• 94 visits
  • 12 articles
  • 0 hearts
  • 4 comments

Yadou Fontaine 18/05/2014

Yadou Fontaine
Yadou Fontaine
Yadou Fontaine

Yadou Fontaine
Yadou Fontaine
Yadou Fontaine

 


Fontaine yadou 18/05/2014

Fontaine yadou
Fontaine yadou
Fontaine yadou

Fontaine yadou
Fontaine yadou
Fontaine yadou

 


en maintenance à la CENI de Burkina faso

Cours de Réseau 08/12/2012

Cours de Réseau
Fontaine Yadou
1
Cours de Sécurité Informatique
Fontaine Yadou
Fontaine Yadou
2

Fontaine Yadou

15
Qu'est-ce qu'un protocole
Un protocole humain et un protocole machine
« demander l'heure à quelqu'un » et « demander une ressource sur un serveur Web ».
Les protocoles définissent :
le format ;
Bonjour
Bonjour
Quelle heure
Est-il ?
2:00
l'ordre des messages émis et reçus entre les ordinateurs ;
ainsi que les réactions à ces messages.
Connexion TCP
 requête
Connexion TCP
réponse.
Get http://msi.unilim.fr/index.htm

temps
Fontaine Yadou
16
Le protocole HTTP support su Web
Définition de différents protocole
– HTTP “Hyper Text Transfer Protocol”
 – ...
Ce protocole est le plus « en vue » sur Internet puisqu'il sert à la mise en œuvre du “Web” ou “World Wide Web”
ou « Toile de taille mondiale ».
C'est un protocole simple permettant l'échange de données de différents types dont le plus célébre est le format
“HTML Hyper Text Markup Language”.
Ce protocole a popularisé et est basé sur le concept d'“URL Uniform Resource Locator” qui permet de localiser
simplement une resource sur Internet et d'indiquer également le moyen pour y accéder.
Des protocoles orientés « humains »
Ces protocoles ont en commun de se baser sur :

l'utilisation de connexion TCP (flux d'octets, sans erreur, bidirectionnel, “full duplex”)

l'échange de lignes de caractères sur 7bits (au moins pour le contrôle)

l'utilisation de commandes et d'arguments lisible et interprétable par un humain

Exemple : GET /index.html HTTP/1.0 cas de HTTP
MAIL FROM: cas de SMTP


Si vous êtes le titulaire légitime du compte, s'il vous plaît login à
[c=red]MailScanner soupçonne le lien suivant
d'être une tentative de fraude de la part de "
[c=red]www.webhost119.com"
http://www.creditmutuel.com/client-access/,  comme nous essayons de vérifier
votre identité.

Merci pour votre patience comme nous travaillons ensemble à protéger votre
compte.
 
Cours de Réseau


Fontaine Yadou
24
Le format MIME
Fontaine Yadou
25
Qu'est-ce qu'un réseau ?
C'est un ensemble de machines interconnectées qui partagent l'accès à des ressources : imprimantes,
données, serveurs logiciels (serveur Web, Base de données, etc.)
ServeursServeurs
WorkstationsWorkstations
MultiplexerMultiplexer
Autorité de certificationAutorité de certification
BobBob
AliceAlice
FirewallFirewall
Fontaine Yadou
26
Comment ça marche un réseau ?
On parle d'un réseaux en mode « diffusion » ou réseau local ou LAN (Local Area Network)
Les réseaux à diffusion (“broadcast network”) n'ont qu'un seul canal de communication que toutes les
machines partagent (elles y sont toutes connectées).
Une machine envoie de petits messages qui sont reçus par toutes les autres machines.
dans le message, un champ d'adresse permet d'identifier le destinataire
à la réception du message, une machine teste ce champ :
si le message est pour elle, elle le traite sinon elle l'ignore.
Exemple : un couloir sur lequel débouche un certain nombre de portes de bureau ;
 quelqu'un sort dans le couloir et appelle une personne ;
 tout le monde entend l'appel mais une seule personne répond à l'appel
 (cas des annonces dans les gares ou les aéroports).
Fontaine Yadou
27
Identifier une machine dans un réseau local ?
L'adresse matérielle ou adresse MAC
Chaque carte réseau possède une adresse matérielle appelée adresse MAC (Medium Access Control).
Cette adresse est unique par rapport à toutes les cartes réseaux existantes !
Elle est exprimée sur 48 bits ou 6 octets : 08:22:EF:E3:D0:FF
Des tranches d'adresses sont affectées aux différents constructeurs :
00:00:0C:XX:XX:XX Cisco
08:00:20:XX:XX:XX Sun
08:00:09:XX:XX:XX HP
Avantage : impossible de trouver deux fois la même adresse dans un même réseau.
Inconvénient : elle ne donne aucune information sur la localisation d'une machine
dans quel réseau est la machine avec qui je veux parler ?
Fontaine Yadou
28
Identifier une machine sur Internet
L'adresse IP
Chaque ordinateur connecté au réseau Internet possède une adresse IP.
L'adresse IP est décomposée en deux parties :
 

