La veille informationnelle – D2.1 D2.2 D2.3 et D 4.3 –

C2i Séance 14 – Veille informationnelle

Par Jérome BALEZO, responsable de Collections à l’ENSEM

 

Deux définitions :

  • Activité continue en grande partie itérative visant à une surveillance active de l’environnement technologique, commercial,… pour en anticiper les évolutions (AFNOR)
  • La veille informationnelle est l’ensemble des stratégies mises en place pour rester informé, en y consacrant le moins de temps possible en utilisant des processus de signalement automatisés. (Urfist)

La veille informationnelle permet d’accéder à trois types d’information :

  • Information blanche

o   Accessible à tous

o   Peu valeur stratégique

  • Information grise

o   Plus difficilement accessible

o   Valeur ajoutée

o   Souvent informelle

  • Information noire

o   Information acquise de façon illégale

o   Très stratégique

o   Espionnage industriel

Ainsi, la veille informationnelle peut être de plusieurs ordres :

  • Veille concurrentielle
  • Veille technologique
  • Veille juridique
  • Veille commerciale

 

Utilisation d’outils pour la veille informationnelle

 

Je me suis intéressé au domaine des médias. En effet, le domaine des médias est un secteur d’avenir, particulièrement le boom d’Internet. Pour effectuer la veille informationnelle, j’ai utilisé l’outil NetVibes.

Dans un premier temps, j’ai rentré dans le moteur de recherche le mot « médias » tout simplement.

Cela m’a affiché plusieurs résultats, je clique sur la page du monde.fr

Je peux alors accéder aux flux RSS de toutes leurs actualités sur le thème qui m’intéresse. Ici je choisis donc les médias.

Mes recherches de sites consacrés aux médias m’ont permis de découvrir le site Puremédias.com

Je m’abonne donc à leur flux RSS. J’ajoute le « widget » au dashboard qui synthétisera tout ce que j’ai fait.

Au final j’obtiens donc le dashboard que l’on peut voir sur NetVibes.

L’utilisation du cloud par les PME – D2.3 & D3.3 –

L’utilisation du cloud par les PME

 Le reste de la présentation a été faite par RAMLA Youcef ; vous la trouverez donc sur son site. 

« Les bienfaits de la résilience du Cloud et ce qu’elle ne garantit pas »

http://blog.ontrack.fr/les-bienfaits-resilience-du-cloud-ce-quelle-garantit-pas/

 

 

On remarque depuis quelques années que les PME ont de plus en plus tendance à délaisser les vieux systèmes de sauvegarde sur bande pour se tourner vers des technologies plus modernes comme les disques durs externes et le cloud.

Quelques avantages du cloud sur le disque dur :

–          Moins cher

–          Capacité infini

–          Sécurité des données accrue : plus de risque de vol par exemple. Même dans le cas d’un incendie dans l’entreprise qui détruirait tout, on pourra toujours récupérer les données qui forment le cœur de la société.

Comment migre-t-on sa sauvegarde vers le cloud ?

 

Il faut une ligne ADSL 2+, c’est-à-dire autour de 15 à 25 Mbit/s descendant et 1 Mbit/s montant.

Lorsque le constat est réalisé de la faisabilité télécoms, il faut s’occuper du budget à allouer à la quantité de données à sauvegarder. Cela dépend vraiment des fournisseurs, des logiciels et des services qu’ils mettent à disposition. Compter entre 15 et 200 € par mois pour 500 Go de sauvegarde (parfois plus). Le prix dépend des assurances contre la perte des informations mais aussi des interfaces auxquelles nous l’entreprise a accès pour gérer ses données.

Introduction

Je m’appelle JOST Quentin, je suis élève ingénieur civil en deuxième année dans le département « Mathématiques  appliquées » aux Mines de Nancy. Durant le deuxième semestre de cette année, j’ai choisi de suivre un cours intitulé           » C2i Niveau 2 : Métiers de l’ingénieur « .

L’année dernière, j’ai obtenu le niveau 1 de ce diplôme de certification de compétences informatiques. Il s’agissait alors d’acquérir les connaissances fondamentales sur Power Point, Word et Excel ; l’examen finale était ainsi principalement théorique.

Avec le niveau 2, on va au delà de la simple manipulation des outils du pack Office ! Le dessein est cette fois-ci plutôt théorique. L’idée est d’acquérir des connaissances précises dans 5 domaines de l’informatique puis de les résumer dans un « dossier numérique de compétences », ici un blog.  L’objet de ce cours de 14 séances est de nous donner, au travers de conférences diverses et variées, une vision générale des différents thèmes demandés.

