ETAT
DES LIEUX DU POINT DE VUE SECURITE DU CENTRE HOSPITALIER DE DUNKERQUE
I
Le centre hospitalier de Dunkerque à travers les années
II
Le centre hospitalier de Dunkerque de nos jours
III
Présentation du service informatique
TITRE I :
Présentation d’une nécessité et d’une implantation d’un réseau wifi sécurisé
I
Intérêt pour l’entreprise de faire l’acquisition
II
Les dangers et les menaces
2.1
L’envoi d’information via Internet
2.2
Le téléchargement de programmes via Internet
2.3
Visualiser des pages Web qui font plus qu’exhiber de l’information
2.4
Ouvrir des pièces jointes hostiles
2.5
Les connexions entrantes
III
Les différentes attaques d’accès
3.1
Les menaces virales
3.2
Les menaces d’intrusion
IV
Les sujets à protéger
4.1
La disponibilité
4.2
La confidentialité
TITRE
II : Les protections et les mesures à prendre
1.1
L’audit de mise en place
1.2
Les routeurs
1.3
Le Firewall PIX Cisco 515
1.4
Le Proxy
1.4.1
Avantages et inconvénients des serveurs proxy
1.5
1.5.1
La définition de
1.5.2
Les systèmes à placer dans
1.6
Les serveurs
1.6.1 Protection vol IP
1.6.2 Serveur de messagerie
1.7
Les stations de travail ou les ordinateurs de bureaux
1.8
L’Internet
1.8.1
Risque déontologique (Sites non légaux : se référer aux textes de lois)
1.8.2
Risque virale
1.9
La messagerie
1.10
Le Réseau Local
1.10.1
Messagerie de bienvenue
1.10.2
Mot de passe
1.11
Le Réseaux internes (Intranet).
1.12
L’antivirus
1.13
Le matériel
1.14
Les périphériques externes
1.14.1
Les modems
1.14.2
Les portables
1.15
Les logiciels
1.16
La protection des fichiers
1.17
Le personnel
1.17.1
Sensibiliser le personnel à la sécurité
1.17.2
Le personnel informatique
1.18
L’infrastructure
1.19
Les sociétés en sous-traitance
1.20
Au niveau virale – URGENT
1.21
Le cryptage
1.22
Les sauvegardes
1.23
Le stockage
1.24
Les systèmes d’exploitation
1.25
La documentation
1.25.1
La cybersurveillance sur les lieux de travail
1.25.2
La cryptologie
1.25.3
L’infraction aux règles de cryptologie – Loi du 29 décembre 1990
1.25.4
L’infraction de presse
1.26
Le contrôle des documents
1.27
Le dépannage
1.28
Le constat général (étude NC/S du 22/12/98)
1.28.1
La sécurité du réseau
Titre
III : Consignes
en cas de virus
I
La meilleure méthode de défense : la préparation
II
Les actions à faire
III
Les antivirus
IV
La reprise de contrôle
4.1
Changement des mots de passe
4.2
Suppression des entrées dérobées (back doors).
4.3 Nettoyage du système
4.4 Reconstruction du système
4.5 Application des correctifs de sécurité
4.6 Révision des procédures personnalisées (master)
4.7 Rechargement des données
V
L’évaluation des dommages
Conclusion
Références
Remerciements
I
LE CENTRE HOSPITALIER DE DUNKERQUE A TRAVERS LES ANNEES
Si
on remonte dans le temps, on situe en 1331, l’édification de
l’Hôpital Saint Jean sur Dunkerque, remplacé en 1452 par l’Hôpital Saint
Julien, à la suite de sa destruction lors d’un incendie.
En
1737, est créé l’Hôpital de
Les
autorités locales décidèrent la construction en 1798 de l’Hôpital
Hospice pour répondre aux vœux de la population, en réservant cet Etablissement
aux malades, aux vieillards, aux incurables.
En
1891 : Inauguration de l’Hospice sur
En
1909 : Ouverture de l’Hôpital, situé en face de l’Hospice.
Mais
avec l’évolution des techniques médicales, l’exigence légitime des patients
pour un plus grand confort et pour le Personnel, de meilleures conditions de
travail, il fut décidé :
La
construction du nouvel Hôpital, inauguré le 18 octobre 1976 par Madame
Simone Veil, Ministre de la santé
(585
lits).
Le
16 mars 1980, l’ancienne maternité édifiée en 1928 Rue du Pont Neuf à proximité
de l’ancien Hôpital était transférée dans le bâtiment de
Il
convient de souligner les réalisations complétant l’Hospice :
1950 : Achèvement de la tonnelle, réaménagée en 1983
et recevant des malades de géronto-psychiatrie (50
lits) ;
1979 : par la construction de la pergola réservée aux
malades de long séjour (120 lits).
Dans
le cadre du programme d’humanisation des Hospices lancé par le gouvernement en
1984, la rénovation de celui de l’Etablissement a été entreprise.
Commencés
en 1988, ces travaux concernant l’hospice transformé en Maison de Retraite
« Les Charmilles » s’échelonnent en 3 tranches et portent sur 140
lits pour un coût estimé à 14 208 248 Euros (93 200 000 francs) :
1ère
Tranche de 71 lits : ouverture en novembre 1990 ;
2ème
Tranche de 88 lits : ouverture en septembre 1992 ;
3ème
Tranche de 81 lits : ouverture en octobre 1997.
2002 :
Commencement de travaux d’agrandissement de l’hôpital.
Ce
nouveau bâtiment accueillera les nouvelles urgences, un parking et sera équipé
d’un héliport.
II LE CENTRE HOSPITALIER DE DUNKERQUE DE NOS JOURS C’EST
601 lits d’hospitalisation et des consultations
externes couvrant un large éventail de disciplines médicales, chirurgicales,
obstétricales, odontologiques.
390
lits d’accueil pour les personnes âgées en unité de soins longue durée
et en maison de retraite.
Un
plateau technique permettant l’accès aux actes d’imagerie médicale, de
biologie, d’explorations fonctionnelles cardiologiques, pneumologiques, gastro entérologiques,neurologiques…
Ainsi
qu’en partenariat avec le Groupe Générale de Santé, l’accès aux équipements de
radiothérapie et de médecine nucléaire.
Plus
de 1600 professionnels : médicaux, soignants, médico-techniques,
administratifs.
Près
de 145 médecins à temps plein et temps partiel, plus de 50 étudiants en
médecine.
L’institut
de Formation en Soins Infirmiers (IFSI) forme chaque année en moyenne 100
étudiants en soins infirmiers et 30 aides soignantes.
Le
centre hospitalier de DUNKERQUE est un établissement public de santé.
A
ce titre, il est soumis aux dispositions législatives et réglementaires du code
de la santé publique.
Ses missions sont d’assurer « les examens de
diagnostic, la surveillance et le traitement des malades, des blessés et des
femmes enceintes en tenant compte des aspects psychologiques du patient. Il
participe à des actions de Santé Publique et notamment à toutes actions
médico-sociales coordonnées et à des actions d’éducation pour la santé et de
prévention ».
Il
est également en charge de participer à la lutte contre l’exclusion.
De
plus, dans le cadre de ses missions de service public, il concourt à
l’enseignement universitaire, à la recherche médicale, à la formation des
personnels soignants, à l’aide médicale urgente ainsi qu’aux soins dispensés en
milieu pénitentiaire.
Son
activité et son développement s’inscrivent dans le cadre d’une politique
régionale de santé définie par l’Agence Régionale de l’Hospitalisation. Le
Conseil d’Administration et le Directeur définissent et mettent en œuvre la
politique de l’hôpital avec le concours des instances consultatives, en
particulier
III LE SERVICE
INFORMATIQUE
Il
est composé de 9 personnes :
1
secrétaire
1
ingénieur en informatique
1
responsable AS/400 + hot-liner
1
responsable de l’assistant utilisateur applicatif (+ formation) + création de
base de données (Access)
1
responsable des applicatifs médicaux + développeur d’applications.
1
responsable du réseau
1
responsable maintenance des ordinateurs
1
cadre médical détaché au service informatique, responsable des applicatifs de
l’AS/400 et de la formation.
TITRE I : Présentation d’une nécessité et d’une implantation d’une
sécurité réseaux
I Intérêt pour l’entreprise de faire l’acquisition
Aux
Etats-Unis, le 21 août 1996,
Toutes
les organisations de soins et de santé comme les sociétés d’assurance, les
hôpitaux, les docteurs, les employeurs, et les autres organisations qui
traitent l’information de santé des patients, seront concernés par ces règlements.
Les violations peuvent être punies par des condamnations civiles et criminelles
incluant des amendes jusqu’à 250 000 $ et jusqu’à dix ans d’emprisonnement
pour avoir intentionnellement fait usage impropre de l’information de santé des
patients. Actuellement, on s’attend à ce que la conformité soit exigée avant
2003, c’est à dire dès que les règlements seront effectifs.
C’est
donc assurer :
Le
cryptage des envois des emails concernant la santé des patients
La
protection des bases de données à l’hôpital - pas de perte de la base de
données et des fichiers sur les serveurs.
Les
stations de travail toujours opérantes
La
protection des virus et des intrusions
Le
contrôle des accès à l’information
L’ouverture
à l’extérieure (Site Web, Accès à la base de données)
Limiter
les points d’entrée
Le
contrôle des mails si virus ou pas par un logiciel (voir prix et mis à jour)
Ce
réseau sera appelé à supporter les applications existantes et futures du SIH
(Système d’ Information Hospitalier) ainsi que les fonctions :
Bureautiques
Messageries
Internet
Imageries
médicales
Applications
localisées (hémodialyse, gestion du linge…)
Applications
globales (gestion des demandes de travaux, gestion de parc…)
Le
réseau devra présenter un taux de disponibilité très élevé. Il s’agit d’un
outil de production indispensable au fonctionnement de la société.
La
migration devra occasionner le moins de gène possible à l’ensemble du
personnel.
En
ce qui concerne la gestion de parc, il sera utile de proposer un logiciel de
gestion ainsi qu’un logiciel de sécurité.
II Les dangers et les menaces
2.1 L’envoi d’information via Internet
Sans les mesures de sécurité adaptées, des
informations confidentielles que les utilisateurs envoient via Internet peuvent
être interceptées et volées. Les mots de passe doivent être cryptées avant d’être transmises via Internet.
2.2 Le téléchargement de programmes via Internet
Les programmes que vos utilisateurs téléchargent sur
leurs ordinateurs peuvent contenir des virus qui peuvent infecter le réseau
tout entier. Il vous faut mettre en place une protection contre les virus.
2.3 Visualiser des pages Web qui font plus qu’exiber de l’information
Dotée de programmes tels que des applets Java
ou des contrôles ActiveX, et des scripts rédigés en JavaScript et VBScript, une page Web peut faire bien plus qu’afficher des
informations : la page proprement dite se comporte comme un programme
informatique.
Un développeur Web peu scrupuleux peut créer une
page Web affichant un petit bonhomme qui sourit tandis qu’il efface secrètement
les fichiers du disque dur de l’utilisateur, ou implante un virus qui
contaminera votre réseau.
