Grâce aux progrès technologiques, de nombreux appareils sont utilisés au quotidien pour interconnecter les utilisateurs du monde entier. Cependant, avec cette connectivité accrue, le risque de vols, de fraudes et d'infractions augmente par exploitation des faiblesses de l'infrastructure technologique. Cet article divise l'infrastructure de technologie de l'information en sept domaines. Chaque domaine nécessite des contrôles de sécurité appropriés pour répondre aux exigences de la triade CID.

Cet article aborde la législation qui concerne les exigences dans les domaines de la technologie et de la cyber sécurité. Nombre de ces lois portent sur divers types de données que l'on trouve dans divers secteurs industriels et sur les concepts de confidentialité et de sécurité de l'information. Plusieurs agences du gouvernement des États-Unis réglementent la conformité d'une entreprise avec ces types de lois. Le spécialiste de la cyber sécurité doit comprendre comment la loi et les intérêts de l'entreprise contribuent à guider ses décisions en matière d'éthique. La cyber éthique étudie les effets de l'utilisation d'ordinateurs et de la technologie sur les individus et sur la société.

Les entreprises emploient des spécialistes de la cyber sécurité pour pourvoir différents postes : testeurs d'intrusions (pen testeurs), analystes de sécurité et autres professionnels de la sécurité du réseau. Ces spécialistes de la cyber sécurité contribuent à la protection des données personnelles et sécurisent l'utilisation des services réseau. Cet article décrit les étapes à suivre pour devenir un spécialiste de la cyber sécurité. Enfin, il aborde différents outils accessibles au spécialiste de la cyber sécurité.

 

Les menaces et les vulnérabilités les plus fréquentes

Le domaine de l'utilisateur englobe les utilisateurs qui ont accès au système d'information de l'entreprise. Les utilisateurs peuvent être des collaborateurs, des clients, des sous-traitants et toute autre personne qui a besoin d'accéder aux données. Les utilisateurs sont souvent le maillon faible des systèmes de sécurité de l'information et représentent une réelle menace pour la confidentialité, l'intégrité et la disponibilité des données de l'entreprise.

Bien souvent, les utilisateurs adoptent des comportements risqués ou peu sécurisés qui peuvent affaiblir le meilleur système de sécurité. Voici les menaces auxquelles doivent faire face de nombreuses entreprises :

• Pas de sensibilisation à la sécurité : les utilisateurs doivent être conscients de la nature des données sensibles, des politiques et procédures de sécurité, ainsi que des technologies et mesures mises en place pour protéger les informations et les systèmes d'information.
• Politiques de sécurité mal appliquées : tous les utilisateurs doivent connaître les politiques de sécurité et les conséquences liées au non-respect des politiques de l'entreprise.
• Vol de données : le vol de données par des utilisateurs peut nuire financièrement à l'entreprise, porter préjudice à son image ou entraîner des problèmes de responsabilité en raison de la divulgation d'informations sensibles.
• Téléchargements non autorisés : dans bien des cas, les infections et attaques dont sont victimes le réseau et les postes de travail sont causées par des téléchargements non autorisés, de la part des utilisateurs, de messages électroniques, de photos, de chansons, de jeux, d'applications, de programmes et de vidéos sur des postes de travail, des réseaux ou des périphériques de stockage.
• Supports non autorisés : l'utilisation de supports non autorisés tels que des CD, des clés USB et des périphériques de stockage réseau peut entraîner des infections et des attaques de malwares.
• VPN non autorisés : les VPN peuvent masquer le vol d'informations non autorisées. Le chiffrement utilisé généralement pour protéger la confidentialité rend illisible toute transmission de données pour le personnel de sécurité informatique ne disposant pas des autorisations appropriées.
• Sites web non autorisés : l'accès à des sites web non autorisés peut présenter un risque pour les appareils et les données de l'utilisateur, ainsi que pour l'entreprise. De nombreux sites web invitent les visiteurs à télécharger des scripts ou des plugins qui contiennent des logiciels publicitaires ou du code malveillant. Certains de ces sites peuvent prendre le contrôle d'applications et d'appareils tels que des caméras.
• Destruction de systèmes, d'applications ou de données : le sabotage ou la destruction accidentelle ou intentionnelle des systèmes, des applications et des données sont très dangereux pour les entreprises. Les activistes, les employés mécontents et les concurrents peuvent supprimer des données, détruire des appareils ou altérer leur configuration pour faire en sorte que les données et les systèmes d'information soient indisponibles.

Aucune solution technique, aucun contrôle et aucune contre-mesure ne permettent de mieux sécuriser les systèmes d'information que l'adoption de comportements et de processus appropriés par les personnes qui les utilisent.

 

Gérer les menaces provenant des utilisateurs

Les entreprises peuvent mettre en place diverses mesures pour gérer les menaces liées aux utilisateurs :

• Organiser une formation de sensibilisation à la sécurité en posant des affiches de sensibilisation à la sécurité, en insérant des rappels dans les bannières et en envoyant des rappels par e-mail aux employés.
• Former annuellement les utilisateurs sur les politiques, les livrets du personnel et les mises à jour de ceux-ci.
• Lier la sensibilisation à la sécurité aux objectifs lors de l'évaluation des performances.
• Activer le filtrage du contenu et les analyses antivirus pour les pièces jointes.
• Utiliser le filtrage du contenu pour autoriser ou refuser des noms de domaines spécifiques conformément à la stratégie d'utilisation.
• Désactiver les lecteurs CD internes et les ports USB.
• Activer des analyses antivirus automatiques pour les supports insérés, les fichiers et les pièces jointes.
• Restreindre l'accès des utilisateurs aux seuls systèmes, applications et données dont ils ont besoin pour effectuer leur travail.
• Limiter les autorisations d'écriture et de suppression au seul propriétaire des données.
• Suivre et surveiller les comportements anormaux des employés, les irrégularités de performances ainsi que l'utilisation de l'infrastructure informatique en dehors des heures de bureau.
• Implémenter des procédures de verrouillage du contrôle d'accès en fonction de la stratégie d'utilisation et surveiller l'application de ces règles.
• Permettre au système de détection/prévention des intrusions (IDS/IPS) de surveiller les activités et les accès des collaborateurs manipulant des données sensibles.