Les cinq domaines sur lesquels nous devons dorénavant posséder un culture informatique sont :

DOMAINE D1 : Connaître et respecter les droits et obligations liés aux activités numériques en contexte professionnel

– Compétence D1.1 Respecter et intégrer la législation relative à la protection des libertés individuelles
– Compétence D1.2 Respecter et intégrer la législation sur les œuvres numériques liées au domaine professionnel
– Compétence D1.3 Respecter et intégrer les aspects légaux liés à la protection et à l’accessibilité des données professionnelles

DOMAINE D2: Maîtriser les stratégies de recherche, d’exploitation et de valorisation de l’information numérique

Compétence D2.1 – Élaborer et mettre en oeuvre une stratégie de recherche d’informations en contexte professionnel
Compétence D2.2 – Élaborer et mettre en oeuvre une stratégie de veille informationnelle en contexte professionnel
Compétence D2.3 – Élaborer une stratégie de développement et de valorisation des compétences professionnelles

DOMAINE D3: Organiser des collaborations professionnelles avec le numérique

Compétence D3.1 – Organiser un travail collaboratif en utilisant les technologies numériques
Compétence D3.2 – Coordonner et animer des activités collaboratives dans un environnement numérique
Compétence D3.3 – Adapter, modifier et transmettre des données en respectant l’interopérabilité dans un contexte de travail collaboratif professionnel

DOMAINE D4: Maîtriser la sécurité de l’information et des systèmes d’information

Compétence D4.1 – Maîtriser les processus d’une politique de sécurité pour participer à sa mise en place
Compétence D4.2 – Distinguer les acteurs de la mise en place de la politique de sécurité et identifier leurs responsabilités légales
Compétence D4.3 – Identifier et hiérarchiser les informations afin de les exploiter de façon adéquate
Compétence D4.4 – Évaluer la sûreté des procédures et connaître la limite des outils permettant de traiter l’information, selon le lieu et le mode d’accès
Compétence D4.5 – Estimer les risques accidentels et intentionnels afin que soient prises les dispositions nécessaires

DOMAINE D5:  Piloter la maîtrise d’ouvrage des systèmes d’information

Compétence D5.1 – Comprendre les enjeux du système d’information du point de vue de la maîtrise d’ouvrage
Compétence D5.2 – Identifier les acteurs et les étapes d’un projet « système d’information » pour en assurer la conduite éclairée
Compétence D5.3 – Exprimer son besoin dans toutes ses dimensions, et vérifier sa prise en compte par la maîtrise d’oeuvre, tout au long du projet
Compétence D5.4 – Respecter les exigences de l’interopérabilité et de l’accessibilité du point de vue de la maîtrise d’ouvrage
Compétence D5.5 – Interpréter un document de modélisation de données ou de processus métiers

Dans ce blog, je reprends les devoirs qui nous ont été demandés au fil de ces 14 séances et présente ainsi ma vision des conférences et des domaines abordés. En prenant ce cours, j’espérais, au delà de la curiosité scientifique, pouvoir obtenir un diplôme valorisant à mettre sur mon CV.

Remédiation – Séance 11 –

Après 10 séances de présentation des différents outils informatiques bons à connaitre pour un ingénieur, il était temps de faire une pause pour « débriefer » tout ce que nous venions de voir.

Pour faire le Bilan, nous avons rempli un document Excel reprenant les différents domaines de compétences abordés.

Séance de révision, d’approfondissement de certaines notions, de découvertes d’autres.

Audit et Sécurité des Systèmes d’Information – D5.1 D5.2 D5.3 D5.4 & D5.5 –

 

C2i Niveau 2 – Séance 11 et 13

Par Mansour El Ghoul,

PAST Université de Lorraine et Consultant en Entreprise sur les Systèmes d’Information

 

Dans le cadre du cours de C2i « Métiers de l’ingénieur », nous nous sommes intéressés à l’audit et la gouvernance des systèmes d’information. En effet, nous l’avons déjà vu précédemment, l’informatique est souvent mal gérée dans les entreprises, alors qu’elle peut être aujourd’hui un atout indéniable pour les entreprises.

Pourquoi s’intéresser à la gouvernance des systèmes d’information ?

La gestion des systèmes d’information est un domaine stratégique pour une entreprise. En effet, l’informatique est un domaine coûteux pour une entreprise mais cela représente aussi un investissement non négligeable pour une société.

 

En effet, de nos jours le lien avec l’entreprise est tout d’abord accessible via Internet et donc via les systèmes d’information. Dès lors, un système informatique bien géré est favorable pour la réputation de l’entreprise. Pour assurer l’image de marque d’une grande entreprise, il est donc indispensable d’avoir un système d’information satisfaisant.