2.4 Ouvrir des pièces jointes hostiles
De nos jours, les virus pénètrent très souvent
cachés dans les pièces jointes de courriers électroniques. Veuillez à doter
votre serveur de courrier d’un antivirus efficace et de conseiller à vos
utilisateurs de ne jamais ouvrir des pièces jointes qu’ils n’attendent pas.
Pour vous prémunir contre ces menaces, assurez-vous
que vos internautes se servent des fonctionnalités de sécurité intégrées aux
navigateurs Web. Heureusement, Internet Explorer et Navigator sont bien armés
en la matière et permettent ainsi de tenir en respect les aigrefins.
Les connexions entrantes
Messagerie – Navigateur Internet explorer (page web
avec applets) – Disquette – CD ROM – DVD ROM - Modem – Portable –
Téléphone Wap – Périphériques USB
III Différentes attaques d’accès
Nous expliquerons ces attaques par quatre
critères :
Les menaces virales
Un antivirus a jour est
assuré par un serveur de TRENDMICRO qui se met à jour automatiquement
3.2 Les menaces d’intrusion
CHEVAL DE TROIE POPULARITE 7 – SIMPLICITE 5 –
IMPACT 9 – NIVEAU DE RISQUE 7
UN CHEVAL DE TROIE EST UN PROGRAMME CENSE EXECUTER
CERTAINES FONCTIONS MAIS QUI EN REALITE EN REMPLIT DE TOUTES AUTRES
GENERALEMENT A VOTRE DETRIMENT. LE NOM VIENT DE
EX : DIDER OFFENSIVE
– BACK ORIFICE – LE SOCKET DE TROIE – NETBUS –NETBUS PRO – BACKDOOR – MASTER
PARADISE – DEEPTHROAT – SUB7 TROYEN – ICQ TROYEN
Contrainte informatique : antivirus a
jour + protection firewall
Risque pondéré
Bon sens : ne pas exécuter des programmes
non sûrs. Par exemple des programmes qui vous sont envoyés, ou
téléchargés sur des sites non officiels.
Filtrage de pièces jointes et téléchargements :
application d’une politique de sécurité pour éviter les failles et erreurs
humaines.
Pour : efficace contre tout type de code
malveillant
Contre : demande une administration plus
suivie
Détection par signature : identification de
chevaux de Troie connus, par liste noire.
Pour : pas
d’administration requise
Contre : inefficace contre les
programmes non répertoriés comme dangereux.
Antivirus a jour + firewall
SNOOPING
L ATTAQUE SNOOPING OU ESPIONNAGE EXAMINE LES
FICHIERS DANS L ESPOIR DE DECOUVRIR QUELQUE CHOSE D INTERESSANT SI LES FICHIERS
SE TROUVENT DANS UN ORDINATEUR L ATTAQUANT PEUT ESSAYER D OUVRIR UN FICHIER L
UN APRES L AUTRE JUSQU A CE QU IL TROUVE CE QU IL CHERCHE
Contrainte informatique : antivirus a
jour + protection firewall + gestion des droits sure les fichiers
Risque pondéré
Parade : antivirus a jour + firewall
ECOUTE
De même que quelqu’un qui
écoute une conversation « en douce », pour obtenir un accès non
autorisés à des informations, un attaquant doit se placer à un endroit où
l’information qui l’intéresse va probablement passer. Cela se fait le plus
souvent de façon électronique
Interception
A la différence de
l’écoute, l’interception est une attaque active contre l’information. Pour
qu’un attaquant intercepte l’information, il doit insérer le système d’écoute
sur le parcours de l’information et la capturer avant qu’elle n’atteigne
sa destination. Après en avoir pris connaissance, l’attaquant peut laisser ou
non l’information continuer vers sa destination.
Les attaques par déni de service (DOS) POPULARITE
3 – SIMPLICITE 2 – IMPACT 10 – NIVEAU DE RISQUE 5
Les attaques par déni de service (DOS, Denial of Service) sont des attaques qui rendent impossible
l’utilisation des ressources par les utilisateurs légitimes. Les attaques Dos
ne permettent généralement pas à l’attaquant d’avoir accès à l’information sur
le système ni de la modifier. Les attaques Dos ne sont rien d’autre que du
vandalisme ;
Deni d’accès à l’information
Deni d’accès aux applications
Deni d’accès aux systèmes
Deni d’accès aux communications
Ex : ping of death
Active X
Des programmeurs peuvent –ils opérer des
transactions à partir de votre propre PC via le réseau Internet, sans que vous
ne vous en aperceviez ?
Arrière-plan : la technologie Active X
d’Internet Explorer. Ces « Contrôles Active X » sont des petits
programmes (destinés par exemple à afficher des animations sur les pages WWW)
qui sont, au besoin, chargés et lancés par Explorer à partir du réseau. A la
différence des Applets développés dans un cadre sécurisé, en langage de
programmation Java, ces contrôles ne fonctionnent pas dans un environnement
protégé du navigateur mais directement sous Windows 95/98. C’est ce qui les
rend plus rapidement utilisables et plus flexibles que des programmes Java.
Cette technique apporte toutefois son lot de risques.
Si un contrôle est activé une fois sur l’ordinateur,
il est pratiquement impossible de contrôler ses actions futures ou de les
limiter. Les données du disque dur de l’utilisateur peuvent être espionnées,
manipulées voire effacées.
La solution est de choisir en permanence le niveau
de sécurité Haut ou désactiver manuellement Active X.
Sniffer POPULARITE 9 – SIMPLICITE 8 – IMPACT 7 –
NIVEAU DE RISQUE 8
Un sniffer est un petit
dispositif, logiciel ou matériel, qui permet de « voir » les
informations transitant par la machine où il se trouve. Ceci permet de
récupérer toutes les informations provenant des machines du réseau et passant
par la machine en question. Un sniffer peut servir à
déceler les failles de sécurité, mais aussi être utilisé de façon malveillante,
pour intercepter les mots de passe du réseau, par exemple.
Les scanners (détection de mur pare feu avancée – nmap – superscan)
Popularité 10 – simplicité 10 – impact 3 – niveau de
risque 8
Un
scanner est un programme qui permet de savoir quels ports sont ouverts sur une
machine donnée. Les scanners servent pour les hackers à savoir comment ils vont
procéder pour attaquer une machine. Leur utilisation n’est heureusement pas
seulement malsaine, car les scanners peuvent aussi vous permettre de déterminer
quels ports sont ouverts sur votre machine pour prévenir une attaque.
Le nuke
Popularité 9 – simplicité 8 – impact 7 – niveau de
risque 8
Les
nukes sont des plantages de Windows dus à des
utilisateurs peu intelligents (qui connaissent votre adresse IP) qui s’amusent
à utiliser un bug de Windows 95 (qui a été réparé avec Windows 98) qui fait que
si quelqu’un envoie à répétition des paquets d’information sur le port
139, Windows affiche un magnifique écran bleu du plus bel effet, qui oblige à
redémarrer. Pour se protéger il existe des patchs permettant de corriger le bug .
Attaque
par composition automatique de numéros (toneloc –thc-scan – phonesweep)
Popularité 9 – simplicité 8 – impact 8 – niveau de
risque 8
Cette
technique utilise des outils afin de trouver les modems connectés dans une
entreprise et de trouver un logiciel de télémaintenance afin de prendre le
contrôle de la machine, voir du réseau.
Repérage
des routeurs
Popularité 10 – simplicité 10 – impact 3– niveau de
risque 8
A
l’aide des commandes tracert ou traceroute
ou à l’aide des scanners
Authentification
unique, tentatives illimitées
Popularité 9 – simplicité 8 – impact 10 – niveau de
risque 9
Comme
le titre l’indique, nous pouvons essayer de passer le mot de passe autant de
fois que nous le voulons.
Ingénierie sociale
C'est-à-dire en contactant directement certains
utilisateurs du réseau (par mail ou par téléphone) afin de leur soutirer des
informations concernant leur identifiant de connexion et leur mot de passe.
Ceci est généralement fait en se faisant passer pour l’administrateur réseau.
IV Les
sujets à protéger
4.1 La disponibilité
Les conséquences
L’indisponibilité paralyserait les
services pendant x temp (3 jours pour le changement
de l’as/400 par IBM et 12 heures pour remonter le système), de plus à l’heure
actuelle nous n’avons plus de serveurs de rechange.
Disponibilité des systèmes
Tous les matériels qui assurent le support du
système d’information doivent être conçus pour avoir un haut degré de
disponibilité, principalement par la mise en œuvre du principe de redondance
(unités de disques, source d’énergie électrique, ventilation, mémoire,
contrôleurs). En outre, la répartition ou le remplacement d’un organe
défaillant ne devrait pas demander de temps mort, tous les composants critiques
devant pouvoir être remplacés à chaud.
Un service de remplacement rapide est matérialisé
par un accord commercial visant au remplacement rapide du matériel et des
logiciels spécifiés. La configuration prédéterminée doit pouvoir être
mise en place à l’endroit indiqué par le client ou être installée sur le site
venant d’être atteint par un désastre.
On devra gérer au niveau de :
Redondance
C’est l’une des méthodes les plus employées pour
augmenter la disponibilité. Elle peut éliminer des défaillances ponctuelles.
Aujourd’hui, beaucoup de systèmes d’information sont conçus avec de multiples
chemins de données, des systèmes de stockage d’informations.
Récupération
Un système « récupérable » est un système
capable de restaurer ses informations d’état au moment du redémarrage à
partir du point d’interruption. Mais tous les systèmes ne peuvent pas récupérer
une transaction qui était en cours au moment de la panne.
Aujourd’hui, nous sommes capable
de résoudre ce problème.
Remplaçabilité
C’est la possibilité de remplacer tout organe
défaillant pour poursuivre le service. Utilisée conjointement à la redondance,
elle permet des réparations au vol, sans interruption perceptible de service.
Elle est matérialisée par des unités interchangeables au seul prix d’une
reconfiguration.
C’est le principe des machines en stock (backup)
pour la changer en cas de défaillance.
Problèmes
Revoir les besoins en disponibilité de chaque
ressource d’informations.
Mettre en œuvre des systèmes à disponibilité élevée
Mettre en œuvre des systèmes redondants afin d’éliminer
les points où une seule panne peut tout bloquer.
Déterminer les besoins en qualité de service
Etudier les profils d’utilisation
Se préparer pour les pointes de saturation
Minimiser l’impact des temps morts planifiés
Sauvegardes
Mise à jour
Préparer un plan de secours en cas d’incident de
sécurité
Préparer et tester un plan de secours en cas de
désastre afin de minimiser l’impact de pannes catastrophiques.
4.2 La confidentialité (Mme GUENAT responsable des
droits sur les dossiers, mais nous avons la propriété de choisir qui
accède à l’AS/400)
Est
ciblée quand le motif de l’attaque est la divulgation d’informations à des
personnes non autorisées ou à des entreprises.
Les
informations doivent être conservées d’une manière sécurisée, ce qui exige que
seuls les utilisateurs autorisés se servant d’un logiciel autorisé au moyen de
communications autorisées puissent accéder aux informations. Les utilitaires du systèmes doivent pouvoir gérer les fichiers
d’informations sans qu’il leur soit permis d’en prendre connaissance.
