deij

Pendant plusieurs années, la sécurité informatique était considérée comme un domaine technique obscur et souvent une opération parmi tant d’autres, car les grands systèmes informatiques d’autrefois n’étaient qu’accessibles que par certains individus – eux reliés directement aux administrateurs et certains autres utilisateurs particuliers.

De plus, ce qui simplifiait d’autant plus la situation, était le fait que ces grands systèmes informatiques centraux étaient limités à un rayon d’action plus simple à déterminer qu’aujourd’hui (une salle, un étage, une bâtisse), et donc, plus simple à contrôler.

Avec la venue de réseau étendu comme Internet ainsi que le nombre grandissant d’échanges électroniques et d’utilisateurs, le rayon d’action des systèmes informatiques devient de plus en plus complexe à contrôler, gérer et naturellement, sécuriser.

Avec cette complexité grandissante, la gestion de la sécurité de l’information et les interactions contenues avec ces systèmes devient donc beaucoup plus complexe. Pour ces différentes raisons, des postes de spécialistes, analystes et architectes en sécurité de l’information sont de plus en plus communs dans les entreprises.

Ces experts ont souvent comme mission de faire l’analyse, la planification ou même l’architecture des solutions (affaires et technologiques) répondant le mieux aux besoins et circonstances d’affaires des entreprises. Suivant ces études, des recommandations sont remises aux gestionnaires qui sont responsables de prendre les décisions.

Naturellement, certaines de ces recommandations provoquent des modifications qui à leurs tours peuvent potentiellement apporter des couts additionnels; pas nécessairement prévus dans les budgets initiaux. Voilà où débutent généralement les préoccupations de gestion; ex.: devrais-je effectuer les changements identifiés et si oui à quel point devrais-je accepter le risque et donc, n’implanter que les recommandations critiques et non significatives?

Dans cette situation, voyant l’impact des couts au niveau des budgets et l’ajout de travail possible, certains gestionnaires acceptent les risques et vont de l’avant avec le projet; malgré les recommandations de sécurité présentés et les risques potentiels.

Avec une approche trop rapide, il est toutefois possible que ces gestionnaires acceptent un niveau de responsabilité et de risque trop élevé. Que cela soit des données personnelles ou financières, leur appartenant ou pas, plusieurs gestionnaires acceptent ou non les recommandations ainsi que le niveau de protection qu’ils jugent adéquat suivant des analyses.

Sur ce, à quel moment devrions-nous nous interroger sur le niveau de protection de notre information personnelle et surtout à quel point une entreprise ou une organisation possède-t-elle la capacité de faire un jugement éclairé sur cette situation. Ajouté à cela des contrats d’impartition complexes, des clients exigeants, des niveaux de services parfaits…

Plus loin dans la réflexion, à quel point savons-nous où est notre information et à quel point devrions-nous avoir la capacité de faire la vérification de nos données personnelles pour s’assurer qu’elles sont bien protégées?

C’est pourquoi toute entreprise de doit pas simplement effectuer une évaluation externe des risques, mais de bien prendre le temps d’inclure les joueurs les plus connaissants des affaires internes; vos employés. Comme plusieurs gestionnaires nous ont indiqués dans les dernières années, il n’est pas nécessaire de faire l’embauche de consultant pour répondes à tous nos besoins, mais bien s’assurer que nos employés sont correctement formés pour répondes à ces besoins et plusieurs autres.

La sécurité et la gestion des risques n’a rien de complexe si l’on dispose d’un gros bon sens de gestion et d’un niveau de curiosité suffisant. Certes il existe des enjeux et technologies complexes et particulière que d’autres qui nécessitent une aide externe. Mais cette approche devrait être minimisée au maximum pour garantir la continuité de votre organisation et la saine gestion de vos environnements.

Sur une note plus philosophique, je tiens à rappeler à tous et à toutes qu’un tournant du 20e siècle, il existait dans plusieurs grandes organisations des postes de gestionnaire d’électricité et un vaste réseau de spécialiste et analyste dédié à ce domaine d’intérêts (très similaire aux réseaux, à la sécurité, au développement, etc.).

Donc pour ceux qui croient que la sécurité et la gestion des risques sont un domaine central à une organisation, je pose cette coquille : connaissez-vous un gestionnaire d’électricité dans votre groupe d’ami actuel? Si la réponse est non, je vous confirme que toute expertise passe, avec le temps, de mains en mains pour finalement se diriger vers un niveau de commodité.

