Mardi 12 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Des données qui voyagent à l'abri

Imprimer Envoyer à un ami Contacter la rédaction
Par Fabrice Pozzoli-Montenay le 23/04/2001 - indexel.net
 

Les échanges de données se multiplient : e-mail, échanges de fichiers, applications à distance. Bientôt, il faudra transmettre nombre de documents à l´Administration via des formulaires électroniques certifiés. Etes-vous prêts ?

 

C´est l´une des priorités de l´informatique des entreprises : sécuriser l´échange de données. Les systèmes fermés sur eux-mêmes ont vécu. Depuis les e-mails jusqu´aux contrats les plus sensibles, les données peuvent être accessibles depuis l´extérieur si des précautions ne sont pas prises. Revue des solutions.

Le cryptage de mails

Il existe une solution simple et gratuite pour sécuriser les échanges de mails : PGP (Pretty Good Privacy, que l´on peut traduire par "une intimité correcte"). Ce logiciel de cryptage de mails, encodé en clé de 128 bytes (ce qui nécessite déjà de très sérieux efforts) est disponible en freeware. Il s´intègre à Microsoft Outlook/Exchange, Microsoft Outlook Express 4.0 et 5.0 et Eudora 3.x et 4.x. (pour le télécharger : http://www.geocities.com/openpgp/intimite.htm )

La certification électronique

La fameuse "signature électronique" (appelée aussi PKI, pour Public Key Infrastructure) n´est pas un simple gadget technologique. Elle va bientôt concerner toutes les entreprises. En effet, elle permet d´authentifier sans contestation possible l´émetteur de fichiers, et de restreindre les utilisateurs. Elle permettra prochainement la télé-transmission des bilans et de la TVA à l´administration. Un document électronique "signé" aura la même valeur juridique qu´un document signé et tamponné par l´entreprise, et engagera donc la responsabilité de celle-ci.Pour fonctionner, elle nécessite un déploiement à trois niveaux : l´entreprise devra déployer sur certains postes (direction, comptabilité) ou au niveau du serveur les certificats pour valider ces données. En matière de comptabilité par exemple, l´Ordre des Experts-comptables va mettre en place sa propre certification. Le comptable de l´entreprise sera donc à même de transmettre les informations s´il est recensé. Un organisme, comme les Chambres de commerce, jouera le rôle de diffuseur régional auprès des entreprises.

Signer ce que l'on voit

"La notion de WYSIWYS (What You See Is What You Sign, "Vous signez ce que vous voyez") est très importante" argumente Stéphane Ménager, spécialiste PKI chez Neurocom. "Par exemple un fichier Word comprend tout un tas d´informations propres à Word que l´utilisateur ne visualise pas (version, historique de versions, texte blanc sur fond blanc, etc.). Il existe des solutions où ce n´est pas le fichier Word qui est signé, mais l´équivalent d´une image standard (image bitmap, format PDF, etc.) dépourvu de macro, texte caché ou autres éléments non visualisables."
Le but de tout cela est de sécuriser toutes les transactions inter-entreprises, via une "reconnaissance électronique" unique. Mais le coût pourrait se révéler très élevé pour les entreprises, les certifications se multipliant en fonction des métiers et du type de documents. Les marges bénéficiaires étant très fortes dans ce domaine, vous avez tout intérêt à demander plusieurs devis et comparer les prestations.D´autre part, l´utilisation de la signature électronique pourrait se révéler très dangereuse. "Un document électronique "signé" ne peut plus être répudié" souligne Nicolas Sadirac, directeur de l´Epitech. "Il ne sert à rien d´utiliser du PKI avec Windows 95. Les données stockées sur la machine ne sont pas protégées ! Un pirate pourrait alors dérober la certification de l´entreprise, et se faire passer pour elle pour passer des commandes, ce qui explique le peu d´empressement actuel des banques" insiste-t-il.

Le Virtual Private Network (Réseau Privé Virtuel)

Le réseau privé virtuel consiste à créer un "tunnel" de transmission sécurisée via des réseaux publics, comme Internet. "Le transport de données est beaucoup moins attaqué que le stockage. Des solutions comme le VPN donnent satisfaction" explique Laurent Genier (photo), directeur technique d´Intrinsec. Seul souci : le coût. "Il arrive que les seules licences d´utilisation atteignent 600 à 700.000 francs. C´est pourquoi je préconise l´utilisation de solutions en logiciels libres. Elles coûtent moins et sont excellentes" soutient-il. "Elles sont moins standard et plus compliquées, c´est vrai, mais le travail est fait sur mesure et permet de réfléchir réellement aux besoins du client, et de ne pas lui fournir une solution packagée. Par exemple, Freeswan est une couche VPN développée pour les produits Linux" détaille-t-il.

Les précautions supplémentaires

"Il ne sert à rien d´avoir de bons firewalls si tous les fichiers sont accessibles via un partage de fichiers malencontreux..." rappelle Laurent Genier.
"Des serveurs bien configurés apportent déjà une bonne sécurité" renchérit Nicolas Sadirac. "Mais attention à Lotus Domino, qui n´a pas été conçu pour un haut niveau de confidentialité. Des murailles ne servent à rien si on laisse un trou au milieu."Enfin, évitez d´échanger des informations professionnelles via des messageries comme ICQ, ces échanges ne sont pas du tout sécurisés. Le PDG d´une entreprise américaine a eu la surprise de retrouver ses dialogues avec des responsables de filiales reproduits à travers de nombreux sites à travers le monde.

Pour plus d'informations

La Direction centrale de la sécurité des systèmes d´informations (DCSSI)) propose une documentation détaillée sur les thèmes comme le cryptage ou la signature électronique.

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages