Blog professionnel de Georges Dick

Il y a trois jours,Le Monde Informatique a publié un article intitulé "Des plans de continuité d'activité souvent obsolètes".

Leur constat est terrifiant : Non seulement bien peu d'entreprises disposent d'un tel plan (quand elles ne disposent carrément même pas de sauvegardes !) un tiers des plans de continuité d'activité n'a pas été testé durant les douze derniers mois !

Quand on sait que :

• Au moins 80% des entreprises victimes d'une perte totale de leurs données ne survit pas 12 mois à cette catastrophe,
• Un serveur dédié chez un quelconque hébergeur ne coute que quelques dizaines d'Euros par mois pour une espace disque d'au moins une centaine de Go,
• Un logiciel de synchronisation de données ne coute pratiquement rien (quand il n'est pas tout simplement gratuit !),

Il y a vraiment de quoi se demander si dans le titre "responsable informatique" le mot "responsable" n'est pas de trop !

Mes différentes activités m'ayant à de multiples reprises mené à administrer des serveurs devant absolument rester accessibles 24h/24 et 7 jours sur 7, j'ai très tôt compris l'intérêt d'automatiser la surveillance et certaines tâches d'administration.

A l'époque du Minitel, j'avais inséré dans le moniteur vidéotex des systèmes de détection de boucle infinie relançant des processus fautifs, et même monté un système me prévenant par "Alphapage" en cas de coupure de courant, me donnant une chance de réarmer un disjoncteur "trop émotif" avant que les onduleurs ne soient épuisés.

Bien plus tard j'ai utilisé Big Brother (qui semble être en voie de disparition...) et Nagios. Cependant, bien que très satisfait par leurs capacités de détection de problèmes, d'alertes et de présentation, j'étais déçu par leur faiblesse à lancer des actions correctives. En effet, sachant que dans 80 à 90% des cas il suffit de relancer un service pour que tout rentre dans l'ordre, pourquoi ne pas automatiser cette tâche directement via le système de surveillance ?

Une réponse partielle m'a été fournie par monit. Malheureusement, si il est très bien conçu pour prendre des mesures préventives ou correctives, son interface de suivi est forcément sur le serveur surveillé, ce qui finit par poser des problèmes quand on a plusieurs machines sous sa responsabilité. Tildeslash (l'entreprise derrière monit) semble pourtant avoir eu conscience du problème et crée m/monit, mais ne publie plus que quelques copies d'écrans et une promesse de sortie d'une nouvelle version.

Après des mois d'attente je me suis décidé à créer un substitut utilisable, et me suis donc lancé en m'inspirant des quelques copies d'écrans disponibles.

Le résultat tient aujourd'hui en six tables MySQL, un peu plus de 1450 lignes de PHP, et un peu plus de 900 lignes de HTML "agrémentée" de plus de 200 lignes d'instructions Smarty.

Pour en savoir plus, vous pouvez consulter quelques captures d'écrans ou suivre ce projet sur SourceForge (pages en anglais).

(ou la norme ISO 17799 démystifiée en quelques questions).

Qu'est ISO 17799 ?

ISO 17799 est une norme internationale (issue de la norme britannique BS7799-1) définissant un ensemble de « bonnes pratiques » dans le domaine de la sécurité de l'information ; c'est à dire une collection de règles « à faire » et « à ne pas faire » afin de s'assurer que chaque donnée est accessible à qui est autorisé à la consulter au moment où il en a besoin, et en permanence inaccessible à qui ne doit pas en avoir connaissance.

Pourquoi mon organisation doit-elle implémenter ISO 17799 ?

Parce qu'il en va de sa survie. Des études ont démontré que le taux de mortalité des entreprises suite à la perte de données est extrêmement élevé : plus de 90% auront disparu moins de deux ans après avoir perdu toutes leurs données. A cette menace on peut ajouter le coût des heures de travail perdues quand une tâche est bloquée à cause de l'inaccessibilité des données, et celui de la divulgation de données confidentielles. Le but de la norme ISO 17799 est de limiter au maximum ces risques, donc les coûts induits.