Importante, la sécurité et la gestion des risques est un domaine qui doit être gérée par votre organisation interne, vos employés et vos partenaires et par nul autre.

Voici une courte explication pour aider à la compréhension de la sauvegarde des données. Certaines références telles Wikipédia et autres sont utilisées pour simplifier la création du document.

Définition primaire
La sauvegarde de données (backup en anglais) est l’opération qui consiste à dupliquer et à mettre de côté, idéalement en sécurité, les données contenues dans un système informatique.

Simplement, la sauvegarde est l’enregistrement des données dans un autres système, solution ou support permettant d’enregistrer et retrouver (pourvoir restaurer les données) l’information dans un délai raisonnable pour l’organisation. Sur ce, la sauvegarde enregistre des données, mais pas nécessairement dans un but d’archivage. Ce dernier demande un autre processus ainsi qu’une autre solution en lien éventuellement avec la sauvegarde.

La méthode, l’approche ainsi que la solution doivent être en lien avec les besoins d’affaires que ceux-ci soient reliés à des fins légales, historiques ou même purement statistiques, dans certains cas.

Critères de choix

La sauvegarde doit minimalement tenir compte des points suivants :

• les besoins d’affaires
• les enjeux de l’organisation et du marché dans lequel elle se trouve
• le cadre normatif ainsi que la classification des données et des actifs
• les types de données (transactions, documents, textes, images…)
• la quantité de données
• la capacité de stockage
• la vitesse de sauvegarde
• la fiabilité du support
• la facilité à restaurer les données
• le cout de l’ensemble

Lorsque vous calculerez le cout de votre système de sauvegarde, incluez toujours :

• le cout de la solution (infrastructure, logiciels, maintenance…)
• le cout des supports utilisés
• le cout de la sortie de la sauvegarde sur un autre site (transport physique)

Enfin pour les grands systèmes de sauvegarde, il faut tenir compte des critères physiques tels que le volume physique des supports de stockage, le poids, la sensibilité à la température, à l’humidité, à la poussière, à la lumière (ex.: une cassette au soleil).

Méthodes de sauvegarde

Complète
La méthode la plus simple est la sauvegarde complète ou totale (appelée aussi “full backup”) ; elle consiste à copier toutes les données à sauvegarder que celles-ci soient récentes, anciennes, modifiées ou non.

Lors d’une sauvegarde complète, tous les fichiers sont sauvegardés, indépendamment de la version ou des changements effectués avec les données. Cette méthode est aussi la plus fiable, mais elle est longue et très couteuse en termes d’espace disque, ce qui empêche de l’utiliser en pratique pour toutes les sauvegardes à effectuer.

Non complète alors…
Afin de gagner en rapidité et en temps de sauvegarde, il existe d’autres méthodes qui procèdent seulement à la sauvegarde des données modifiées et/ou ajoutées entre deux sauvegardes totales, dont une des plus communes, la sauvegarde incrémentale ou incrémentielle.

La restauration d’un disque avec ces méthodes s’avère plus longue et plus fastidieuse puisqu’en plus de la restauration de la sauvegarde différentielle ou des sauvegardes incrémentielles, on doit également restaurer la dernière sauvegarde complète.

Il est important, mais de savoir que dans une sauvegarde complète de base, les fichiers supprimés entretemps soient également restaurés. Ceci implique une saine gestion de ce type de sauvegarde sachant qu’elle possède bien des données qui ne seront jamais utilisées.

Sauvegarde incrémentale ou incrémentielle
Cette technique permet de sauvegarder les fichiers par comparaison. Seuls les nouveaux fichiers et ceux qui ont été modifiés depuis la dernière sauvegarde seront copiés. L’avantage de cette méthode incrémentale est double : réduction du volume de données sauvegardées et temps de sauvegardes raccourcis).

Cette méthode donc consiste à sauvegarder les fichiers créés ou modifiés depuis la dernière sauvegarde quel que soit son type (complet, différentiel ou incrémentiel).