Conséquence du lien informatique, l’information est délocalisée. Avant, cette dernière était accessible directement sur place, ou bien par téléphone… Désormais tout est accessible sur Internet, une entreprise, pour être vue, ne peut donc pas y échapper… De plus, les processus sont de plus en plus virtuels. Donnons un seul exemple : l’envoi de documents par courriel a révolutionné la communication d’informations.

De plus, la gouvernance des systèmes d’information est un enjeu d’intelligence économique. L’intelligence économique est la recherche d’informations pertinentes pour l’entreprise. Par conséquent, les systèmes d’information peuvent être une source d’innovation et de traitement intéressant pour les informations issues de l’intelligence économique.

Enfin, la sécurité informatique est un enjeu essentiel pour les entreprises. Puisque la circulation d’information s’est multipliée au fur et à mesure des années, les entreprises se doivent de protéger leurs informations qui circulent « virtuellement ». En effet, on entend souvent parler de cyber-attaques et autres… C’est pourquoi les sociétés doivent faire attention à la gouvernance de leurs systèmes d’information.

Gouvernance par les entreprises

L’affaiblissement des mécanismes de contrôle a eu des conséquences néfastes pour les entreprises. Que ce soit par manque d’intérêt, manque d’investissement ou bien méconnaissance de l’importance de la gouvernance des systèmes d’information, celles-ci ont, durant les années 2000, délaissé les systèmes d’information. Or cela a entrainé des scandales : on peut citer le scandale Enron, ou bien Worldcom dans le domaine des télécommunications…

Dès lors, avoir un bon système de gestion d’information permet de rassurer les actionnaires des entreprises, qui retrouvent la confiance en leurs entreprises.

IT gouvernance

            Composantes

  • Performance IT : Gestion de la performance des services délivrés
  • Contrôle IT : Vérification du bon fonctionnement des services
  • Audit IT : Détection et amélioration des systèmes d’information
  • Manque de maturité des directions d’entreprises qui négligent les systèmes d’information
  • Incompréhension car manque de mesure précise (i.e. d’un indicateur de performance)

Problèmes :

Conclusion

La présentation de Mansour El Ghoul a mis en évidence les enjeux de l’informatique au sein de l’entreprise. Il était assez intéressant d’avoir le point de vue d’un consultant en entreprise, qui a eu l’opportunité de voir les comportements réels de diverses entreprises. Visiblement, l’audit SI est un domaine en expansion car les entreprises ont du mal à effectuer la transition vers les systèmes d’information…

La propriété intellectuelle et industrielle – D1.1 et D1.2 –

C2i Niveau 2 – Conférences du 15 et 22 avril 2014

Par M. Tafforeau

Professeur à la Faculté de droit

Durant deux séances, Mr Tafforeau a développé les notions de propriété intellectuelle et propriété industrielle, droits d’auteur et droits voisins …

Le thème de ces conférences a été principalement le droit d’auteur et tous les droits qui sont en relation avec cette question que l’on appelle droits « voisins ».

Le numérique

 

Si la question du droit d’auteur a toujours primordiale lorsqu’on parle d’œuvre artistique, il n’a jamais été autant menacé que de nos jours et ce à cause de ce qu’on pourrait appeler le « numérique ». Ce terme désigne surtout un phénomène. Les œuvres circulent maintenant surtout dans un format numérique, sur Internet par exemple. Le numérique a donc facilité la circulation des œuvres et des objets protégés par un droit voisin.

Si internet est un outil formidable pour les artistes (plus grande visibilité, ventes plus faciles,…) le web s’apparente aussi parfois à une zone de non-droits, à l’image des radios libres, qu’il n’est évidemment pas ! Rappelons que le Droit d’auteur y est applicable, même s’il y est moins effectif étant donnée la difficulté de surveiller tout ce qui s’y passe. N’importe qui peut faire circuler n’importe quoi et même s’approprier des œuvres qui ne seraient pas sienne. Le public (autrefois simple récepteur) peut maintenant participer à la communication des informations, et devient lui-même éditeur de contenu. Internet est ainsi participatif (constaté sur Deezer, Youtube, Wikipedia…).

Le droit d’auteur et propriété intellectuelle

 

Le Droit d’auteur a été instauré en France (propriété littéraire et artistique) dans la DDHC de 1789. Les droits voisins du droit d’auteur ont été instaurés par la loi Lang (1985). 1992 : code de la propriété intellectuelle. On constate de plus en plus de sources provenant de l’U.E. (directives mises en place et qui exigent de la part des Etats membres l’adoption de lois). De nombreux traités internationaux tentent aussi de faire reconnaître l’existence de droits intellectuels et artistiques.

La définition de la Propriété intellectuelle comporte deux branches : la propriété littéraire et artistique, et la propriété industrielle. En 1998 a été créé en France un droit spécifique sur le contenu des bases de données (recueil de documents de toute sorte, sur support papier ou électronique).

