Pas un seul de ces cas n'implique de super-pirate attaquant un syst・e d'information officiel. Dans le dernier exemple, l'intrusion a ・?rendue possible par la plus grossi・e des erreurs, ・uivalant ? laisser sa maison ouverte ?tous les vents. Ces incidents auraient pu ・re ・it・ par une planification, une formation ou une supervision ・・entaires.

En r・um? il existe une menace accrue d'attaques de l'ext・ieur du fait de la prolif・ation des syst・es informatiques, mais les proportions elles-m・es n'ont pas chang?nbsp;: les parts du g・eau restent inchang・s : c'est le g・eau lui-m・e qui a grossi. Les menaces se sont-elles multipli・s ? Certes. Ont-elles chang?nbsp;? Non.

Le risque accru de piraterie informatique est d??plusieurs causes :

Les nouveaux mod・es op・ationnels : le secteur public imite le secteur priv? avec un retard d'environ cinq ans.

L'essor exponentiel des syst・es informatiques : les ordinateurs et les r・eaux se sont introduits dans pratiquement tous les domaines de notre existence.

La diminution des co・s : les techniques d'aujourd'hui sont peu co・euses. Quelles que soient les mesures utilis・s, les co・s de base sont plus faibles qu'ils ne l'ont jamais ・? et le co・ des nouvelles techniques d・ro・ plus rapidement qu'il y a encore quelques ann・s en raison des progr・ rapides et de la concurrence accrue.

Les nouveaux mod・es op・ationnels

Dans le processus de d・entralisation des activit・, le si・e de l'organisme en tant que lieu central de prise de d・isions et de rassemblement de l'information a ・?remplac?par des unit・ ind・endantes p・iph・iques soutenues par un syst・e de distribution de l'information.

Dans la technologie de l'information, cette ・olution se traduit par l'abandon progressif des syst・es ?architecture ferm・ au profit de r・eaux, intranets et extranets. La distribution de l'information pose des difficult・ accrues pour la protection des ・uipements, pour les op・ations de surveillance et pour la solution des probl・es, du fait de la multiplication des points d'exposition. Du c・? positif, la distribution ・ectronique de l'information autorise des gains ・ormes de productivit? si bien que l'investissement consenti devient souvent rentable en moins d'un an.

Le secteur priv?commence ?mettre l'accent sur les fonctions de base au lieu d'essayer de tout fournir ?tout le monde. Les entreprises ont ?pr・ent des effectifs beaucoup plus modestes, ce qui leur permet de r・oudre les probl・es de main-d'・uvre et d'・iter les probl・es logistiques li・ aux mutations. Seuls sont pourvus les postes qui contribuent directement ?l'accomplissement des objectifs de l'entreprise. La pratique des fusions et des acquisitions impose fr・uemment le recours ?des services ext・ieurs pour remplir les fonctions administratives et d'appui, en particulier celles li・s ? l'information. Les organes judiciaires (et le gouvernement tout entier) se sont engag・ sur la m・e voie de la rationalisation des op・ations, de la r・uction des co・s et de l'am・ioration des services.

En outre, il est devenu tr・ difficile de conserver un personnel technique comp・ent. Les organismes publics ne sont pas en mesure de concurrencer le secteur priv?sur le plan des salaires pour remplacer les transfuges et cette r・lit?a ・alement accru l'utilisation de services ext・ieurs.

Le renouvellement acc・・?des cadres et des gestionnaires est lui aussi, aujourd'hui, une r・lit?de la vie des organisations. La pratique des compressions de personnel et des raids des entreprises chez leurs concurrentes pour leur ravir leurs meilleurs ・・ents, entra・e le danger de voir les cadres sup・ieurs ou interm・iaires emporter avec eux des biens intellectuels importants. C'est ainsi qu'un gestionnaire a ・?poursuivi et condamn?pour ce type d'infraction lorsqu'il s'est av・?que l'organisation du r・ertoire de fichiers informatiques de son nouvel employeur ・ait absolument identique ?celle de l'entreprise qu'il avait quitt・. Fait rarement publi?ou m・e admis, les soci・・ qui r・uisent leurs effectifs subissent souvent des millions de dollars de pertes en mat・iel, en logiciel, en fournitures et en ・uipement si les employ・ vis・ re・ivent un pr・vis de licenciement.

