Sécurité informatique : L’audit des vulnérabilités


L’audit des vulnérabilités

épée de Damoclès

L’épée de Damoclès

Dans le cadre de la sécurité informatique et des mesures à prendre pour pallier aux défauts, pannes, malveillance, etc., il convient de faire le point sur les mesures déjà existantes avant d’envisager d’étendre la protection du système d’information.

La vulnérabilité

La vulnérabilité est le caractère, qui, par ses insuffisances, ses imperfections, peut donner prise à des attaques (Petit Larousse).

C’est au travers d’un audit des vulnérabilités d’un système d’information, que l’on va évaluer son degré de maturité en termes de protection.

Moins il y a de vulnérabilités et mieux le SI sera protégé

Comme l’informatique et les systèmes d’information évoluent en permanence et à une vitesse toujours de plus en plus croissante, l’audit des vulnérabilités est donc à reconduire régulièrement.
Dans l’idéal, ce sera à chaque changement d’un des composants physiques ou logiciels.

Cependant, dans la réalité et pour tenir compte de l’établissement des budgets dans une organisation, c’est une fois par an que cet audit devrait avoir lieu.

Les domaines de l’audit

Le systématisme est nécessaire pour éviter d’oublier l’un ou l’autre des domaines d’un système d’information dans l’audit des vulnérabilités.

Voici les domaines de cette analyse :

  1. Organisation de la sécurité
  2. Sécurité des sites et des bâtiments
  3. Sécurité des locaux
     
  4. Réseau étendu (intersites)
  5. Réseau local (LAN)
  6. Exploitation des réseaux
     
  7. Sécurité des systèmes et de leur architecture
  8. Production informatique
  9. Sécurité applicative
     
  10. Sécurité des projets et développements applicatifs
  11. Protection de l’environnement de travail
  12. Juridique et réglementaire

Les questions à se poser

Pour analyser ces 12 domaines, il convient de se poser les questions appropriées à chacun d’eux :

  1. Qui s’occupe de la sécurité ? Avec quels moyens et quel mode de fonctionnement ?
  2. Comment les sites et les bâtiments sont-ils surveillés et protégés : gardien de nuit, caméras, etc. ?
  3. Quels systèmes sont en place : alarme, détecteur de présence, anti-incendie, identification des visiteurs, etc. ?
     
  4. Quels moyens ont été déployés pour protéger l’accès à distance des informations : identification, chiffrement, etc. ?
  5. Comment et par quoi le réseau local est-il protégé : parafoudre, pare-feu, armoires de brassage fermées, etc. ?
  6. Quels sont les moyens de pallier aux défauts de l’exploitation du réseau : maintenance des serveurs, enregistrements des mouvements des personnels (arrivants et partants), etc. ?
     
  7. Comment les systèmes et architectures sont-ils protégés : sauvegardes, virtualisation, etc. ?
  8. Par quels moyens la production informatique, c’est-à-dire les données sortantes du système d’information sous forme de papier ou à l’écran, est-elle protégée ?
  9. Comment les applications, progiciels ou logiciels sont-elles sécurisées : autorisations d’accès, archivage des versions, etc. ?
     
  10. De quelles manières sont protégés les projets informatiques, de l’idée à leur réalisation : fuite d’information, erreurs de programmation, paramétrages, etc. ?
  11. Quelles sont les protections de l’environnement de travail en place : démultiplication des prises, fermeture des écrans inutilisés pendant quelques minutes, etc.
  12. Quelles mesures de bons comportements sont-elles en place : déclarations CNIL, charte informatique et d’Internet, etc. ?

Cette liste de questions et les quelques exemples associés montrent l’étendu, non exhaustif, des questionnaires à mettre en place pour déterminer le degré de maturité des mesures de protection contre les vulnérabilités détectées.

Vigilance

Il faut être particulièrement vigilant en matière de sécurité informatique.

Par exemple, pour le point 1, il faut que le responsable de la sécurité informatique soit une personne indépendante de la hiérarchie des informaticiens. Son indépendance vis-à-vis de cette hiérarchie va permettre de surveiller et d’agir contre tout informaticien indélicat, responsable du service inclus.

Pour cela,

  • soit un service séparé doit être défini et rattaché, par exemple, directement au responsable de l’établissement, pour une entreprise importante,
  • soit à un collaborateur d’un autre service qui en sache suffisamment en matière informatique, pour des organisations plus petites.