Définition du droit voisin : artistes interprètes, phonogrammes (enregistrement quelconque, maison de disque par ex), vidéogrammes (enregistrement de séquences audiovisuelles, avec ou sans musique), entreprises de le communication audiovisuelle (radios, télévisions). Une chaîne de télé doit demander l’autorisation de diffusion à une autre si elle détient des droits voisins.

 

Quelques exemples de droits

 

On trouve sur le site de la SACD la définition suivante du droit moral : « L’auteur jouit du droit au respect de son nom, de sa qualité et de son œuvre. Ce droit est attaché à sa personne. Il est perpétuel, inaliénable et imprescriptible (art. L.121-1 du CPI). » L’auteur a le droit de divulgation de l’œuvre, droit de retrait et de repentir (concerne surtout les auteurs plasticiens, qui ont le droit de faire retirer du commerce leurs œuvres, quitte à indemniser l’éditeur), l’auteur peut modifier son œuvre, et peut exiger que le public ne soit désormais plus mis en contact qu’avec l’œuvre modifiée (ex : pièce de théâtre). L’artiste interprète n’a lui pas le droit de divulgation.

Le droit pécuniaire : évaluable en argent qui consiste en le droit de représentation et le droit de reproduction (de l’enregistrement, des programmes de radio et télévision)

Les bases de données peuvent être protégées de 2 façons : droits d’auteur et droit sui generis. Ils ne protègent pas la même chose (respectivement la disposition des matières, et les informations/données elles-mêmes).

Le public a aussi droit à la mise à disposition des œuvres via la location ou le prêt. Le critère, pour appliquer la propriété industrielle, est la nouveauté. Une œuvre peut être déposée dès lors qu’elle est originale dans le sens où elle provient de l’imagination d’une personne et ne ressemble à aucune autre.

Quelques informations utiles à savoir

 

Toutes les œuvres sont protégées pendant toute la vie de l’auteur et 70 ans après sa mort depuis 1995, avant c’était 50. Par exemple Le livre d’Hitler Mein Kampf tombera dans le domaine public en 2016. Au-delà de ce délai, n’importe qui peut utiliser l’œuvre comme il souhaite. Dans le domaine multimédia, les personnes sont souvent amenées à utiliser des œuvres protégées (constituer un blog ou un site web) ; elles ont alors besoin de l’autorisation de l’artiste.

Un article dont nous avons parlé est l’Article L.122-5 : « Lorsque l’œuvre a été divulguée, l’auteur ne peut interdire : Les représentations privées et gratuites effectuées exclusivement dans un cercle de famille ; Les copies ou reproductions réalisées à partir d’une source licite et strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective »

Démarche de paiement des redevances

Les moyens des payer un auteur en échange de l’utilisation de son œuvre son multiples: ADAGP (arts graphiques et plastiques), SACEM (musique), SACD (pièces de théâtre), SCAM (documentaires, reportages qui peuvent aussi passer à la radio)…réunis dans les SRPD (sociétés de protection des droits d’auteur).

Pour adhérer à la SPRD, l’auteur doit cotiser 100€, pour y être inscrit à vie. L’auteur s’engage en échange à déclarer toutes les œuvres qu’il créées.

Les auteurs d’œuvres graphiques et plastiques peuvent se faire reverser un pourcentage (autour de 3% en général) de la revente de leur œuvre, si celle-ci est faite par un professionnel.

Utilisation des créations sur internet

 

On parle principalement de téléchargement ascendant (uploading : poster sur un site ou un blog des éléments de son propre ordinateur) et descendant (downloading, vers l’ordinateur), et de peer-to-peer. Mais qu’en est-il exactement du respect des droits auteur. En effet, si l’œuvre est protégée il faut mentionner son auteur et disposer d’une autorisation de communication publique.

Sur Internet, les liens hypertexte qui permettent d’aller sur une autre page sont légaux. En revanche, ceux qui aboutissent sur une œuvre protégée sont soumis à une autorisation tant que les éléments ne sont pas tombés dans le domaine public.

Si le peer-to-peer est clairement interdit, le streaming est lui autoriser tant qu’il reste dans le cercle familiale. L’internaute paye en échange de la vidéo qu’il souhaite visionner. Les Webradios et WebTV sont reconnus comme tels s’il n’y a pas d’interactivité (i.e. linéarité des programmes, qu’on ne peut pas réécouter).

