Commerçant
Background image
Commerçant
Commerçant
Commerçant

Comment garantir la sécurité de mon site ?

La sécurité informatique évoque l'ensemble des outils ou méthodes qui tendent à maintenir, voire à rétablir la disponibilité, la confidentialité et l'intégrité d'un système informatique et donc aussi des sites internet. Cet aspect n'est pas à prendre à la légère. Les nouvelles relayées presque quotidiennement par les médias suffisent à s'en convaincre : pas un jour ne passe sans qu'il soit fait écho, de virus informatiques, d'intrusions de hackers, de piratage de sites, de vols de bases de données, etc.

Quels sont les dangers qui menacent un site web ?

Il ne saurait être question ici d'énumérer tous les dangers qui pourraient menacer votre site: la liste serait trop longue. Le propos est uniquement de recenser l'une ou l'autre des agressions les plus fréquentes ou les plus destructrices afin de vous sensibiliser au thème souvent négligé de la sécurité. Soyez en effet conscient que certaines entreprises ont été acculées à la faillite suite à une défaillance de leur système informatique ou à la perte de l'ensemble des données.

Il est bon de rappeler que la sécurité du système ne sera pas uniquement compromise par la suite de malveillances: un incendie, un dégât des eaux, une panne des composantes informatiques, des erreurs humaines dans la conception des programmes peuvent aussi mettre en péril votre système. Des solutions de bon sens s'imposent pour éviter ce genre de désagrément (back-ups réguliers, sécurisation des installations, disaster recovery plan, etc.).

Quelles sont les techniques d'agression utilisées ?

Sans prétendre à l'exhaustivité, voici quelques-unes des techniques utilisées par les criminels informatiques.

Pour pénétrer dans un réseau en principe inaccessible, les pirates vont rechercher des failles de sécurité, à savoir les bogues ou anomalies de certains logiciels qui permettent de violer le système sur lequel tourne ce programme. Dès l'instant où une faille est découverte sur le site, c'est un jeu d'enfant de s'introduire dans le système. Les pirates n'hésitent d'ailleurs pas à mettre à disposition, sur leurs sites, des programmes permettant précisément d'exploiter ces failles.

Mais il n'est parfois pas nécessaire de recourir à ce genre de subtilités : en possédant un login (un nom d'utilisateur) et un mot de passe, le pirate peut sans problème accéder au réseau en tant qu'utilisateur. On ne saurait donc trop insister sur l'importance de choisir un bon mot de passe. On recommande que celui-ci soit long, avec des caractères variés (minuscules, majuscules, chiffres et lettres et symboles du type @ ! § ~ ^) et qu'il ne s'agisse pas d'un mot figurant dans le dictionnaire.

L'envoi d'un virus peut aussi gravement endommager le système.

Quels sont les différents virus ?

Eu égard aux dégâts potentiels que peut générer le sabotage informatique, il peut être intéressant de détailler quelques-uns des virus susceptibles d'infecter votre système.

De façon générique, on entend par virus un programme (souvent attaché à un fichier exécutable) installé sur un ordinateur à l'insu de son utilisateur et capable de se reproduire sur l'ordinateur infecté, sur un de ses supports (CD-ROM, clé USB), ou encore sur une machine du réseau intranet ou internet auquel il est connecté. Ses manifestations seront multiples : tantôt il effacera l'un ou l'autre fichier, voire tout le disque dur (à noter qu'il suffit parfois de détruire l'un ou l'autre fichier vital du disque dur pour rendre celui-ci totalement inutilisable), tantôt il fera apparaître des images ou des sons étranges, tantôt encore il diminuera les performances du microprocesseur. Certains virus agissent parfois de façon plus insidieuse : ils n'effacent pas de données mais ouvrent des brèches dans le système de sécurité pour permettre aux pirates d'y pénétrer par la suite en exploitant ces vulnérabilités et certains ne sont installés que dans le but de collecter des données confidentielles telles que des informations liées à vos clients.

Il existe de nombreuses classifications, mais il ne saurait être question de toutes les expliquer ici. Nous nous limiterons à vous présenter le ver informatique, la bombe logique et le cheval de Troie. Il faut néanmoins préciser que ces catégories ne sont pas exclusives l'une de l'autre : en clair, un virus peut se diffuser comme un ver, se déclencher comme une bombe logique et s'installer comme un cheval de Troie.

