|
Mme Giffre utilise son ordinateur pour se connecter à Internet afin de recevoir et d'envoyer ses e-mails (indispensables pour son activité), pour rédiger ses textes avec un traitement de texte et pour utiliser des outils de traduction sur Internet (dans les bases de données de ses clients gouvernementaux). Pour faciliter son travail et portant essentiellement sur des documents légaux, elle sauvegarde des modèles de textes qu'elle adapte selon l'environnement et le client.
Elle y gère également la liste de ses clients et, en particulier, des travaux qu'elle a réalisés pour eux afin de les facturer mensuellement.
Cela fait maintenant trois ans que Mme Giffre a acheté son ordinateur personnel. Après la naissance de son second enfant elle a décidé de travailler comme traductrice indépendante au foyer. L'ordinateur est son principal outil de travail. Cependant elle ne peut pas prétendre maîtriser son outil, même si elle en dépend fortement. Jadis, quand elle travaillait encore pour une grande société de traduction, des collègues spécialisés géraient le parc informatique.
Elle se rappelle que dans son ancienne société de traduction, tous les documents étaient stockés sur des serveurs spécifiques et que les droits d'accès aux différents répertoires des serveurs et aux postes de travail étaient gérés par le responsable informatique. Lorsque des erreurs de manipulation avaient détruit des documents ou des répertoires entiers il était possible de demander à ce responsable de restaurer les fichiers détruits.
A présent de par sa situation d'indépendante, elle doit gérer seule son ordinateur. Certes, son mari l'aide parfois, mais lui non plus n'est pas un spécialiste des technologies de l'information. C'est la raison pour laquelle elle s'est déjà souvent posée la question de savoir comment pérenniser les travaux qu'elle effectue sur son ordinateur. Elle se souvient avec un certain regret du temps où elle pouvait recourir à des spécialistes pour gérer les outils informatiques.
Soucieuse d'éviter les impacts considérables dus à des incidents informatiques accidentels ou malicieux, elle décide de se former plus amplement aux technologies de base qu'utilisent ses outils de travail.
Mme Giffre travaille depuis longtemps sur ordinateur. Adolescente, elle a vécu l'arrivée en masse des ordinateurs personnels ; mais comme beaucoup de gens, elle ne sait pas comment ils fonctionnent. Elle a appris à les utiliser, mais elle ne s'est jamais posée de questions sur les technologies de base sous-jacentes. Son frère cadet Pascal lui a, à l'occasion, montré l'intérieur d'un ordinateur et lui a même expliqué certains principes de base ; malheureusement elle ne s'y est que peu intéressée et a oublié quasiment tout ce que Pascal avait dit à ce sujet. Elle se souvient tout de même que l'ordinateur n'est qu'un ensemble de composants électroniques modulaires assemblés dans le but de permettre le traitement de données sous forme de bits. Elle sait aussi que l'ordinateur travaille avec un certain système d'exploitation qui permet de lancer certains logiciels. Pascal lui avait même expliqué qu'il y a différents types de systèmes d'exploitation tels que LINUX ou Microsoft Windows 2000 ou encore Microsoft Windows XP.
Mme Giffre connaît aussi l'importance du disque dur de son ordinateur. En effet, le système d'exploitation qui fait tourner sa machine, ainsi que tous les logiciels et toutes ses données sont stockés sur le disque dur. Elle doit donc le protéger contre tout incident informatique. Elle décide de réfléchir sur des mesures préventives, mais aussi sur des mesures curatives. Il serait tout à fait préjudiciable qu'elle perde toutes ses données. Mme Giffre est certaine que même avec les sauvegardes dont elle dispose elle mettrait un certain temps pour tout remettre en marche. Elle devrait même demander de l'aide à son frère Pascal ou à un autre spécialiste en informatique.
Pour pouvoir travailler de façon efficace, elle utilise aussi très souvent Internet. Elle y trouve des informations utiles pour son travail de traductrice et accède par ce biais aux bases de données de ses clients. Internet est vraiment un formidable outil de travail pense-t-elle, mais en fait, elle ne sait pas du tout comment cela fonctionne. Ce qu'elle sait, c'est qu'Internet peut représenter dans le même temps et que pour se protéger efficacement, elle doit connaître ces dangers et surtout comprendre les différentes technologies qui sont à la base d'Internet.
Mme Giffre utilise également très souvent le courrier électronique pour communiquer avec ses clients. C'est un outil peu coûteux et très pratique mais elle sait bien que le courrier électronique est un moyen peu sûr du point de vue de la confidentialité. Elle a même entendu raconter son frère Pascal qu'il est très simple pour un initié de falsifier des e-mails. Pascal l'a aussi prévenue des risques liés aux virus qui se propagent par ce biais.
Mme Giffre est consciente du fait qu'elle dépend fortement des technologies de l'information qu'elle utilise. Elle sait qu'elle doit protéger son ordinateur et surtout les données qu'il contient contre des incidents informatiques. En revanche, ce qui n'est pas encore clair, c'est contre quels types d'incidents elle doit se protéger. En réfléchissant aux dangers potentiels, elle se rend compte que, là encore, elle n'a que des informations floues et ne dispose pas de connaissances approfondies, en tout cas pas assez approfondies pour comprendre la vraie nature de la menace et les impacts que celles-ci peuvent avoir.
Elle estime que cette situation est hautement insatisfaisante et ne correspond pas du tout à sa façon d'aborder les choses. Elle s'est rendue compte que pour pouvoir fournir un service de qualité à ses clients, elle doit être à même de préserver la confidentialité des documents qui lui sont confiés et qu'elle doit pouvoir délivrer des traductions de qualité (comme elle l'a toutjours fait) dans les délais convenus. Elle décide donc d'approfondir ses connaissances dans le domaine de la sécurité des systèmes et réseaux de l'information car, sans ce savoir-faire se dit-elle, je ne pourrai jamais garder un tel niveau de qualité et je serai dépassée par mes concurrents.
Elle décide donc d'inviter son frère Pascal à un dîner de « travail ». Elle est réellement décidée à approfondir son savoir-faire afin de pouvoir travailler avec le professionnalisme nécessaire et attendu par ses clients. Pendant le dîner elle note tout ce que dit Pascal.
Celui-ci lui fait part de l'existence de deux grandes familles de menaces, les menaces non intentionnelles et les menaces intentionnelles :
Menaces non intentionnelles
Pascal sait que sa sœur ne redoute rien plus que l'impact qu'aurait la perte des données de son ordinateur. Il lui explique que, selon les statistiques du CLUSIF, la défaillance de matériel est la principale cause de la perte de données (44%), suivie par l'erreur humaine (32%), les logiciels endommagés ou corrompus (14%), les vers et virus (7%) et enfin les catastrophes naturelles (3%). Sachant que Martine veut acquérir un ordinateur portable, son frère lui explique que ces machines sont spécialement sensibles en ce qui concerne les incidents menant à des pertes de données.
Pascal lui explique qu'il est important de faire la différence entre les pannes touchant directement un élément physique d'un système et les pannes touchant la couche logicielle des éléments physiques. En effet, la plupart des équipements électroniques exercent leur fonction grâce à des logiciels. Le mauvais fonctionnement de ces couches logicielles peut également rendre inopérant, voire détruire certains équipements. Un grand nombre d'indisponibilités de solutions informatiques ne sont pas directement liées à un équipement informatique, mais simplement au fait que les conditions générales de bon fonctionnement ne sont plus assurées (courant électrique, climatisation,etc.).
Puisque les erreurs humaines sont une des causes principales de la perte de données, Pascal explique à sa sœur qu’elle doit rester vigilante. Il lui explique que la négligence et l’incapacité mènent souvent à des erreurs humaines. Par ailleurs, des caractéristiques personnelles telles la fainéantise et le manque de formation et de sensibilisation mènent souvent à ce type d'erreurs. Ceci motive Martine à s’investir encore plus dans sa démarche de formation dans les technologies de l’information. Puis Pascal choisit de la sensibiliser au fait que des secrets sur les systèmes et réseaux d’information sont parfois involontairement trahis par les victimes du social engineering.
Menaces intentionnelles
Pascal explique à sa sœur que contrairement aux menaces non intentionnelles, les menaces intentionnelles ont toujours une origine humaine. Ces personnes utilisent les systèmes et réseaux d’information pour perpétrer un crime « classique » ou s’attaquent directement aux systèmes d’information d’une victime spécifique ou choisie de façon aléatoire. Les motivations qui poussent l'attaquant à agir de la sorte peuvent être de nature stratégique, terroriste, cupide, ludique ou être dues à une simple vengeance.
La probabilité que Martine devienne la victime d’une attaque ciblée est vraiment minime, mais nombreux sont ceux qui attaquent de manière aléatoire, des systèmes informatiques. Ces cybercriminels sont souvent appelées « scriptkiddies » puisqu’ils ne disposent que d’un savoir-faire limité qui les contraint à utiliser des scripts pré-configurés pour attaquer des cibles choisies arbitrairement.
Martine pourrait aussi devenir la proie d’un cracker. En effet, ces cybercriminels préparent des attaques ciblées sur une victime spécifique en corrompant une multitude de machines sélectionnées au hasard. Ces machines corrompues sont ensuite préparées par le cracker pour lancer une attaque synchronisée sur une cible spécifique. Pascal prévient sa sœur qu’elle peut être sanctionnée de manière légale si, par négligence de sa part, une telle attaque est menée à l’aide de sa machine.