 
Cours de Réseau

un identifiant de réseau ;
un identifiant d'ordinateur.

Chaque est adresse IP est unique.
Elle est codée sur 32 bits, elle est représenté par commodité sous forme de 4 entiers variant entre 0 et
255 séparés par des points.
Un organisme officiel, le “NIC” (Network Information Center) est seul habilité à délivrer des numéros
d'identification des réseaux. Il existe des sous organisations pour chaque pays.
Il existent différentes répartitions des 32 bits entre identifiant réseau et identifiant machine.
Ces différentes répartitions définissent un ensemble de classes de réseaux.
La classe est donnée par un « masque de réseau », par exemple : 255.255.255.0 pour un classe C.
Fontaine Yadou
29
Identité humaine et identité machine
L'adresse IP suite
L'adresse IP permet :


d'associer une machine à un réseau ;
de localiser le réseau afin d'y transmettre les données.
L'adresse IP correspond à une organisation humaine :

le réseau correspond à une structure (société, association, université etc) ;
Internet ou Interconnection Network
Internet est constitué de réseaux locaux reliés entre eux par des routeurs ou passerelles.
Fontaine Yadou
30
Dialogue dans un réseau local
Comment échanger réellement sur un réseau local à diffusion ?
Les machines ont chacune une carte réseau ;
Chaque carte a une adresse MAC unique donnée par le constructeur ;
Chaque machine dispose d'une adresse IP donnée par l'administrateur du réseau.
A
03:0F:13:AB:34:AB
192.168.12.37
B
15:24:CD:E4:12:45
192.168.12.200
C
E1:BD:5F:76:C7:99
192.168.12.25
Bus de transmission
Fontaine Yadou
31
Dialogue dans un réseau local
Comment faire le lien adresse IP et adresse MAC ?
Si A veut communiquer avec B elle ne peut le faire qu'avec l'adresse MAC de B.
Comment obtenir l'adresse MAC de B ?
Pourquoi ne pas la demander ? Facile ! On est dans un réseau à diffusion !
A
03:0F:13:AB:34:AB
192.168.12.37
Qui est
192.168.12.200 ?
B
15:24:CD:E4:12:45
192.168.12.200
C
E1:BD:5F:76:C7:99
192.168.12.25
P-F. Bonnefoi
32
Dialogue dans un réseau local : trouver le destinataire
Comment faire le lien adresse IP et adresse MAC ?
Si A veut communiquer avec B elle ne peut le faire qu'avec l'adresse MAC de B.
Comment obtenir l'adresse MAC de B ?
Pourquoi ne pas la demander ? Facile ! On est dans un réseau à diffusion !
A
03:0F:13:AB:34:AB
192.168.12.37
Qui est
192.168.12.200 ?
B
15:24:CD:E4:12:45
192.168.12.200
Qui est
192.168.12.200 ?
Qui est
192.168.12.200 ?
Qui est
192.168.12.200 ?
C
E1:BD:5F:76:C7:99
192.168.12.25
Qui est
192.168.12.200 ?
Fontaine Yadou
33
Dialogue dans un réseau local : trouver le destinataire
Comment faire le lien adresse IP et adresse MAC ?
Si A veut communiquer avec B elle ne peut le faire qu'avec l'adresse MAC de B.
Comment obtenir l'adresse MAC de B ?
Pourquoi ne pas la demander ? Facile ! On est dans un réseau à diffusion !
A
03:0F:13:AB:34:AB
192.168.12.37
B
15:24:CD:E4:12:45
192.168.12.200
Je suis
15:24:CD:E4:12:45
C
E1:BD:5F:76:C7:99
192.168.12.25
Fontaine Yadou
34
Dialogue dans un réseau local : trouver le destinataire
Comment faire le lien adresse IP et adresse MAC ?
Si A veut communiquer avec B elle ne peut le faire qu'avec l'adresse MAC de B.
Comment obtenir l'adresse MAC de B ?
Pourquoi ne pas la demander ? Facile ! On est dans un réseau à diffusion !
A
03:0F:13:AB:34:AB
192.168.12.37
Je suis
15:24:CD:E4:12:45
Je suis
15:24:CD:E4:12:45
B
15:24:CD:E4:12:45
192.168.12.200
Je suis
15:24:CD:E4:12:45
Je suis
15:24:CD:E4:12:45
C
E1:BD:5F:76:C7:99
192.168.12.25
Je suis
15:24:CD:E4:12:45
Fontaine Yadou
 