Conservation
sécurisée
En
ligne
La
confidentialité des informations en ligne est fondée sur la capacité du système
de fichiers à protéger les informations d’après les autorisations que possède
l’utilisateur ou le processus demandant à accéder à ces informations. Tant que
les informations sont en ligne sur un système, ce moyen est efficace, mais dans
le cas de supports amovibles, par exemple, ou si les informations sont dérobées
et installées sur un autre système, ou encore si le système est compromis de
telle façon que l’intrus ait les autorisations adéquates, il devient
inefficace. Un système de fichiers chiffrés conserve les données sous
forme de chiffrée, ce qui les rend en principe inintelligibles pour
quiconque ne possède pas la clé de déchiffrement. On empêche ainsi la
divulgation des informations, sauf si cette clé vient à être elle-même
compromise.
Hors
ligne
Les
sauvegardes doivent être traitées avec le même niveau de précautions que celui
qu’on déploie en ligne. Les supports amovibles doivent être porteurs d’une
étiquette indiquant clairement le niveau de sécurité des informations
qu’ils renferment et verrouillés de façon convenable. L’accès à un
support d’informations permettra souvent à un attaquant de se passer des
autorisations qui lui manquent.
Listings
Les
listings d’informations doivent être protégés au même titre que les
informations elles-mêmes et conservés dans un coffre ou des classeurs
verrouillés lorsqu’ils ne sont pas utilisés. Seuls les ayants droits doivent
être autorisés à les extraire. Le transport de tels documents doit laisser des
traces écrites.
Problèmes :
-
Revoir les besoins de confidentialité de chaque ressource d’information
-
Respecter les obligations légales concernant la confidentialité des
informations
-
Respecter les pratiques en usage dans son domaine d’activité en ce qui concerne
la confidentialité des informations.
-
Vérifier que le même niveau de confidentialité est appliqué aux informations
sous toutes leurs formes
-
Un regroupement d’informations doit recevoir la classification de sensibilité
correspondant à l’information la plus sensible du groupe.
-
Le niveau de sécurité doit être basé sur la classification de sensibilité et
doit être constamment appliqué.
-
Le problème de l’AS/400 est que les droits d’accès des secrétaires sur
certains fichiers sont dus à un héritage de leurs prédécesseurs sur certains
dossiers donc nous ne pouvons pas enlever certains profils n’ayant plus lieu
d’être car elles n’auraient plus accès aux dossiers.
TITRE II Les
protections et les mesures à prendre
1.1
La sécurité physique
Incendie
Structure
du bâtiment doit être bien conçu
Moyens
de détection
Moyens
d’extinction (extincteurs, CO2 , Inergen, Argonite Halon est
interdit)
Stockage
des matières inflammables
Interdiction
de fumer
Sécurité
des issues
Dégâts
des eaux
Inondation,
rupture de conduite
Détecteurs,
drainages
Effondrement
Electricité
Survoltage,
coupures, variation intensité
Onduleurs,
batteries, groupe électrogène
Climatisation
Température
entre 22+/- 2 deg.C
Hydrométrie
50 %
Climatiseurs
Protection
de la salle machine
Non
visible de l’extérieur
Surveillance
Protection
des supports de l’information
Contre
le vol
Contre
l’incendie
Précaution
d’utilisation et d’entretien
Contre
la perte
Effacer
les supports avant de les jeter
Contrôle
d’accès
Badges,
télésurveillance
Hors
heures ouvrables
Il
faut journaliser les accès
Pour
la sécurité physique tout est ok
1.2 Les routeurs
Ils sont assez anciens et ne sont pas équipés de
configuration filtrante qui pourrait faire effondrer le réseau si une attaque
se produisait.
Dans
notre architecture dite architecture simple avec un routeur et un pare-feu. Le
routeur est connecté entre le fournisseur d’accès à Internet
et le réseau externe de l’entreprise. Le pare-feu contrôle l’accès au réseau
interne.
Dans
ce cas,
Idéalement
un routeur devrait être capable d’accepter tous les paquets qui lui sont remis.
Ce qui veut dire qu’un routeur adjacent ne lui achemine pas de données, s’il ne
peut les traiter. La meilleure route n’est pas forcément la route la plus
courte, mais passe par des lignes et des routeurs capables de prendre en compte
le trafic. De façon similaire, un routeur ne doit pas perdre, ni détériorer des
données ou les mobiliser trop longtemps. Pour cela, il doit disposer de mémoire
suffisante et d’une gestion des files d’attente efficace.
Il
faut également veiller à installer les dernières versions de correctifs
logiciels sur les systèmes et à contrôler soigneusement ces derniers.
Problèmes :
Les
risques du routeur sont :
Modification
des adresses contenues dans les tables de routage ;
Détournement,
modification et destruction de paquets de données ;
Effondrement
des routeurs ;
Inondation
du réseau, etc.
1.3
Firewall PIX Cisco 515
Ce
firewall matériel ne se limite pas à la protection des réseaux contre les
attaques issues d’Internet, il est de plus en plus souvent utilisé pour isoler
différents segments du réseau, connecté du réseau, connecté des réseaux entre
eux à travers Internet et donner accès à travers Internet aux applications.
Il
est équipé de filtres dynamiques de paquets et des filtres d’applets Java
spéciaux permettant de sécuriser les connexions Internet. Des listes
d’autorisations permettent de limiter les connexions Internet et de mieux
contrôler leur utilisation, permettant tout à la fois de réduire les coûts
d’utilisation et d’augmenter les performances. La prise en charge des réseaux
privés virtuels (VPN) assure la connexion sécurisée de plusieurs réseaux à
travers Internet. Par ailleurs, les fonctionnalités d’authentification offrent
aux utilisateurs la possibilité d’accéder au réseau de l’entreprise à partir de
n’importe quel endroit.
Ce
firewall matériel est intégré dans des réseaux existants pour connecter
les intranets et les extranets. Il faut naturellement établir,
avant l’implémentation d’un firewall, une planification très précise du réseau,
pour éviter d’être confronté ultérieurement à de graves difficultés.
Il
bloque tous les ports sauf le SMTP (messagerie Lotus Notes), HTTP (Internet),
FTP (téléchargement) , le FTP et le HTTP sont gérés
par le proxy
Le
protocole UDP/TCP est ouvert à certaines personnes (conférence Real Media
Player)
Ce
paramétrage ne peut se configurer seulement sur la console du responsable
réseau par l’utilitaire « hyperterminal »
et par interface graphique depuis le changement de version (voir ci-dessous)
Nous
contrôlerons souvent le proxy par des test
d’intrusions gratuits effectués par :
Symantec
Autres
organismes (shield up)
A
l’heure actuelle, nous sommes protégés car les tests se sont révélés assez
bons
Test
intrusion ok – aucune ne passe
Test
ports ok – aucun des ports à risque est ouvert, ils
sont protégés ou fermés.
Coût :
€ (cela dépend si on veut une maintenance(changement
des versions) ou pas)
Personnel :
rien
Informatique :
formation du personnel sur ce type du matériel pour mise a jour du
produit et complément d informations – mis a jour du produit car le firewall pix version 4.4 est en fin de vie. Veille des informations
sur le PIX 515 sur le site de Cisco .
Une
société extérieure à l’hôpital s’occupe du Firewall donc nous les avons
contactés pour le mettre à jour, il est à jour de sa version 6.22 depuis 16
octobre 2002
Problèmes : le
poste d’administration du firewall doit être dans la salle protégée.
1.4
LE PROXY
Les
serveurs proxy offrent une excellente protection contre les attaques en
provenance d’Internet en assurant une isolation totale de l’ordinateur cible.
La
seule adresse IP accessible de l’extérieure est celle du serveur proxy, les
adresses IP internes restant totalement cachées. Toute la communication est
gérée par le serveur proxy . Il est le seul
capable d’établir une connexion de LAN, une connexion directe en provenance de
l’extérieure étant impossible.
Pour
l’hôpital, il est contrôlé par NT grâce au programme proxy server
2.0 de Microsoft)
1.4.1
Avantages et inconvénients des serveurs proxy
Comme
toute autre chose, un serveur proxy présente des cotés positifs et négatifs. Le
premier point positif est l’accélération de l’accès Internet grâce à la mise en
cache du contenu téléchargé, ce qui permet un accès plus rapide aux
informations. Ils contribuent également à la sécurité réseau à l’aide de
filtres, de NAT/NPAT et d’autres fonctionnalités de pare-feu.Aussi,
ils offrent des mécanismes d’ouverture de session pour des connexions et des
données internes ou externes.
Le
problème des serveurs proxy est leur lourdeur en exigences de gestion
administrative, surtout dans le cas de grands réseaux, particulièrement avec
CARP (Cache Array Routing
Protocol – Protocole de MS Proxy Server2.0). Ils ajoutent également un
point de faiblesse à votre conception réseau, et peuvent poser quelques
problèmes avec des applications réseau propriétaires. Dans le cas de CARP, le
travail réseau proxy peut devenir rapidement complexe, nécessitant un
administrateur techniquement plus expert que la moyenne.
Nous
avons apporté les modifications au proxy afin de mieux protégés le réseau et
les données (suppression des protocoles Netbios)
1.5
Le
terme « DMZ » (demilitarized zone) ou
« zone démilitarisée » désigne communément une partie du réseau que
l’on considère peu fiable.
1.5.1
La définition de
Les
systèmes qui peuvent être directement accessibles par des systèmes ou des
utilisateurs externes seront les premiers systèmes à être attaqués et mis en danger . On ne peut donc pas faire entièrement confiance à
ces systèmes puisqu’ils peuvent être menacés à tout moment. Il faut donc
essayer de limiter l’accès entre ces systèmes et les autres systèmes réellement
sensibles du réseau interne.
Les
règles d’accès générales de
1.5.2
Les systèmes à placer dans
Nous
avons à présent une politique générale concernant
La
messagerie
La
présence du serveur messagerie externe. Le serveur de messagerie externe est
utilisé pour recevoir et expédier le courrier.
Le
nouveau courrier est reçu par le serveur de messagerie externe et est transféré
au serveur interne derrière le firewall . Ce dernier
livre le courrier sortant au serveur externe. Idéalement, tout cela est réalisé
par le serveur de messagerie interne, qui demande le courrier au serveur
externe.
Coût :
1 serveur messagerie externe + 1 serveur messagerie interne
Personnel :
rien
Informatique :
inventaire du personnel reconnu par
Problèmes :
Le
serveur de messagerie actuel fait office de serveur messagerie externe et
interne et se trouve dans notre réseau il n’est pas à l’abri d’une attaque
directe.
1.6
LES SERVEURS
Un
logiciel antivirus sera installé sur tous les serveurs de fichiers et est configuré
pour effectuer interactivement des contrôles viraux complets sur tous les
fichiers.
Les
serveurs sont dans une salle fermée par digicode où l’accès est restreint.
