Sécurité numérique et risques: enjeux et chances pour les entreprises

C. LES SERVICES

1. La relation client / serveur numérique

Un service dans le domaine des réseaux constitue une application hébergée généralement sur un ordinateur appelé « serveur » pour cette raison. Un serveur a pour rôle de traiter des requêtes ou demandes provenant de postes de travail, appelés « clients » . Pour accomplir ces traitements au service de plusieurs clients, les capacités de traitement et de stockage des serveurs sont très importantes.

Dans l'environnement IP , un service est accessible directement depuis le réseau au moyen d' un identifiant appelé « numéro de port » complétant l'adresse IP d'un serveur . Ainsi, un serveur peut-il héberger plusieurs services : messagerie, web sur un même serveur physique.

À noter qu'un serveur qui répond positivement à une requête : 120.10.10.10 : 80 donne une information sur l'origine de la requête.

Une information sur la présence du service, par exemple, de messagerie sur ce serveur, pourrait entraîner de mauvais usages .

Schéma n° 48 : Principe de l'adressage d'un service réseau Internet

Source : OPECST

2. Les services réseaux

Le réseau permet de partager des services au sein de l'entreprise. L'ensemble de ces services y est généralement hébergé dans la ferme de serveurs. Il s'agit d'un ou plusieurs réseaux IP isolés et localisés dans une salle spéciale appelée « salle blanche » (SB ) dont l'accès est contrôlé et restreint au personnel de l'informatique . Ces services ont pour but d' optimiser l'infrastructure sur le plan de la sécurité ou de la performance , ou encore d' améliorer l'outil de travail des collaborateurs.

Ces services d'« infrastructure réseau » facilitent généralement les tâches d'administration ainsi que celles des usagers.

a) Le service d'attribution automatique d'adresses IP

Le premier service, Dynamic Host Configuration Protocol (DHCP ), est couramment mis en place dans les réseaux locaux d'entreprise afin d'automatiser la configuration des adresses IP sur le poste de travail des utilisateurs.

Le poste de travail du client est configuré généralement par les administrateurs au moment de sa mise en service.

Ce service présente plusieurs avantages : accueil de nombre d'adresses IP , diminution des temps de configuration, du nombre d'erreurs, facilitation des changements de matériel. Le service DHCP généralement hébergé au sein de la ferme de serveurs attribue automatiquement une adresse IP à un poste de travail lors de sa connexion. Les serveurs sont configurés à l'aide d'adresses IP fixes afin qu'ils puissent être contactés par les usagers et les administrateurs. L'image serait celle d'un service de mairie dont l'adresse changerait en permanence.

Le service DHCP requiert néanmoins un suivi afin de vérifier l'usage des adresses IP .

b) Le service de résolution de noms et d'adresses IP

Le second service, Domain Name System ( DNS ), offre aux usagers un service de résolution de noms qui évite la saisie fastidieuse des adresses IP dans l' URL de leur navigateur . Chaque ressource est associée à un nom d'hôte et à un domaine DNS ; par exemple : www.intranet.entreprise pour le serveur web qui devient l' Uniform Resource Locator ( URL ) du serveur. Il suffit ensuite à l'usager de saisir l'adresse pour accéder à ce serveur, son poste de travail s'adressera, lors de chaque requête, au serveur DNS de l'infrastructure.

c) Le service de gestion du réseau

Le service Simple Network Management Protocol ( SNMP ) est un autre service d'infrastructure souvent utilisé pour faciliter la gestion du réseau. Le SNMP est un protocole pour automatiser la collecte des alertes de management afin d'alerter l'administrateur de défauts appelant son intervention .

Il existe d'autres services d'infrastructure comme les services de réseaux virtuels ou des services de redondance réseau.

Les services d'infrastructures sont très utiles pour assister l'administrateur dans ses tâches quotidiennes mais ils ouvrent souvent des opportunités pour des usages non souhaités .

Certains de ces services seront également indispensables pour l'authentification des usagers et des administrateurs. Ces aspects seront développés plus loin.

3. Les services applicatifs collaboratifs

Les services dits « applicatifs » apportent des facilités aux usagers du système d'information. Il s'agit, de façon très générale, d' applications bureautiques ou d'applications liées au métier de l'utilisateur . L'usage de ces services se traduit au travers d'applications dites « clientes ». À l'heure actuelle, la tendance est d'utiliser un client « universel », le navigateur web , pour utiliser ces applications. De cette façon, les usagers utilisent des Uniform Resource Identifier (URI) qui englobent les URL pour localiser et accéder à leurs ressources.

a) Le service de fichier

Le service de fichier est un service destiné au stockage des fichiers créés, modifiés ou supprimés par les usagers de l'entreprise lors de la réalisation de leur mission dans l'entreprise. D'une certaine manière, un tel service est le réceptacle de toute la connaissance de l'entreprise . Les collaborateurs bénéficient d'espaces, partagés ou personnels, hébergés sur le serveur de fichiers commun. L'avantage est que l'entreprise centralise toute la connaissance et peut régulièrement assurer les sauvegardes de ces éléments précieux du système d'information. Il permet également de garantir en toute confiance l'accès aux informations qu'il détient puisque ce service s'accompagne d'un service d' authentification préalable .

La centralisation des répertoires partagés permet à l'administrateur de gérer chaque répertoire pour ces utilisateurs. Il veille au maintien de la place disponible sur les serveurs puis il administre des règles de profils d'usage afin de garantir le bon usage de ces espaces de stockage.