En d・it des avantages de la formule, l'appel ?des services ext・ieurs peut mettre en cause la s・urit?informatique. Il est donc particuli・ement important d'appliquer un plan de s・urit? lorsque des responsabilit・ essentielles ?l'accomplissement de la mission sont confi・s ?des employ・ contractuels ou ?des sous-traitants ext・ieurs. L'organisme peut exiger que tous les contractuels fassent l'objet de v・ifications des ant・・ents et des r・・ences.

La croissance exponentielle de l'utilisation de la technologie de l'information

L'informatique et les r・eaux ・ectroniques se sont insinu・ dans pratiquement tous les domaines de notre existence. Les fraudes, les vols, la divulgation illicite d'informations sont rendus possibles par les ordinateurs, les r・eaux et l'internet que nous utilisons. Nous assistons ?l'apparition de nouvelles formes de d・its et ?la r・pparition de vieilles combines.

Heureusement, l'utilisation croissante des ordinateurs a permis de faire progresser les techniques, les normes et l'identification des meilleures pratiques. La technologie a profit?des enseignements tir・ des erreurs, ce dont nous avons tous b・・ici?aussi. Les pratiques relatives ?la s・urit?se sont ・alement am・ior・s gr・e aux le・ns apprises, qui ont permis de d・ager un ensemble de principes pratiques. Le secteur priv?a pr・ar?la voie dans ce domaine. La plupart des nouveaux produits (mat・iel et logiciel) ont maintenant des fonctionnalit・ de s・urit?incorpor・s. Qu'elles soient utilis・s ou non est une autre question.

La diminution des co・s

Quelles que soient les mesures retenues, le co・ des techniques informatiques de base est plus bas qu'il ne l'a jamais ・? Pratiquement tout le monde peut se permettre un ordinateur.

L'・uipement co・e moins cher, d'une part, mais les sommes inscrites aux budgets des organismes publics pour r・liser des investissements dans ce domaine sont aussi plus g・・euses aujourd'hui qu'?n'importe quel moment depuis la fin des ann・s 1960 et le d・ut des ann・s 1970. C'est ainsi, par exemple, que le financement des initiatives relatives au passage informatique ?l'an 2000 et ?la criminalit?informatique se chiffre en milliards de dollars, et qu'il vise sp・ifiquement ?am・iorer ou ?remplacer les syst・es d'information du secteur public. C'est l?l'occasion r・・ pour les organes judiciaires d'inclure la s・urit?dans l'・aboration et l'adoption de nouveaux processus op・ationnels et de syst・es informatiques. La mise ?niveau des syst・es de s・urit?apr・ coup est une op・ation trop on・euse et g・・alement peu efficace.

La planification de la technologie de l'information

Le livre de science fiction ?nbsp;Le guide de l'autostoppeur galactique ?a pour premi・e r・le : ne pas paniquer.

Ce conseil s'applique ・alement ?la planification de la s・urit? informatique. Un grand nombre d'organismes h・itent ?investir dans les syst・es informatiques car ils s'imaginent, croyance tenace et exag・・, que les r・eaux seront imm・iatement assi・・ par les pirates et envahis par les intrus.

En d・it de l'accroissement des risques d'intrusion, les comp・ences et les outils n・essaires pour construire des d・enses efficaces sont d・?disponibles et s'am・iorent quotidiennement. Une planification pr・lable efficace permet de r・ondre rapidement et de mani・e appropri・ ?n'importe quelle attaque, de pr・enir la plupart d'entre elles et de minimiser l'impact des autres.