Créer
un journal d’audit qui constituera une ressource privilégiée pour les investigations
futures
Pour
savoir :
Les
connexions et déconnexions
Les
échecs de tentatives de connexions au réseau
Les
tentatives de connexion par modem
l’établissement de connexions en tant que supervisor/administrator/root
les
fonctions privilégiés supervisor//administrator/root
l’accès
au fichiers sensibles
1.6.1
PROTECTION VOL IP
Les
serveurs sont séparés du réseau par rapport aux stations de travail
grâce à leur adresse IP (On pourrait améliorer la situation en créant un autre
sous-réseau)
Les
enregistrements dans les journaux de bord doivent être conçus de façon à
détecter d’éventuels problèmes et anomalies.
La
surveillance des journaux de bord à la recherche d’activités suspectes.
Le
problème est de faire la mise à jour
sécurité de Microsoft sans éteindre les serveurs, ce qui est impossible donc
nous prendrons les horaires où il y a le moins de trafic pour effectuer les
mises à jour (soit après 18h ou entre 23h-02h) en prévenant les personnes par
email de la coupure.
Ce
problème sera résolu si on règle le point précédent du document. Mais nous
n’avons pas de problème au niveau des serveurs bureautique et impression que
nous pourrions éteindre facilement en fin de semaine.
1.6.2 Le serveur de messagerie
Implanter
un logiciel antivirus ;
Filtrer
les messages sur certains critères paramétrables (taille, fichiers attachés,
etc.) ;
Configurer
correctement le serveur ;
Effectuer
une gestion efficace pour en assurer la disponibilité ;
Eviter
les comptes de maintenance par défaut ;
Assurer
une protection physique du serveur.
Problèmes : Protéger les segments du réseau
AS/400
(il doit être au niveau trente a l’heure actuelle)
Serveur
bureautique
Tous
les autres serveurs
Microsoft
conseille de redémarrer ses serveurs une fois par semaine.
1.7
Les stations de travail ou les ordinateurs de bureaux
Un
logiciel antivirus est installé sur tous les systèmes de bureaux et est
configuré pour exécuter interactivement des contrôles viraux complets sur tous
les fichiers. Il est également configuré pour vérifier chaque fichier dès son
ouverture.
1.8
L’ Internet
1.8.1
Risque déontologique (Sites non légaux : se référer aux textes de
lois)
Paramétrer
afin de restreindre les connections d Internet
Contrôler
URL (voir IE et mettre à jour certains paramètres de sécurité)
Editer
le journal des connexions
Conserver
une trace dans les journaux des serveurs (proxy,….)
1.8.2
Risque virale
Via
le courrier électronique :
Le
courrier sert à échanger des programmes, des données. Il faut donc apprendre à
repérer ce qu’est un programme.
Via
le Web :
On
télécharge un programme que l’on l’exécute
Note :
On peut télécharger un programme contenant un virus. Tant que celui-ci n’est
pas exécuté , le virus ne peut s’activer.
Coût :
0€
Personnel :
rien
Informatique :
paramétrage sur l image du disque (Erwan)–
paramétrage du serveur Internet (Laurent)
On
pourrait passer pour plus de sécurité à la version 5.50 pack 2 sécurisé
pour chaque poste afin d’éviter des virus scripts sur les postes clients
1.9 La messagerie
Les
risques de sécurité encourus, relatifs à l’usage d’un système de messagerie,
sont liés à :
-
La perte, l’interception, l’altération, la destruction de messages ;
-
L’infection des systèmes par le biais de messages contenant des virus dans des
pièces jointes ;
-
L’harcèlement (inondation de message, junk mail,ect)
-
L’usurpation d’identité des utilisateurs (un intrus se fait passer pour
quelqu’un d’autre, un élément du système émet, écoute, intercepte des
messages qui ne lui sont pas destinés, etc.)
-
Des messages peuvent être introduits, rejoués, mélangés, supprimés,
retardés ;
-
Un refus de service par défection d’un élément de la chaîne du système de
messagerie ;
-
La divulgation d’informations confidentielles ;
-
La répudiation (un acteur du système nie avoir envoyé ou reçu un message)
Mais
le risque le plus important est sans doute celui de l’introduction de virus via
un message. Une parade à mettre en place consiste à l’installer un anti-virus
sur chaque poste client.
Toutefois,
un antivirus ne détecte que les virus pour lesquels il a été conçu et ne
protège pas contre de nouvelles formes d’infection. Par ailleurs, un antivirus
augmente les temps de traitement des données et les utilisateurs ont tendance le
plus souvent à le court-circuiter.
Aussi,
une mesure complémentaire revient à mettre en place un serveur de messagerie de
désincubation qui examine systématiquement tous
les messages et leurs pièces jointes. Plusieurs anti-virus peuvent alors
s’exécuter simultanément et augmenter ainsi la probabilité de détection d’un
message infecté.
Le
protocole initial de messagerie SMTP (Simple Mail Transfert Protocol) de
l’environnement Internet s’est vu enrichi au cours du temps pour supporter,
d’une part, des contenus multimédia et d’autre part, pour intégrer des
mécanismes de sécurité. Plusieurs sont disponibles actuellement.
Problème :
Les
risques de sécurité encourus, relatifs à l’usage d’un système de messagerie,
sont liés à :
Aux
mots de passe de certaines personne sont facilement crackables donc il faut y remédier
Les
risques de sécurité encourus, relatifs à l’usage d’un système de messagerie,
sont liés à :
Solution :
Un
logiciel antivirus est installé soit sur le serveur de courrier
principal, soit sur le parcours du courrier électronique. Il est configuré pour
vérifier chaque pièce jointe avant de la distribuer à l’utilisateur final.
Voici
quelques directives élémentaires qui contribuent à protéger un système de
messagerie.
-
Installer, gérer et imposer l’usage de logiciels anti-virus ;
-
Définir des règles d’utilisation de la messagerie (ne pas ouvrir des fichiers exécutables,etc.) ;
-
Sensibiliser suffisamment les utilisateurs aux risques encourus ;
-
Faire s’engager les utilisateurs sur un usage approprié des ressources
informatiques ;
-
Configurer correctement le poste de travail de l’utilisateur et son
application messagerie ;
-
Implanter des versions de messagerie sécurisées ;
-
Utiliser des procédures de chiffrement pour les messages confidentiels et
réaliser l’authentification des sources.
1.10
Réseau Local
1.10.1 Message de bienvenue
A
l’ouverture, nous pourrons mettre un message d’accueil dissuasif et
préventif.
***attention
***
vous accédez
à un système protégé. Son emploi sans autorisation à des fins pour lesquelles
les droits n’ont pas été étendus est défendu. Déconnectez-vous immédiatement
1.10.2
Mot de passe
Longueur
des mots de passe et contenu des mots de passe
minimum
a huit lettres avec des caractères spéciaux (chiffres ,
lettres, caractères spéciaux) le système doit imposer des restrictions lors des
changements des mots de passe.
Fréquence
de changement des mots de passe
Durée
d’un mot de passe ne devrait pas excéder deux mois. De plus, les mots de passe
ne doivent pas pouvoir être modifiés dés le lendemain du changement.
Historique
des mots de passe
Les
dix derniers mots de passe ne doivent pas être réutilisés.
Déconnexion
de session
au
bout de x temps, tous les systèmes doivent être configurés pour lancer un
économiseur d’écran qui cache les informations et exige de l’utilisateur qu’il
s’identifie de nouveau s’il s’est éloigné de l’ordinateur de plus de dix
minutes. Cela évite qu’un intrus puisse utiliser un ordinateur connecté au
réseau et qui aurait été laissé sans surveillance par un employé.
Voir
dans les services, effectuer des tests
Solution :
On
pourra opter pour une gestion centralisée des utilisateurs car entre les mots
de passe de Lotus Notes, AS/400, Sophie, Windows ; le personnel au
retour des vacances est un peu perdu c’est pour cela qu’on voie une
recrudescence des appels pour des mots de passe oubliés ou perdus ce qui
soulagera la help desk pour ces petits problèmes. Aussi au départ d’un employé , tous ses comptes sont automatiquement
supprimés. Outre un gain de temps, cela évitera surtout les erreurs. De plus,
nous pourrons auditer notre système à tout moment et savoir qui a le droit d’y
faire quoi.
On
pourra passer en version 98 ou NT /2000 , là
les mots de passe sont transmis sur le réseau en crypté
Pour
cela nous aurons juste besoin de paramétrer le serveur Lotus qui fera cette
correspondance et de plus qui sera sécurisé.
VERIFICATION
DE TOUS LES DISQUES PARTAGES POUR VOIR S ILS
SONT SOUMIS A DES RESTRICTIONS QUI N AUTORISENT L ACCES QU A DES UTILISATEURS
OU DES GROUPES SPECIFIQUES.
Coût :
0€
Personnel :
Disponibilité du personnel
Informatique :
Faire des cours pour sensibiliser le personnel et envoi de note pour les
avertir
Problèmes : A l’heure actuelle, les mots de passe sont changés tous
les trois mois et la longueur est aux choix des utilisateurs
1.11 Réseaux internes (intranet)
Restriction
de l’usage des stations de travail (pas de jeux ,
pas de musique)
1.12
Antivirus - URGENT
Test
antivirus : l’éditeur met plus de temps (plus d’une semaine) computer associed que les autres pour trouver une parade à certains
virus (sircam, bugbear)
Effectué
en local et en réseau avec le faux virus EICAR .COM – Sur le serveur il a été
localisé et mis dans le journal du serveur et sur la station de suite a l
‘ouverture de fichier, il a été signalé.
EICAR.COM
est un fichier permettant de tester que le moniteur ou le scanner de votre
antivirus fonctionne correctement. EICAR est détecté comme un
virus mais n’effectue aucune action hostile. Si vous tentez de
télécharger ce fichier alors que le moniteur de l’antivirus est actif une alerte virus apparaîtra et on sera empêché de continuer.
De
plus la version Cheyenne version 4.0 qui est sur le réseau actuellement
deviendra obsolète avec les nouveaux systèmes d’exploitation qui seront
en Windows 2000, il ne reconnaît pas les virus, donc soit nous changeons de
produits, soit nous passons à une version supérieure.
Solution :
nous pourrons changer d’antivirus pour un plus puissant, car certains éditeurs
mettent 48 heures pour trouver la parade à ces mêmes virus ; mais le prix
de la licence est plus chère. Nous pourrions utiliser un antivirus en ligne
(mais ils sont peu efficaces et demande du temps et de la connexion sur
les machines (panda, symantec) en attendant
l’antivirus officiel.
1.13 Matériel
Paramétrer
le bios
Mettre
un mot de passe sur le bios
Activer
l antivirus du bios
La
plupart du temps, il suffit de taper suppr ou f1 lors
du démarrage pour aller dans le BIOS . Cet écran
vous permet de modifier certaines options. Dans l’option démarrage, mettez le
lecteur de disquette en dernier. En cas de besoin, vous pourrez toujours le
remettre en premier
Coût :
0€
Personnel :
rien
Informatique :
paramétrage à la création
1.14
Les Périphériques externes
1.14.1
Les modem s (7)
Les
postes où nous avons un modem de télémaintenance devraient être équipés d’un
antivirus. A l’heure actuelles, ces postes ne sont pas
dotés d’antivirus. Les mettre dans un groupe qui n’ont
accès qu’au minimum des fichiers partagés ou bien mettre un firewall
à chaque poste équipé d’un modem.