Comment fonctionne ISO 17799 ?

ISO 17799 est un ensemble de recommandations. Le mode de fonctionnement d'ISO 17799 est de dicter un ensemble de règles et de buts à atteindre : définition d'une politique de sécurité, maintenance de systèmes, gestion de la reprise sur incident, continuité de l'activité après un désastre, méthodes de communication, contrôles d'accès, etc. Une entreprise respectant ISO 17799 est une entreprise qui respecte toutes les règles obligatoires de cette norme. ISO 17799 ne fournit pas de méthode absolue ou spécifique, et prévoit même que toutes ses spécifications ne pourront pas être respectées par toutes les structures, et que des contrôles qu'elle n'a pas prévu puissent être nécessaires : il s'agit d'un outil de contrôle de haut niveau et non pas d'un ensemble de méthodes.

Et si mon organisation décide de respecter ISO 17799 ?

Elle devra mettre en place un audit sur ses méthodes de sécurisation de l'information. En d'autres termes, elle devra s'assurer qu'elle contrôle parfaitement la sécurité de ses informations.

Quelle est l'origine de ISO 17799 ?

ISO 17799 est issue du standard britannique BS 7799-1. BS 7799-1 a été transformée en norme ISO 17799 selon une procédure d'adoption accélérée dite « fast track ». Incidemment cette méthode beaucoup plus rapide que la traditionnelle lui aura valu de ne pas être reconnue de certains pays, dont la France. En 2002 a commencé la révision selon la procédure normale (et beaucoup plus longue) qui passe par le consensus, aboutissant à une deuxième publication en juin 2005.

Qui a fait ISO 17799 ?

L'ISO regroupe des délégations nationales d'experts choisis par les organismes nationaux de normalisation. Ils participent à des comités techniques chargés de dégager un consensus basé sur les points de vue défendus par chacun de leurs pays.

Quand ?

BS 7799-1 est parue en 1995. Le schéma de certification autour de cette norme (BS 7799-2) a été mis en place en 1998. En 2000, BS 7799-1 est convertie en norme ISO 17799 selon une procédure dite « fast track » (c'est à dire une transcription sans nécessiter de consensus). En 2002 a été lancé le processus de révision de la norme ISO 17799 qui a abouti en juin 2005 à une norme ISO 17799 « nouvelle mouture » adoptée suivant le schéma du consensus, ce qui lui assurera une bien plus large reconnaissance et donc diffusion.

Comment être certifié ?

Il n'existe pas de « certification ISO 17799 » à proprement parler. ISO 17799 décrit uniquement des moyens à mettre en oeuvre. Cependant, il est possible d'utiliser ISO 27001, qui définit l'ensemble des tests et contrôles à effectuer pour s'assurer du bon respect d'ISO/CEI 17799.

Quel est le rapport entre ISO 17799 et ISO 15408 (critères communs) ?

ISO 17799 est un standard de management et s'intéresse aux aspects non techniques de la sécurité. ISO 15408 est un standard technique. En résumé, ISO 15408 permet de durcir la technique, et en ce sens peut aider à respecter ISO 17799.

La première réponse qui viendrait naturellement à l'esprit est : tout !

Pourtant dans une entreprise bien gérée ce n'est pas le cas. En effet, à quoi bon protéger ce qui n'a pas de valeur ? Et pourquoi utiliser des protections qui coûteraient plus que le bénéfice attendu ? Stocke-t-on ses photos de famille dans une chambre forte digne de Fort Knox ?

Avant de commencer à mettre en place des mesures de protection, il est utile de s'interroger sur la valeur des informations, et sur le coût d'une mauvaise protection :

• Est-ce une information stratégique ?
• La structure peut-elle fonctionner sans ?
• Est-ce une information recherchée par la concurrence ?
• Combien coûterait la reconstitution en cas de perte ?
• Le risque est-il financier ou non (image de marque, ...) ?
• etc.

Ce n'est qu'une fois la réponse à toutes ces questions (et bien d'autres) connue qu'une stratégie de protection pourra être mise en oeuvre.

Il n'y a malheureusement pas de recette miracle.
Toute information est susceptible d'être captée, modifiée, détruite, etc. Personne n'est à l'abri. Les ordinateurs de certaines des plus puissantes entreprises, ou même d'organisations devant assurer la sécurité d'un très grand pays ont étés piratés. Bien avant les ordinateurs l'espionnage existait et a réussi des exploits similaires.

Cependant, l'expérience a montré que certains facteurs sont capitaux dans la réussite de l'implémentation d'une politique de sécurité au sein d'une organisation. Le respect de ces quelques règles simples augmente considérablement les chances de succès :

1. Une politique de sécurité, avec des cibles et des activités qui reflètent clairement les objectifs de l'organisation.
2. Une approche de l'implémentation de la politique de sécurité qui soit cohérente avec la culture de l'entreprise.
3. Un support et un engagement visibles de la part de l'encadrement et de la direction.
4. Une bonne compréhension des nécessités et de la gestion de la sécurité.
5. Une bonne présentation (ou « vente » ) de la sécurité à tous les dirigeants et employés.
6. La distribution de guides pratiques d'information sur les règles et standards de sécurité à tous les employés et contractants.
7. La fourniture d'une formation appropriée à l'ensemble des intervenants.
8. Une méthode détaillée et équilibrée pour mesurer les performances du système de sécurité de l'information et prendre en compte les retours et suggestions d'amélioration.

Il est important de montrer l'implication de l'entreprise, par exemple par un document décrivant la politique de sécurité de l'entreprise (C'est d'ailleurs une des recommandation de la norme ISO 17799).

Ce document doit être approuvé par la direction et largement diffusé dans l'entreprise à destination de tous les employés. Son but est de décrire les engagements et définir l'approche du problème. Il doit au minimum inclure :

1. Une définition de la sécurité de l'information, des objectifs généraux, et de l'importance de la sécurité dans les mécanismes de partage de l'information.
2. Un rapport sur les intentions de la direction, énonçant les principes et objectifs de la sécurité de l'information.
3. Une rapide explication des politiques, principes, standards de sécurité et des impératifs les plus importants pour l'organisation, comme :
   1. La conformité avec les obligations légales et contractuelles.
   2. Les connaissances indispensables sur la sécurité.
   3. La prévention, détection, élimination des virus et autres programmes indésirables.
   4. La continuation de l'activité.
   5. Les conséquences des violations de la politique de sécurité.
4. Une définition des responsabilités générales et spécifiques pour la gestion de la sécurité, y compris la tenue des rapports d'incidents de sécurité.
5. Des références à des documents qui traitent de la sécurité, par exemple décrivant plus en détail la politique de sécurité, les procédures selon les systèmes d'informations spécifiques, ou les règles de sécurité que les usagers doivent respecter.

Que signifie exactement "sécurité des systèmes d'information" ?

• J'ai un antivirus donc je suis tranquille ?
• J'ai un firewall donc je suis protégé ?
• Je fais des sauvegardes donc je ne risque rien ?
• Rien de ce qui précède ?

En résumé c'est un peu de chaque. La sécurité des systèmes d'information ne signifie pas forcément "mettre en place un firewall, un antivirus et faire des sauvegardes", son champ d'application est beaucoup plus vaste que cela. La sécurité des systèmes d'information est trop souvent confondue avec la seule sécurité des systèmes informatiques. La norme ISO 17799 nous fournit les définitions suivantes :

Sécurité de l'information : Préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information. Confidentialité : L'information ne doit être accessible qu'à ceux qui ont le droit d'y avoir accès. Intégrité : Maintient de l'exactitude et de l'intégralité de l'information et des méthodes de traitement. Disponibilité : Les utilisateurs autorisés doivent avoir accès à l'information et à tout ce qui lui est associé à chaque fois qu'ils en auront besoin.

La sécurité des systèmes d'information s'intéresse donc à l'information sous toutes ses formes, qu'elle ait été formalisée ou pas, numérisée ou pas, informatisée ou pas.

Bien se souvenir que Information n'est pas informatique !
Pour illustrer, voici quelques pistes :

• Le téléphone.
  Alors que pirater une communication sur Internet nécessite de solides compétences informatique, écouter ce qui passe sur une ligne téléphonique ne demande que de savoir brancher deux fils, sans même prendre le risque de s'électrocuter : le courant est (heureusement !) beaucoup trop faible.
• Les journaux.
  C'est une des premières sources de veille concurrentielle. Par exemple, si vous recrutez dans un secteur autre que votre coeur de métier, c'est certainement que vous voulez l'investir. Vous pouvez aussi répondre à un journaliste. Etes-vous certain de ne pas avoir donné la moindre information qui pourrait servir à un concurrent ?
• Les corbeilles à papier.
  Factures, schémas explicatifs, brouillons de réponses à des appels à candidatures, notes confidentielles, etc. Utilisez-vous un destructeur de documents à chaque fois que nécessaire ?
• Cafés, restaurants (etc.).
  Les conversations ne portent-elles jamais sur des sujets internes ? Etes-vous certains que les personnes assises à la table d'à côté ne sont pas ravies de vous entendre ?
• le « social ingeneering » ou « ingénierie sociale ».
  Cet ensemble de techniques s'est récemment modernisée avec le « phishing » (ou « hameçonnage » ). Il s'agit de l'ensemble des méthodes visant à obtenir des informations en se faisant passer pour un interlocuteur digne de foi. Par exemple un prétendu technicien de maintenance qui pour mener à bien un soi-disant test de bon fonctionnement va demander un mot de passe pour être certain que le terminal de son interlocuteur fonctionne...
• Les employés temporaires (intérim, freelances, etc.), le nettoyage, etc.
  Prenez-vous toujours toutes les précautions pour qu'ils n'en apprennent pas plus que nécessaire ?

Vous avez décidé de renforcer la sécurité de votre système d'information, mais vous ne savez pas exactement comment vous y prendre, d'autant que la plupart de ceux qui se disent "spécialistes de la sécurité" ne sont en réalité que des vendeurs de firewalls et / ou d'antivirus.....

L'expérience a montré que certains facteurs sont capitaux dans la réussite de l'implémentation d'une politique de sécurité au sein d'une organisation. Le respect de ces quelques règles simples augmente considérablement les chances de succès :

1. Une politique de sécurité, avec des cibles et des activités qui reflètent clairement les objectifs de l'organisation.
2. Une approche de l'implémentation de la politique de sécurité qui soit cohérente avec la culture de l'entreprise.
3. Un support et un engagement visibles de la part de l'encadrement et de la direction.
4. Une bonne compréhension des nécessités et de la gestion de la sécurité.
5. Une bonne présentation (ou « vente » ) de la sécurité à tous les dirigeants et employés.
6. La distribution de guides pratiques d'information sur les règles et standards de sécurité à tous les employés et contractants.
7. La fourniture d'une formation appropriée à l'ensemble des intervenants.
8. Une méthode détaillée et équilibrée pour mesurer les performances du système de sécurité de l'information et prendre en compte les retours et suggestions d'amélioration.

Indépendant depuis que j'ai du créer mon entreprise pour avoir un emploi me correspondant dans mon pays, mon activité correspond de plus en plus à la définition de "freelance".

C'est dans cet esprit que j'ai crée "Le blog du freelance" sur le site "PacaJob" (http://freelance.blog.pacajob.com). Non pas pour trouver un emploi dans une autre entreprise (à moins d'une opportunité...), pas non plus pour provoquer ou concurrencer l'emploi traditionnel, mais pour faire connaitre cette forme de travail qui me correspond très bien et qui est en adéquation avec ce que je suis.

Ma vie professionnelle ayant commencé avec le langage C, il est bien normal que je lui rende ce petit hommage