécanismes de défense adaptés aux attaques ;
• prévenir la menace, en contribuant au développement d’une offre de produits de très haute sécurité ainsi que de produits et services de confiance pour les administrations et les acteurs économiques ;
• jouer un rôle de conseil et de soutien aux administrations et aux opérateurs d’importance vitale ;
• informer régulièrement le public sur les menaces, notamment par le biais du site Internet gouvernemental de la sécurité informatique, lancé en 2008, qui a vocation à être le portail Internet de référence en matière de sécurité des systèmes d’informations.

S’agissant des produits et des réseaux de sécurité, elle est chargée :

• de développer et d’acquérir les produits essentiels à la protection des réseaux interministériels les plus sensibles de l’État ;
• de mettre en œuvre les moyens gouvernementaux de commandement et de liaison en matière de défense et de sécurité nationale, notamment le réseau Rimbaud et l’intranet Isis ;
• de délivrer des labels aux produits de sécurité.

Elle constitue un réservoir de compétences destiné à apporter son expertise et son assistance technique aux administrations et aux opérateurs d’importance vitale.

Le plan de continuité ou de reprise d'activités

Pour quoi faire ?

Le système d'informations est une des pierres angulaires de l'activité des services. Pour pouvoir s'appuyer sur lui et avoir raisonnablement confiance en son fonctionnement, on cherche généralement à assurer :

• sa disponibilité, qui doit répondre aux exigences propres du service (les besoins sont différents entre des systèmes de paiement bancaires et des éditions de statistiques mensuelles, par exemple) ;
• son intégrité : il faut être sûr que les données ne puissent pas être détruites, perdues, ou corrompues, ou tout au moins, que la perte de données reste acceptable ;
• sa confidentialité : il faut éviter que les informations ne soient transmises à des tiers non autorisés. On parle fréquemment, dans le domaine de la sécurité, de limiter les accès aux « besoin d'en connaître¹ » ;
• la preuve : l'information fournie par un système d'informations doit pouvoir, dans certains cas, avoir valeur de preuve. C'est ce que permet la signature électronique par certificat, souvent couplée à des mécanismes d'horodatage.

Le plan de continuité ou de reprise d'activités vise à assurer la disponibilité et l'intégrité du système d'informations, quels que soient les événements qui surviennent.

D'un point de vue sémantique :

• le plan de continuité vise à assurer le fonctionnement normal du système d'informations, même en cas d'incident (panne d'un serveur, par exemple) ;
• le plan de reprise d'activités vise à remettre en route le système d'information après un accident (incendie, destruction de site, etc.).

Dans la pratique, les mécanismes utilisés dans le plan de continuité et dans le plan de reprise d'activités sont très souvent très proches, voire identiques : pour des petites structures, il est souvent plus simple de fusionner les deux documents.

2. Comment se met-il en place ?

La mise en place d'un PCRA va entraîner, au minimum, des réorganisations techniques, voire l'achat de matériels de secours. La décision initiale appartient donc au responsable sécurité de la structure, qui est à même de mobiliser les moyens nécessaires à sa réalisation.

C'est en général l'adjoint à la sécurité ou le responsable informatique qui lance la démarche. Il doit faire en sorte d'obtenir l'assentiment du comité de direction, et aura besoin de travailler avec l'ensemble des services pour cartographier les risques ou les besoins en terme de sécurité.

L'élaboration du PCRA va passer par plusieurs phases :

• d'abord, l'évaluation des risques. Il existe plusieurs approches possibles, mais le principe général consiste à :
  • recenser les risques potentiels, en évaluant leur fréquence ;
  • recenser les principales briques du système d'informations ;
  • pour chaque risque, évaluer l'impact pour chaque brique du SI ;
  • et enfin, déterminer les risques les plus importants.
• Ensuite, pour chaque composant du SI, on va essayer de déterminer des indicateurs. Il en existe principalement deux :
  • la durée maximale d'indisponibilité admissible : c'est le temps d'indisponibilité d'un composant au-delà duquel l'activité du service peut entraîner des difficultés notables (perte financière, problème juridique, perte de confiance, etc.). Le fait que les agents ne travaillent pas pendant quelques heures est rarement considéré comme un problème majeur, s'il n'entraîne rien d'autre qu'une période de chômage ;
  • la perte de données maximale admissible : dans le secteur bancaire, la perte d'une seule transaction financière peut avoir des répercussions dramatiques. Souvent, perdre un document en cours de rédaction, cela peut être gênant, mais pas forcément grave.
    • Ces deux indicateurs ne peuvent être déterminés que par les services utilisateurs, ce n'est pas le service informatique qui est compétent dans ce domaine. Il faut toutefois faire attention à ce que les services n'aillent pas trop loin dans leur expression des besoins : plus on cherchera à avoir des valeurs faibles, plus les coûts de mise en place seront importants.
• Une fois les indicateurs définis et validés par le comité de direction, le plan doit être élaboré. Il s'agit principalement d'un document technique, mais qui peut déborder sur d'autres domaines : comment sécuriser le réseau électrique (y a-t-il un électricien qui peut intervenir dans des délais raisonnables, par exemple) ? Quels sont les services prioritaires lors de la remise en route des systèmes ? Etc.
• Le plan validé, il est mis en place. Cela peut être plus ou moins rapide...
• Des tests réguliers doivent être réalisés, pour s'assurer que tout fonctionne...
• … et des comptes-rendus annuels doivent être présentés au comité de direction.

