Blogue

Cyber-attaques : comment s’en protéger

Cogeco Peer 1

décembre 09, 2011

Share:    

Plusieurs agressions contre des sites web ont émaillé l’actualité ces derniers mois. Début novembre, le fabriquant d’équipements sportif Adidas faisait l’objet d’une attaque sophistiquée, rendant indisponibles pendant plusieurs jours des sites Internet de la société dont des portails de e-commerce. Dans un communiqué, la firme rassurait ses clients en précisant que, selon ses premières constatations, aucunes données relatives aux transactions n’avaient été touchées. Mais Adidas se voyait contraint de suspendre les accès aux sites web piratés afin « de protéger leurs visiteurs », décision qui entraîna malgré tout un fort préjudice d’un montant non divulgué. Sony qui avait fait l’objet d’agressions similaires quelques mois auparavant avait du reconnaître le vol de données personnelles d’utilisateurs de ses consoles PS3 connectables au portail PlaySation Network. Plus politique, l’attaque du site web de Charlie-Hebdo et le piratage de sa page d’accueil par des islamistes radicaux a provoqué une longue indisponibilité du service alors que la publication satyrique, victime d’un incendie criminel dans ses locaux, désirait absolument garder le contact avec ses lecteurs. Moins grave financièrement mais très dommageable pour les personnes concernées, le vol, vraisemblablement dans un système informatique, d’un répertoire nominatif de membres éminents du parti UMP a provoqué une vague de messages indésirables sur les adresses email des personnes en question.

Toutes ces mésaventures, plus ou moins graves, rappellent en particulier aux entreprises combien les avancées d’Internet peuvent avoir leurs revers de la médaille si l’on ne prend pas un minimum de précaution. Il est ainsi indispensable de faire régulièrement une revue de détails des différents dispositifs de sécurité mis en place dans le système d’information de l’entreprise pour assurer sa protection. Cette inspection concerne non seulement les moyens informatiques internes mais également les sites, les applications et les serveurs hébergés à l’extérieur, chez un prestataire infogérant qui doit de lui-même anticiper ce genre de contrôle si c’est un vrai professionnel.

Le processus de vérification doit prioritairement porter sur un certain nombre de points clés :

Le pare-feu ou firewall protège le système d’information contre les agressions et les intrusions venues de l’extérieur via Internet. Cette protection peut être mise en œuvre par un équipement dédié ou, pour un environnement informatique complexe, par une solution de firewall virtuel. Cette dernière est souvent installée chez les hébergeurs qui doivent appliquer de nombreux protocoles sécuritaires imposés par leurs clients. Un portail de sécurité permet la création de nombreux “systèmes virtuels” adaptés à des applications spécifiques et à des contraintes sécuritaires particulières. Cette démarche implique une administration centralisée des procédures de sécurité, dont une révision régulière des critères et règles de sécurité dont la liste doit être tenue rigoureusement à jour. Il est également indispensable que les sites de e-commerces soient protégés contre les fraudes et les vols de données en répondant aux exigences de la norme PCI DSS. Un hébergeur scrupuleux ne proposera d’ailleurs que des solutions pare-feu agréées par un organisme de certification indépendant comme les laboratoires de l’ICSA (International Computer Security Association).

Il est indispensable que l’hébergeur souscrive à la certification SSL car c’est une marque de confiance pour tout ce qui concerne les achats sur Internet. Symbolisée par la clé ou le cadenas fermé affiché dans un coin de l’écran et dans la barre d’adresse, le protocole SSL fonctionne en mode client-serveur, c’est à dire un dialogue qui permet l’authentification du serveur, la confidentialité des données échangées par cryptage et leur intégrité. En option, l’authentification du client s’effectue par l’émission d’un certificat numérique. Ce processus est spontané et transparent, sans contraintes particulière pour les internautes. Il est indispensable que l’hébergeur choisi par votre entreprise soit en relation avec un ou plusieurs éditeurs de solution SSL (dits autorités de certification) pour permettre l’édition et la gestion des clés publiques et privées nécessaires aux opérations de chiffrage et de déchiffrage indispensables à l’établissement des sessions sécurisées.

La sauvegarde ou backup est le principe de précaution de base que doit prendre en premier lieu le responsable d’une entreprise, car nul n’est à l’abri d’une défaillance de machine ou d’une corruption de logiciel qui peut ruiner des mois et des années de travail. Un système de sauvegarde est donc indispensable car il permet de réactiver rapidement une ou des applications critiques sans perdre de données essentielles. La sauvegarde extérieure apporte un niveau de sécurité supplémentaire et une garantie accrue de reprise d’activité car elle diminue le risque lié aux dommages internes à l’entreprise (vol, incendie, inondation). De plus, les hébergeurs sérieux pratiquent eux mêmes la sauvegarde externalisée en dédoublant leurs prestations sur deux sites distants.

La restauration d’une application ou d’un serveur doit être rapide pour être économiquement efficace. Il est donc souhaitable de sauvegarder ses données en mode BMR (pour Bare Metal Restore) si l’on veut reconstruire sa configuration à l’identique. Généralement proposée en option dans un contrat d’hébergement, la restauration BMR permet d’installer rapidement un serveur avec un OS neuf, toutes ses mise à jour et patches de sécurité, puis l’application et toutes les données qui lui sont associées. Il suffit pour cela de lancer la reconstruction vers une nouvelle machine, réelle ou virtuelle, aux caractéristiques équivalentes à celle en défaut, pour disposer à nouveau d’une configuration opérationnelle après un temps minimum d’immobilisation. L’opération suppose de disposer d’un « instantané BMR », c’est à dire un clone périodiquement remis à jour. Le BMR est la base d’un plan de reprise d’activité (PRA) contractualisé mais il sert aussi pour la migration d’un serveur vers un autre, puisque tous les paramètres de permission sont instantanément transférés.


Contactez-nous

Vous aimeriez savoir comment tirer le maximum de votre infrastructure de données ? Contactez l’un de nos experts en solutions d’infrastructure dès aujourd’hui et découvrez ce qu’Aptum peut faire pour vous !

Obtenir un devis