sécurité informatique des communes

Mettez l'informatique de votre commune à l'abri
Edouard Vercruysse et Stéphan Geulette - Décembre 2005
Pour garantir le bon fonctionnement de leur outil informatique, les communes doivent
impérativement veiller à le sécuriser. Il s’agit d’éviter les attaques extérieures et la perte
de données. Pour cela, un simple logiciel antivirus ne suffit plus aujourd’hui.
Les risques qu’une commune encourt si elle néglige la sécurité de son informatique sont
grands: pertes de données, systèmes défaillants voire hors service, vols d’informations,
usurpation d’identité, ... Avec, comme conséquence finale, un moins bon service au
citoyen et une mauvaise image de l’administration communale.
Les échanges d’informations tant internes qu’externes rendent les systèmes
informatiques vulnérables vis-à-vis d’attaques potentielles. Ces échanges se font sous
forme d’e-mails mais aussi de connexion à des systèmes distants (registre national ,
…).
Il est important de prendre des mesures de protection avant que n’arrive un gros
problème de sécurité pouvant occasionner de graves dégâts pour l’administration. Du
point de vue financier, mettre en place des procédures et outils de sécurité informatique
coûtera beaucoup moins cher à la commune que de résoudre les conséquences d’une
seule grave attaque informatique.
La commune doit être consciente que, comme pour ses
biens et bâtiments, elle doit se soucier de la protection
de ses systèmes et données informatiques.
Les points exposés ci-dessous présentent quelques
grands aspects de la sécurité informatique auxquels il
est important de réfléchir.
Bien que ces points concernent toutes les communes,
beaucoup d'entre elles ne disposent pas des ressources
Publilink, réseau sécurisé?
Parlez de Publilink à un
informaticien communal
ces temps-ci et tout de suite
le ton monte! C'est vrai qu'il
y a de quoi être nerveux:
depuis quelque temps, des
virus attachés à des e-mails
beaucoup d'entre elles ne disposent pas des ressources
internes pour les mettre en œuvre elles-mêmes. Il peut
être intéressant pour celles-là de confier à un prestataire
extérieur la mise place et la maintenance de la politique
de sécurité.
Définir une politique de sécurité
Dans un souci d'aborder la question de la sécurité
informatique dans sa globalité et de réunir tous ses
aspects dans un document unique, il est conseillé aux
communes de définir une "politique de sécurité". Il
s'agit d'un document formalisé dans lequel on
mentionne les éléments stratégiques, les procédures, les
règles organisationnelles et techniques ayant pour
objectif la protection du système informatique de la
commune.
La première étape dans l'élaboration d'une politique de
sécurité consiste à réaliser un état des lieux. Quels sont
les biens à protéger? Matériel informatique et logiciels,
données sensibles, services et applications sont passés
en revue.
La connaissance acquise au cours de cet inventaire
permettra de définir des moyens de protection adaptés
aux usages.
Une notion importante pour arriver à définir une bonne
politique de sécurité est la segmentation. Elle consiste
à aborder la sécurité de manière distincte pour chaque
élément de votre informatique: réseau, système,
applications, contenu.
virus attachés à des e-mails
circulent sur le réseau
Publilink et arrivent dans
les communes où ils
peuvent potentiellement
provoquer d'importants
dégâts.
Pour un réseau dont la
sécurité est la raison d'être,
ça fait plutôt mauvais
genre. Et les communes
rient jaune lorsqu'elles
entendent Belgacom (qui
est désormais aux
commandes de Publilink)
annoncer que "un scanning
des e-mails échangés [est
réalisé] afin d'identifier et
d'isoler les mails suspects
pouvant contenir un virus"
et que "des mises à jour
quotidiennes sont effectuées
par notre centre de contrôle
pour garantir l'efficacité de
cet outil".
Cet état des choses impose
un constat: Publilink, tout
réseau sécurisé qu'il soit,
n'offre pas une garantie
totale de sécurité.
Autrement dit, la connexion
La politique de sécurité doit pouvoir évoluer dans le
temps, au gré des nouvelles menaces extérieures et des
changements informatiques dans la commune. Pour
assurer son suivi régulier et son application, il est
intéressant pour la commune de nommer un conseiller
en sécurité. De manière générale, et afin de garder une
vue critique sur la sécurité, il est conseillé que celui-ci
ne soit pas l'informaticien qui a mis en place les outils
ou défini les procédures.
Notons que la désignation d'un conseiller en sécurité est
déjà rendue obligatoire aux CPAS dans le cadre du
projet de connexion à la BCSS (Banque-Carrefour de la
Sécurité sociale).
Autrement dit, la connexion
Publilink ne dispense pas
les communes de mettre en
place des outils minimums
de sécurité tels qu'antivirus
(sur tous les postes) et
firewall. Certaines
communes ont même placé
un firewall derrière le
routeur de Publilink. C'est
dire comme elles ont peu
confiance dans la sécurité
offerte par Publilink.