La recherche de l’effectivité du droit d’auteur et des droits voisins sur Internet

 

La question qui se pose est de savoir si les notions de droits d’auteurs sont réellement respectées sur le net. Il s’agit alors de créer un droit sur les mesures technique de protection et d’information. On remarque également que les nouvelles sanctions, toujours plus lourdes, ne se révèlent pas nécessairement plus efficaces. Ces mesures sont des dispositifs qui visent à limiter, voire empêcher, les accès non réglementaires. A titre d’exemple, si une copie est autorisée, la copie de cette copie ne l’est pas. Il s’agit donc de faire en sorte que les copies soient de moins bonne qualité, que le fichier s’autodétruise…Tout en s’interdisant de faire passer des virus ! Il est aussi possible d’intégrer au fichier des informations qui peuvent le suivre et le rendent traçable. Toutes ces mesures sont protégées par la loi (300 000€ d’amende et 3 ans de prison max).

La réglementation qui fait parler le plus d’elle est certainement Hadopi, créée en 2009, qui vise à réguler les mesures techniques de protection, et à prévenir les utilisateurs. Hadopi repose sur l’obligation de l’internaute de sécuriser son accès à Internet. Sinon, il reçoit une réponse graduée pour le téléchargement illicite ou le peer-to-peer. On aboutit alors à une procédure judiciaire à très long terme. Ce qui est recherché est surtout l’aspect dissuasif pour faire reculer l’utilisation illicite des œuvres. Hadopi n’étant pas un tribunal, elle n’a pas le droit de sanctionner. Elle peut cependant transmettre l’information à un tribunal après la 3e recommandation, et délibération. Il y a eu pour l’instant moins de 10 condamnations, mais plus de 10 000 envois de 1e recommandation. Depuis juillet 2013, Hadopi ne suspend plus l’accès des utilisateurs à Internet.

 

Étude pratique

Question 1

 

Le couple Monnet doit payer la SACEM pour la diffusion de la musique de Richard Bonnière. En effet celui-ci s’était inscrit à la SACEM en 1932, et il n’est mort qu’en 2004.

En revanche, les textes de Victor Ancielle sont tombés dans le domaine public puisqu’il est mort en 1870 : or les droits tombent dans le domaine public 70 ans après la mort de l’auteur. Son fils ne touchera aucun droit patrimonial.

Cependant les deux héritiers peuvent s’opposer à la diffusion en invoquant le droit moral, par exemple si les textes associés à la musique sont infamants…

Question 2

 

Il faut l’autorisation de « la Gassion » ainsi que de sa pianiste Petra Ka pour la diffusion radiophonique. L’autorisation de la tourneuse de pages n’est pas nécessaire vu qu’on ne la voit pas à la radio. Il faudra dédommager via la SACEM l’héritier de Richard Bonnière pour la diffusion de la musique.

Question 3

 

La chaîne France 9 avait le droit de diffuser le premier extrait au titre du droit de l’information i.e. l’évènement étant la répétition générale dans la salle. Le second extrait porte atteinte au droit à l’image de la diva, elle ne peut être montrée sans son accord.

 

Question 4

 

La radio n’avait pas le droit de diffuser la performance au titre du droit moral du compositeur qui voit son œuvre altérée, et au titre du droit à l’image pour la Gassion et Petra Ka.

 

La sécurité informatique – D4.1 D4.2 D4.5 & D4.5 –

C2i Niveau 2 – Conférences du 25 Mars et 8 Avril

Par Olivier Servas

CNRS

 

Lors de ces deux séances, nous avons eu une initiation à la vie sur la toile : plus particulièrement la sécurité informatique, ce que l’on peut y trouver, la manière dont la vie privée de chacun est remise en question à cause des nombreuses applications utilisées par les hackers mais aussi par le gouvernement pour nous espionner.

Nous allons traiter d’un certain nombre de concepts dans ce rapport, parmi lesquels figurent la notion de sécurité et de confiance. Le manque de connaissance informatique est souvent la raison principale pour laquelle les gens se font hacker ou perdent des données. Comprendre Internet, c’est également connaitre les RFC (Request for comments), documents officiels décrivant les aspects techniques d’internet. Nous avons parlé du plagiat et de la notion de valeur de notre travail et de celui d’autres. Enfin, la notion de liberté, à savoir que même lorsqu’on utilise un logiciel libre, il faut quand même lire la licence et la notion de cyber-espace qui est souvent flou et vague. Nous verrons que toutes ces notions sont évidemment complémentaires.

Dans le rapport ci-dessous, j’ai décidé de laisser un certain nombre de points abordés sous forme de « tiret », soit parce qu’ils n’ont pas été suffisamment développés soit parce qu’ils servent d’illustration à une idée plus générale.

1er Séance : La sécurité forme un tout

 

Remarques et constats préliminaires

 

Il existe sur internet de nombreux sites de conseils pour comprendre le piratage : www.znet.fr, www.cultedeadcow.com www.attrition.org www.zataz.com. Une manière simple de réaliser un virus est d’utiliser le format .bat.