Nous
n’avons aucun contrôle des connexions par modem à l’heure actuelle.
Problèmes :
Il
ne faut jamais autoriser un ordinateur connecté à Internet via modem à
activer le partage des fichiers pour TCP/IP sur le modem.
Ce
serait tout simplement inviter les hackers à explorer votre
réseaux.
1.14.2
Les portables (10 reconnus par le service informatique)
Ces
portables ne sont pas dotés d’antivirus et de firewall individuel
Téléphone
Wap – Pad :
Pas
de serveur wap donc pas de danger mais peut être
piratage par liaison hertzienne résolu par nouvel antenne cryptage 128 bits
On sait pas si nous en avons dans l’hôpital
1.15 Logiciels
Paramétrer
le logiciel et faire les mise à jour de sécurité
fournies par MICROSOFT sur son site.
Windows
Office
Internet
Explorer :
Version
5.x et 6.0
L’utilisation
du bouton Précédent entraîne le lancement d’applications non souhaitées.
Encore
une faille de sécurité intervenant lors de l’affichage d’une page
d’erreur 404. Cette dernière étant stockée dans la zone Intranet Local , aucun test de sécurité n’est effectué lors du
retour à la page précédente. Ce qui laisse la porte ouverte aux hackers. Aucun
patch n’est disponible actuellement. Unique palliatif : installer Windows
sur une partition différente de c : afin de bloquer les scripts malicieux
exécutant par défaut des opérations sur c :
Pour
régler le problème de la version 6.0, il faut télécharger le service pack 1,
incluant l’ensemble des correctifs de sécurité à la date du 9 septembre 2002.
www.microsoft.com/downloads/release.asp?releaseid=42706&area=new&ordinal=2
Pour
les postes Windows 95
On
pourra installer Netscape 7.0 car les navigateurs 5.5 ou 5.0 ne sont plus
sécurisés correctement, et la version 6.0 n’est pas compatible avec les postes
Windows 95. Aussi, nous avons un
problème d’affichage sur les versions 5, sur certains sites.
Real Média
Player :
Windows Média
Player :
Le
player vidéo tente d’exécuter une application
Il
est probable qu’une des failles de sécurité de WMP ait été exploitée par
une personne malveillante. Microsoft propose 3 patchs cumulatifs pour les
versions 6.4, 7.1 et 8.0
www.microsoft.com/windows/windowsmedia/download/
Certains
logiciels offrent des failles que des personnes mal intentionnées peuvent
exploiter :
Proxy
Microsoft : ouverture du port 21
Lotus
Notes : ouverture des ports 25 (serveur), 110 (lotus notes pop)
GUI/400 :
SANTE/400 :
ouverture du port 23 (emulateur)
GESPARK :
ouverture des ports 25,21
VNC :
ouverture des ports 5000, 5001
Popularité :
10 - Simplicité : 10 - Impact : 10 - Niveau de risque : 10
Nous
avons une mise a jour de sécurité à faire ,
mais elle n’est pas compatible avec la version française
Il
faudrait un antivirus sur chaque poste et sur chaque serveur car on
n’est pas à l’abri d’une attaque virale dont le firewall nous
protège pas.
Nous
avons de nombreux autres logiciels « pirate » qui ouvrent des failles
sur le réseau.
1.16
Les Protections des fichiers
Les
systèmes gèrent des droits permettant ainsi de donner l’autorisation de
lecture, écriture ou d’exécution sur les répertoires et fichiers à des
utilisateurs ou des groupes.
Test
ok
1.17 Le Personnnel
1.17.1 Sensibiliser le personnel à la sécurité
On
doit informer les employés de la raison pour laquelle la sécurité est
importante dans l’entreprise. Ils doivent aussi être formés pour identifier et
protéger les informations sensibles. Les programmes de sensibilisation à la
sécurité fournissent aux employés les informations nécessaires concernant la
politique de l’entreprise, le choix des mots de passe et la prévention
des attaques employant des méthodes d’ingénierie sociale. Le mieux est de
former les employés lors de sessions courtes, d’une heure environ. Les sessions
avec vidéos sont plus efficaces que les cours magistraux. Toutes les personnes
nouvellement embauchées devraient suivre une session de ce type lors de leur
intégration et tous les employés en poste devraient en suivre une au moins une
fois tous les deux ans.
Etablissement
liste du personnel ayant droit FTP
(dsio, dim,
autres personnes)
Il
faut contrôler les ports de poste de travail qui ont :
le SMTP
(messagerie) ceux qui ont lotus et Internet explorer
le
HTTP (Internet) tout le monde ,
le
FTP (téléchargement) docteur, dim,dsio
Tous
les utilisateurs ont accès au serveur bureautique a l’AS/400 au serveur Unix
Editer
un code de conduite que le personnel signera
Faire
un questionnaire afin de pouvoir délimiter les besoins
Seuil
de verrouillage du compte
Son
paramètre par défaut est « 0 tentative d’ouverture de session non
valide » Utilisez cette option pour définir le nombre de tentatives
d’ouverture de session ayant échoué, et qui verrouille l’ouverture de
session. On pourrait conseiller 3 ou 5 tentatives d’ouverture de session.
Durée
de verrouillage des comptes
Son
paramétrage par défaut est « non défini » Employer cette option pour
définir la durée de verrouillage d’un compte. Le paramètre Toujours nécessite
l’intervention d’un administrateur pour déverrouiller un compte. On pourrait
prendre 30 minutes ou plus.
Réinitialiser
le compteur de verrouillage des comptes
Son
paramètre par défaut est « non défini » Servez-vous de cette
option pour définir l’intervalle de temps après que le nombre de tentatives
d’ouverture de session d’un seul compte a échoué pour réinitialiser le compte.
On pourrait compter 15 minutes.
Lors
d’une nouvelle embauche,il
faut insister sur l’importance des informations propriétaires et
sur le fait que toute compromission de leur confidentialité entraînera des
mesures disciplinaires, un licenciement ou un procès.
Coût :
Gratuit
Personnel :
Disponibilité du personnel
Informatique :
Faire des cours
1.17.2 Personnel informatique
Coût :
Gratuit
Personnel :
Disponibilité du personnel
Informatique :
Faire des cours
Le
personnel du service informatique pourra scanner de temps en temps le
réseau avec les outils trouvés sur Internet , afin de
voir s’il n’y a pas d’anomalie sur le réseau.
Grâce
à ces outils ont peu voir quels postes sont connectés et s’il y a une
anomalie sur ces postes et même si nous avons des protocoles n’ayant pas de
rapport avec les taches de l’hôpital.
Vérification
que le pare-feu est installé et configuré correctement.
Exécution
régulièrement certains programmes, par exemple Crack, Tger,
COPS, Satan, etc.
Appliquer
les correctifs pour les failles des systèmes d’exploitations
.
1.18) L’infrastructure
Les dommages causés à l’infrastructure peuvent
être aussi dévastateurs pour une entreprise que ceux qui sont causés à son
système informatique. C’est le cas lorsque le consommateur d’informations ne
peut pas effectuer son travail parce que le réseau de communications
est hors service, ou que l’alimentation électrique de l’ordinateur fait
défaut ou encore (dans les gros systèmes seulement) que la climatisation tombe
en panne.
Pour
l’instant le réseau devient plus faible, mais le problème sera résolu car nous
passerons bientôt a la fibre optique 1 giga octet de transfert pour les
stations les plus proches et 100 Mo pour les plus éloignés. De plus la fibre
optique nous protége des attaques par écoute qui se
révèle mission impossible. Mais le problème est que nous n’avons pas de serveur
de rechange si un de nos serveurs tombe en panne.
Nous
avons sur notre réseau des protocoles :
Udp, TCP,
TELNET, NETBIOS,ARP (imprimante),802.3 frame (ethernet), ICMP
Coût :
0€
Personnel :
Disponibilité du personnel
Informatique :
tester les flux du réseau
1.19
Les sociétés en sous-traitance
Nous
avons une clause dans nos contrats qui nous protège des fuites de nos données
sur un matériel en dépannage .
1.20
Au niveau virale - URGENT
Aujourd’hui,
nous avons 3 licences serveurs et 75 licences clients.
(Voir
consignes Antivirus)
Le
lecteur de disquette : il est
souvent négligé, alors que très dangereux. Par exemple, la plupart des
machines peuvent redémarrer en introduisant une disquette système. Or, par
défaut l’industrie laisse cette option active ! Lorsque vous éteignez et
rallumez votre ordinateur avec une disquette dans le lecteur, il est fort
possible qu’un virus s’installe et fasse des petits.
La
plupart du temps, il suffit de taper suppr ou f1 lors
du démarrage pour aller dans le BIOS . Cet écran
vous permet de modifier certaines options. Dans l’option démarrage, mettez le
lecteur de disquette en dernier. En cas de besoin, vous pourrez toujours le
remettre en premier.
Tous les PC qui ont un lecteur de disquette ont un
antivirus mis à jour automatiquement par rapport au serveur.
Le lecteur de CDROM :
Même
chose que pour le lecteur de disquettes. Certains CD sont « bootables » et donc même danger que le lecteur de
disquette.
Certains
PC qui ont un lecteur de CD ROM n’ont pas D’antivirus donc il y a un
certain risque.
TOUT
PROGRAMME , ENVOYE EN ATTACHE DANS UN MAIL OU MIS
SUR UNE DISQUETTE /CD, est potentiellement dangereux.
1.21 Le cryptage
Pour
l’instant, il n’ a aucun cryptage sur
l’hôpital de Dunkerque, mais avec les nouvelles antennes wire-less (sans fil), nous aurons une capacité de cryptage de
128 Mo. Mais on pourrait faire mieux, nul n’est à l’abri d’une compagnie
d’assurance mal intentionnée (ceci est une pure hypothèse voisine de la paranoia) de lire vos fichiers médicaux et donc de connaître
les patients à assurer sans risques…
1.22 Les sauvegardes
Les
sauvegardes de l’AS/400 sont réalisées par le personnel du service
informatique.
Il
faudrait les mettre en lieu sûr par exemple dans des armoires anti-incendie.
Il
y a une périodicité quotidienne et la durée de conservation est de 5 à 6
semaines.
Il
n’y a pas de marquages et de procédures d’accès aux supports
Il
n’y a pas de vérification de la qualité des sauvegardes
Nous
avons quelques image de postes de travail basique (soit médical, soit
administratif, soit sous différents systèmes)
Les
sauvegardes journalières sont réalisées sur 35 jeux de cartouches correspondant
à une période de 5 semaines.
Les
sauvegardes générales sont quant à elles conservées au minimum 12
mois ; la première et la dernière de chaque année étant gardées
définitivement.
1.23 Le Stockage
Les
cartouches sont stockées sur trois lieux différents de la façon suivante :
En
semaine, un jeu de cartouches dans l’unité de sauvegarde située en salle
informatique. Ce jeu correspond soit à la sauvegarde de la veille, si il n’a pas encore été changé, soit à celui de la
sauvegarde du lendemain en cas contraire.