Les vers informatiques sont des virus qui se propagent ou se diffusent par morceaux quasiment indétectables. Les bombes logiques sont des lignes de codes insérés dans des programmes et qui se déclenchent lors d'un événement donné (entrée de certains caractères, date précise, etc.). Le cheval de Troie prend la forme de petits programmes à l'apparence inoffensive mais qui contiennent aussi des mécanismes cachés rendant le système vulnérable à un virus ou à l'attaque d'un pirate.

Qu'est-ce que la criminalité informatique ?

Diverses classifications ont été élaborées pour cerner le phénomène de la criminalité informatique. Dans les points suivants, les catégories sont calquées sur les infractions correspondantes prévues dans le Code pénal.

Parmi les infractions les plus fréquentes, citons en vrac :

  • les infractions contre la confidentialité, l'intégrité et la disponibilité des données et systèmes (accès illégal, interception illégale, atteinte à l'intégrité des données et du système, etc. ;
  • les infractions informatiques (faux en informatique et fraude informatique) ;
  • les infractions se rapportant au contenu (pornographie enfantine, idées racistes ou xénophobes, etc.) ;
  • les infractions liées aux atteintes à la propriété intellectuelle (distribution à grande échelle d'œuvres musicales ou littéraires protégées par le droit d'auteur).

En quoi consistent les infractions contre la confidentialité, l'intégrité et la disponibilité des données et systèmes ?

Ces infractions sont plus connues sous le terme de hacking.

Avant d'aborder l'aspect juridique, qu'entend-on par confidentialité, intégrité et disponibilité ?

  • La confidentialité sera garantie si certaines données ou informations ne sont accessibles que moyennant le respect de certaines conditions et par certaines personnes uniquement.
  • L'intégrité est respectée si la qualité et l'exactitude des données sont maintenues et protégées contre les modifications, les pertes ou les destructions, qu'elles soient d'origine accidentelle ou malveillante.
  • La disponibilité du système signifie que son fonctionnement n'est pas altéré et que les utilisateurs autorisés peuvent y accéder normalement.

On distingue généralement le hacking interne et le hacking externe.

  • Le hacking interne se présente si, par exemple, l'un de vos employés, profitant de sa position au sein de l'entreprise et de son droit d'accès sur le réseau, prend connaissance de données confidentielles dont l'accès lui est en principe refuse.
  • Le hacking externe se présente dès lors qu'un individu, n'ayant aucun droit d'accès à votre système informatique, parvient à déjouer les mécanismes de sécurité pour s'introduire dans le réseau de votre entreprise.

On trouve aussi dans le hacking externe le sabotage informatique qui consiste à attaquer un système avec un virus ou l'une de ses variantes (ver informatique, bombe logique, cheval de Troie, etc.) et dont l'objectif n'est autre que la perturbation du fonctionnement du système, voire parfois sa destruction pure et simple, avec les conséquences économiques et sociales qui peuvent en résulter.

Les motivations des hackers sont variées : les uns le font par jeu et ne mesurent pas toujours les conséquences de leurs actes, d'autres par contre poursuivent des objectifs mercantiles, politiques ou militaires ou sont animés de desseins plus sombres (terrorisme, espionnage industriel).

Dans tous les cas, ces infractions sont prévues par le Code pénal et leurs auteurs risquent jusqu'à cinq ans d'emprisonnement et une solide amende. En cas de récidive, les peines sont doublées.

Notez également qu'en se rendant coupable de hacking, le pirate commet bien souvent d'autres infractions, tels qu'un faux en informatique, ou une fraude en informatique. En s'introduisant dans votre système, le pirate peut en profiter par exemple, pour modifier des informations (par exemple, insérer dans l'une des pages de votre site des photos à caractère pornographique), récupérer certaines données confidentielles ou sensibles, voire encore subtiliser des mots de passe.

En quoi consiste le faux en informatique ?

On parle de faux en informatique lorsque quelqu'un introduit, modifie ou efface les données d'un système informatique, voire encore en modifie l'utilisation possible, et en modifie la portée juridique. C'est le cas si vous mettez en place un site internet à accès payant et qu'un internaute introduit un faux numéro de carte de crédit. Il en est de même si l'un de vos employés introduit des transactions fictives dans le système ou en cas de falsification d'une signature électronique.