La planification des syst・es d'information doit s'inscrire dans une perspective large tenant compte de tous les aspects des activit・ de l'entreprise : le plan doit d・ouler directement des plans op・ationnels de l'organisation. Il doit d・rire les exigences relatives aux activit・ destin・s ?r・liser les buts op・ationnels et non pas ・re une liste id・le et illimit・ des composantes de syst・es. On s'attachera donc avant tout ?d・inir l'objectif vis?et non pas la mani・e de l'atteindre. Il existe g・・alement de multiples mani・es de r・ondre aux exigences, avec des variations consid・ables au niveau des co・s. Chaque dollar d・ens?doit ・re clairement justifi? Et la s・urit?doit ・re int・r・ dans le plan d・ le stade de la conception.

On adoptera une charpente de syst・e aussi simple que possible, car la simplicit?constitue un atout majeur pour la s・urit? Les syst・es multiples, quel que soit leur degr?d'int・ration, pr・entent de multiples points d'acc・ et n・essitent de multiples syst・es de s・urit?et d'appui qui se traduisent par des augmentations de co・s.

Les sept principes strat・iques relatifs ?la s・urisation des syst・es d'information

1. La simplicit?avant tout. Si le dispositif de s・urit?est trop compliqu? les utilisateurs ・itent de s'en servir ou essaient de le contourner, ce qui le rend inop・ant ou en r・uit l'utilit? Les mesures de s・urit?moderne peuvent ・re efficaces et discr・es.

2. D・inir ?l'avance les r・les, proc・ures et p・alit・. Ces trois ・・ents de la s・urit?doivent ・re d・inis en fonction des besoins des utilisateurs, de la nature des applications et de l'information ?prot・er. Ils doivent aussi ・re strictement respect・. Il vaut mieux ne pas avoir de syst・e de s・urit?que de l'appliquer ?moiti?

3. Former le personnel ?l'utilisation du dispositif en soulignant les trois ・・ents susmentionn・. On renforcera la formation en analysant et en diffusant des nouvelles pertinentes, telles que des articles sur les cyberattaques ou les usages abusifs des syst・es.

4. Utiliser autant que possible les produits disponibles tels quels dans le commerce, plut・ que de d・elopper des applications de s・urit?sp・ialis・s. Ceci est ?conseiller pour plusieurs raisons, parce que les besoins des organisations sont relativement simples. Les organes judiciaires ・ablissent des relations entre les personnes, et entre les personnes et les ・・ements, en recueillant et en partageant les informations. Les produits standard bas・ sur des normes ouvertes ont ・?test・ et ont fait leurs preuves ; leurs utilisateurs peuvent nous fournir des renseignements suppl・entaires dont nous pouvons tirer des le・ns. M・e pour les nouveaux produits, on peut ・aluer les m・hodologies utilis・s dans les tests et analyser les r・ultats. Et surtout, les produits standard sont g・・alement bien document・ pour les utilisateurs et pour les techniciens. La documentation et les tests de s・urit?sont fr・uemment n・lig・ lorsque l'on d・eloppe des applications sp・ifiques de mani・e interne.

5. Trier l'information, les ・uipements et les utilisateurs. Prot・er l'information et les avoirs en fonction de leur valeur. L'information confidentielle doit ・re hautement prot・・. En revanche, l'information publique ou facilement rempla・ble ne n・essite pas une s・urit?compliqu・. Une ・aluation objective d・ontrera que la part des ・・ents d'information publique est bien plus grande que celle des donn・s confidentielles.

   De m・e, les ・uipements (ordinateurs personnels, serveurs, c・les, ordinateurs centraux, etc.) et les fournitures (logiciels, disquettes, etc.) doivent ・re inventori・ et prot・・ de mani・e appropri・. Les organismes re・ivent souvent de grandes quantit・ de mat・iel et de logiciel (ordinateurs personnels, moniteurs, cartes de r・eau, ordinateurs centraux, routeurs, etc.) sans inscrire les articles dans une base de donn・s de contr・e des avoirs et sans les v・ifier soigneusement pour s'assurer qu'ils ont bien re・ les articles command・, que le mat・iel est bien configur?et qu'il fonctionne correctement. Ils n'ont donc pas de preuves ?pr・enter en cas de perte des avoirs ou de difficult・ de fonctionnement. La gestion de l'inventaire est une premi・e ・ape. La deuxi・e ・ape est le contr・e de la configuration.