Le
week-end, trois jeux de cartouches sont dans l’unité de sauvegarde. Elles
correspondent aux sauvegardes des nuits du vendredi au samedi, du samedi
au dimanche, et du dimanche au lundi.
Les
cartouches destinées aux sauvegardes de la semaine en cours, complémentaires à
celles présentes en salle machine, sont quant à elles stockées au service
informatique situé dans un bâtiment distinct de la salle informatique.
Les
cartouches correspondants aux quatre semaines précédentes sont stockés dans un
troisième bâtiment.
1.24 Les systèmes d’exploitation
Windows
95 est le plus instable et le moins sécurisé des système
d’exploitation que nous avons sur l’hôpital car il garde ses mots
de passe tapés en mémoire avec des algorithmes très simples, ces derniers sont crackés en moins d’une seconde.
Windows
98, nous l’avons vu au fil des jours, est encore trop vulnérable, mais il
pourra remplacer Windows 95.
Le
réseau de Windows 98 est par exemple d’un niveau de sécurité tellement
moyen au point de vue stabilité et sécurité.
Pour
déstabiliser ce système, il suffit de lancer user.exe et gdi.exe simultanément
et la machine plantera.
Pour
la sécurité,
Pour
résoudre ce problème, il faudrait migrer soit NT avec le service pack 4 puis 5
et enfin 6a, soit Windows 2000. De plus avec les versions NT 4, le
gestionnaire IBM ne plante pas et a plus de facilité.
Sous
NT, le système met en place d’importantes fonctions (« architecture de
sûreté ») qui relient tout événement d’un processus, à un utilisateur dont
les droits ont été définis, et qui relient tout événement d’un processus
Windows
2000 Server
Windows
2000 Server est axé sur le contrôle d’accès. Le contrôle d’accès dépend de
l’identité de l’utilisateur, c’est-à-dire le compte utilisateur. Pour accéder à
un ordinateur ou à un réseau tournant sous Windows 2000 server, vous devez
donner à l’utilisateur un compte d’utilisateur doté d’un mot de passe et d’un
nom d’utilisateur valides. Quiconque connaît le mot de passe et le nom de
l’utilisateur peut avoir accès. Par conséquent, les noms d’utilisateurs et les
mots de passe doivent être protégés.
Windows
2000 Professionnel
L’un
des principaux avantages à choisir Windows 2000 professionnel nous permet de
mettre en place une sécurité par utilisateur au lieu d’une sécurité partagée
par tous les utilisateurs. En d’autres termes, vous pouvez créer des comptes
d’utilisateurs rendant ainsi obligatoire l’identification au moment de la
connexion.
On
devrait remplacer les postes Windows 95 du réseau par des postes plus
stables soit en 2000 pro, soit sous Windows 98. De plus, les navigateurs 5.5 ou
5.0 ne sont plus sécurisé correctement, et la version 6.0 n’est pas compatible
avec les postes Windows 95.
1.25 La Documentation
Nous
devrions avoir une mise à jour de documentation au point de vue juridique au
niveau de l’informatique en entreprise.
Ainsi,
qu’au niveau technique pour avoir des renseignements sur les virus, les
failles de sécurité, etc.
Quelques
références et extraits intéressants :
Délibération
n°01-011 du 8 mars 2001 de
Article
6 de la convention n° 108 du conseil de l’Europe et article 8 de la
directive européenne du 24 octobre 1995
Loi
du 6 janvier 1978
1.25.1
Cybersurveillance sur les lieux de travail
La
surveillance cantonnée par le droit
-
Loi du 6 janvier 1978
-
Loi du 31 décembre 1992
-
art L 120-2 du code du travail
-
art L 432-2 du code du travail
-
art L 121-8
-
art 29 de la directive du 24 octobre 1995
Quelques
extraits intéressants :
L’obligation
d’information préalable résulte de l’article L 121-8 du code du travail (aucune
information concernant personnellement un salarié ou un candidat à un emploi ne
peut être collectée par un dispositif qui n’a pas été porté préalablement à la
connaissance du salarié ou du candidat à l’emploi)
La
discussion collective
L’article
L 432-2 du code du travail dispose que le comité d’entreprise est informé et
consulté préalablement à tout projet important d’introduction de nouvelles
technologies, lorsque celles-ci sont susceptibles d’avoir des conséquences sur
[…] les conditions de travail du personnel et précise que lorsque l’employeur
envisage de mettre en œuvre des mutations technologiques importantes et
rapides le plan d’adaptation doit être transmis « pour information et
consultation » au comité d’entreprise, lequel doit être « régulièrement
informé et périodiquement consulté » sur la mise en œuvre de ce
plan.
Par
ailleurs, l’article L 432-2-1 prescrit que le comité d’entreprise doit
être « informé et consulté, préalablement à la décision de mise en œuvre
dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de
l’activité des salariés »
Le
décret du 28 mai 1982 relatif aux comités techniques paritaires des trois
fonctions publiques prévoit pour sa part que ces comités
« connaissent […] des questions et des projets de textes
relatifs, notamment aux programmes de modernisation des méthodes et techniques
du travail et à leur incidence sur la situation du personnel.
Il
résulte clairement de ces textes , qu’une information
individuelle des salariés ou agents publics ne saurait dispenser les
responsables concernés de l’étape de la discussion collective,
institutionnellement organisée, avec les représentants élus du personnel.
Le
salarié a droit, même au temps et au lieu de travail, au respect de sa vie
privée ; celle-ci implique en particulier le secret de ses
correspondances ; l’employeur ne peut dès lors, sans violation de cette
liberté fondamentale , prendre connaissance des
messages personnels émis par le salarié ou reçus par lui grâce à un outil
informatique mis à sa disposition pour son travail, et ceci même au cas où
l’employeur aurait interdit une utilisation non professionnelle de
l’ordinateur. C’est ce qu’a affirmé récemment
1.25.2
Cryptologie
Loi
du 26 juillet 1996
Décret
du 24 février 1998
Loi
du 17 mars 1999
Loi
de janvier 1999
1.25.3
Infraction aux règles de cryptologie - Loi du 29 décembre 1990
Article
28, loi du 29 décembre 1990
Article
17, loi du 26 juillet 1996
1.25.4
Infraction de presse
Provocation
aux crimes et délits (art.23 et 24)
Apologie
des crimes contre l’humanité (art.24)
Apologie
et provocation au terrorisme (art.24)
Provocation
à la haine raciale (art.24)
Négationnisme :
contestation des crimes contre l’humanité (art.24 bis)
Diffamation
(art.30, 31 et 32)
Injure
(art 33)
Tous
ces textes pourront être mis dans un classeur à la disposition de toute
l’équipe informatique. Afin de résoudre les problèmes du réseau et de son administration.
1.26 Le Contrôle des documents
Mise
en œuvre un système de comptabilité facile à utiliser pour suivre les
sorties et les retours de documents prioritaires. Réclamation de l’utilisation
du système de contrôle de documents et assurance que les consignes
sont suivies, notamment par des vérifications à l’improviste.
Assurer
un suivi et un examen des téléchargements de fichiers.
Mettre
en œuvre un système de mise au rebut pour les documents propriétaires devenus
obsolètes.
Envoyer
un message afin de prévenir les utilisateurs avant épuration.
1.27 Le dépannage
Toutes
les pannes de réseau ou interruptions de service importantes doivent être
annoncées aux personnes concernés.
-
Notifier les incidents aux personnes intéressées ;
-
Evaluer les dégâts et les conséquences des incidents ;
-
Eviter une exploitation supplémentaire d’une même vulnérabilité ;
-
Rétablir le système et les ressources après incident.
1.28 Constat général (étude NC/S du 22/12/98):
Action à mener pour améliorer l’existant
Au
niveau protocolaire, il serait intéressant de désactiver les protocoles non
productifs qui polluent le réseau par des annonces de services. Il faudrait
reconfigurer les imprimantes réseau et les postes de travail pour qu’ils
utilisent exclusivement le protocole TCP /IP .
1.28.1 Sécurité du réseau :
Sécurité
d’accès :
Cette
sécurité correspond à l’authentification des connexions au niveau des serveurs.
Les problèmes liés à cette sécurité ne peuvent provenir que de la substitution
ou de la complicité en donnant un nom de login valide ainsi que son mot de
passe associé.
Sur
l’AS/400, les mots de passe sont changés tous les trimestres donc une
malveillance extérieure est possible mais limitée dans le temps.
Pour
les comptes Unix (Multi-multi), le problème est différent car les mots de passe
ont été attribuées
Remarque :
La
malveillance ne pourra être effectuée que de l’intérieur (machine se trouvant
sur l’un des sites) car il n’existe aucune entrée directe sur le réseau.
Les
seuls points d’entrées possibles sont les connexions sauvages à Internet
via un modem pour une machine connectée au réseau local. En effet un Hacker
peut prendre en main des OS tels que Windows NT ou Windows 95 et modifier les base de registre pour obliger la machine à effectuer du
routage tcp/ip.
Sécurité
de l’infrastructure de communications :
Le
support physique actuellement mis en place est pour le moment suffisant en
terme de bande passante mais insuffisant en terme de sécurité. Il n’existe pas
de redondance de liens qui permettrait d’effectuer de la sécurisation de route
(si un lien est défectueux l’autre prend le relais).
Il
apparaît primordial de définir dans l’infrastructure de communication des
liens de backup (par des cheminements différents) pour les fibres optiques, le
cuivre et Bazennes.
Accès
Internet
Existant :
L’accès
au réseau Internet s’effectue aujourd’hui par des liaisons intranet sécurisé
par le firewall et aussi par modem non-sécurisées. Ceci est une porte entrouverte
pour les pirates et les virus. Le service informatique n’a aujourd’hui aucune
possibilité de vérifier les accès entrant comme sortant vers Internet.
L’accès
avec un débit plus élevé que celui fourni par un modem a été créé mais nous
avons encore des modems
sur notre
réseau.
L’accès
plus rapide par la mise en place d’un serveur Proxy qui permettra un stockage
des sites déjà consultés (non-appel vers Internet) et qui peut apporter la
gestion des autorisations d’accès et des statisques.
Futur :
Pour
un réseau d’entreprise, il est indispensable de gérer l’accès à Internet comme
un accès à une ressource.
A
ce titre, il faut mettre en place un accès unique sécurisé à Internet à partir
du réseau privé.
Nous
pourrons établir une gestion centralisée de la gestion des temps de connexion.
Nous
pourrons aussi créer une machine UNIX avec les outils réseaux qu’il nous faut
pour le vérifier de temps en temps.
Le
personnel du service informatique pourra scanner de temps en temps le
réseau avec les outils trouvés sur Internet , afin de
voir s’il n’y a pas d’anomalie sur le réseau.
Grâce
à ces outils on peut voir quels sont les postes qui sont connectés
et s’il y a une anomalie sur ces postes et même si nous avons des protocoles
n’ayant pas de rapport avec les taches de l’hôpital.
Les
tâches du personnel informatique sont :
-Vérification
que le pare-feu soit installé et configuré correctement.
-Exécution
régulière de certains programmes, par exemple Crack, Tger,
COPS, Satan, etc.
-Application
les correctifs pour les failles des systèmes d’exploitations
.