Cette infraction est punie d'un emprisonnement de 6 mois à 5 ans et/ou d'une amende. En cas de récidive, les peines sont doubles.

En quoi consiste la fraude informatique ?

Il y a fraude informatique dès lors que pour se procurer un avantage patrimonial frauduleux, une personne introduit, modifie ou efface les données d'un système informatique, voire encore en modifie l'utilisation possible. C’est le cas si un individu utilise une carte de crédit volée pour acheter des biens sur votre site ou si un pirate détourne des fichiers ou des programmes à des fins lucratives.

Une peine de prison de 6 mois à 5 ans et/ou une amende frappera l'auteur de l'infraction. En cas de récidive, les peines sont doublées.

Quels sont les moyens légaux pour lutter contre la criminalité informatique ?

Suite à l'intervention du législateur, les pirates savent désormais que leurs méfaits sont lourdement sanctionnés (jusqu'à 10 ans de prison en cas de récidive) et que l'impunité n'est plus de mise. Il est vrai néanmoins qu'en raison du caractère essentiellement international des échanges sur le Net et par conséquent des infractions, les auteurs - parfois localisés dans des Etats juridiquement très tolérants - seront difficilement identifiés et appréhendés.

Quelles démarches dois-je entreprendre si je suis victime de criminalité informatique ?

Il faut insister ici sur le fait que tout un chacun, même le plus attentif aux questions liées à la sécurité, peut être un jour victime de malveillance sur le web. En diffusant l'information, vous permettez aux autres de profiter de votre expérience et d'éviter ainsi de tomber dans les mêmes pièges.

Vous pouvez déposer une plainte auprès des services de police qui transmettront l'affaire au procureur du Roi. Vous pouvez aussi vous constituer partie civile entre les mains du juge d'instruction.

Il faut aussi savoir qu'il existe des services de police spécialisés en matière de criminalité informatique, placés sous l'autorité d'une unité fédérale - Federal Computer Crime Unit (FCCU). Leur expertise dans le domaine peut vous être utile.

Notez enfin que la Cyber Emergency Team fédérale (CERT.be), spécialiste neutre en sécurité sur internet et les réseaux, peut vous aider si vous êtes victime d'un incident de cybersécurité. Elle peut prendre en charge la coordination lors d'un tel incident, donner des conseils permettant de trouver des solutions ou encore, offrir un soutien permettant de prévenir les incidents de sécurité. A propos de la signalisation d'incidents de cybersécurité, vous pouvez « signaler un incident » via le site web du CERT.be.

Pour de plus amples informations, vous pouvez également consulter le site web du Centre pour la Cybersécurité Belgique (CCB).

Comment identifier un cybercriminel ?

Il s'agit de l'un des aspects les plus problématiques en matière de criminalité informatique. Bien qu'il existe des logiciels de localisation très performants, il faut être conscient que de nombreuses techniques permettent d'agir sur internet de façon anonyme.

Vous pouvez aider les autorités judiciaires dans leurs recherches en leur transmettant le moment de l'attaque (date et heure, aussi précises que possible) et la liste des adresses IP des ordinateurs connectés à cet instant.

La loi prévoit que les opérateurs de réseaux de communication et les fournisseurs de services de communications électroniques doivent conserver pendant 12 mois les données d'appel et les données d'identification des utilisateurs de leurs services. Sont également visés les fournisseurs de services de courrier électronique via internet. Cette obligation de conservation de données à des fins de lutte contre la criminalité contribue à l'identification, par les autorités judiciaires, de l'auteur de l'infraction dont vous êtes victim.

A quels moyens techniques puis-je recourir pour me protéger ?

Au-delà des moyens légaux, la meilleure démarche consiste à prévenir ce genre de risques en mettant en place un dispositif de sécurité performant et adapté à vos besoins.

Voici quelques outils pour garantir la sécurité du site et des échanges : l'utilisation de signatures électroniques, d'un firewall (pare-feu), de fichiers historiques, de procédures de back-up, d'anti-virus actualisés, et surtout d'une bonne organisation dans la gestion de ces moyens.

Qu'est-ce qu'un firewall ?