   Au moment de la livraison, la configuration de chaque dispositif mat・iel doit ・re ・ablie et chaque programme doit ・re enregistr? selon les r・les. L'inventaire contiendra alors une description d・aill・ de chacun des composants du syst・e, mat・iel et logiciel, et du lieu o?ils se trouvent (jusqu'au num・o du bureau et ?son emplacement pr・is dans le bureau). Ces renseignements sont d'une grande valeur pour la protection des avoirs, pour l'identification des vols ou des intrusions, et lors des enqu・es en cas de probl・es. Il existe des logiciels qui v・ifient la configuration et signalent automatiquement les probl・es aux administrateurs de la s・urit? Ils maintiennent ・alement un journal des modifications et de la maintenance du syst・e. Il est important que les r・arations effectu・s, les am・iorations apport・s aux syst・es et les op・ations de maintenance soient enregistr・s. Enfin, des dispositifs physiques et des vis sp・iales pour verrouiller les postes de travail peuvent r・uire les vols et les modifications. Le r・lement int・ieur doit exiger que toute anomalie soit signal・ et fasse l'objet d'une enqu・e.

   Le tri des fournitures et des avoirs permet de leur accorder un traitement appropri?selon leur co・ ou leur importance pour la mission. Ce point est tr・ souvent n・lig? C'est ainsi que l'on conserve sous cl?des fournitures bon march?telles que les disquettes alors que des biens essentiels tels que les serveurs ne sont pas prot・・, se trouvent dans des bureaux ouverts, et que les c・les de r・eau et les routeurs sont plac・ le long des plinthes des murs au lieu d'・re prot・・ sous conduits et cach・ dans les plafonds.

   Il faut ・alement trier les utilisateurs, ?savoir contr・er les applications et les informations auxquelles ils ont acc・ et comment ils y ont acc・. (Par exemple, un utilisateur donn?peut avoir acc・ ? un fichier r・erv?uniquement ?partir de certains postes de travail et ?certains moments). Il faut contr・er qui a le droit de cr・r des comptes ou d'・ablir des identifications d'utilisateurs dans un syst・e, et op・er des v・ifications fr・uentes pour d・ecter les identit・ ou les comptes factices.

   L'organisme doit ・re dot?de bonnes capacit・ d'audit.

   Un d・aut de la cuirasse fr・uemment n・lig?se situe au niveau de la documentation des syst・es. La documentation de tout genre est souvent trait・ sans pr・autions et les classeurs sont laiss・ ouverts dans des bureaux accessibles au premier venu. Les d・ails techniques et les informations concernant les utilisateurs doivent ・re prot・・s. Il peut sembler plus pratique et moins co・eux de pr・arer et de publier une documentation ?nbsp;?tous usages ? mais ceci pr・ente des dangers. Les manuels d'utilisateurs finals largement distribu・ contiennent souvent de grandes quantit・ d'informations techniques inutiles pour l'utilisateur, mais de grande valeur pour les pirates. Un pirate arm?d'informations d・aill・s peut attaquer un syst・e avec une pr・ision scientifique au lieu de recourir ?la force brute plus facilement d・ectable. On veillera donc ?ne distribuer la documentation que selon le principe du besoin de savoir.

   La documentation doit ・re prot・・, son acc・ contr・? et les utilisateurs doivent ・re form・ aux m・hodes ?appliquer pour la prot・er. La publication ・ectronique de la documentation sur le r・eau est recommand・, de pr・・ence ?son impression sur papier : elle r・uit les co・s, simplifie les mises ?jour et permet d'assurer une meilleure protection.

6. ・re r・liste au sujet de l'administration de la s・urit? Il ne faut pas s'attendre ?ce que les organes judiciaires, par exemple, puissent ・ablir ou administrer un programme de s・urit? imp・・rable. Il faut tenir compte de mani・e r・liste des besoins de s・urit? au regard des co・s et d・erminer le niveau de soutien n・essaire pour r・liser les objectifs vis・. On confiera donc aux employ・ les t・hes qu'ils peuvent accomplir de mani・e efficace et les autres t・hes ? des sources ext・ieures. L'objectif global est d'obtenir les r・ultats d・inis par le plan de s・urit?de l'information.

