Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Ce livre sur la sécurité informatique dans la petite entreprise (PME) s’adresse

Ce livre sur la sécurité informatique dans la petite entreprise (PME) s’adresse aux administrateurs systèmes et réseaux et plus généralement à toute personne appelée à participer à la gestion de l’outil informatique dans ce contexte (chef d’entreprise, formateur...). L’auteur identifie les menaces qui rendent l’entreprise vulnérable : menaces externes (Internet) ou internes, logiciels malveillants et attaques affectant le système d’information. Il présente les contraintes en terme de compétitivité et vis-à-vis de la loi qui imposent aux responsables de protéger les données stockées ou en transfert. Et bien sûr, il détaille les solutions efficaces à mettre en œuvre en rapport avec la criticité des informations, le contexte de l’entreprise et sa taille. En effet, différentes technologies existent tant sur la partie système que réseau et demandent à être gérées à l’aide de pratiques simples et d’un minimum de bon sens pour garantir l’intégrité, la confidentialité, la disponibilité des données et des applications. Sensibiliser le lecteur à tous ces aspects de la sécurité l’aidera à mieux maîtriser les outils dont il dispose notamment pour la gestion des comptes d’accès aux serveurs et aux postes de travail. Les recommandations décrites dans ce livre couvrent les domaines du réseau, du système, de la sauvegarde et aussi les solutions de reprise de l’activité métier. La survie de l’entreprise est à la mesure des précautions mises en œuvre. Ce livre numérique a été conçu et est diffusé dans le respect des droits d’auteur. Toutes les marques citées ont été déposées par leur éditeur respectif. La loi du 11 Mars 1957 n’autorisant aux termes des alinéas 2 et 3 de l’article 41, d’une part, que les “copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective”, et, d’autre part, que les analyses et les courtes citations dans un but d’exemple et d’illustration, “toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de l’auteur ou de ses ayants droit ou ayant cause, est illicite” (alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal. Copyright Editions ENI La sécurité informatique dans la petite entreprise JeanFrançois CARPENTIER Résumé L'auteur Jean-François Carpentier est ingénieur en système d’information depuis près de 30 ans. Titulaire d’un diplôme d’ingénieur DPE, il exerce son activité au sein de grands comptes de l’industrie et des services. Il œuvre aussi dans les domaines techniques et fonctionnels des systèmes dans des environnements complexes. Il utilise aussi ses qualités pédagogiques dans la formation pour un public d’adultes. - 1 - © ENI Editions - All rigths reserved - Jonifar lina 1 Avantpropos Ce livre sur la sécurité informatique dans les petites entreprises s’adresse à tout administrateur systèmes et réseaux, à toute personne ayant à gérer l’outil informatique, chefs d’entreprise de type TPE ou PME/PMI qui souhaitent protéger leur système d’information des principales menaces. Il peut aussi aider des formateurs à sensibiliser les futurs professionnels aux bonnes pratiques à acquérir. En effet, l’outil informatique fait partie intégrante du métier de l’entreprise, car incontournable. Il est cependant vulnérable aux menaces externes (Internet) ou internes, aux logiciels malveillants et attaques affectant son système d’information. D’autre part des raisons de compétitivité et légales imposent aux responsables de protéger les données stockées ou en transfert. La protection des systèmes requiert de mettre en œuvre des solutions efficaces en rapport avec la criticité des informations utilisées, du contexte de l’entreprise et de sa taille. Différentes technologies existent tant sur la partie système que réseau et demandent à être gérées efficacement à l’aide de pratiques simples et de bon sens de façon à garantir l’intégrité, la confidentialité, la disponibilité des données et des applications. La gestion des comptes d’accès aux serveurs et postes de travail, associée à une sensibilisation à la sécurité pourra aider les administrateurs système à mieux maîtriser leur outil. Les recommandations décrites dans cet ouvrage couvrent les domaines du réseau, des systèmes, de la sauvegarde et les solutions de reprise de l’activité métier. La survie de l’entreprise est à la mesure des précautions mises en œuvre. L’approche de ce livre est de présenter des informations glanées à partir d’expériences professionnelles dans différents environnements dans le cadre de l’administration de systèmes et de réseaux. La lecture de cet ouvrage réclame une connaissance de base dans la connaissance des réseaux et des systèmes d’exploitation, principalement de Windows. - 1 - © ENI Editions - All rigths reserved - Jonifar lina 2 Préface Cet ouvrage a pour vocation de présenter l’état de l’art et les bonnes pratiques de la mise en place de