 

Les menaces fréquentes concernant le matériel

Le terme périphérique fait référence à tout ordinateur de bureau, ordinateur portable, tablette ou smartphone qui se connecte au réseau.

Les éléments suivants illustrent les menaces pour ces appareils :

• Postes de travail sans surveillance : si un poste de travail allumé est laissé sans surveillance, un utilisateur non autorisé risque d'accéder aux ressources réseau
• Téléchargements des utilisateurs : les fichiers, photos, chansons et vidéos téléchargés peuvent contenir du code malveillant
• Logiciels sans correctifs : les vulnérabilités de sécurité logicielles ouvrent des brèches que les cybercriminels peuvent exploiter
• Malwares : chaque jour, de nouveaux virus, vers et autres codes malveillants sont découverts
• Supports non autorisés : en insérant des clés USB, des CD ou des DVD, les utilisateurs peuvent soit introduire des malwares sur leur poste de travail, soit compromettre les données qui y sont stockées
• Violation de la politique d'utilisation : des stratégies sont mises en place pour protéger l'infrastructure informatique de l'entreprise

Gestion des menaces pour les équipements

Les entreprises peuvent mettre en place diverses mesures pour gérer les menaces visant les appareils :

• Développer des stratégies pour les mots de passe et la protection par mot de passe sur tous les appareils.
• Activer le verrouillage d'écran pendant les périodes d'inactivité.
• Désactiver les droits d'administrateur pour les utilisateurs.
• Définir des politiques, des normes, des procédures et des directives de contrôle d'accès.
• Mettre à jour et appliquer un correctif à l'ensemble des systèmes d'exploitation et des logiciels.
• Implémenter des solutions antivirus automatisées qui analysent le système et mettent à jour le logiciel antivirus afin de garantir une protection adéquate.
• Désactiver tous les ports USB, CD et DVD.
• Activer des analyses antivirus automatiques pour les lecteurs USB, CD ou DVD insérés.
• Utiliser le filtrage du contenu.
• Rendre obligatoire une formation annuelle de sensibilisation à la sécurité ou mettre en place des campagnes et des programmes continus sur ce thème.

Les menaces fréquentes visant le réseau local (LAN)

Un réseau local rassemble des appareils interconnectés par le biais de câbles ou d'ondes radio. Le domaine du réseau LAN nécessite des contrôles d'accès stricts et une sécurité renforcée, dans la mesure où les utilisateurs peuvent accéder aux systèmes, aux applications et aux données de l'entreprise par ce biais.

Les éléments suivants présentent une menace pour le réseau local :

• Accès non autorisé au LAN : les armoires de répartition, les data centers et les salles informatiques doivent être sécurisés
• Accès non autorisé aux systèmes, aux applications et aux données
• Vulnérabilités du logiciel du système d'exploitation réseau
• Mises à jour du système d'exploitation réseau
• Accès par des utilisateurs non autorisés sur des réseaux sans fil
• Exploitation des données en transit
• Serveurs LAN sur différents types de matériel ou utilisant des systèmes d'exploitation différents : la diversité des configurations complique la gestion et le dépannage des serveurs
• Exploration des ports et analyse réseau non autorisées
• Pare-feu mal configuré

Gestion des menaces visant le réseau local

Les entreprises peuvent mettre en place diverses mesures pour gérer les menaces visant le réseau local :

• Sécuriser les armoires de répartition, les data centers et les salles informatiques. Refuser l'accès à toute personne ne disposant pas des informations d'identification requises.
• Définir des politiques, des normes, des procédures et des directives de contrôle d'accès strictes.
• Limiter les privilèges d'accès à des dossiers et fichiers spécifiques en fonction des besoins.
• Exiger des mots de passe ou une authentification pour les réseaux sans fil.
• Chiffrer les données qui transitent entre les appareils et les réseaux sans fil afin de préserver leur confidentialité.
• Instaurer des normes relatives à la configuration des serveurs LAN.
• Mener des tests de pénétration après avoir réalisé la configuration.
• Désactiver les réponses au ping (ICMP) et l'analyse des ports ouverts sur un hôte.

Menaces fréquentes visant le cloud privé

Le domaine du cloud privé comprend l'infrastructure informatique, les ressources et les serveurs privés accessibles aux membres d'une entreprise via Internet.

Les éléments suivants présentent une menace pour le cloud privé :

• Exploration des ports ouverts et analyse réseau
• Accès non autorisé aux ressources
• Vulnérabilité du système d'exploitation du périphérique réseau (pare-feu ou routeur)
• Erreur de configuration de l'appareil réseau, du pare-feu ou du routeur
• Utilisateurs qui accèdent à l'infrastructure de l'entreprise à distance et téléchargent des données sensibles

 

Gestion des menaces visant le cloud privé

Les entreprises peuvent mettre en place diverses mesures pour gérer les menaces visant le cloud privé :

• Désactiver les réponses aux messages ping (ICMP) et analyser les ports ouverts.
• Mettre en œuvre des systèmes de détection et de prévention des intrusions.
• Surveiller les anomalies de trafic IP entrant.
• Mettre à jour les appareils en appliquant les correctifs de sécurité.
• Mener des tests de pénétration post-configuration.
• Tester le trafic entrant et sortant.
• Adopter une norme de classification des données.
• Mettre en place l'analyse et la surveillance des transferts de fichiers.