Un peu de cryptographie...

Nous l'avons vu précédemment, le système d'informations doit être intègre, disposer d'un certain niveau de confidentialité et, au besoin, être en mesure de prouver juridiquement certaines informations.

L'intégrité passe, on l'a vu, par la mise en place d'un plan de continuité ou de reprise d'activités, mais également par des mesures visant à limiter l'accès aux données ou aux équipements.

Aujourd'hui, la limitation d'accès, la confidentialité, la preuve ne peuvent être assurés qu'en recourant à des techniques de chiffrement.

Quelques généralités concernant le chiffrement

Le chiffrement consiste à modifier un message pour le rendre incompréhensible par toute personne qui ne disposerait pas de la clé ou de la méthode pour le déchiffrer. On distingue principalement deux types de chiffrements : le chiffrement symétrique, et sa déclinaison, le calcul d'empreintes, et le chiffrement asymétrique. Ce dernier est utilisé pour générer les certificats numériques.

Le chiffrement symétrique

Dans le chiffrement symétrique (ou chiffrement à clé privée), une même clé est utilisée pour chiffrer et déchiffrer le message. C'est une technique rapide à mettre en place, mais elle implique que les deux correspondants aient la même clé². Actuellement, l'algorithme AES256 (la clé de chiffrement à une longueur de 256 bits, soit l'équivalent de 10⁷⁷ – le nombre d'électrons dans l'univers...) est largement utilisé pour mettre en place un tel cryptage. Il est notamment employé dans les cartes bancaires.

Plus la clé est longue, meilleure est la sécurité du chiffrement. On considère qu'une clé de 256 bits ne pourra jamais être cassée par force brute (en testant toutes les combinaisons). Néanmoins, la longueur de la clé n'est pas le seul facteur qui conditionne la sécurité du chiffrement³.

Le calcul d'empreintes

Le calcul d'empreinte permet de calculer, à partir d'un texte ou d'un fichier, un condensat⁴ de longueur fixe, qui a les caractéristiques suivantes :

• il est unique (il n'existe pas de possibilité pour que deux entrées différentes puisse aboutir à la même empreinte – dans ce cas, on parle de collision) ;
• le texte ou le fichier d'origine ne peut être retrouvé à partir de l'empreinte.

Ce mécanisme va être utilisé principalement dans deux cas :

• d'une part, quand on veut s'assurer que la copie d'un fichier est bien identique à l'original, par exemple dans le cas du téléchargement d'une image ISO⁵ ;
• d'autre part, pour encoder un mot de passe, qui ne pourra pas être décodé.

Ainsi, pour stocker un mot de passe, le mécanisme suivant va être utilisé :

• lors de la création du mot de passe, son empreinte est calculée, et c'est celle-ci qui va être stockée en base de données ;
• au moment où le mot de passe est utilisé, c'est à dire quand son détenteur le saisit, le programme de vérification calcule l'empreinte du texte saisi, puis la compare à la valeur stockée dans la base de données. Si les deux empreintes sont identiques, alors le mot de passe est considéré comme correct.

Le chiffrement asymétrique

Le chiffrement asymétrique est basé sur le fait qu'il n'est pas possible de factoriser rapidement le produit de deux nombres premiers, dès lors qu'ils sont choisis suffisamment grands⁶. Actuellement, les nombres premiers ont des tailles d'au moins 1024 bits pour que l'on soit certain de leur solidité (l'accroissement de la puissance de calcul des ordinateurs oblige régulièrement à augmenter cette taille – Google a entamé le remplacement de toutes ses clés par des clés de 2048 bits).

Dans la pratique, deux clés sont générées. Un message chiffré avec une clé ne peut être déchiffré qu'avec la seconde, et inversement.

Une des deux clés reste en possession de son propriétaire : c'est la clé privée. L'autre, la clé publique, est transmise à qui en a besoin.

Voici un exemple utilisé pour envoyer un message chiffré :

1^ère étape : Alice génère deux clés : la clé publique (verte) qu'elle envoie à Bob et la clé privée (rouge) qu'elle conserve précieusement sans la divulguer à quiconque.

2^nde et 3^ème étapes : Bob chiffre le message avec la clé publique d'Alice et envoie le texte chiffré. Alice déchiffre le message grâce à sa clé privée.

Pour vérifier que c'est bien Alice qui envoie un message, les étapes suivantes sont réalisées :

• Alice calcule le condensat de son message, puis le crypte avec sa clé privée ;
• Elle envoie le message à Bob, avec le condensat crypté ;
• Bob reçoit le message, et calcule le condensat ;
• il décrypte le condensat crypté que lui a fourni Alice, avec la clé publique d'Alice ;
• si les deux condensats sont identiques, alors Bob peut être sûr que c'est bien Alice qui lui a envoyé le message.