la sécurité informatique dans une société du type PME (Petites et Moyennes Entreprises) disposant de moyens limités. Il est destiné à être en cohérence avec la norme ISO 27001 sous une forme pratique à l’usage des personnels responsables du système d’information. Les informations présentées dans l’optique d’une meilleure gestion des serveurs et des postes de travail ne se substituent pas aux documents techniques des constructeurs et éditeurs de logiciels ou de système d’exploitation, il s’agit d’un complément plus fonctionnel. En conséquence, le lecteur de cet ouvrage est invité à consulter les documents techniques mis à sa disposition lors de la réception des matériels et logiciels. - 1 - © ENI Editions - All rigths reserved - Jonifar lina 3 Introduction L’univers des systèmes d’information composé de réseaux et de systèmes informatiques prend un rôle et une place chaque jour plus important dans les entreprises. Cependant, l’actualité présentée par les médias nous démontre que le système d’information est vulnérable et qu’il peut subir des piratages, des attaques (virus, hackers…), des pertes de données, des sinistres. Il est donc indispensable pour les entreprises de savoir définir et de garantir la sécurité de ses ressources informatiques. La sécurité des systèmes définie dans cet ouvrage doit constituer le moyen de protéger dans un sens large le système d’information ou de minimiser les risques encourus par l’entreprise dans l’usage de l’outil informatique. Les nécessités de sécuriser son système d’information Certains facteurs peuvent apparaître de l’ordre de l’évidence comme la nécessité de protéger une partie opérationnelle de l’entreprise. Toutefois, l’ensemble des menaces n’est pourtant pas toujours bien identifié. Par contre, d’autres sont souvent méconnues comme les obligations et responsabilités légales des dirigeants d’entreprise dans l’exploitation et la maîtrise de leur système d’information. Ces exigences impliquent la mise en place d’une protection des systèmes sous la forme d’une politique de sécurité avec : G l’élaboration de règles et procédures, G la définition des actions à entreprendre et des personnes responsables, G la détermination du périmètre concerné. Ce périmètre comprend à la fois les données aussi bien sous forme électronique que papier (fichiers, messages…), les transactions dans les réseaux, les applications logicielles et bases de données. Il ne faut pas oublier l’aspect continuité des services du traitement de l’information et les plans de reprise d’activité après sinistre. Les principes de base et objectifs principaux, la mise en œuvre La sécurité des données couvre quatre objectifs principaux, et est représentée sous forme d’acronymes (C.I.D.P) : G La disponibilité est l’assurance que les personnes autorisées ont accès à l’information quand elles le demandent ou dans les temps requis pour son traitement. G L’intégrité est la certitude de la présence non modifiée ou non altérée d’une information et de la complétude des processus de traitement. Pour les messages échangés, il concerne la protection contre l’altération accidentelle ou volontaire d’un message transmis. G La confidentialité est l’assurance que l’information n’est accessible qu’aux personnes autorisées, qu’elle ne sera pas divulguée en dehors d’un environnement spécifié. Elle traite de la protection contre la consultation de données stockées ou échangées. Cela est réalisable par un mécanisme de chiffrement pour le transfert ou le stockage des données. G La preuve consiste à garantir que l’émetteur d’une information soit bien identifié et qu’il a les droits et les accès logiques, que le récepteur identifié est bien autorisé à accéder à l’information. D’autres principes de sécurité peuvent être établis, il s’agit de : G La nonrépudiation, considérée comme le cinquième principe, a été introduite dans la norme ISO 74982 comme un service de sécurité pouvant être rendu par un mécanisme comme la signature numérique, l’intégrité des données ou la notarisation. L’élément de la preuve de nonrépudiation doit permettre l’identification de celui qu’il représente, il doit être positionné dans le temps (horodatage), il doit présenter l’état du contexte dans lequel il a été élaboré (certificats). G L’authentification est le moyen qui permet d’établir la validité de la requête émise pour accéder à un système. L’authenticité est la combinaison d’une authentification et de l’intégrité. G Les mécanismes de chiffrement procèdent du principe que l’émetteur et le récepteur conviennent d’un mot de passe connu d’eux seuls. L’émetteur utilise ce mot de passe comme clé de chiffrement pour le message à transmettre, seul le récepteur qui connaît ce mot de passe peut l’utiliser comme clé pour déchiffrer le message - 1 - © ENI Editions - All rigths reserved - Jonifar lina 4 et y accéder. uploads/Management/ la-securite-informatique-dans-la-petite-entreprise-www-videos-formation-org.pdf