 

Menaces fréquentes visant le cloud public

Le domaine du cloud public comprend les services hébergés par un fournisseur cloud, un opérateur télécom ou un fournisseur d'accès à Internet. Même si les fournisseurs du cloud implémentent des contrôles de sécurité pour protéger celui-ci, c'est aux entreprises de protéger leurs ressources dans le cloud. Les entreprises ont le choix entre trois modèles de service différents :

• Une solution SaaS (logiciel proposé comme un service) : il s'agit d'un service par abonnement qui fournit un accès aux logiciels hébergés de manière centralisée et accessibles par les utilisateurs via un navigateur web.
• Une solution PaaS (plate-forme proposée comme un service) : plate-forme permettant aux entreprises de développer, d'exécuter et de gérer leurs applications sur le matériel du service à l'aide des outils fournis par ce dernier.
• Une solution IaaS (infrastructure proposée comme un service) : fournit des ressources informatiques virtualisées telles que le matériel, les logiciels, les serveurs, le stockage et d'autres composants d'infrastructure via Internet.

Les éléments suivants présentent une menace pour le cloud public :

• Violation de l'intégrité des données
• Perte ou vol de propriété intellectuelle
• Compromission des informations d'identification
• Les référentiels d'identités sont considérés comme cible de choix
• Piratage de compte
• Manque de connaissances de la part de l'entreprise
• Attaques par ingénierie sociale pour tromper la victime
• Violations des réglementations

Gestion des menaces visant le cloud public

Les entreprises peuvent mettre en place diverses mesures pour gérer les attaques qui menacent leurs installations physiques :

• L'authentification multi facteur
• Le chiffrement
• Les mots de passe uniques, l'authentification par téléphone et carte à puces
• Positionnement des données et applications sur plusieurs zones
• Procédures de sauvegarde des données
• Procédures nécessaires
• Programmes de sensibilisation des utilisateurs aux questions de sécurité
• Politiques

Menaces fréquentes visant les installations physiques

Le domaine des installations physiques comprend tous les services utilisés par une entreprise dont le système de chauffage, de ventilation et de climatisation (CVC), l'eau et la détection d'incendie. Ce domaine comprend également les mesures de sécurité mises en œuvre pour protéger physiquement l'installation.

Les événements suivants présentent une menace pour les installations de l'entreprise :

• Catastrophes naturelles y compris les événements météorologiques et les risques géologiques
• Accès non autorisé aux installations
• Coupures d'électricité
• Ingénierie sociale en vue de récolter des informations sur les procédures de sécurité et les politiques en vigueur
• Faille dans les défenses électroniques du périmètre
• Vol
• Un hall d'accueil ouvert qui permet aux visiteurs d'accéder directement à l'intérieur des bâtiments
• Un data center déverrouillé
• Manque de surveillance

Gestion des menaces visant les installations physiques

Les entreprises peuvent mettre en place diverses mesures pour gérer les attaques qui menacent leurs installations physiques :

• Mettre en place le contrôle d'accès et la vidéosurveillance de toutes les entrées.
• Mettre en place des politiques et des procédures d'accès pour les visiteurs de l'installation.
• Tester la sécurité des bâtiments en tentant d'y accéder physiquement et d'infiltrer le système informatique sans se faire remarquer.
• Mettre en place l'accès par badge chiffré.
• Élaborer un plan de reprise après sinistre.
• Élaborer un plan de continuité d'activité.
• Organiser régulièrement des formations de sensibilisation des utilisateurs aux questions de sécurité.
• Mettre en place un système de marquage des ressources.

Menaces fréquentes visant les applications

Le domaine des applications regroupe l'ensemble des systèmes, applications et systèmes critiques. Il comprend, en outre, le matériel et toute la conception logique nécessaire. Les entreprises font migrer des applications telles que la messagerie, les activités de sécurité et la gestion de bases de données vers le cloud public.

Les éléments suivants présentent une menace pour les applications :

• Accès non autorisé aux data centers, aux salles informatiques et aux armoires de répartition
• Interruption du serveur à des fins de maintenance
• Vulnérabilité du système d'exploitation réseau
• Accès non autorisé aux systèmes
• Perte de données
• Interruption des systèmes IT pour une période prolongée
• Vulnérabilités au niveau des applications du client/serveur ou des applications web

Gestion des menaces visant les applications

Les entreprises peuvent mettre en place diverses mesures pour gérer les menaces visant le domaine des applications :

• Mettre en œuvre des politiques, des normes et des procédures d'accès pour permettre au personnel et aux visiteurs de garantir la sécurité des installations.
• Tester les logiciels avant leur lancement.
• Adopter des normes de classification des données.
• Développer une politique de mises à jour des applications et du système d'exploitation.
• Mettre en place des procédures de sauvegarde.
• Élaborer un plan de continuité d'activité pour les applications critiques afin de garantir leur disponibilité.
• Élaborer un plan de reprise après sinistre pour les données et les applications critiques.
• Mettre en place une solution de journalisation.