C'est sur ce mécanisme notamment que fonctionne la signature numérique.

Les certificats numériques

La chaîne de certification

Un des problèmes posés par l'utilisation du chiffrement asymétrique est lié au fait qu'il est compliqué d'être sûr que la clé publique, fournie par Alice, est bien la sienne, et non pas une contrefaçon.

Pour cela, on va faire confiance à une autorité de certification, qui nous garantira que la clé, fournie par Alice, est bien la sienne.

L'autorité de certification va signer la clé publique d'Alice :

• Quand Alice génère ses deux clés, elle envoie sa clé publique à l'autorité de certification ;
• l'autorité de certification s'assure de l'identité d'Alice, en vérifiant, par exemple, ses papiers d'identité ;
• elle va signer la clé publique d'Alice en chiffrant son condensat avec sa propre clé privée, et stocker les deux (la clé publique et le condensat crypté) dans un certificat numérique.
• Pour vérifier que le certificat numérique (et donc la clé publique) appartient bien à Alice, le correspondant va :
  • calculer le condensat à partir de la clé publique d'Alice ;
  • déchiffrer le condensat crypté avec la clé publique de l'autorité de certification ;
  • si les deux condensats sont identiques, alors le correspondant pourra être sûr, dans la mesure où il fait confiance à l'autorité de certification, que la clé appartient bien à Alice.

Les clés publiques des autorités de certifications sont intégrées dans les systèmes informatiques, ce qui permet de leur faire confiance sans forcément les connaître tous. Ce sont les éditeurs de logiciels, par exemple la fondation Mozilla pour le navigateur Firefox, qui se chargent d'intégrer les certificats des autorités de certification.

L'administration française a mis en place sa propre chaîne de certification, et peut donc générer des certificats pour l'ensemble de ses agents.

L'utilisation des certificats

À quoi peuvent servir les certificats ?

Les certificats permettent d'identifier de manière sûre une personne. Ils vont donc permettre de :

• s'identifier dans une application ;
• signer un message, un document ;
• chiffrer un message pour éviter qu'il puisse être lu par des personnes non autorisées ;
• et également, d'accéder au réseau privé d'un organisme, en chiffrant les communications.

Identification dans les applications

L'utilisation du couple login/mot de passe pour s'identifier pose de nombreux problèmes : perte/vol de mot de passe, difficulté à le mémoriser, facilité à l'obtenir de façon frauduleuse, etc.

De plus, dans les applications, les systèmes d'identification peuvent être différents, et imposer divers logins et mots de passe différents.

L'utilisation d'un certificat unique, couplé à un système centralisé d'authentification (on parle de CAS – Common Access Service ou service commun d'accès – et également de SSO – Single Sign One ou identification unique) permet de s'affranchir de la gestion des mots de passe.

Signature des messages ou des documents

Les certificats peuvent être utilisés pour signer un message depuis Thunderbird, par exemple, mais également un document. Ainsi, il est possible, dans LibreOffice, de signer un document avec son certificat. À partir de sa version 4, on peut également générer un document PDF signé numériquement.

Chiffrement des messages

Dans quelques cas, il peut être nécessaire d'envoyer un message chiffré à un correspondant, pour être sûr que personne ne pourra le lire, s'il est intercepté.

Pour cela, on utilise des certificats spécifiques dédiés à cette fonction de chiffrement. Il faut au préalable que la personne qui désire chiffrer le message ait reçu la clé publique de son correspondant.

1Le principe de restriction au besoin d'en connaître implique que, même si quelqu'un possède les habilitations officielles nécessaires, l'accès à une information sensible ne peut lui être attribué qu'uniquement lorsqu'il a le besoin spécifique de la connaître

2En général, l'échange de la clé passe par une phase utilisant un chiffrement asymétrique. Le chiffrement symétrique consomme moins de ressources que le chiffrement asymétrique, ce qui explique qu'on utilise très souvent les deux de manière conjointe ; c'est notamment le cas quand on se connecte à un site web sécurisé (protocole https). Dans ce cas, le chiffrement asymétrique est utilisé pour échanger la clé privée, puis le reste de l'échange est réalisé avec un chiffrement symétrique

3Le chiffrement symétrique s'effectue par bloc. Plus les blocs sont grands, meilleur est le chiffrement. Il faut également tenir compte de la solidité de l'algorithme, et s'assurer que la génération de la clé est totalement aléatoire... Il existe pas mal d'autres facteurs qui influent sur la sécurité du chiffrement. Par exemple, dans les cartes à puce, le fait de bloquer l'accès après trois tentatives permet de limiter la taille de la clé (4 ou 6 chiffres).

4En informatique, un condensat est une suite de caractères de longueur fixe, calculée à partir d'un fichier ou d'une suite de caractères quelconque. Le condensat est unique : on ne peut obtenir deux fois le même à partir de données différentes.

5Image d'un disque, qui pourra être reproduit à l'identique

6Il existe d'autre algorithmes de gestion de clés asymétriques, qui reposent non plus sur les nombres premiers, mais sur des courbes elliptiques.