Les outils utilisés par les cybercriminels sont multiples. Les plus utilisés sont les vers et virus, les chevaux de Troie ainsi que les « root-kit». Pascal explique à Martine que chaque jour une multitude de nouveaux vers et de nouveaux virus sont découverts. Les virus, contrairement aux vers, ont besoin d’un hôte (normalement un exécutable) pour se propager et doivent être lancés par une action humaine. Les vers ont la capacité de se déplacer et de se multiplier sans intervention humaine directe. Les chevaux de Troie se cachent souvent dans des exécutables anodins et ouvrent un accès illicite à la machine, de telle sorte que l’auteur du cheval de Troie peut prendre possession de la machine infectée. Les root-kits aident les attaquants à exploiter une vulnérabilité d’une machine afin d'en prendre possession.
À part ces attaques à distance il existe bien sûr des attaques physiques sur les matériels informatiques. Parmi ces attaques, doivent être pris très au sérieux le vol et la destruction de matériel. Ces attaques sont très faciles à perpétrer et le vol de laptops est extrêmement courant. Selon les statistiques du CLUSIF, le vol physique de laptops est le second délit informatique après l'envoi de virus : 591.000 ordinateurs portables ont été volés en 2001 aux États-Unis.
Martine est très étonnée de l'existence d'une telle multitude de menaces. Elle est surtout effrayée par le fait de pouvoir devenir à tout moment la cible de cybercriminels.
Pascal la rassure et lui explique que même si le nombre de menaces est vraiment important, elle n’a pas besoin de prévoir un grand nombre de mesures préventives ou de mettre de nombreuses contre-mesures en place pour se protéger de façon efficace.
En effet, pour prévenir les erreurs et se protéger des impacts dus aux menaces non intentionnelles elle n’a qu’à respecter quelques règles très simples.
Tout d’abord, elle doit se familiariser avec ses outils informatiques. Elle doit essayer de comprendre comment ils fonctionnent car ce n’est que grâce à ce savoir-faire qu’elle pourra éviter de commettre certaines erreurs humaines. Ce savoir-faire est également indispensable pour pouvoir détecter des défaillances éventuelles et pour pouvoir faire la maintenance des systèmes informatiques. En effet, des systèmes informatiques non entretenus sont plus souvent sujets à des défaillances techniques ou logiques que des systèmes bien entretenus.
Ensuite, elle doit nécessairement prévoir des procédures de sauvegarde de ses données car certains événements ne sont pas prévisibles, comme la panne de matériel par exemple. La sauvegarde des données est le seul moyen de pouvoir récupérer des données qui ont été détruites ou altérées.
Pour prévenir le vol ou la destruction involontaire ou volontaire de matériel informatique, elle doit veiller à un certain niveau de sécurité physique. Les équipements, surtout ceux que Martine estime être critiques, doivent être protégés contre des dommages pouvant être causés par des tiers. Chez Martine, les menaces physiques ne proviennent sûrement pas en premier lieu de personnes inconnues, mais plutôt de ses propres enfants.
Pour se protéger de façon efficace des menaces intentionnelles, elle doit mettre en place 3 mesures supplémentaires.
La première mesure à prendre, c’est d’installer un logiciel anti-virus sur son ordinateur. Cependant il est insuffisant d’installer un antivirus, il faut en plus le tenir constamment à jour car les logiciels anti-virus protègent uniquement un ordinateur des virus qu’ils reconnaissent. Si Martine ne fait pas de mises à jour de son logiciel anti-virus, ce dernier ne saura jamais protéger son portable contre les nouveaux virus. Disposer d’un anti-virus non mis à jour est aussi dangereux que de n’avoir aucun logiciel du tout.
La deuxième mesure à mettre en place est de vérifier régulièrement que le système d’exploitation de son ordinateur est mis à jour. La mise à jour du système d'exploitation se fait par l'application de patch. En effet, toutes les semaines des erreurs dans les logiciels sont découvertes et celles-ci peuvent être exploitées par des cybercriminels ou par des vers pour prendre possession d’un ordinateur. Pascal explique à sa sœur que travailler sur un ordinateur dont le système d’exploitation n’est pas mis à jour c’est comme essayer de défendre un château dont les murailles comportent de gigantesques trous. Il est donc nécessaire de boucher ces trous avant qu’ils ne soient utilisés pour entrer dans le château.
La troisième mesure importante est de doter son ordinateur d’un pare-feu. Ce logiciel va surveiller toutes les communications de l’ordinateur avec le monde extérieur. Avec ce logiciel, Martine pourra définir quelles communications sont autorisées. Sans autorisation explicite de sa part, aucune communication ne pourra s’effectuer, indépendamment de celui qui est initie la communication, que ce soit un logiciel, un cheval de Troie ou un cybercriminel.
|