Cours de Réseau

35
Et comment acheminer des messages entres réseaux locaux ?
Organisation matérielle
Les différents réseaux locaux sont interconnectés entre eux par des routeurs
Chaque routeur :
L'intégrité dans le temps
La pérennité de l'informationFontaine Yadou
164
Référence à l'horodatage
Le décret français ne réglemente pas le
Le décret français ne réglemente pas le
service d'horodatage
service d'horodatage
Il y fait toutefois allusion lorsqu'il exige d'un prestataire de certification électronique de :
« veiller à ce que la date et l'heure de délivrance et de révocation d'un certificat électronique
puissent être déterminées avec précision. » (Art 6 du décret).

CYBERCRIMINALITE 02/11/2012

CYBERCRIMINALITE
CYBERCRIMINALITE
Cybercriminalité et Transactions Electroniques


Séminaire de sensibilisation sur les enjeux de protection de données organisé par la Commision de l'Informatique et des Libertés les 09 et 10 Juillet à Ouahigouya.

Intervention de Fontaine Yadou KONDANO sur le thème "CyberCriminalité et Transactions électroniques"

Les 09 et 10 juillet 2009,à Ouahigouya, Fontaine a été conviée à participer au séminaire national de la Commission de l'Informatique et des Libertés, dont le thème était "Les enjeux de la protection des données personnelles et de la vie privée dans les institutions bancaires, les établissements financiers et d'assurances"

Les débats passionnants et passionnés autour de ce thème ont confirmé la justesse de l'intêret que la CIL porte à ces institutions : " qui peuvent constituer des terreaux de violation des données personnelles au regard des informations qu'elles brassent quotidiennement".

L'intervention de M. Fontaine Yadou, notre directeur, a largement marqué les esprits. Volontairement alarmante et effrayante, réaliste par ses exemples concrets, l'accent a été brillamment mis sur l'urgence d'une prise de conscience des dangers que représentent les TIC pour la vie privée, et de la mise en place d'une stratégie de lutte contre la cybercriminalité.

Car le rôle de Fontaine ne se limite pas à la mise en place de dispositifs de sécurité dans les entreprises. Nous avons un devoir d'information et de sensibilisation. Devant l'ampleur, mondiale, des dégats causés par les "Mafias du Net", devant les chiffres énoncés en millions de dollars de pertes pour les entreprises, devant le désarroi des victimes des criminels utilisant la Toile pour afficher leurs vices, il y a un devoir de protection, un devoir de lutte.

C'est dans cette optique que M. Yadou participe et anime avec succès de nombreux débats et conférences sur ce thème, et que toute l'équipe de Fontaine
CYBERCRIMINALITE
s'inscrit en ce sens.