Techniques complémentaires
La sauvegarde de données peut être réalisée en utilisant des techniques plus ou moins sophistiquées. La méthode la plus simple est de parcourir les répertoires et les fichiers d’un poste de travail ou d’un serveur, mais on se trouve vite limité par le nombre de fichiers et par le volume de données, qui ont un impact direct sur le temps de sauvegarde.

Cette approche possède également l’inconvénient de faire un grand nombre de dédoublements des données ce qui peut représenter un pourcentage important des données conservées. Pour limiter ou contourner les plusieurs limitations, plusieurs approches sont envisageables:

• compression des données sauvegardées
• technique de snapshot (ex.: dans un SAN – prise d’image instantanée d’un disque)
• sauvegarde en mode bloc
• technique de réduplication pour limiter les doublons
• une combinaison de ces différentes techniques

Présentation simpliste et de haut niveau, mais je crois que celle-ci pourra illuminer les plus novices carce sujet peut rapidement devenir très complexe.

Dans les derniers mois et dernières années, plusieurs statistiques et hypothèses concernant les virus, les pourriels et l’hameçonnage ont été présentées par les médias et certains experts, et souvent, elles sont relativement pauvres ou simplement erronées. Il est donc capital de vous présenter des données réelles venant de sources solides et réputées; voici les plus récentes informations.

Le présent article nous permettra donc de faire l’infirmation et la confirmation de certaines rumeurs concernant les virus, les polluriels et l’hameçonnage. Les données proviennent de sources telles que MessageLabs, entre autres. Les graphiques parviennent plus particulièrement de MessageLabs, une entreprise européenne spécialisée dans la gestion des pourriels qui appartient depuis quelques années à Symantec.

Le contexte

Quand vient le temps de parler de solutions de messagerie et communications Internet, trop souvent, les spécialistes et fournisseurs mettent l’accent sur les virus. Aux fins d’enrichir le contexte souvent limité en lien avec les discussions technologiques, le tableau suivant présente que la tendance des virus diminue, car auparavant, nous pouvions remarquer que les ratios virus & courriel étaient de 1 sur 100…

Certains mentionneront que les virus ont peut-être plus d’impact aujourd’hui qu’il y a quelques années, mais la réalité est que généralement, moins il y a d’échanges (transmission d’un utilisateur à un autre), moins il y a de chance d’infection. Cette méthode reste la base de la majorité des infections (non la seule) et est de plus propulsée par la popularité des environnements Windows.

Beaucoup plus faibles dans ces version précédentes, Windows 7 est aujourd’hui nettement supérieur dans sa dernière version. Il ne faut donc pas laisser tomber les systèmes d’opération Microsoft, mais il est grandement recommandé de passer à des versions plus récentes et plus sécuritaire contre des attaques courriels. En passant, à ce niveau, les environnements MAC sont plus vulnérables mais simplement moins “populaires” que d’autres. Avec la popularité de ces envrionnements à la hausse, nous allons remarquer beaucoup plus de pépins avec le temps.

Les solutions doivent donc tenir en compte beaucoup plus que des simples virus échangés d’une ordinatuer à l’autre. Celles-ci devraient être en mesure de pouvoir diminuer le nombre et l’impact des virus et polluriels ainsi que limiter l’infiltration des courriels qui peuvent mener à techniques d’hameçonnage. Avec plus de 5 milliards de courriels traités chez MessageLabs à tous le jours, cette tâche devient très complexe et non plus simplement un service de base simple à implanter dans une entreprise qui ne possède pas les compétences ou fonds nécessaires à cette tâche. Pour améliorer notre compréhension du présent document, regardons maintenant, un autre graphique qui démontre les tendances des pourriels durant la dernière année. Nul n’a besoin d’être scientifique pour comprendre la tendance et voir que celle-ci est non seulement importante, mais surtout constante.

Aux fins de confirmer l’importance des pourriels dans le monde des échanges électroniques, trop souvent banalisés par le contenu plus que médiocre et surtout redondant, il est important de mentionner que ceux-ci représentent jour après jour plus de la moitié du trafic de courriels dans le monde. Durant les fins de semaine, ceci peut monter jusqu’à plus de 90%.

Finalement, voici la dernière donnée du jour. Le tableau suivant représente les attaques d’hameçonnage (phishing) de la dernière année. Pour ceux qui n’ont aucune idée de ce que représente l’hameçonnage, voici un exemple très simple (imaginons que vous êtes à votre ordinateur et que vous recevez un courriel) :

« Un malfaiteur vous envoie un courriel et vous fait accroire que vous devez vous brancher sur une page Web (courriel qui contient un lien HTTP gentiment inséré dans le courriel pour vous simplifier le travail). »

Les raisons indiquées par le malfaiteur sont souvent reliées à une confirmation de votre numéro de carte de banque, de votre NIP, de données bancaires, etc. Naturellement, les malfaiteurs s’assurent de faire une réplique parfaite des sites bancaires et le plus solide des technologues pourrait facilement se faire prendre à ce jeu.

Finalement, une fois branché sur ce site frauduleux, vous insérez vos données qui finissent par se retrouver dans les mains des malfaiteurs (données comme comptes de banque, votre NIP, la valeur de biens monétaire, etc.).

Bien simple et souvent mis de côté par leur faible quantité, ce type de courriels est généralement à la base de plusieurs fraudes dans le domaine du commerce électronique. Récemment, les institutions bancaires canadiennes ont effectué des changements à leurs sites Web pour minimiser ce type d’attaque, mais rien n’est encore assez solide pour voir quel sera l’impact de ces contremesures, surtout à long terme. De plus, tant que l’utilisateur moyen va répondre à ce type de courriel et continuer à « consommer » les échanges électroniques, il sera très complexe de diminuer ces risques.

En conclusion, notre groupe vous propose de répondre à deux questions des moins plaisantes pour les entreprises d’aujourd’hui :

Est-ce la fin des courriels, certes non, mais quelles sont les solutions qui sont en mesure de vraiment améliorer la situation…

Une grande partie de notre journée de travail consiste à faire l’échange et la lecture de courriel. Pour ce, nous nous assurons de nous présenter correctement, discuter des points clefs et tenter de rendre le tout le plus simple et courtois.

Par contre, depuis quelques années je remarque l’intrusion de messages légaux à la fin des courriels. Généralement nommés « email disclaimers » ou plutôt un avis de non-responsabilité en français, ces avis nous précises les dangers reliés à l’échange ou la réception de courriels qui à la base n’auraient jamais dû arriver dans notre boîte depuis le début.

Non seulement ces messages prennent de plus en plus de place, je reçois plusieurs courriels où l’avis est dix fois plus important que le message lui-même. Après plusieurs tentatives de compréhension, j’ai finalement effectué plusieurs recherches sur Internet pour finalement me rendre compte que ces messages non a peut près aucune valeur « légale ».

Suivant mes recherche et discussions avec des avocats dans le domaine, ces messages ne peuvent que nous sensibiliser à l’échange accidentel ou non désiré de la part d’une personne qui a de la difficulté a écrire un nom correctement.

Simplement, ceci est potentiellement une « meilleure pratique » pour les affaires, mais ne peut en aucun cas nous rendre responsables. Depuis quand devrais-je être responsable d’un « newbie » qui apprend à utiliser son courriel? En plus, ces messages sont souvent complexes, sans profondeur et même menaçants.

Aussi, pour qu’une entente soit concrête entre deux partis, il doit y avoir un consentement entre les partis. Comment quelqu’un pourrait me « tirer » en court invoquant le fait qu’il n’a pu avoir le contrôle de ses courriels et ensuite m’accuser de malveillance par ce que je me suis fait voler mon portable à l’aéroport lors de mon dernier voyage et qu’un terroriste à utiliser l’information contenue dans le courriel pour faire exploser une Volkswagen (pour les fans de pub) — S.V.P. un peu de logique.

Je n’ai même pas la possibilité de refuser l’entente. Le fait de détruire le courriel ne signifie absolument rien de toute façon. Toute personne qui oeuvre dans le domaine de la sécurité de l’information sait très bien que ces données résident dans plusieurs lieux et que pour y avoir accès, il ne faut pas être le docteur Einstein.

Vraiment, je crois que ces messages sont d’un ridicule incroyable. À la place, il devrait y avoir un message qui indique clairement que la presque totalité des courriels ne possède aucune protection et que n’importe qui, qui possède l’équipement, peut bien les lires à sa guise.