Il s'agit du dispositif matériel (routeur, serveur) et logiciel destiné à interdire tout accès non autorisé à un réseau informatique. Le firewall contrôle en principe le trafic entrant, mais il peut aussi être paramétré pour vérifier le trafic sortant.

Pour remplir correctement son rôle, le firewall doit être situé au seul point de contact entre le réseau interne et le réseau externe.

Il s'agit d'un moyen très efficace pour se protéger contre les attaques mais ce n'est pas la panacée : il est en effet inutile pour garantir l'intégrité des informations ou la confidentialité des données.

A quoi peuvent servir les fichiers historiques ?

Les fichiers historiques permettent en principe de déterminer qui a accédé au système, à quel moment et pendant combien de temps. Sachez néanmoins que le hacker qui piratera votre système informatique prendra la précaution de modifier certains paramètres de son ordinateur de telle sorte que le recours aux fichiers historiques vous sera souvent de peu d'utilité pour le retrouver.

De même, les fichiers qui ont été consultés ou modifiés peuvent plus facilement être identifiés. En cas de problème, l'analyse de ces fichiers permettra de connaître les causes du problème.

Comment réaliser les copies de sauvegarde ?

Il est impératif de réaliser des copies de sauvegarde (back-ups) régulièrement. En cas de destruction des données suite à une attaque de pirates ou à un problème technique quelconque (incendie, vol des machines), il vous sera possible de poursuivre ou reprendre votre activité assez rapidement.

Il est préférable d'édicter des règles précises qui déterminent ce qui est sauvegardé, à quelle fréquence et où sont stockées les copies de sauvegarde. Ces copies doivent être entreposées dans un lieu différent de celui du système informatique et strictement protégé (il s'agit bien souvent de données confidentielles qui ne doivent pas tomber dans n'importe quelles mains).

Comment utiliser les logiciels anti-virus ?

Un bon logiciel anti-virus n'est pas un luxe, d'autant que des outils très performants sont disponibles gratuitement.

Vous veillerez à ce qu'il soit maintenu à jour (même quotidiennement si nécessaire).

Les courriers électroniques doivent être passés au crible car ils constituent une source très importante d'infections par les virus. Dans le même sens, vous déconseillerez à votre personnel d'introduire des disquettes, CD-ROM, DVD, clés USB ou d'autres dispositifs externes de stockage sans une vérification préalable par le gestionnaire du système informatique (qui contrôlera l'absence de virus).

Dois-je prévoir des moyens de sécurité particuliers si je mets en place un système de paiement en ligne ?

Il est tout à fait envisageable que votre ambition, en vous établissant sur le Net, ne se limite pas à fournir aux internautes divers renseignements sur votre activité. Vous pouvez vouloir mettre sur pied un site de type transactionnel où les clients-internautes pourront acheter des biens à travers le réseau. Sur ce point, vous prendrez rapidement conscience que pour garantir le succès de votre activité, il vous faudra gagner la confiance des internautes, notamment en leur proposant un moyen de paiement sûr et efficace.

Comment organiser la sécurité et quel en est le coût ?

La mise en place des différents systèmes de sécurité n'est que l'étape finale d'un processus d'analyse. Les actifs à protéger (ressources informatiques, données, etc.) doivent être identifiés, de même que les menaces et les vulnérabilités (faiblesse du système qui permet à une menace de se matérialiser). Vous devez aussi quantifier les dommages potentiels pour cerner l'impact d'une intrusion ou d'un virus et évaluer le risque, la probabilité de survenance de ces événements. Sur la base de cette analyse, vous serez en mesure de déterminer les moyens de défense nécessaires.

C'est le mauvais côté de ces techniques de sécurité : leur coût et la gêne occasionnée pour les utilisateurs. En effet, ces procédures peuvent être source de complexité ou pénaliser la fonctionnalité ou le rendement du système. Il faut donc veiller à expliquer clairement aux utilisateurs les objectifs de ces procédures. Quant aux coûts, ils doivent être proportionnés aux menaces, vulnérabilités et risques, et identifiés de façon réaliste. Gardez à l'esprit que si la sécurité a un prix, l'absence de sécurité peut vous coûter plus cher encore, voire vous conduire - dans un scénario certes pessimiste, mais possible - à la faillite.