Éthique d'un spécialiste de la cyber sécurité

L'éthique est la petite voix intérieure qui guide un spécialiste de la cyber sécurité pour savoir ce qu'il doit faire ou pas, que cela soit légal ou non. L'entreprise confie au spécialiste de la cyber sécurité les données et ressources les plus sensibles. Le spécialiste de la cyber sécurité doit comprendre comment la loi et les intérêts de l'entreprise contribuent à guider ses décisions en matière d'éthique.

Les cybercriminels qui pénètrent dans un système par effraction, volent des numéros de carte de crédit ou libèrent un ver se rendent coupables d'actes contraires à l'éthique. Comment une entreprise perçoit-elle les agissements d'un spécialiste de la cyber sécurité qui adopte le même modus operandi qu'un cybercriminel ? Il se peut, par exemple, qu'un spécialiste de la cyber sécurité puisse stopper la propagation d'un ver en lui appliquant un correctif de manière anticipée. En réalité, le spécialiste libère lui aussi un ver qui n'a cependant rien de malveillant. Cette pratique est-elle autorisée ?

Les systèmes éthiques suivants envisagent l'éthique selon divers points de vue.

Éthique utilitariste

L'utilitarisme est une doctrine fondée au XIXe siècle par Jeremy Benthan et John Stuart Mill. Selon cette doctrine, toute action où le bien l'emporte sur le mal constitue un choix éthique.

Approche des droits

Cette doctrine reconnaît à chaque individu le droit de faire ses propres choix. Elle examine dans quelle mesure une action affecte les droits des autres individus pour juger si elle est bonne ou mauvaise. Ces droits sont notamment le droit à la vérité, à la vie privée et à la sécurité, et ils prévoient que la société applique équitablement les lois à tous ses membres.

Approche du bien commun

Selon cette approche, le bien commun est tout ce qui est profitable à la communauté. Dans ce cas, un spécialiste de la cyber sécurité examine en quoi une action affecte le bien commun de la société ou de la communauté.

Il n'existe aucune réponse absolue aux problèmes éthiques auxquels doivent faire face ces spécialistes. Le bien et le mal sont deux notions à géométrie variable qui dépendent de la situation et du point de vue éthique.

Computer Ethics Institute

Le Computer Ethics Institute (CEI) est une ressource qui s'adresse à l'ensemble du secteur des technologies de l'information. Il permet d'identifier et d'évaluer les questions éthiques et d'y répondre. Le CEI a été l'une des premières organisations à identifier les problèmes éthiques et de politique publique résultant de la croissance rapide du secteur des technologies de l'information. Cette figure présente les dix commandements de l'informatique édictés par le Computer Ethics Institute (CEI).

Cyber crime

La loi interdit les comportements indésirables. Malheureusement, les progrès réalisés dans le domaine des technologies de l'information surpassent ceux effectués dans le domaine de la législation et du compromis. Un certain nombre de lois et de réglementations affectent le cyber-espace. Plusieurs lois spécifiques régissent les politiques et procédures élaborées par une entreprise pour garantir leur conformité.

Cyber crime

Un ordinateur peut être impliqué dans une cyberattaque de différentes façons. Il y a le crime assisté par ordinateur, le crime ciblant les ordinateurs et le crime indirect par ordinateur. La pornographie enfantine est un exemple d'infraction relative à l'informatique ; l'ordinateur est un périphérique de stockage et n'est donc pas l'outil utilisé pour commettre le crime.

Plusieurs raisons expliquent l'augmentation de la cybercriminalité. De nombreux outils sont aujourd'hui disponibles sur Internet et il n'est nul besoin d'être un expert pour les utiliser.

Organisations créées pour combattre le cyber crime

Il existe un certain nombre d'agences et d'organismes qui contribuent à combattre le cybercrime.

Législation informatique dans le domaine civil, pénal et réglementaire

Aux États-Unis, il existe trois sources principales de législation et de réglementation : le droit écrit, la législation administrative et le droit commun. Ces trois sources impliquent la sécurité informatique. Le Congrès des États-Unis a mis en place des agences administratives fédérales et un cadre réglementaire qui comprend des sanctions civiles et pénales en cas de manquement aux règles.

Le droit pénal applique un code moral généralement accepté et soutenu par le gouvernement. Les réglementations établissent des règles conçues pour faire face aux conséquences au sein d'une société en rapide évolution en appliquant des sanctions en cas de violation des dites règles. La loi américaine de répression des fraudes et des abus liés à l'informatique (Computer Fraud and Abuse Act - CFAA), par exemple, est un texte législatif. Sur le plan administratif, la Federal Communications Commission et la Federal Trade Commission ont été confrontées à des problèmes tels que la fraude et le vol de propriété intellectuelle. Enfin, la jurisprudence de la common law fournit des précédents et une base constitutionnelle pour l'élaboration de nouvelles lois.

Federal Information Security Management Act (FISMA)

La loi FISMA a été votée par le Congrès des États-Unis en 2002 afin de modifier l'approche du gouvernement en matière de sécurité de l'information. Les systèmes informatiques fédéraux étant les principaux créateurs et utilisateurs d'informations, ils représentent une cible de choix pour les cybercriminels. La loi FISMA s'applique aux systèmes informatiques des agences fédérales et stipule la création d'un programme de sécurité de l'information comprenant les éléments suivants :

• Évaluation des risques
• Inventaire annuel des systèmes informatiques
• Politiques et procédures de réduction des risques
• Formation sur la sensibilisation aux questions de sécurité
• Test et évaluation de tous les contrôles de systèmes informatiques
• Procédure de gestion des incidents
• Plan de continuité des opérations

Législation sectorielle

De nombreuses lois sectorielles s'accompagnent d'une composante ayant trait à la sécurité et/ou la confidentialité. Le gouvernement des États-Unis exige des entreprises qui opèrent dans ces secteurs qu'elles respectent ces lois. Les spécialistes de la cyber sécurité doivent être en mesure de traduire les obligations légales en pratiques et politiques de sécurité.