Offerte? Ce n'est sans doute
pas le bon mot…
Sensibiliser le personnel
Au-delà des politiques et de la technologie, la sécurité est avant tout une affaire
d'individus car les risques viennent d'abord des utilisateurs. En effet, la plus grande partie
des brèches de sécurité sont le fait d'employés, le plus souvent par ignorance,
exceptionnellement par intention frauduleuse.
Citons trois règles d'or à communiquer aux agents:
- ne pas faire confiance à un tiers si l'on n'est pas certain de son identité. Qui a
réellement envoyé cet e-mail? L'adresse visible indique-t-elle bien le vrai expéditeur?
- ne pas ouvrir les fichiers attachés aux e-mails si leur type n'est pas connu ou si
l'expéditeur paraît douteux;
- éviter les téléchargements et installations de logiciels sans autorisation.
L'adoption d'une charte informatique constitue certainement une étape intéressante pour
sensibiliser les agents à ce qu'ils peuvent et ne peuvent pas faire avec l'outil informatique.
Signalons à cet égard que l'Union des Villes et Communes de Wallonie a élaboré un
modèle de charte informatique qui est à disposition des communes sur son site internet
modèle de charte informatique qui est à disposition des communes sur son site internet
(www.uvcw.be/publications/modeles).
Mettre en œuvre des outils de défense minimum
La mise en œuvre de certains outils permet de:
- limiter la prolifération des virus;
- bloquer les attaques automatisées;
- éviter de laisser des brèches ouvertes.
Deux de ces outils sont indispensables pour toutes les communes: le firewall et
l'antivirus. Les autres (antispam, antispyware) apporteront une protection supplémentaire.
Le firewall (pare-feu)
Le rôle des firewall est de protéger un réseau ou un ordinateur individuel des intrusions
extérieures. Ils inspectent tous les flux de données et bloquent ceux qui sont illicites
avant qu'ils n'atteignent le réseau ou le poste de travail.
On peut trouver des firewall sous forme logicielle ou matérielle (petit boîtier). Le choix
du firewall dépendra de plusieurs critères:
- le niveau de sécurité requis. Certains firewall permettent un contrôle très fin;
- les compétences internes. Un firewall, quel qu'il soit, doit être administré et requiert
donc des compétences. Toutefois, certains firewall sont nettement plus compliqués à
administrer que d'autres. Le choix du firewall dépendra des compétences dont dispose la
commune;
- le coût qui peut fort varier entre les produits.
Un firewall n'a de sens que s'il est configuré en accord avec la politique de sécurité
établie. Si, par exemple, seuls les flux web et e-mail sont autorisés depuis internet,
l'ensemble des autres flux devra être interdit.
L'antivirus
Un virus est un logiciel malveillant écrit dans le but de se dupliquer sur d'autres
ordinateurs. Il peut aussi avoir comme effet de nuire en perturbant plus ou moins
gravement le fonctionnement de l'ordinateur infecté.
La prolifération des virus rend indispensable l'installation de logiciels antivirus pour
éviter une contamination rapide des systèmes. Les antivirus sont capables de détecter des
virus, de les détruire, de les mettre en quarantaine et parfois de réparer les fichiers
infectés sans les endommager.
L'emplacement des antivirus est important et doit idéalement être multiple:
- un anti-virus disposé sur la passerelle d’accès internet;
- un anti-virus disposé sur le serveur de messagerie;
- un anti-virus équipant les postes personnels.
Une tâche indispensable est la mise à jour quotidienne des anti-virus sans laquelle
l’efficacité de la détection est compromise.
L'antispam
Le terme spam désigne l'envoi massif de courrier électronique (souvent de type
publicitaire) à des destinataires ne l'ayant pas sollicité et dont les adresses ont
généralement été récupérées sur internet.
La meilleure façon d'éviter ou au moins de limiter le spam est de divulguer le moins
possible son adresse e-mail. Mais à quoi sert une adresse e-mail si on ne peut pas la
diffuser?
Il existe des logiciels antispam permettant de repérer et, le cas échéant, de supprimer les
messages indésirables sur la base de règles évoluées. On distingue généralement deux
familles de logiciels antispam:
- les logiciels antispam côté client, situé au niveau du logiciel de messagerie. Il s'agit
généralement de systèmes de filtres permettant d'identifier l'expéditeur du message, sur
la base de règles prédéfinies ou d'un apprentissage;
- les logiciels antispam côté serveur, permettant un filtrage du courrier avant remise aux
destinataires. Ce type de dispositif est le plus efficace car il permet de stopper le courrier
non sollicité en amont et d'éviter l'engorgement des boîtes aux lettres. A conseiller à
toutes les communes disposant de leur propre serveur mail.
L'antispyware
Un spyware est un programme qui recueille des informations sur les utilisateurs de
l'ordinateur sur lequel il est installé et les envoie à la société qui le diffuse.
Les informations récoltées par les spyware peuvent être des adresses de sites visités, des
mots-clés saisis dans les moteurs de recherche, des informations personnelles, …
Les spyware s'installent généralement en même temps que d'autres logiciels, à l'insu de
l'utilisateur.
Le firewall peut permettre de détecter la présence de spyware et de les empêcher
d'accéder à internet (et donc de transmettre les informations collectées). Il existe
également des logiciels anti-spyware permettant de détecter et de supprimer les fichiers,
processus et entrées de la base de registres créés par des spyware.
Les mises à jour de sécurité
Face à l'apparition régulière de nouveaux virus et à la mise en lumière de certaines failles
dans leurs produits, les éditeurs de logiciels sont régulièrement amenés à proposer des
"mises à jour de sécurité" à leurs clients.
Il est vivement conseillé de surveiller la sortie de ces mises à jour (en consultant le site
internet des éditeurs, par ex.) et, le cas échéant, à les installer rapidement. La procédure
d'installation se limite généralement à cliquer sur un fichier que l'on a téléchargé.
En effectuant ces mises à jour, vous aurez la garantie de disposer de la version la plus
sûre de vos applications.
Microsoft se distingue par la fréquence des mises à jour de sécurité pour ses produits
(certains y voient une preuve de grande réactivité, d'autres un aveu de manque de
fiabilité…). La fonction Windows Update des ordinateurs tournant sur Windows permet
d'être averti dès qu'une mise à jour est disponible. Une autre possibilité pour vérifier la
disponibilité des mises à jour est d'accéder au site www.windowsupdate.com. Cela ne
vaut bien sûr que pour les ordinateurs ayant Windows comme système d'exploitation.
Assurer la confidentialité des données
Pour assurer la confidentialité des données, il faut d'abord contrôler l'accès aux
données et aux applications. Une organisation des profils utilisateurs est le minimum
obligatoire pour éviter l'accès libre aux informations.
A chaque profil doivent être associés des droits d'accès liés aux prérogatives de l'agent.
Certaines informations doivent pouvoir être accessibles en lecture seule, d'autres en
modification ou en suppression selon les responsabilités de chacun.
Les mots de passe doivent idéalement avoir une longueur minimum de huit caractères
alphanumériques et être modifiés régulièrement.
La confidentialité passe également par la sécurisation des échanges. Si vous n’utilisez
pas de solutions sécurisées, un tiers malveillant peut utiliser vos données sensibles à des
fins frauduleuses et à vos dépens (usurpation d’identité ou de coordonnées bancaires, …).
Lorsque vous faites des transactions sur internet, veillez à être en mode sécurisé
(protocole https et pas http). Le protocole https permet de chiffrer l'échange électronique
pendant son transfert entre l'expéditeur et le destinataire, empêchant ainsi quiconque de
le lire.
Mettre en œuvre un plan de sauvegarde (backup)
Les données et les applications informatiques doivent être disponibles à tout moment et
doivent être conservées (sauvegardées) afin de pouvoir être récupérées (restauration) en
cas de besoin.
Une bonne politique de sauvegarde doit tenir compte des paramètres suivants:
- le "périmètre" à sauvegarder (services, matériels, sites, utilisateurs, …),
- le type de données à sauvegarder (fichiers utilisateurs, fichiers serveurs, documents
contractuels, e-mails, bases de données, …). Le contenu de la sauvegarde peut évoluer
dans le temps avec l'ajout de nouvelles applications ou de données,
- la périodicité de la sauvegarde,
- les lieux et moyens de stockage des sauvegardes. En aucun cas il ne faut laisser le
support de sauvegarde près de la machine où se trouvent les données originales. En cas
de vol ou d'incendie, ces supports risquent également de disparaître. Il est conseillé de
conserver les supports mensuels et/ou annuels dans un autre bâtiment que celui où se
trouvent les données originales. A noter que les services de sauvegarde en ligne se
développent de plus en plus.
Avant de passer en mode de fonctionnement continu, puis à intervalle régulier, il est
important de tester la bonne récupération des données afin de s'assurer du bon
fonctionnement des sauvegardes.
En conclusion
Se pencher sur la question de la sécurité informatique n'est certainement pas un luxe
pour les communes. Au contraire, avec la place sans cesse croissante de l'informatique
dans les administrations et la multiplication des dangers qui la guettent, une stratégie de
sécurité bien définie semble indispensable.
S'il ne fallait retenir que les tâches les plus importantes, ce serait celle-ci:
- mettre à jour régulièrement vos logiciels en téléchargeant les correctifs depuis le site de
votre fournisseur;
- installer un firewall derrière chaque connexion internet, y compris la connexion
Publilink;
- installer sur chaque machine un antivirus et faire régulièrement les mises à jour;
- définir un plan de sauvegarde des données sensibles et/ou stratégiques de la commune;
- veiller au strict respect de la confidentialité des identifications et authentifications des
utilisateurs.
Ce document, imprimé le 08-02-2017, provient du site de l'Union des Villes et Communes de Wallonie (www.uvcw.be).
Les textes, illustrations, données, bases de données, logiciels, noms, appellations commerciales et noms de domaines, marques et logos sont protégés par des droits de propriété
intellectuelles.
Plus d'informations à l'adresse www.uvcw.be/plan-du-site/disclaimer.cfm
© Union des Villes et Communes de Wallonie asbl