   Un grand nombre de ressources sont disponibles pour satisfaire aux besoins de s・urit? Les services ext・ieurs constituent une solution efficace par rapport au co・. ?mesure qu'augmente la d・endance ? l'・ard de l'informatique, l'importance attach・ ?la s・urit?va ・alement croissant et le secteur priv?r・git en offrant des services de s・urit?de grande qualit?

   Une autre possibilit?int・essante est celle du recours aux ressources que peuvent se fournir mutuellement les organes judiciaires et les sp・ialistes de la s・urit? Le partage des ressources, la mise en commun de fonds pour des acquisitions conjointes, les dons de services de la part des universit・ ou de la collectivit?sont toutes des mani・es possibles de combler les lacunes du plan de s・urit?

7. Tester, auditer, inspecter les sites et faire des enqu・es continuelles et randomis・s. On utilisera une m・hodologie d'examen et de tests des codes pour bloquer les entr・s d・ob・s dans le syst・e. On se servira de programmes automatiques d'audit et de surveillance, ainsi que de programmes qui v・ifient les modifications des fichiers. On ・aborera et on utilisera des programmes ?nbsp;avertisseurs ? pour identifier les auteurs d'attaques contre le syst・e existant ou en puissance. On fera conna・re les menaces et les ripostes. Il est particuli・ement important de prendre des d・isions rapides, coh・entes et appropri・s en cas de violations d・ect・s ou rapport・s et de publier largement les mesures disciplinaires prises pour garantir la s・urit?de l'information.

Les techniques nouvelles

La s・urit?des syst・es d'information a progress?aussi rapidement que tous les autres aspects de l'informatique, mais elle ne peut pas ・re efficace si le dispositif n'est pas d・loy?correctement. Pratiquement toutes les applications standard disponibles dans le commerce comportent des fonctions de s・urit? Les filtres s・uritaires sont plus robustes, plus adaptables et plus faciles ? utiliser que jamais et ?des prix tr・ raisonnables. Les programmes de cryptage sont plus puissants et plus faciles ?ex・uter et ? entretenir. La capacit?de g・er et de surveiller les syst・es distribu・ ?partir d'un point unique du r・eau s'accro・ constamment. Les programmes de surveillance et d'audit automatis・ pour contr・er l'utilisation du syst・e et alerter les administrateurs en cas d'atteinte ou de tentative d'atteinte ?la s・urit?arrivent rapidement ?maturit?

L'un des domaines techniques o?les progr・ sont les plus prometteurs est la biom・rie, qui permet d'identifier les individus d'apr・ des caract・istiques physiques sp・ifiques (empreintes digitales, voix, g・m・rie de la main, empreintes r・iniennes, etc.). Les dispositifs biom・riques permettent une authentification des utilisateurs plus efficace que jamais et emp・hent les personnes non autoris・s d'acc・er ?un syst・e m・e si elles poss・ent le mot de passe.

IBM, en coop・ation avec la Banque Barclays en Europe, effectue des essais de clavier de poste de travail ?lecteur d'empreintes digitales. Les utilisateurs doivent se faire authentifier avant de pouvoir acc・er ?une partie quelconque du syst・e. La technologie flash (algorithme de recherche d'images) est rapide et pr・ise. Elle permet de rechercher dans une base de donn・s de millions de fichiers (y compris d'images d'empreintes digitales) pour d・erminer s'il existe une concordance. Cette technologie, alli・ ?l'usage de r・eaux ?haute vitesse, se pr・e aux applications dans les GAB (guichets automatiques de banque) et autres dispositifs de transactions ・ectroniques. Elle est utilis・ actuellement au P・ou dans un syst・e d'inscription sur les listes ・ectorales ?base d'empreintes digitales ; ce projet, qui a donn?d'excellents r・ultats, contribuera ?pr・enir les fraudes ・ectorales.

?mesure que ces techniques continueront d'・oluer, la s・urit?de l'information continuera de s'am・iorer sur les plans tant de l'efficacit?que de la facilit?d'utilisation.