Gramm-Leach-Bliley Act (GLBA)

Le Gramm-Leach-Bliley Act est une loi qui concerne essentiellement le secteur de la finance. Une partie de cette loi comporte cependant des dispositions de confidentialité pour les personnes. La disposition prévoit des méthodes d'exclusion, de sorte que les individus puissent contrôler l'utilisation des informations fournies dans le cadre d'une transaction commerciale avec une entreprise qui fait partie de l'institution financière. La loi GLBA restreint le partage des données avec des entreprises tierces.

Sarbanes-Oxley Act (SOX)

Le vote de la loi Sarbanes-Oxley Act par le Congrès américain fait suite à plusieurs scandales financiers touchant des grandes entreprises aux États-Unis. L'objectif de cette loi était de réviser en profondeur les normes financières et comptables des entreprises. Elle visait plus particulièrement les normes des sociétés cotées en bourse aux États-Unis.

Le standard PCI DSS (Payment Card Industry Data Security Standard, standard sur la sécurité des données pour les industries de carte de paiement)

Dans le secteur privé aussi, on reconnaît l'importance des normes uniformes et coercitives. Un Conseil des normes de sécurité composé des principaux acteurs du secteur des cartes de paiement a développé un programme à destination du secteur privé pour améliorer la confidentialité des communications réseau.

La norme PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de règles contractuelles qui régissent la protection des données de carte de crédit dans les transactions bancaires et commerciales. La norme PCI DSS est une norme volontaire (en théorie) et les commerçants/fournisseurs peuvent choisir s'ils souhaitent ou non s'y conformer. Cependant, en cas de non-conformité, le fournisseur s'expose à des frais de transaction sensiblement plus élevés, à des amendes pouvant atteindre 500 000 dollars, voire à l'interdiction de traiter des cartes de crédit.

Restrictions du chiffrement pour l'import/export (Import/Export Encryption Restrictions)

Depuis la Seconde Guerre mondiale, les États-Unis réglementent l'exportation de la cryptographie pour des raisons de sécurité nationale. Le Bureau de l'industrie et de la sécurité du département du Commerce des États-Unis contrôle désormais l'exportation de la cryptographie à des fins civiles. Il existe encore des restrictions à l'exportation vers les États dits « voyous » et les organisations terroristes.

Les pays peuvent décider de limiter l'importation des technologies de cryptographie pour les raisons suivantes :

• La technologie peut comporter une vulnérabilité de sécurité ou une porte dérobée.
• Les citoyens peuvent communiquer de manière anonyme et éviter toute surveillance.
• La cryptographie peut augmenter les niveaux de confidentialité au-delà d'un seuil acceptable.

Lois sur l'avis de manquement à la sécurité (Security Breach Notification Laws)

Les entreprises collectent toujours plus d'informations personnelles sur leurs clients, des mots de passe de compte aux adresses e-mail en passant par des informations médicales et financières hautement confidentielles. Les entreprises de toute taille reconnaissent l'importance du Big Data et de l'analyse des données. Cela les incite à recueillir et à stocker des informations. Les cybercriminels cherchent constamment de nouveaux moyens d'obtenir ces précieuses informations ou d'accéder aux données les plus confidentielles et sensibles d'une entreprise en vue de les exploiter. Les entreprises qui collectent des données sensibles doivent faire leur maximum pour les protéger. La collecte de données étant aujourd'hui une pratique très répandue, plusieurs lois obligent les sociétés qui s'y adonnent à informer les utilisateurs de toute faille de sécurité à ce niveau.

Loi sur la confidentialité des communications électroniques (Electronic Communications Privacy Act - ECPA)

La loi sur la confidentialité des communications électroniques (Electronic Communications Privacy Act - ECPA) traite une multitude de questions juridiques ayant trait à la confidentialité, découlant de l'utilisation croissante d'ordinateurs et d'autres technologies propres aux télécommunications. Les sections de cette loi portent sur la messagerie électronique, les communications cellulaires, la vie privée sur le lieu de travail et une multitude d'autres problèmes liés à la communication électronique.

Loi sur la répression des fraudes et infractions dans le domaine informatique (Computer Fraud and Abuse Act - 1986)

La loi sur la répression des fraudes et infractions dans le domaine informatique est en vigueur depuis plus de 20 ans. Cette loi jette les bases des lois américaines qui rendent illégal l'accès non autorisé à des systèmes informatiques. En vertu de cette loi, est considéré criminel le fait d'accéder sciemment et sans autorisation à un ordinateur appartenant au gouvernement ou utilisé dans le cadre du commerce interétatique. La loi CFAA considère également comme un crime l'utilisation d'un ordinateur pour perpétrer un crime de nature interétatique.

Cette loi considère comme un crime le trafic de mots de passe ou d'informations d'accès du même type, ainsi que le fait de transmettre sciemment un programme, du code ou une commande qui occasionnera des dommages.

Protection de la confidentialité

Les lois suivantes promulguées aux États-Unis protègent la confidentialité.

Loi sur la confidentialité de 1974 (Privacy Act of 1974)

Cette loi établit un Code de pratiques équitables en matière de renseignements qui régit la collecte, la maintenance, l'utilisation et la diffusion de données d'identification relatives à des personnes et conservées dans des systèmes d'enregistrements par des agences fédérales.