Le nombre de moyens permettant de suivre l’activité des internautes est gigantesque, tout comme le nombre de petites surprises qu’on peut y trouver :

–          Fichier edvige utilisés par les forces de l’ordre et le gouvernement pour obtenir des informations personnelles sur ses concitoyens. Question des RFID.

–          Curious Joe, script kiddies, wanabees, les elites, activites

–          Faiblesses pour les exploiter : Social engineering (exemple du mot de passe enregistré sur un ordinateur, easter eggs (« œufs de Pâques ») Délire des programmeurs. Petit programme caché dans nos applications…

Pour faire part de leurs expériences (anacdotes, arnaques,…), les utilisateurs sont invités à les partager sur :

www.arnaques-internet.info/

Au jour d’aujourd’hui il y a 1,2 Zettaoctet sur internet. (10^21)

Le bitcoin est une monnaie virtuelle.

 

Menaces et attaques

 

Toute entreprise a un SIRET (numéro unique). Le système d’identification du répertoire des établissements (SIRET) est un code Insee. Il s’agit d’un identifiant géographique d’un établissement ou d’une entreprise. Grâce à ce SIRET, on peut retrouver le siège social, coordonnées (téléphones…). En 2002, 58% des entreprises percevaient des menaces concernant les virus et infections informatiques.

Attaques Externes

 

Ci-dessous, une liste non exhaustive où j’ai répertorié les différents types d’attaque informatique dont une entreprise peut être victime, d’une part les attaques en externe :

–          interruption de service. (destruction physique, modification logicielle, altération des paquets en transit). Par exemple : attaque Ping d’une adresse IP.

–          interruption du trafic (simple accès non autorisé à l’information, analyse réseau – renifleurs –, copie illicite de programmes ou de fichiers).

–          Altération de l’intégrité des données. (interception des flux, modification des données)

–          Mascarade (usurpation d’identité, diffusion de fausse, information sous une fausse identité : spam, intoxication, etc).

–          Infiltration (intervention physique sur les matériels ou actions à distance, virus, chevaux de Troie).

–          Attaques frontales (smurf, attaques coordonnées, déni de service, exploitation de vulnérabilité).

Attaques internes

 

Pour les attaques en interne, elles peuvent être dues à :

–          Un mot de passe faible

–          Paramétrage par défaut mal adapté

–          Logiciels obsolètes, pas de mises à jour

–          Privilèges trop élevés

–          Partage de privilèges sans raisons

–          Sauvegardes. Conseil : faire des sauvegardes système !

–          Pas de suivi de l’activité

Fonctionnement d’un virus

 

Il existe beaucoup de virus différents dont voici quelques exemples :

–          Virus de zone d’amorce : Un virus de zone d’amorce utilise la méthode la plus simple existante pour se propager. Il infecte la zone d’amorce des disques durs et des disquettes, la zone d’amorce est la première partie du disque lu par l’ordinateur lors de son démarrage, elle contient les informations expliquant à l’ordinateur comment démarrer. Cette zone contient aussi des informations expliquant à l’ordinateur comment le disque est formaté, s’il y a des partitions etc.

–          DOS. Les attaques par ‘ Denial of Service ‘ (Deni de Service) ont pour but de perturber ou de stopper complètement le fonctionnement d’un site web, d’un réseau, d’un serveur, ou d’autres ressources. Les hackers et auteurs de virus utilisent différentes méthodes d’attaque de DoS. Les attaques de DoS ont pour but de charger les serveurs de requêtes continues jusqu’à ce que le serveur réponde de plus en plus lentement au point que les utilisateurs abandonnent ou bien que les serveurs tombent totalement.

–          Windows

–          Macintosh

–          Macro

–          Polymorphe. Un virus polymorphe est un virus informatique qui, lors de sa réplication, modifie sa représentation, ce qui empêche un logiciel antivirus de l’identifier par sa signature. Bien qu’en apparence le virus change (du point de vue d’un programme antivirus qui lit le programme infecté), le fonctionnement du virus (sa méthode d’infection et sa charge utile) reste le même : les algorithmes ne sont pas modifiés, mais leur traduction en code-machine l’est.

–          Furtif. Les virus furtifs sont très difficiles à détecter, en ce qu’ils renvoient une image du système ressemblant à ce qu’il était avant l’infection. On les appelle également des intercepteurs d’interruption. Il s’agit de tromper l’anti-virus sur l’état des fichiers infectés. Ils modifient le fonctionnement du système d’exploitation, de telle sorte que les fichiers infectés semblent sains.

–          Hoax ou « faux virus ». On appelle hoax (en français canular) un courrier électronique propageant une fausse information et poussant le destinataire à diffuser la fausse nouvelle à tous ses proches ou collègues.