Philippe Garin, plus de 20 ans de management en entreprise

Pour mieux protéger votre système d’informations, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Lexique informatique
Menace – Vulnérabilité – Risque
Parefeu : Utilité et risques

Liste des risques de sécurité informatique
Plan d’un rapport d’audit en entreprise
RCO, LCC et MTBF expliqués pour les nuls

Autres Informatique, Management, Organisation et Sécurité :

Récapitulatif 15 Informatique
Récapitulatif 15 Management
Récapitulatif 15 Organisation
Récapitulatif 15 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Salle informatique : Les autres équipements utiles


Les autres équipements dans la salle informatique

ventouse double pour dalle de faux-plancherLa salle informatique contient d’autres équipements que les dispositifs anti-incendie, la climatisation, l’électricité ou les armoires de brassage et les câblages.

Sommaire :

Les mesures de protection de la salle informatique

  1. Porte spéciale
  2. Dispositif anti-incendie
  3. Climatisation
  4. Électricité
  5. Armoires, câblage, serveurs
  6. Divers autres équipements

A prévoir dans la salle informatique

  • Table et chaises pour les personnes habilitées à pénétrer dans la salle informatique et qui ont à y travailler
  • Meubles à roulettes pour éviter la production d’électricité statique, contenant des appareils de réparation et outillage, tournevis, pinces, câblage de brassage, bracelets antistatiques à mettre pour toute intervention, ventouse pour soulever les plaques du faux-plancher, etc.
  • Thermomètre et hygromètre
  • Détecteur de radiation, éventuellement
  • Extincteurs manuels, à utiliser uniquement sur tout départ de feu en dehors des équipements informatiques ou électrique, inutiles avec un bon système anti-incendie
  • Plan des équipements présents dans la salle informatique avec numérotations
  • Cahier papier sr lequel chaque intervenant dans la salle informatique doit donner la date et l’heure d’arrivée et de départ, le nom des personnes présentes dans la salle et le motif de leur présence
  • Liste des personnes habilitées à pénétrer dans la salle informatique

A exclure de la salle informatique

  • Poubelle, celle-ci doit être impérativement à l’extérieur pour éviter la présence de déchets inflammables
  • Stockage de papier et de matériels de remplacement
  • Supports de stockage des sauvegardes, à mettre dans une armoire ignifugée dans une autre salle protégée elle aussi et suffisamment éloignée pour qu’un incendie dans une des salles ne puisse endommager l’autre salle
  • Caméras de surveillance, braquées sur l’extérieur de la porte informatique ou sur la partie extérieure de la climatisation
  • Salle contenant les équipements de surveillance à distance de la salle informatique, console des alarmes par exemple
  • Documentations et procédures de redémarrage des équipements de la salle informatique, regroupées dans un classeur du PRA, Plan de Reprise d’Activité, accessible par les personnes habilitées à réinstaller les équipements et les données sauvegardées
  • Appareils de programmation des badges ou cartes magnétiques

Ces listes contiennent des exemples pour vous inspirer dans l’aménagement de votre propre salle informatique.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en avoir plus :

En complément :

Parefeu : Documenter les responsabilités et les procédures
L’origine du Wifi
Durée d’archivage des documents

Qu’appelle-t-on une faille 0-day ?
Messagerie Comment choisir Fonctionnalités
Moyens mnémotechniques de création de mots de passe

Autres Informatique, Management et Sécurité :

Récapitulatif 12 Informatique
Récapitulatif 12 Management
Récapitulatif 12 Sécurité

abonnez_vous_ICI_a_la_Newsletter

La climatisation de la salle informatique


La climatisation de la salle informatique

climatisation salle informatiquePartant du principe que la salle informatique est fermée en quasi permanence, et qu’elle est hermétique, coupée de l’extérieur quand elle est fermée, un système de climatisation s’avère donc impératif et indispensable pour :

  • Respirer, tout simplement, lorsqu’on est dans la salle informatique
  • Maintenir la température et le degré d’hygrométrie constants.

Sommaire :

Les mesures de protection de la salle informatique

  1. Porte spéciale
  2. Dispositif anti-incendie
  3. Climatisation
  4. Électricité
  5. Armoires, câblage, serveurs
  6. Divers autres équipements

Chaque ouverture et fermeture de la porte introduit un changement de température. Il est généralement négligeable et les équipements présents dans la salle informatique supportent ce petit écart.

Chaque nouvel appareil ajouté dans la salle informatique et qui consomme de l’énergie, en diffuse également. Le système de climatisation doit être conçu de façon à absorber tout ajout et écart énergétique.

Installation

Pour la protection de la salle informatique, il est préférable d’installer la partie extérieure de la climatisation sur le toit, plutôt que sur la cour, de l’autre côté du mur de la salle informatique.

En tout état de cause, quel que soit l’emplacement choisi pour la partie extérieure de la climatisation, il doit être protégé par un grillage suffisamment solide pour résister à une tentative de pénétration et de sabotage.