Rendu là, pourquoi pas nous obliger à porter un casque avant l’ouverture des courriels…

Références :
- OLF : Office de langue francaise
- News 24 : www.news24.com/News24/Technology/News/0,6119,2-13-1443_1546258,00.html

Bon. Je tiens à clairement indiquer que je ne suis pas un « fan » du monde Windows, par contre, je suis quelqu’un de très curieux. Alors, pour ceux qui aimeraient travailler cette curiosité vers le nouveau système d’opération de Microsoft — Windows Vista (Beta décembre 2005), voici une procédure simple et efficace qui vous permettra de faire fonctionner le tout dans VMWare Workstation 5.5.XXXX :

1. Une fois l’installation de VMWare dans votre environnement confirmée, simplement faire la création d’une machine virtuelle par défaut “Windows Vista (expérimentale)”. Cette machine devrait avoir un réseau « bridge », un minimum de 512 megs de mémoire vive (plus si possible), un disque dur d’au moins 16 gigs dimensionnés (voir les options dans VMWare), etc.

2. Insérer le DVD (physiquement ou virtuellement) de Windows Vista dans le lecteur virtuel de VMWare et allumer la machine virtuelle.

3. Prenant en considération que ceci est une nouvelle installation, le DVD fera automatiquement une installation fraîche du logiciel. Simplement, aucune information ne devrait se retrouver sur votre partition de 16 gigs (même pas de zone formaté — NTFS, etc.). Une fois le menu de départ présent, choisir la première option « Install Now ».

4. Faire l’entrée du code d’activation puis faire la combinaison puis une fois le tout inscrit, faire « next ». Vous vous retrouverez alors avec une partition prête pour l’installation. À ce point, faire la combinaison « Shift-F10 » pour faire l’ouverture de la ligne de commande et nous permettre de travailler comme des vrais!

5. Pour démarrer l’utilité de partition « expert » (rapide et efficace), simplement inscrire sur la ligne de commande (sans les parenthèses naturellement) « diskpart ». Une fois dans l’utilité « diskpart », entrez la commande « select disk 0 », tapez entré, puis entrez la commande « create partition primary ».

7. Lorsque la préparation du disque sera terminée, simplement faire un « reset » de votre machine virtuelle dans le menu de VMWare (haut). Ceci fera redémarrer instantanément la machine virtuelle.

8. Lorsque la machine virtuelle redémarre, rapidement faire “F2″ pour entrer dans le menu du “BIOS” de VMWare. Dans les options du “BIOS”, allez dans la section « BOOT », et assurez-vous que le CD-ROM est le premier lecteur dans la liste de démarrage (généralement il est en troisième position).

9. Une fois le changement effectué dans le « BIOS », sauvegardez les changements avant de sortir puis laissez Windows Vista démarrer. Réinscrire le code d’activation, s’assurer de choisir la partition créée auparavant, puis cliquer sur « next ».

10. Suivre les détails suivants du menu d’installation de Microsoft et vous devrez vous retrouver avec une machine virtuelle fonctionnelle dans les prochaines 45 minutes.

Finalement, il est probable que vous allez rencontrer des problèmes ou certains pièges. Simplement inscrire les messages d’erreur dans Google et vous serez rapidement au courant du problème. Cette installation n’est pas pour les débutants et surtout requiert un peu d’expérience avec VMWare.

Bonne chance!

Selon un groupe de spécialistes en sécurité de l’information de l’université de Berkeley (USA – Californie), il ne s’agirait que de faire un enregistrement de 10 minutes d’une personne devant son clavier pour être en mesure d’avoir accès à près de 90 % des mots qui ont été entrés.

Intéressant, mais disions qu’il ne faut pas un génie pour se rendre compte que ceci est appliqué pour les guichets automatiques depuis près de 10 ans. Par contre, rien de mieux qu’un groupe de spécialistes aux USA – Berkeley pour nous dire quelle est la vérité… ; )

Voici plusieurs photographies prises l’an dernier sur la piste de Blainville. J’ai eu le plaisir de conduire cette Porsche 911 Turbo 2004 et laissez-moi vous dire que je recommande cette expérience à tous. OK, disons qu’avec un prix de plus de 150 000 dollars canadiens, ce plaisir ne peut qu’être éphémère. Malgré tout, la conduite est dynamique et surtout incroyablement simpliste. J’ai vraiment l’impression que je pourrais conduire cette auto dans le trafic à tout les matins… Pour les détails techniques, une visite chez Porsche s’impose!