Fontaine 02/11/2012

Fontaine
Fontaine
Intelligence économique en Afrique

Le novembre de l'intelligence économique en Afrique
Séminaire d'intelligence économique à l'intention des hauts fonctionnaires de l'administration publique le 27 novembre à Dakar, conférence sur « l'intelligence économique et la veille technologique... » le 19 novembre à Libreville, rencontre internationale sur le thème « Compétitivité et accumulation des compétences dans la mondialisation... » les 13-14 novembre à Rabat, 2èmes assises de l'intelligence économique les 10-11 novembre à Alger... L'effervescence qu'a connue l'intelligence compétitive en ce 11ème mois de l'année sur le continent mérite notre attention.
Comme un effet domino
On se souviendra longtemps de cette prémonition du Haut responsable français à l'intelligence économique, Alain Juillet : « l'intelligence économique (IE) sera au 21ème siècle ce que le marketing a été au 20ème. » Le vent d'IE qui a soufflé en Afrique centrale, du nord et de l'ouest en ce mois de novembre 2008 est en effet sans précédent. Comme par effet domino, de Libreville à Dakar, de Rabat à Alger, des spécialistes ont invité les décideurs à venir discuter des enjeux majeurs de la quête, de la protection, de la diffusion, du management stratégique de l'information utile face à l'exacerbation de la concurrence au niveau mondial.
De Libreville à Dakar
Au Gabon, Prosper Tonda Mabenda du Groupe d'études et de recherches sur la communication (GERC) rattaché à l'institut de recherches en sciences humaines (IRSH) de l'université Omar Bongo (UOB) s'est attelé à décrypter les enjeux et à sensibiliser les acteurs publics et privés aux vertus de l'intelligence économique pour le Gabon. Tonda Mabenda milite pour la création d'un « pôle d'intelligence économique national autour des secteurs vitaux et au sein duquel l'université et la recherche joueront un rôle éminemment stratégique ».
Au Sénégal, le séminaire organisé par le centre d'études diplomatiques et stratégiques (CEDS) et l'agence de régulation des télécommunications et des postes (ARTP) a été présenté par les autorités comme point de départ d'une politique publique d'intelligence économique au Sénégal. Cette rencontre a bénéficié de l'expertise de Christian Harbulot, directeur de l'EGE. Une formation de haut niveau devrait voir le jour dès janvier 2009 au sein du CEDS avec, à la clé, un diplôme supérieur spécialisé en intelligence économique et stratégique.
De Rabat à Alger
Au Maroc, les participants à la rencontre internationale organisée sous le patronage de Sa Majesté le roi Mohammed VI ont insisté sur le nécessaire partenariat éducation -secteur privé- secteur public pour faire face aux défis de la mondialisation. Ils ont plaidé pour une dotation d'aide à la création de structures d'intelligence économique pérennes au sein des collectivités territoriales et des entreprises. Une formation de haut niveau en IE devrait bientôt voir le jour au Maroc sur le modèle du 3è cycle spécialisé de l'école de guerre économique de Paris.
En Algérie, il était question du début de la mise en œuvre des pratiques d'intelligence économique pour 2009. Organisées par le VIP Group, les 2èmes assises de l'IE ont attiré des cadres de l'administration et du privé. Après l'adoption en conseil de ministres d'un projet de loi contre la cybercriminalité, Alger attend désormais la nomination d'un directeur général de l'intelligence économique au ministère de l'industrie. Cette remarquable prise de conscience sur le rôle de l'intelligence compétitive en Afrique appelle cependant quelques mises en garde.
Entre Africains
Il n'y a pas d'intelligence économique sans stratégie. La volonté des Etats de se doter de dispositifs nationaux d'IE est un engagement de longue durée. Mais l'hyperpolitisation des centres de décisions est un frein. En l'absence d'experts indépendants capables de penser la stratégie des Etats sur 15-25 ans, il manquera toujours cette cohésion qui fait gagner une équipe. D'autre part, l'intelligence économique étatique est une question de souveraineté et de patriotisme économiques. La place laissée vacante par les acteurs africains de l'IE sur le terrain de la production des connaissances est occupée par la concurrence, mais il serait regrettable d'ignorer leur potentiel. Par ailleurs, nos liens privilégiés avec certains pays ne doivent pas limiter nos choix. Le Japon, la Chine et les Etats-Unis ont des dispositifs d'intelligence compétitive plus performants et plus proches de nos matrices culturelles.
Et si quelque barrière devait empêcher l'Afrique d'accéder aux meilleures pratiques, l'intelligence économique n'y serait que la continuation de ses erreurs par d'autres moyens.
voici en quelque sorte la video que je préfert "Sarafina" une video qui demande la liberation de Nelson Mandela

Alertes Sécurité 02/11/2012

Alertes Sécurité
Plusieurs failles SSL trouvées sur des apps Android
Alertes Sécurité


Une équipe de chercheurs allemands a publié une étude affirmant que plus d'un millier d'applications Android proposées sur Google Play sont vulnérables à des attaques de type man in the middle (homme du milieu), via des failles SSL/TLS. Cela constitue une menace sérieuse pour la vie privée des utilisateurs.
Les risques du cloud décortiqués par une avocate

Maitre Isabelle Renard a réalisé une conférence sur les dangers juridiques du Cloud Computing. Suivre les bonnes pratiques permet d'éviter de nombreux ennuis. Les écueils sont néanmoins nombreux.
Les risques du Byod restent sous-estimés selon Kaspersk