-Veille
des utilisateurs n’importe pas de logiciels sur le système ou le réseau.
-Surveillance
de la taille du courrier sortant et avertir l’administrateur système des envois
de messages de grande taille.
-Examen
des comportements anormaux de la part du système.
Titre III :Consignes
en cas de virus
I La meilleure méthode de défense : la préparation
L’ordinateur
Il
serait bon de détenir une liste des programmes qui se lancent au
démarrage
Le
bureau
Chaque
bureau devra disposer d’une description des programmes et des rumeurs de
virus actuels, ou d’un accès à une source d’informations, comme une page
intranet. Quelle que soit la liste utilisée, elle doit être maintenue à jour,
et il est essentiel que chaque entreprise, de quelque taille que ce soit,
désigne une personne pour actualiser ces listes.
Le
bureau doit également dresser la liste minimale des personnes à
contacter pour obtenir des informations sur les virus locaux.
L’un
des éléments qu se doit de contenir tout
« kit » d’ordinateur de bureau, pour une bonne gestion, est une
liste de tous les matériels et logiciels achetés, comprenant les fournisseurs
et les numéros de série.
Quels
sont les signes de contamination ?
Des
rapports de Microsoft Diagnostic (MSD) ou d’un utilitaire similaire d’une
mémoire de base inférieure à 640 Ko.
Lorsque
Windows 95 signale des problèmes avec l’accès disque 32 bits.
Quand
le logiciel d’antivirus, même très faible, signale un virus potentiel.
Des
symptômes de virus visuels ou audiovisuels classiques sont évidents.
Une
application Microsoft Office affiche un message de type « macros et
personnalisations » ou un message d’erreur VBA
Toutes
autres erreurs suspectes
II
Les actions à faire :
Ne
pas essayer de continuer à travailler avec un système infecté.
Si
le système infecté est relié à un réseau local, il doit être déconnecté des
autres machines distantes. Si nécessaire, débrancher
physiquement la machine, mais avertisser
d’abord l’administrateur réseau.
Signaler
et consigner un incident, et l’attribuer à l’équipe ou à la personne concernée
Utilisateur
dsio : virus inconnu empêchant de réparer à
l’aide du logiciel Windows et étant dans les fichiers temporaires
Confirmer
l’existence d’un virus, d’un cheval de troie ou d’une
autre menace, si nécessaire en envoyant des échantillons à un fournisseur ou à
une autre structure de recherche
Désinfecter
un virus, le cas échéant, ou supprimer un objet infectueux
ou malveillant
Traiter
les dommages directs lorsque le code malveillant s’est exécuté avant le
diagnostic.
Récupérer
des fichiers endommagés ou des systèmes de fichiers.
Réduire
les dommages secondaires (les limiter)
Débrancher
la machine du réseau
Eviter
les baisses de moral, en ne transformant pas des victimes en bouc émissaires.
Sauvegarder
ou restaurer les données lorsque la récupération par réparation est infaisable.
Gérer
les problèmes légaux, c’est – à – dire retrouver la rupture qui a permis l’incident
et réaliser l’action appropriée pour la réparer.
Passer
l’antivirus et faire les mises à jour critiques Microsoft sur les serveurs et
les postes .
Les
questions à poser lors d’un problème:
De
quel type de système s’agit-il ?
Quels
types de matériel, système d’exploitation et environnement de réseau ?
Quelles
sont les spécifications du matériel, quelle version du système d’exploitation,
réseau et détecteur sont utilisés et de quand date la dernière définition des
virus ?
Tout
cela aura une réponse lors de la mise en place de la gestion de parc.
Quelle
action ou message est apparu lors de la panne ?
Conclusion :
le problème est que les organismes qui vendent des antivirus trouvent souvent
la parade quand le mal est fait et que nous soyons obligé
de refaire une machine faute de temps et de disponibilité.
III Les antivirus
Pour
ce type de problème nous avons une panoplie antivirus aussi performants
les uns que les autres, quelques uns se démarquent des autres avec des
caractéristiques supplémentaires, certain sont plus conviviaux, d’autres sont
plus efficaces à notre disposition plus ou moins efficaces, d’autres sont
plus versatiles et certains sont moins dispendieux. C’est pourquoi il peut être
difficile de s’y retrouver. Vous allez voir dans cette présentation un
bon nombre d’antivirus (soit version serveur ou version individuelle) ;
leurs caractéristiques, avantages, inconvénients, prix, etc.
Pour
faire ce choix, nous devons prendre en considération :
Le
prix
Les
solutions de packages sont moins cher , mais le risque
est de mettre nos œufs dans le même panier mais nous n’avons pas de
problème d’administration
Il
ne faut pas se concentrer sur le problème du coût unitaire au détriment
des coûts de fonctionnement qui constituent les 90% cachés de cet
iceberg.
Les
performances
La
détection est l’élément qui importe le plus.
Au
niveau de plusieurs classes de virus
Les
agents d’infection du secteur de démarrage ou des partitions, incluant
généralement des virus de fichier et de démarrage à cibles multiples.
Des
virus macro. Ils sont principalement constitués de VBA (Visual Basic for
Applications) et autres programmes malveillants spécifiques à Microsoft Office,
y compris les macros WordBasic et les virus des
formules Excel.
Les
collections de virus (virus qui ne sont pas dans la nature)
Les
virus polymorphes
La
gamme des fonctions
La
simplicité d’utilisation
La
capacité à configurer le logiciel
contrôle des fichiers zippés
contrôle des exécutables compressés
contrôle des disques compressés
Les
fonctions de support
La
vitesse d’exécution
Le
temps demandé pour charger le programme initialement, avant que l’analyse
réelle ne démarre.
Savoir
si le détecteur est réglé pour optimiser la vitesse plutôt que la précision de
l’opération ou vice versa. Une analyse en profondeur induira probablement
une surcharge considérable si elle étudie la totalité du fichier, et non pas
seulement la partie censée contenir le virus (nous ne sommes d’ailleurs pas en
train de tomber dans le piège habituel qui consiste à considérer les virus et
les fichiers de virus comme des synonymes. Toutefois, il serait très surprenant
de trouver un système sur lequel le nombre de fichiers à examiner serait
inférieur au nombre de secteurs de démarrage et autres zones du système :
Savoir
si le détecteur est configuré par une analyse heuristique, que cela soit
défini pour tous les types d’objets susceptibles d’infection
(certains détecteurs affichent des paramètres séparés pour l’heuristique des macro, par exemple)
Savoir
si le détecteur autorise une forme de détection hybride, combinat la
recherche des virus connus et l’addition de
contrôle.
Le
personnel d’assistance de première ligne est-il constitué de professionnels
antivirus ?
Le
fournisseur doit nous fournir pour le mieux, une assistance 7
jours sur 7 et 24h sur 24 sans numéro surtaxé. Avec une réception des
alertes par e-mail.
Ont-ils
un accès immédiat à de bonnes informations techniques ?
Trend
Micro
PC-CILLIN
version individuelle existe en 2 versions : pour windows
95/98 et windows 4.0/2000
Pc-cillin est un antivirus performant et convivial mais limité
au niveau des caractéristiques. Il vous offre l’aide en ligne avec un
expert pour vous aider à bien optimiser les performances de votre
antivirus. Son interface est simple et convivial, et un assistant vous guide
étape par étape la vérification de vos disques durs. Il possède aussi l’option
de quarantaine qui permet d’isoler les fichiers contaminés des autres fichiers
afin d’éliminer tout risque de propagation. Il offre aussi une protection
contre les attaques provenant des sites Web avec Active X et java. Un seul
inconvénient qui le rabaisse par rapport à ses compétiteurs, c’est le fait
qu’il ne possède pas de programme de mise à jour en ligne, par conséquent vous
devez aller sur le site Web de la compagnie télécharger les dernières mises à
jour de virus.
Ses
principaux concurrents offrent quelques caractéristiques plutôt alléchantes
comme la mise à jour en ligne et la version française .
La
version serveur est plus complète que la version individuelle, car il peut
mettre à jour automatiquement les définitions d’antivirus. Il peut aussi être
programmé pour vérifier automatiquement les possibilités d’infection. Il
vérifie toute activité qui pourrait s’apparenter à un virus et si c’est le cas
il peut vous le signifier par un message en Windows, un mail ect. Dépendant de votre configuration personnelle. De plus,
il fait des rapports quotidiens de toute activité suspecte. Et comme toute
version serveur il gère la vérification automatique de tout fichier transigé le
réseau.
Il
existe des fonctionnalités supplémentaires avec les solutions antivirus
d’entreprise :
*Déploiement
automatisé d’une mise à jour ou d’un changement de version.
*Mise à jour sans surveillance des fichiers de
définition de virus( par exemple, pendant la nuit)
*Alerte
centralisée et expédition lors de la détection d’un virus
*Configuration
centralisée de l ‘application antivirus à l’aide d’une ou plusieurs règles
(un PC est lié à une règle et un changement dans cette règle peut être
répercuté d’un clic de souris)
*Console
de gestion centralisée pouvant gérer plusieurs versions de l’application
antivirus sur différentes plates-formes (ou systèmes d’exploitation)
*Prévention
des changements de configuration par les utilisateurs
*Large
système de rapport d’analyse et de statistiques
antivirus.
*
Analyse antivirus sur la totalité du domaine
*Déploiement
facile de l’agent de communication
www.
Trendmicro.fr
NORTON
ANTIVIRUS CORPORATE EDITION POUR STATIONS ET SERVEURS VERSION 7.6 et norton antivirus gateways de
Symantec (récompense 1999, 2000, 2001)
40€
par poste
Norton
Antivirus pour Gateways peut s’utiliser comme
relais SMTP
Protection
contre le relais de spam
Traite
les messages entrant et sortant
Norton
AV corporate edition
s’installe d’une part sur une machine serveur et d’autre part sur chaque client
soit avec un CD soit par l’ajout d’un script lors de la connexion des users.
Il
récupère quotidiennement sur le Web (paramétrable) les mises à jour pour
les installer aussitôt les clients.
De
plus, il est très simple à utiliser pour les utilisateurs clients.
Voici
comment Norton Antivirus se démarque des autres logiciels d’anti-virus.
Il peut soit supprimer les fichiers contaminés ou mettre en quarantaine les
fichiers contaminés. Il vérifie au démarrage que votre ordinateur soit exempt
de virus. Il recherche les virus chaque fois que vous utilisez des
programmes de votre ordinateur, des disquettes ou des documents que vous
recevez ou créez.
Il
possède sensiblement les mêmes caractéristiques que la version individuelle. Il
permet de faire l’administration réseau au point de vue de la vérification des
virus ; il vérifie toute information transigée sur le réseau et permet de
prévenir une grande propagation des virus.
Conclusion
Bien
pour la mise à jour car c’est un programme exécutable, mais la version
serveur demeure plus dispendieuse, mais est très versatile et performante
autant pour des petits ou gros réseaux. Il nous donne la possibilité de
l’utiliser à l’entrée du réseau et dans la messagerie Lotus afin de
contrôler les flux.