Loi sur la liberté d'information (Freedom of Information ACT - FOIA)

Le Freedom of Information Act (FOIA) permet un accès public aux dossiers du gouvernement des États-Unis. Cette loi comporte un principe de divulgation, de sorte qu'il incombe au gouvernement d'expliquer sa décision de ne pas divulguer les informations demandées.

Il existe neuf exemptions de divulgation afférentes à cette loi.

• Informations relatives à la sécurité nationale et aux politiques étrangères
• Règles et pratiques internes d'une agence
• Informations spécifiquement exclues par statut
• Informations commerciales confidentielles
• Données communiquées dans l'agence ou entre agences soumises à délibérations, à une procédure judiciaire et à d'autres privilèges
• Informations qui, si elles sont divulguées, constitueraient une violation claire et injustifiée de la vie privée
• Dossiers des services de police qui impliquent une des exemptions mentionnées
• Informations détenues par les agences et émanant d'institutions financières
• Données géologiques et géophysiques au sujet des puits

Loi pour la protection de la vie privée et des dossiers scolaires (Family Education Records and Privacy Act - FERPA)

Cette loi fédérale autorise les étudiants à accéder à leurs dossiers scolaires. Le Family Education Records and Privacy Act fonctionne sur une base volontaire, en ce sens que l'étudiant doit approuver la divulgation des informations avant leur divulgation effective. Lorsqu'un étudiant fête son dix-huitième anniversaire ou s'inscrit dans un établissement d'enseignement post-secondaire (quel que soit son âge), les droits prévus par la loi FERPA, qui appartenaient jusqu'alors à ses parents, lui sont transmis.

Loi américaine de répression des fraudes et des abus liés à l'informatique (Computer Fraud and Abuse Act - CFAA)

Cette loi fédérale s'applique à la collecte en ligne de données personnelles par des individus ou des entités soumises aux lois des États-Unis concernant les enfants de moins de 13 ans. Une autorisation parentale est requise pour recueillir et utiliser les données concernant des enfants (13 ans et moins).

Loi américaine sur la protection en ligne de la vie privée des enfants (U.S. Children's Online Privacy Protection Act - COPPA)

Cette loi fédérale s'applique à la collecte en ligne de données personnelles par des individus ou des entités soumises aux lois des États-Unis concernant les enfants de moins de 13 ans. Une autorisation parentale est requise pour recueillir et utiliser les données concernant des enfants (13 ans et moins).

Loi américaine sur la protection des enfants sur Internet (U.S. Children's Internet Protection Act - CIPA)

Le Children's Internet Protection Act a été voté en 2000 par le Congrès des États-Unis pour éviter que les enfants de moins de 17 ans n'aient accès à du contenu Internet choquant et à caractère obscène.

Loi pour la protection de la vie privée contre la surveillance vidéo (Video Privacy Protection Act - VPPA)

Le Video Privacy Protection Act protège un individu contre toute divulgation à des tiers des titres de cassettes vidéo, DVD et jeux vidéo loués. Les protections sont accordées par défaut, ce qui signifie que le loueur de vidéos doit obtenir le consentement du client d'exercer son droit d'exclusion s'il souhaite divulguer des informations personnelles sur les locations. De nombreux défenseurs de la vie privée considèrent le Video Privacy Protection Act comme la loi la plus stricte des États-Unis en termes de respect de la vie privée.

Loi sur la protection des données médicales (Health Insurance Portability & Accountability Act)

Cette loi rend obligatoires les protections relatives au stockage physique, à la maintenance, à la transmission et à l'accès aux informations médicales des personnes. Le Health Insurance Portability & Accountability Act oblige les entreprises qui utilisent des signatures électroniques à respecter les normes qui garantissent l'intégrité des informations, l'authentification des signataires et la non-répudiation.

Projet de loi du Sénat de Californie 1386 (SB 1386)

La Californie a été le premier État à promulguer une loi concernant la notification de la divulgation non autorisée d'informations permettant d'identifier une personne. Depuis, de nombreux autres États lui ont emboîté le pas. Toutes ces lois traitant d'avis de divulgation sont différentes, d'où l'impérieuse nécessité d'établir une loi fédérale unificatrice. Cette loi exige que les agences informent les consommateurs de leurs droits et responsabilités. Elle oblige l'État à informer les citoyens en cas de perte ou de divulgation d'informations permettant de les identifier. Depuis la promulgation de la loi du Sénat de Californie 1386, de nombreux autres États s'en sont inspirés pour modeler leur législation.

Règles de confidentialité

Les politiques constituent la meilleure manière de garantir la conformité à l'échelle d'une entreprise. Les politiques de confidentialité jouent un rôle important au sein de l'entreprise, en particulier avec les nombreuses lois promulguées pour protéger la vie privée. L'une des conséquences directes des lois en matière de confidentialité fut l'émergence d'un nouveau besoin, à savoir l'élaboration de règles de confidentialité d'entreprise liées à la collecte des données.

Évaluation de l'impact sur la vie privée (PIA – Privacy Impact Assessment)

Une évaluation de l'impact sur la vie privée garantit un traitement adéquat, à l'échelle de l'entreprise, des informations permettant d'identifier une personne.

• Déterminer la portée de l'évaluation PIA.
• Identifier les principaux intervenants.
• Documenter tous les contacts avec des informations permettant d'identifier une personne.
• Examiner les exigences réglementaires et juridiques.
• Documenter les problèmes potentiels identifiés en comparant les exigences et les pratiques réelles.
• Examiner les résultats avec les principaux intervenants.