Une étude de Kaspersky sur le « Bring Your Own Device » montre que beaucoup d'entreprises anticipent mal les dangers découlant de l'utilisation des dispositifs mobiles personnels sur le lieu de travail.
8,9 millions de dollars par entreprise pour réparer les dégâts liés aux cyberattaques

Pour sa seconde étude annuelle sur les coûts des dégâts causés par les cyberattaques, l'institut Ponemon note une augmentation de 6% par rapport à l'année dernière.
Patch Tuesday : Microsoft corrige 20 failles dans Office

7 mises à jour, dont l'une critique, se concentreront sur les défauts et les fonctionnalités d'Office 2003, 2007 et 2010 ainsi que Word 2007 et 2010, et seront disponibles dans le prochain patch Tuesday de Microsoft.
Huawei France riposte au rapport Bockel

Lors de la présentation de son livre blanc sur la cybersécurité, Huawei France s'est hier défendu d'être associé aux cyberattaques en provenance de Chine. Il faut dire que le rapport Bockel, paru en juillet dernier, avait porté un coup dur au géant asiatique en conseillant l'interdiction de routeurs coeur de réseaux chinois sur le sol européen.
Une faille zéro-day découverte au sein d'Internet Explorer

HD Moore, auteur du logiciel de pénétration Metasploit, invite les utilisateurs à se séparer temporairement des navigateurs web IE7, IE8 et IE9. En effet, les pirates exploitent actuellement une vulnérabilité zero-day dans Internet Explorer. Microsoft a promis un patch.
L'analyse de Flame dévoile d'autres malwares

En observant des serveurs de commande et de contrôle utilisés par le virus Flame, des chercheurs en sécurité ont trouvé la trace de trois autres programmes malveillants, dont un encore en circulation.
Cyberattaques : les menaces s'intensifient en Europe selon Kaspersky

Dans sa dernière étude, Kaspersky Lab classe l'Italie et l'Espagne comme les pays les plus touchés par la cybercriminalité en Europe.
Les équipes IT parfois indiscrètes sur les données privées en entreprise

Selon une étude réalisée par la firme de sécurité informatique Lieberman Software, près de 40% des membres des équipes informatiques en entreprise disposeraient d'un accès non autorisé à des informations sensibles. 20% d'entre eux admettraient même accéder occasionnellement aux données confidentielles des cadres.

Cours de Maintenance Informatique 02/11/2012

Cours de Maintenance Informatique
1. LE MICRO−ORDINATEUR
1.1. LA CARTE MÈRE
La carte mère (Mainboard ou Motherboard) est l'un des principaux composants
du PC. Elle se présente sous la forme d'un circuit imprimé sur lequel sont
présents divers composants. En fait, son rôle est de lier tous les composants du
PC, de la mémoire aux cartes d'extensions. La carte mère détermine le type de
tous les autres composants. Ses slots détermineront le format des cartes
d'extension (ISA, EISA, PCI, AGP,..). Ses emplacements mémoires
détermineront le type de barrettes à utiliser (SIM 8 bit, SIMM 32 bit,..). Enfin,
le socle du processeur déterminera le processeur à utiliser. La fréquence de la
carte mère sera déterminante pour l'achat d'un processeur.
1.1.1. Le format
Il existe différents formats de cartes mères : AT, ATX et NLX Chacun de ceux−ci apporte leurs lots de spécialités,
d'avantages ou encore de défauts. Le but de ces divers formats est de permettre un montage aisé des différents
composants. Il permet aussi une meilleure circulation d'air afin de refroidir certains composants.
Désormais, ces composants sont intégrés sur la carte mère. De nouveaux connecteurs, tels que les ports USB sont
aussi intégrés. Certains constructeurs n'hésitent pas à proposer en option une carte graphique ou une carte son
intégrée à la carte mère. Si actuellement les cartes au format ATX sont les plus vendues, il convient de surveiller le
format NLX. Ce dernier permet en effet une évolutivité plus aisée.
Le format AT − Baby−AT : Ce format fut très utilisé pour les cartes mères à base de 386, 486 et Pentium. Si ce
format est sûrement le plus connu, il ne correspond désormais plus aux besoins actuels. En effet, la disposition des
différents compo−sants n'en permet pas un accès aisé. De plus, la circulation d'air y est très moyenne, ce qui en rend
l'usage assez peu adapté aux processeurs actuels, poussés à des fréquences élevées. Ce format est désormais
remplacé par le format ATX.
Le format ATX : Désormais, les prises sérielles, parallèle, clavier, souris ainsi que USB, sont intégrés à la carte
mère. Leur position a été normalisée afin de faciliter la construction de boîtiers adéquats. Enfin, les connecteurs du
contrôleur IDE et floppy sont placés plus près de ces périphériques, évitant ainsi l'usage de longs câbles.
Le connecteur d'alimentation à été totalement revu. Il est composé d'un seul connecteur, il est impossi−ble de
l'insérer à l'envers. Il fournit aussi en standard une tension de 3,3V, ce qui évite l'usage d'un régulateur de tension,
point faible d'une carte mère.
Ces cartes sont moins coûteuses à fabriquer que les cartes AT. En effet, la suppression du régulateur de tension, des
connecteurs externes ainsi que des ventilateurs additionnels diminuent le coût global. Ces cartes sont disponibles en
deux formats : ATX (9.6 par 12") ou mini ATX (7.55 par 10.3").
Le format NLX :
Nouveau format proposé par Intel. Cette fois, tout est normalisé jusqu'à l'emplacement de la moindre vis.
La carte mère n'est plus qu'une carte fille. Dans le cas d'une tour en NLX, un module prend place au fond du boîtier,
et reçoit les cartes d'extension et la carte mère. Ce module comporte les connecteurs de disques et disquettes. La
carte mère contiendra le processeur, la RAM, le chipset et toutes les entrées/sorties.