Deux phases du virus :

–          Création du virus : publication, choix du vecteur de transmission, incubation du virus et phase de duplication dans le ou les systèmes infectés

–          Phase active du virus. Ce n’est qu’à ce moment-là qu’il devient détectable ! On étudie alors la souche du virus.

ET concrètement quoi faire ?

 

La première chose à faire est d’analyser notre environnement de travail avec Microsoft Baseline. Concernant la stratégie informatique à adopter pour accroitre la sécurité, il faut définir des mots de passe qui changent régulièrement.

2ème Séance

 

Il faut bien se rendre compte que notre ordinateur est interconnecté avec tous les autres via la WIFI. A Nancy, par exemple, il y a le Réseau StanNet, réseau Lothaire pour l’UL, RENATER au niveau national. Même si on ne s’en rend pas compte, nous sommes constamment surveillés.

Le modèle OSI (de l’anglais Open Systems Interconnection) est un standard de communication, en réseau, de tous les systèmes informatiques. C’est un modèle de communications entre ordinateurs proposé par l’ISO qui décrit les fonctionnalités nécessaires à la communication et l’organisation de ces fonctions. Les données vont traverser toutes les couches (La couche de réseau est la troisième couche du modèle OSI). Internet Control Message Protocol (ICMP) est l’un des protocoles fondamentaux constituant la suite des protocoles Internet. Il est utilisé pour véhiculer des messages de contrôle et d’erreur pour cette suite de protocoles, par exemple lorsqu’un service ou un hôte est inaccessible. ICMP se situe au même niveau que le protocole IP bien qu’il ne fournisse pas les primitives de service habituellement associées à un protocole de couche réseau. Son utilisation est habituellement transparente du point de vue des applications et des utilisateurs présents sur le réseau. Transmission Control Protocol (littéralement, « protocole de contrôle de transmissions »), abrégé TCP, est un protocole de transport fiable, en mode connecté. Dans le modèle Internet, aussi appelé modèle TCP/IP, TCP est situé au niveau de la couche transport (entre la couche réseau et la couche session). Les applications transmettent des flux de données sur une connexion réseau, et TCP découpe le flux d’octets en segments,

 

 Anti- virus

 

Pour organiser une architecture sécurisée il est nécessaire de mettre en place un certain nombre de choses, que l’on pourrait qualifier d’anti-virus :

–          Proxy : Un proxy est un composant logicielinformatique qui joue le rôle d’intermédiaire en se plaçant entre deux autres pour faciliter ou surveiller leurs échanges. Dans le cadre plus précis des réseaux informatiques, un proxy est alors un programme servant d’intermédiaire pour accéder à un autre réseau, généralement internet.

–          Firewall : Un pare-feu1, ou firewall (en anglais), est un logiciel et/ou un matériel, permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communication autorisés sur ce réseau informatique.

–          Routeur filtrant.

–          Switch filtrant : Permet d’organiser une architecture sécurisée. Par exemple, de différencier au travail, les possibilités d’accès à certaines personnes et pas aux autres employés.

Cryptographie

 

Le cryptage est un des outils de sécurité informatique le plus utilisé. C’est le codage d’un message grâce à fonctions mathématiques pour que ce message devienne incompréhensible pour un observateur extérieur et ainsi le cryptage permettra de « se protéger » des modifications et interceptions de ce message.

L’idée de cryptage à l’aide de chiffrement va permettre de renforcer la confidentialité sur Internet, mais aussi le contrôle d’accès ainsi que l’intégrité aux données. Pour avoir des informations supplémentaires, on pourra aller faire un tour sur le site suivant : www.bibmath.net. Parmi les codes les plus connus se trouvent le langage César (qui consiste en un décalage de plusieurs lettres) ainsi que le cryptage Enigma.

Dans la suite, nous allons voir les différentes méthodes de cryptage que l’on peut mettre en œuvre.

Types de chiffrement

 

–          Symétrique : L’un des concepts fondamentaux de la cryptographie symétrique est la clé. Une clé est une donnée qui (traitée par un algorithme) permet de chiffrer et de déchiffrer un message.

–          Asymétrique : La cryptographie asymétrique, ou cryptographie à clé publique, est une méthode de chiffrement qui s’oppose à la cryptographie symétrique. Elle repose sur l’utilisation d’une clé publique (qui est diffusée) et d’une clé privée (gardée secrète), l’une permettant de coder le message et l’autre de le décoder. Ainsi, l’expéditeur peut utiliser la clé publique du destinataire pour coder un message que seul le destinataire (en possession de la clé privée) peut décoder, garantissant la confidentialité du contenu

–          Mécanismes du RSA

–          Fonction de hachage : On nomme fonction de hachage une fonction particulière qui, à partir d’une donnée fournie en entrée, calcule une empreinte servant à identifier rapidement, bien qu’incomplètement, la donnée initiale.