Législation internationale

Avec l'explosion du nombre de connexions Internet et réseau au niveau mondial, l'accès non autorisé à un système informatique, connu également sous le nom d'intrusion, est devenu un problème majeur qui peut avoir des répercussions tant sur le plan national qu'international. De nombreux pays se sont dotés de lois régissant ce type de crime, mais il peut subsister des lacunes au niveau du traitement.

Convention sur le Cyber crime

La Convention sur la cybercriminalité est le premier traité international portant sur les crimes perpétrés sur Internet (UE, États-Unis, Canada, Japon et autres). Les politiques communes traitent la cybercriminalité et répondent aux problématiques suivantes : violation de droits d'auteur, fraude informatique, pornographie enfantine et violations de la sécurité du réseau.

Electronic Privacy Information Center (EPIC)

L'Electronic Privacy Information Center promeut les politiques et les lois relatives à la protection de la vie privée et pour un gouvernement ouvert à l'échelle planétaire, et se concentre sur les relations entre l'Union européenne et les États-Unis.

Base de données américaine sur les vulnérabilités (NVD, National Vulnerability Database)

La base de données NVD (National Vulnerability Database) est un référentiel de données de gestion des vulnérabilités normalisé du gouvernement des États-Unis. Elle utilise le protocole SCAP (Security Content Automation Protocol). Le protocole SCAP permet d'utiliser des normes spécifiques pour automatiser la gestion et la mesure des vulnérabilités, ainsi que l'évaluation du respect de la politique.

Le protocole SCAP utilise des normes ouvertes pour énumérer les problèmes de configuration et les failles des logiciels de sécurité. Les spécifications classent et évaluent les informations relatives à la sécurité de manière normalisée. La communauté SCAP est le fruit d'un partenariat conclu entre les secteurs privé et public dans le but de faire progresser la normalisation des opérations de sécurité techniques.

La base de données NVD utilise le système d'évaluation standardisé de la criticité des vulnérabilités pour évaluer l'incidence des vulnérabilités. Une entreprise peut utiliser les résultats obtenus pour déterminer la gravité des vulnérabilités détectées sur son réseau, ce qui permet d'identifier la stratégie de prévention à mettre en œuvre.

Vous trouverez également sur ce site plusieurs listes de contrôle qui fournissent des conseils sur la configuration des systèmes d'exploitation et des applications afin de garantir un environnement hautement sécurisé.

CERT

Le Software Engineering Institute (SEI) de l'université Carnegie-Mellon aide les organisations gouvernementales et industrielles à développer, utiliser et gérer des systèmes logiciels novateurs, abordables et fiables. Il s'agit d'un centre de recherche et développement à financement fédéral parrainé par le Ministère de la Défense des États-Unis.

La Division CERT du Software Engineering Institute étudie et résout les problèmes dans le domaine de la cyber sécurité, dont les vulnérabilités de sécurité dans les logiciels et les modifications au niveau des systèmes en réseau. Elle propose également des formations en vue d'améliorer la cyber sécurité. La Division CERT offre les services suivants :

• Contribuer à la résolution des vulnérabilités logicielles
• Développer des outils, des produits et des méthodes pour mener des enquêtes techniques
• Développer des outils, des produits et des méthodes pour analyser les vulnérabilités
• Développer des outils, des produits et des méthodes pour surveiller de grands réseaux
• Aider les entreprises à déterminer l'efficacité de leurs pratiques de sécurité

La division CERT possède une vaste base de données d'informations sur les vulnérabilités logicielles et les codes malveillants afin de faciliter l'élaboration de solutions et de stratégies de prévention.

Internet Storm Center

L'Internet Storm Center (ISC) propose un service d'alerte et d'analyse gratuit aux entreprises et utilisateurs d'Internet. Il collabore également avec les fournisseurs de services Internet pour combattre les cybercriminels. L'Internet Storm Center collecte chaque jour des millions d'entrées de journal provenant des systèmes de détection d'intrusion en utilisant des capteurs couvrant 500 000 adresses IP dans plus de 50 pays. L'ISC identifie les sites utilisés pour les attaques et fournit des données sur les types d'attaques lancées contre divers secteurs d'activité et régions du monde.

Le SANS Institute prend en charge l'Internet Storm Center. SANS constitue une source fiable pour les recherches, certifications et formations dans le domaine de la sécurité informatique.

Advanced Cyber Security Center

L'Advanced Cyber Security Center (ACSC) est une organisation à but non lucratif qui réunit les acteurs de l'industrie, le milieu universitaire et les agences gouvernementales pour contrer les cybermenaces complexes. Cette organisation partage des informations sur les menaces informatiques, participe à la recherche et au développement en matière de cyber sécurité et crée des programmes de formation visant à favoriser les professions liées à la cyber sécurité.

Les priorités de l'ACSC s'articulent autour de quatre axes majeurs :

• Mettre au point des systèmes résilients afin de revenir à un fonctionnement normal à la suite d'une attaque et d'une défaillance.
• Améliorer la sécurité mobile.
• Développer le partage d'informations sur les menaces en temps réel.
• Intégrer les risques liés à la cyber sécurité dans la gestion des risques de l'entreprise.