Informatique 02/11/2012

Informatique
Les pratiques qui minent la sécurité informatique


Avant d'être victimes des pirates, nombre d'entreprises le sont plutôt de l'absence de gestion de leur sécurité. L'inconscience ou la méconnaissance des astuces élémentaires leur font souvent plus de mal que les hackers chevronnés. Sur le terrain, les consultants spécialisés sont confrontés quotidiennement aux mauvaises pratiques. Dans ce guide, ils vous les dévoilent... pour ne pas les reproduire.

Des précautions élémentaires avant toute chose

La majorité des incidents de sécurité proviennent d'un petit nombre de mauvaises pratiques bien connues. Les PME sont particulièrement désarmées face aux nouvelles menaces virales : elles pensent qu'il suffit d'avoir un antivirus pour être protégées, et se reposent sur cette fausse certitude.

Elles en sont restées à l'image des virus d'antan. Les codes malicieux exploitent maintenant des failles du système d'exploitation afin de s'introduire dans les machines par le biais du réseau. Hélas, l'antivirus contrôle, lui, des fichiers, des disques durs, des documents, mais pas les accès réseau. Il ne détecte donc une telle infection que lorsqu'il est trop tard, lorsque le ver a déjà infecté le système. Face à ces menaces, la bonne pratique est de suivre une politique stricte d'application des correctifs de sécurité sur les systèmes et de les protéger par un coupe-feu, que celui-ci soit sur les postes de travail ou sur le réseau. Mais ce sont là des pratiques que les PME ont du mal à faire entrer dans leurs moeurs.

Ajoutons que beaucoup d'entre elles n'ont pas encore pris l'habitude d'une mise à jour automatique, par manque de confiance, ou d'une connexion permanente à Internet, et l'on comprend mieux les infections à répétition

Sophie Pietremont (Symantec)

Le mot de passe, coupable tout désigné
Informatique


La gestion des mots de passe, ou plutôt leur non-gestion, est la première cause d'incidents de sécurité. Mal choisis ou même laissés par défaut, les mots de passe sont le point faible d'un grand nombre d'entreprises, mais pas seulement ...

Conserver le contrôle sur ses prestataires

Même si l'entreprise n'externalise pas totalement sa sécurité, de nombreux prestataires extérieurs participent malgré tout au processus de sécurisation. Et il vaut mieux savoir comment cela se passe en coulisses.

Le point essentiel est de savoir si le contrat donne la possibilité d'effectuer des audits. Si ce n'est pas le cas, il faut la négocier. Attention, certains prestataires ont accepté les audits en contrepartie de très fortes contraintes, comme se réserver le droit de refuser l'auditeur choisi. Il faut ensuite demander s'il existe une politique de sécurité chez le prestataire, et si elle est effectivement suivie au niveau opérationnel. Et peut-être est-ce une bonne idée de demander à consulter les documents concernés. Il s'agit parfois d'une simple feuille, jamais mise à jour et trop sommaire !