Mais,
nous aurons un problème avec les plus anciennes machines car sa consommation
CPU et RAM est très importante, car il requiert un processeur d’Intel, 16 méga
octets de mémoire et 24 méga octets d’espaces disque disponible.
www.symantec.fr
MCAFFEE
de Network associates version individuelle et version
serveur -
McAFFEE
EST un leader sur le marché des antivirus grâce à ses nombres caractéristiques
et sa simplicité d’interface. Il offre la mise à jour en ligne, tout en vous
indiquant le nombre de jour depuis la dernière jour.
Vous pouvez aussi programmer des mises à jour automatiques. Il permet de
programmer des vérifications contrôlées des disques durs. De plus , il protège aussi votre courrier électroniques en
vérifiant toute entrée ou sortie de messages de votre boîte aux lettres. Il
vérifie aussi tous les fichiers visualisés ou téléchargés depuis de votre boîte
aux lettres.
www.mcaffee.com
Bien
pour la disquette bootable - Mais il se
révèle être une vraie passoire s’il est mal configuré. De plus, c’est le
plus lourd en logiciel.
Difficulté
de faire la mise à jour et savoir si elle a été prise en compte
INOCULATE
CHEYENNE version 4 de computer associed
Test
antivirus : l’éditeur met plus de temps (plus d’une semaine) que les
autres pour trouver une parade à certains virus (sircam,
bugbear)
De
plus la version Cheyenne version 4.0 qui est sur le réseau actuellemenest
devenu obsolète avec nos nouveaux systèmes d’exploitation qui
seront en Windows 2000 et les nouveaux virus parus, il ne reconnaît pas les
virus, donc soit nous changeons de produits, soit nous passons à une version
supérieure.
Celui
qu’on trouve sur notre réseau, permet de faire une mise à jour automatique au
démarrage des machines, nous étudions la possibilité de le mettre sur des disquettes
(minimum 8) ou sur un cd rom réinscriptible mais il faudrait l’achat d’un
lecteur externe cela coûterait 1c/Mo mais éviterait de perdre ou de faire de
nombreuses manipulation au moment du dépannage , aussi une disquette peut être
facilement contaminer, de plus il servirait cd image ghost
si nous n’avons plus d’espoir de sauver la machine
Le
problème est qu’il ne trouve pas tous les virus malgré sa mise à jour car cet
éditeur mais un peu plus de temps à réagir que ces concurrents (ex : Sircam), mais il a passé le test du faux virus EICAR ce qui
prouve qui est assez puissant pour trouver d’autres virus aussi dangereux pour le réseaux.
Malgré
cela, il est fiable mais complexe à configurer correctement, mais nous
pourrons changer d’antivirus pour un plus puissant (Inoculate
IT) , car certains éditeurs mettent seulement 48
heures pour trouver la parade à ces mêmes virus ; mais le prix de la
licence est plus chère.
INOCULATE
IT de COMPUTER ASSOCIATES version serveur - 39 € par poste
INOCULATE
IT est offert en version Windows NT pour Windows NT /2000
INOCULATE
IT est un des meilleurs antivirus en
version serveur, il possède toutes les principales caractéristiques
intéressantes pour administrateur réseau. Il peut vérifier tous les
disques durs locaux ou réseaux et même les serveurs de messagerie.
Il éradique automatiquement tout virus trouvé en temps réel sur tout le réseau.
Il met à jour automatiquement ses définitions de virus une fois par
mois. Il peut aussi vérifier les fichiers compressés tels les ZIP, ARJ et
Microsoft, il vérifie aussi tous les fichiers téléchargés par
Interne ou par courrier électronique. Tout fichier infecté qui est
modifié, déplacé sur le réseau est automatiquement mis en quarantaine.
www.
cai.com
SOPHOS
Antivirus de Sophos version réseau (récompense 2002)
-
Sophos
version réseau est disponible pour Windows 95,98,2000
pro et serveur nt/2000
Sophos
est un antivirus très simple d’utilisation, facile à utiliser, à configurer ou
pour planifier des vérifications. Il répare les fichiers infectés sur-le-champ
et produit un rapport de toutes ses activités. Toutes ces commandes principales
sont centralisées dans un programme très convivial. Il ne possède pas de
programme de mise à jour en ligne, par conséquent vous devez aller sur le
site web de la compagnie télécharger les dernières mises à jour de virus. Il
est mis à jour une fois par mois et aussi lorsque des nouveaux virus deviennent
critiques.
Pour
terminer, Sophos est un antivirus performant et
simple, mais quelques bonnes caractéristiques lui manquent, dont la mise à jour
en ligne, la vérification des courriers et la quarantaine. Il est disponible en
plusieurs langues et une version d’essai de 30 jours est disponible sur le site
de SOPHOS.
www.sophos.fr
IV
4.1
Changement des mots de passe
Lorsqu’un
système a été compromis, il y a de grandes chances pour que les informations
concernant les mots de passe aient été elles aussi compromises. Tous les mots
de passe doivent donc être changés, ce qui ne se fait pas en un instant
et nécessite évidemment la collaboration de tous les utilisateurs accrédités.
Si l’attaque provient de l’intérieur de l’entreprise, il est conseillé de
restreindre les accès au système à la seule équipe de sécurité.
4.2
Suppression des entrées dérobées (back doors)
On
appelle ainsi des points d’accès non documentés dans un système.
Ils peuvent avoir été prévus par l’éditeur du système d’exploitation, par
exemple à des fins de maintenance, mais ont plus généralement été créés par
l’attaquant. Le plus souvent, ce sont alors des points d’entrée normaux
auxquels ont été ajoutés de nouvelles fonctionnalités malveillantes. Il faut
bien entendu les découvrir et les éliminer.
4.3 Nettoyage du système
Comme
nous venons de le voir , il faut être certain que
toutes les traces de l’attaque ont été supprimées, donc procéder à un
nettoyage scrupuleux. Le code malveillant peut dormir dans un système jusqu’à
ce qu’il soit réveillé par un utilisateur peu méfiant ou par un événement
extérieur.
4.4 Reconstruction du système
Si
on n’est pas sûr d’avoir complètement éliminé toute trace de l’attaque, il faut
alors songer à régénérer le système en allant jusqu’à reformater les disques
(sur des systèmes Windows, il peut être nécessaire d’aller jusqu’à un
reformatage physique (à bas niveau) pour éliminer toute trace de certains virus
qu’un formatage logique (normal) pourrait laisser subsister.
4.5 Application des correctifs de sécurité
Ne
pas oublier d’installer tous les correctifs de sécurité connus et recensés. En
vérifier le nombre, les références et la mise à jour auprès du fournisseur du
système d ‘exploitation.
4.6 Révision des procédures personnalisées (master)
Enfin,
il faut remettre en service toutes les fonctionnalités créées pour
personnaliser le système, en particulier tout ce qui concerne les règles de
sécurité. S’assurer que ces procédures ne contiennent aucune faille de
sécurité.
4.7 Rechargement des données
Les
fichiers de données ne doivent être reconstitués qu’à partir des sauvegardes
préventives. Vérifier au besoin, à l’aide d’un programme de contrôle approprié,
qu’elles n’ont pas été compromises.
V Evaluation des dommages
Analyser
les statistiques des journaux à la recherche de traces d’une activité
inhabituelle au niveau des points d’accès au réseau d’entreprise, comme un
accès Internet ou un accès direct.
Vérifier
la somme de contrôle des équipements de l’infrastructure de réseau ou des
systèmes d’exploitation sur les serveurs critiques pour déterminer s’ils ont
été ou non touchés.
Vérifier
la configuration des équipements et serveurs de réseau pour s’assurer
qu’elle n’a pas é té modifiées.
Consulter
les journaux de trafic à la recherche d’importants flux de données inhabituels
entre une source et une destination uniques.
Procéder
à un examen du réseau pour détecter la présence éventuelle d’équipements
nouveaux ou inconnus.
Contrôler
les mots de passe sur les systèmes critiques pour s’assurer qu’ils n’ont pas été
modifiés (auquel cas il serait nécessaire de les changer)
Conclusion :
Pendant
ces trois mois, nous avons vu que nous avons une zone démilitarisé, que nous
pourrions protéger d’un deuxième firewall, entre l’intranet et
Nous
avons mis à jour de nouvelle version le firewall et nous l’avons reparamétré, nous avons fait des tests de sécurité et
vérifier les failles de sécurité.
Ce
qui nous reste à faire :
Mettre
à jour Windows (images et postes)
Tester
les sauvegardes
Faire
des tests
Sensibiliser
le personnel à la sécurité (messagerie+ charte)
Avoir
un logiciel de détection d’intrusion des réseaux
Mettre
à jour les antivirus fréquemment (aussi souvent que
possible) sur les serveurs, ordinateurs de bureaux et aux systèmes de courrier
électronique.
Il
n’existe pas de méthodes de défenses parfaites mais afin d’éviter un maximum
d’attaques, il est conseillé de :
Ne
pas installer de logiciel non agréé.
Comprendre
le système d’exploitation (ou systèmes)
Contrôler
l’accès physique de l’ordinateur
Former
les utilisateurs
Etre
vigilant et prudent (relations de confiance ou d’approbation)
Filtrer
les mails suspects
Utiliser
les moyens de protection que Windows fournit et mettre à jour son système
d’exploitation grâce au site du développeur de ce dernier.
Eventuellement
consulter les sites spécialisés sur la sécurité pour y glaner des informations
souvent intéressantes.
REFERENCE
DE DOCUMENTATIONS
Sites Web :
WWW.RESEAUX–TELECOMS.NET
Livres :
Securite
des reseaux – Eric Mainwald
Securite
des reseaux – Merike Kaeo
Virus
informatiques et lutte anti-virus – J.Hruska
Firewalls
– Expert
Firewall
Sécurité
Internet – Edition first interactive
Email
– Protection antivirus – Edition first interactive
L’internet
sécurisé – Eric Larcher
Les
réseaux pour les nuls – Doug Lowe
Halte
aux hackers –
Windows
2000 Server pour les nuls – Ed Tittel
Détection
Intrusion des réseaux – Stephen Northcutt – Judy
Novak & Donald McLachlan
Pratique
des réseaux d’entreprise
Sécurité
optimale 2ème édition
Le
guide anti-hacker
Revues :
Windows news N°91
PC EXPERT N° 109 – Juin 2001
Netcost
& Security N°26 – Décembre 2000- Janvier 2001
REMERCIEMENTS
Je
tiens à remercier Monsieur Philippe COCHIN, ingénieur en informatique, chef du
service informatique du Centre Hospitalier de Dunkerque, d’avoir permis ce
stage en m’accueillant dans son service.
Je
souhaite également faire part de ma reconnaissance à Messieurs, BASSET Laurent,
agent technique, administrateur de la messagerie Lotus, responsable
Internet/Intranet, architecte système , DEWAELE Jean-Marc, administrateur
AS/400, LEFEVRE Franck-Nicolas, agent technique, responsable du réseau et à
TREBAOL Erwan, agent technique, responsable de la gestion du parc, pour leur
pédagogie et leur assistance précieuse.
Toujours
à l’écoute, ils ont répondu à toutes mes questions.
Je
tiens aussi à remercier l’ensemble du personnel