Scanners de vulnérabilité

Un scanner de vulnérabilité recherche des faiblesses sur des ordinateurs, systèmes informatiques, réseaux ou applications. Les scanners de vulnérabilités permettent d'automatiser les audits de sécurité en analysant les risques de sécurité sur le réseau et en établissant une liste de priorités afin de traiter les points faibles. Un scanner de vulnérabilité recherche les types de vulnérabilités suivants :

• Utilisation de mots de passe par défaut ou des mots de passe communs
• Correctifs manquants
• Ports ouverts
• Mauvaise configuration des systèmes d'exploitation et des logiciels
• Adresses IP actives

Pour choisir un scanner de vulnérabilité, tenez compte de son évaluation sur le plan de la précision, de la fiabilité, de l'évolutivité et de la gestion de rapports. Deux types de scanners de vulnérabilités sont disponibles : logiciels ou basés dans le cloud.

L'analyse des vulnérabilités est essentielle au sein des entreprises qui comptent un grand nombre de segments de réseau, de routeurs, de pare-feu, de serveurs et d'autres appareils professionnels.

Test d'intrusion

Un test d'intrusion (ou de pénétration) est une méthode qui consiste à tester les points de faibles d'un système en appliquant diverses techniques malveillantes. Le test d'intrusion est différent du test de vulnérabilité. Le test de vulnérabilité identifie simplement les problèmes potentiels. Dans le cadre d'un test d'intrusion, un spécialiste de la cyber sécurité pirate un site web, un réseau ou un serveur avec l'autorisation de l'entreprise en vue d'obtenir l'accès aux ressources en utilisant des noms d'utilisateur, des mots de passe ou d'autres méthodes standard. La grande différence entre un cybercriminel et un spécialiste de la cyber sécurité est que ce dernier est autorisé par l'entreprise à effectuer ces tests.

Le recours aux tests d'intrusion est généralement motivé par la volonté d'identifier et de corriger les éventuelles vulnérabilités avant qu'un cybercriminel ne les découvre. Le terme de « piratage éthique » est également utilisé pour désigner un test d'intrusion.

Analyseurs de paquets

Les analyseurs de paquets interceptent et consignent dans un journal le trafic réseau. L'analyseur de paquets capture chaque paquet, montre les valeurs des divers champs qu'il contient et analyse leur contenu. Un analyseur réseau peut capturer le trafic réseau sur les réseaux filaires et sans fil. Les analyseurs de paquets permettent d'effectuer les opérations suivantes :

• Analyse des problèmes réseau
• Détection des tentatives d'intrusion réseau
• Isolement d'un système ayant fait l'objet d'une attaque
• Enregistrement du trafic
• Détection d'une utilisation frauduleuse du réseau

Outils de sécurité

L'outil de sécurité idéal adapté à toutes les situations n'existe pas ! De nombreux facteurs, tels que la situation ou les préférences personnelles, entrent en ligne de compte. Un spécialiste de la cyber sécurité doit connaître les outils à employer pour obtenir des informations fiables.

Kali

Kali est une distribution de sécurité Linux open source. Les professionnels IT l'utilisent généralement pour tester la sécurité de leurs réseaux. Kali Linux intègre plus de 300 programmes d'audit de sécurité et tests d'intrusion sur une plate-forme Linux.

Connaissance de la situation du réseau

Une entreprise doit être en mesure de surveiller ses réseaux, d'analyser les résultats obtenus et de détecter toute activité malveillante.

Définir les rôles des magiciens de la cyber sécurité

Le standard ISO définit le rôle des magiciens de la cyber sécurité. Le cadre du standard ISO 27000 exige :

• Un responsable senior chargé de l'informatique et de l'ISM (il s'agit souvent du promoteur de l'audit)
• Professionnels de la sécurité informatique
• Administrateurs de sécurité
• Contact du responsable de la sécurité physique du site et des installations
• Contact des ressources humaines pour les questions en la matière telles que les actions disciplinaires et la formation
• Responsables système et réseau, architectes de sécurité et autres professionnels de l'informatique

On peut classer les postes relevant de la sécurité de l'information en trois catégories :

• Les « concepteurs » fournissent des politiques, des directives et des normes. Cette catégorie comprend les consultants qui, outre l'évaluation des risques, procèdent au développement de l'architecture technique et logicielle, ainsi que les cadres dirigeants qui possèdent une connaissance générale, mais superficielle, du sujet.
• Les « constructeurs » sont ceux qui possèdent les véritables compétences techniques. C'est à eux qu'il appartient de créer et d'installer les solutions de sécurité.
• Les « agents de surveillance » administrent les outils de sécurité, effectuent les activités de surveillance et améliorent les processus.

Outils de recherche d'emploi

De nombreux sites web et applications mobiles diffusent des offres d'emploi dans le domaine informatique. Chaque site cible divers candidats et fournit différents outils à l'intention des personnes en quête du poste idéal. De nombreux sites sont en réalité des agrégateurs de sites d'offres d'emploi, c'est-à-dire des sites qui centralisent les résultats de recherche d'autres sites et pages d'emploi des entreprises.

Indeed.com

Indeed.com, qui se présente comme le premier site d'emploi mondial, attire chaque mois plus de 180 millions de visiteurs provenant d'une cinquantaine de pays. Ce site couvre toute la surface du globe. Il permet aux entreprises de toutes tailles de recruter les meilleurs talents, tout en présentant les meilleures opportunités aux personnes en recherche d'emploi.

CareerBuilder.com

CareerBuilder propose des offres d'emploi pour de nombreuses grandes entreprises, parmi les plus prestigieuses du secteur. Le site attire donc des candidats au profil très pointu ayant un niveau d'études plus élevé. Parmi les personnes qui répondent aux offres d'emploi publiées sur CareerBuilder, la majorité est titulaire de diplômes universitaires, d'attestations de haut niveau et de certifications du secteur.

USAJobs.gov

Tous les postes à pourvoir au sein des agences du gouvernement fédéral sont publiés sur USAJobs.