–          Certificats

–          Signature électronique

–          Stéganographie : l’objet de la stéganographie est de faire passer inaperçu un message dans un autre message et non de rendre un message inintelligible à autre que qui-de-droit. Pour prendre une métaphore, la stéganographie consisterait à enterrer son argent dans son jardin là où la cryptographie consisterait à l’enfermer dans un coffre-fort.

o   « Une ligne sur deux »

o   Méthode des espaces

o   Message caché dans fichier (taille modifiée du coup)

Certification

 

Une des questions que l’on est en droit de se poser est la suivante : Comment déterminer les personnes avec qui je veux communiquer ? Pour e faire on va donner des certificats, des sortes de cartes d’identités. Elles contiennent un certain nombre de données personnelles et sont délivrées par une Autorité de Certification (« préfecture »)

On appelle Politiques de certification l’ensemble de règles indiquant ce pour quoi un certificat est applicable et par qui, et quelles sont leur condition de mise en œuvre.

Droit

 

Lorsqu’on surfe sur le net, on a tendance à croire que l’on est seul, que rien ne peut nous arriver et que l’on ne risque rien. Cela est complètement faux. Il existe bel et bien des règles et des lois à respecter sur Internet. Les dix règles de bases définissant la conduite à adopter sont écrites dans la NetIquette. Malheureusement, cela ne suffit, on est tenté de ne pas respecter les règles de conduite dans un environnement numérique. A chaque fois que l’on utilise un réseau ou un site, il faut veiller à respecter sa chartes qui définit le droit de chacun ; exemples des Chartes Renater et UL. Enfin, concernant les droits de propriété de ce qu’on trouve sur Internet, on parle des droit d’auteurs, marques, logiciels, databases et de la vie privée. De plus, on ne peut pas publier n’importe quoi sur la toile : par exemple les sites aux contenus illicites, la diffamation, le E-commerce, les jeux d’argent en ligne. Citons ici quelques exemples de lois de protection des droits : Godfrain 88, LCEN 04, DADVSI 06, anti-contrefaçon, Hadopi 09 1,2.

Politique de sécurité pour les nuls

 

Pour établir une politique de sécurité dans la société où on va travailler et ce, même si les gens ne sont pas informaticiens, on peut utiliser des aides présentes sur le net : www.ssi.gouv.fr. Au CERT, se trouve une équipe travaillant sur la thématique de la vulnérabilité : www.cert.ssi.gouv.fr. Certaines équipes sont connectées entre elles pour nous avertir d’une menace à portée internationale. Les menaces sont détectées, elles sont répertoriées, on nous explique comment y remédier. La partie développement est la plus concernée.

Pour signaler un contenu illicite

 

Utiliser les liens ci-dessous :

–          www.internet-signalement.gouv.fr/PortailWeb/Planets/Accueil!input.action

–          www.police-nationale.interieur.gouv.fr/Info-du-site/Nous-contacter, SEFTI, BCRCI, CNIL, CERT, RENATER, Clusif, répression de fraudes pour les achats informatiques (réaction rapide en général !)…

Dans tous les cas si on est victime d’une arnaque, il est primordial de porter plainte. Ne serait-ce que pour le bon fonctionnement de l’assurance.

Normes et méthodes

 

Normes : Document de référence fondé sur un consensus couvrant un large intérêt.

Norme ISO (elles sont payantes, même relativement chères)

–          27000 : relative à la sécurité de l’information. 27001 : décrit les exigences pour la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI). Modèle de qualité : PDCA.

–          13335

Critère TCSEC : ensemble de critères énoncés par le département de la Défense des Etats-Unis qui permettent d’évaluer la fiabilité des systèmes informatiques centralisés.

Critère ITSEC (description dispo sur le site de la SSI)

Guide PSSI

 

PSSI = Politique de Sécurité de Système d’Information.

http://www.securite-informatique.gouv.fr/

Autres méthodes

 

SMSI

 

Les SMSI fonctionnent selon un modèle cyclique en 4 étapes appelés « PCDA »

–          Définir politique ainsi que le périmètre SMSI

–          Identifier, évaluer risques liés à la sécurité, élaborer des politique de sécurité

–          Traiter risque, identifier risque résiduel par un plan de gestion

–          Choisir mesures de sécurité à mettre en place.

Exemples d’action

 

–          Périmètre : la société entière

–          Volonté de limiter la visite de sites inappropriés

–          Pour répondre : Proxy ! Tout le monde sort par ce Proxy et on dresse la liste des sites interdits.

–          On cherche un site qui n’est pas dans cette liste

Conclusion

 

A présent, avec tout ce bagage de connaissances, on peut participer activement à la sécurité de notre système d’informations.