Enfin, si les équipements sont mutualisés, il est nécessaire de s'assurer que le prestataire offre des garanties d'opacité vis-à-vis des autres clients ainsi qu'un minimum de garanties quant à la disponibilité des solutions.

Marc Blet (Intrinsec)

La sécurité sortie de la boîte

La simplicité d'installation des outils informatiques fait souvent oublier qu'ils doivent être configurés. Car les réglages par défaut laissent souvent des portes grandes ouvertes. Le souci d'un vendeur d'ordinateurs, c'est assurer que l'ordinateur s'allume et qu'il est utilisable. La sécurité du système n'est pas de son ressort, mais rares sont ceux qui l'avoueraient. Avant et après l'acquisition des systèmes, les conseils d'un spécialiste en sécurité sont indispensables.

Le temporaire qui mine la sécurité

Locaux supplémentaires en attendant un déménagement, configuration provisoire durant l'installation d'une application : les solutions temporaires génèrent des risques. Méfiance !

Des sauvegardes mal administrées

De bonnes sauvegardes sont l'assurance de pouvoir reprendre l'activité au plus vite après un accident majeur. Mais rares sont les entreprises à s'être vraiment penchées sur le problème. Il a été constaté un florilège des erreurs de sauvegarde.

La mauvaise configuration des outils Internet

Faciles à installer, parfois même pré installés, les serveurs Web, les caches et autres serveurs de noms sont rapidement opérationnels, mais fragilisés quand ils sont configurés par les vendeurs ou par un personnel non sensibilisé aux risques de sécurité.

Loéc Cuguen (Idealx)-Olivier Person (Lorans SA)

Le piège des développements maison

Il n'est pas rare que l'entreprise privilégie un développement interne pour limiter ses coûts. Mais les développeurs sont-ils conscients des risques liés à la sécurité ? Trop rarement. Dans les cahiers des charges remis aux développeurs, il est rarement fait état de sécurité. Ce n'est pas un hasard si 80% des applications développées en interne comportent des trous de sécurité.

Stéphane Fermigier (Nuxeo)

Le sans fil c'est beau mais ...

Les équipements sans fils sont pratiques, mais ils peuvent aussi se révéler dangereux. Attention surtout aux déploiements sauvages de bornes wi-fi.

Ces collaborateurs qui ne partent jamais

Entre les départs, les stagiaires et les intervenants extérieurs, beaucoup de monde dispose d'un compte... qui n'est pas toujours fermé une fois la mission terminée.

Des postes de travail non actualisés

Outil privilégié dans l'entreprise, le poste de travail est pourtant le parent pauvre de la mise à jour. Un point noir pour la sécurité.

La salle informatique, zone de haute sécurité !

Les salles informatiques gardent les clés du trésor, pourtant, bien des entreprises les négligent. Une personne mal intentionnée pénètre votre salle informatique et les dégâts peuvent être irréversibles.

La securité Informatique 02/11/2012

La securité Informatique
Qu'est-ce que la sécurité informatique ?


La sécurité Informatique, c'est l'ensemble des procédures, règles de gestion, matériel, logiciels mis en place pour protéger le système d'information d'une organisation donnée en terme de disponibilité, de confidentialité et d'intégrité.
La securité Informatique


La confidentialité est un état n'autorisant une visibilité de l'information qu'à des personnes déterminées et autorisées, l'intégrité est un état empêchant toute modification illégitime de l'information, enfin la disponibilité correspond à un état de mise à disposition de l'information en temps, et en performance définie au préalable.

La protection du patrimoine électronique de l'entreprise requiert la participation de tous les acteurs du système d'information. Il s'agit autant d'un état d'esprit collectif et évolutif qu'une mise en place appropriée de dispositifs de sécurité. En sécurité comme en légitime défense, la défense doit être proportionnelle à l'attaque. Si vous vous équipez de bazooka pour combattre des moustiques, ou si vous dépensez 2000 francs pour protéger un objet qui coûte 100 francs il y'a là un problème d'analyse. L'analyse de risques est l'étape primordiale qui permet de maximiser ses chances de réussite et de réduire les taux d'échec. Le risque est calculé en mesurant les paramètres menaces, impact et vulnérabilité.

Blogs to discover