À l’intérieur de la salle informatique, il faut prévoir plusieurs climatiseurs, de telle façon que si l’un d’eux venait à s’arrêter, pour cause de panne ou de maintenance, alors les autres climatiseurs assurent la même température à l’intérieur de la salle.

Là encore, une alarme doit être déclenchée automatiquement en cas d’interruption involontaire de la climatisation, c’est-à-dire en cas d’un écart de température trop important pour le bon fonctionnement des équipements.

Humidité de l’air

Le degré d’hygrométrie fait partie du dispositif de climatisation. Cela suppose que celle-ci ait l’accès à un point d’eau. L’eau doit se trouver à l’extérieur de la salle informatique.

L’assèchement automatique par la climatisation rend la présence de condensation impossible dans un fonctionnement correct. Cependant, un défaut de fonctionnement peut introduire de l’eau dans la salle informatique. C’est pourquoi des détecteurs d’eau doivent s’ajouter aux détecteurs anti-incendie au sol. Un début d’inondation non détecté causerait des dégâts à l’alimentation électrique, au minimum.

La puissance des dispositifs de climatisation doit tenir compte du climat où se trouve le bâtiment. Écarts hiver – été.

Philippe Garin, plus de 20 ans manager en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Parefeu ou Firewall : Définition
Les étapes pour acheter votre informatique
TCO : Les éléments à prendre en compte pour le calcul

Parefeu ou firewall : Définition
Meknès au Maroc
Conversion Celsius Fahrenheit

Autres Informatique, Management et Sécurité :

Récapitulatif 12 Informatique
Récapitulatif 12 Management
Récapitulatif 12 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Anti-incendie de la salle informatique


Le dispositif anti-incendie dans la salle informatique

Détecteurs et alarmesgaz anti-incendie

Des normes bien précises obligent la mise en place d’un système anti-incendie, basé sur des détecteurs et sur l’utilisation d’un gaz pour éteindre tout début de feu.

Sommaire :

Les mesures de protection de la salle informatique

  1. Porte spéciale
  2. Dispositif anti-incendie
  3. Climatisation
  4. Électricité
  5. Armoires, câblage, serveurs
  6. Divers autres équipements

La salle informatique est hermétique et la ou les bouteilles de gaz se trouvent à l’intérieur de la salle.

Des détecteurs de fumée, de flamme, de chaleur, sont disposés au plafond et au sol, dans le faux-plancher technique. Ces détecteurs sont reliés au système d’alarme.

Lorsque l’un des détecteurs est activé, il déclenche :

  • Une alarme sonore qui avertit les personnes présentes éventuellement dans la salle informatique qu’il leur faut sortir d’urgence
  • Une alarme visuelle, placée au-dessus de la porte de la salle informatique, pour signifier une évacuation immédiate, ainsi qu’une autre au-dessus de la porte, dans le couloir pour interdire l’entrée de la salle informatique
  • Une diffusion automatique du gaz anti-incendie dans la salle.

Protéger les personnes

Pour les grandes salles informatiques, il est préférable de prévoir des masques avec des cartouches d’oxygène, à l’intérieur et à l’extérieur de la salle informatique. Une maintenance régulière du bon fonctionnement est indispensable, bien que ce soit un dispositif annexe peu fréquent.

  • À l’intérieur dans l’éventualité où les occupants n’auraient pas suffisamment de temps pour sortir.
  • À l’extérieur de la salle pour permettre à des sauveteurs de pénétrer dans la salle informatique pour secourir d’éventuels occupants pris au piège.

Respirer

Le système anti-incendie contient également les circuits d’évacuation du gaz. Ce gaz a pour propriété d’absorber l’oxygène de l’air, il faut donc l’évacuer avant de pouvoir pénétrer à nouveau dans la salle. Ce dispositif doit être automatique et minuté. Il consiste essentiellement à des valves d’évacuation construites en même temps que la salle, de préférence à une installation après coup.

Maintenance et tests

La quantité et la durée de diffusion du gaz sont en rapport direct avec le volume de la salle informatique. Il en est de même pour le nombre de détecteurs.

Une à deux fois par an, tout le dispositif anti-incendie doit faire l’objet de tests de bon fonctionnement et d’étanchéité de la salle informatique. À laisser à des spécialistes.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en avoir plus :


En complément :

Parefeu : Utilité et risques
Démission d’un salarié = fuite d’informations : Comment s’en prémunir
Cybersécurité : Le gouvernement français créé un groupe d’intervention rapide

4 acteurs de la sécurité informatique
Arnaques téléphoniques ou par SMS
Sécurité mot clé très moderne de l’informatique

Autres Informatique, Management et Sécurité :

Récapitulatif 12 Informatique
Récapitulatif 12 Management
Récapitulatif 12 Sécurité

abonnez_vous_ICI_a_la_Newsletter

%d blogueurs aiment cette page :