À l'heure actuelle, le système de gestion de fichier déployé dans les entreprises est assuré à hauteur de 64 % par les serveurs Microsoft , le reste étant composé de serveurs Linux , AIX IBM , etc.

Schéma n° 49 : Un exemple de gestion de fichier

Source : OPECST

Les espaces de stockage personnels sur des serveurs de l'entreprise facilitent de cette façon l'incrustation de la vie privée des collaborateurs dans l'entreprise au travers de ces répertoires et il est légitime de s'interroger sur les conséquences qui en découlent au regard des aspects légaux et normatifs .

À l'inverse, les collaborateurs non connectés à ce service détiendraient une connaissance professionnelle qui ne serait pas déposée sur le système d'information de l'entreprise . C'est le cas, bien souvent, des terminaux mobiles comme les ordinateurs portables ou les smartphones .

Enfin, les ressources sont mutualisées afin d'être hébergées dans les centres de données mêlant des données de configurations du système avec des données des utilisateurs. Or, tous les services d'une même entreprise ne peuvent partager toutes les données . La nécessité d'un système d'habilitation plus fin se fait ressentir.

b) Le service de navigation

Le service de navigation est au coeur des services Internet , il permet d'accéder à la majorité des services, il pourrait très bien être le seul outil de navigation pour accéder aux services de messagerie, annuaire, etc.

Le premier principe d'un client web ou navigateur repose sur le protocole HTTP ( HyperText Transfer Protocol ). Il s'agit d'un client léger dans le sens où l'outil est universel, faiblement paramétré du côté de l'utilisateur. La requête est élaborée par le client à partir d'une URL .

Une URL est une donnée entrée par l'utilisateur composée de plusieurs parties :

Schéma n° 50 : Un exemple d' URL

Source : Internet

- le protocole qui définit le langage HTTP et permet l'échange de page au format HTML ( HyperText Markup Language ). Il est le plus utilisé mais il est possible d'échanger via de nombreux autres protocoles comme https , ldap , ftp , etc. ;

- un identifiant et un mot de passe transmis pour se connecter à un serveur sécurisé ainsi que pour spécifier un profil d'accès ; mais cette méthode ne s'emploie plus car les traces permettraient de le déchiffrer ;

- le nom du serveur hébergeant la ressource demandée ou son adresse IP ;

- le numéro de port associé au service, comme déjà mentionné ci-dessus ;

- le chemin d'accès à la ressource pour préciser l'emplacement de la ressource et, en particulier, le nom du répertoire et du fichier.

Au niveau de l'entreprise, les accès aux services web se font par l'accès à l'Intranet de l'entreprise ou encore par la navigation Internet.

La capacité du webmaster est d'une grande importance, il guidera le plus précisément possible les usagers dans leur navigation afin de leur éviter de taper des adresses où des erreurs qui entraînent de mauvais usages .

c) Le service de messagerie

Le service de messagerie, à la différence des services de messagerie instantanée, permet de réaliser une communication dite « stop and wait », adaptée au rythme de chacun. Le service de messagerie majoritairement déployé dans les entreprises est celui de Microsoft (environ 64 % en France). La solution logicielle libre, Zimbra , est également de plus en plus déployée dans les entreprises publiques.

Un même client de messagerie peut configurer plusieurs messageries, y compris des messageries externes.

Cette capacité introduit des éléments de la vie privée des collaborateurs dans l'entreprise et inversement des fuites des éléments de l'entreprise dans les messageries privées des collaborateurs .

Le principe de la messagerie a fait de grands pas en avant depuis une décennie : transmission d'un message accompagné de pièces jointes présentes sous de multiples formats (des photos, des URL ), afin de partager rapidement des avis, des conseils ou des émotions.

Ces caractéristiques ont révolutionné les pratiques. Néanmoins, elles entraînent de nombreuses possibilités d'usages non souhaités .

Schéma n° 51 : Interaction aisée entre les services : illustration de la messagerie et des services web

Source : OPECST

d) Le service d'annuaire

Le service d'annuaire répertorie l'ensemble des collaborateurs de l'entreprise afin d'associer certaines caractéristiques comme leur numéro de téléphone, leur fonction, etc. Ce service assimilé à un service « pages blanches » de l'annuaire de La Poste peut être couplé au service d'authentification de l'entreprise pour contrôler les accès aux ressources partagées. Dans la plupart des entreprises, l'annuaire est celui de MS Active Directory .

Du côté de l'usager, la structure globale du service d'annuaire ne lui apparaît pas directement ; il parvient difficilement à se représenter ce service, seuls les noms lui sont accessibles. Souvent, l'usager ignore où sont stockés les noms des contacts de sa messagerie et de son annuaire ; a fortiori si l'annuaire est géré par les administrateurs réseaux.

La connaissance des bases de l'annuaire représente une somme d'informations qui, exploitées de façon inventive, pourrait conduire à un usage non souhaité .

4. Les services applicatifs liés aux métiers de l'entreprise

Certaines applications non encore disponibles dans les environnements collaboratifs reposent sur des applications dites propriétaires .

De nombreuses applications ont bien souvent été développées pour les besoins spécifiques de telle ou telle entreprise. Ces développements sont assurés par des sociétés de service spécialisées dans leur domaine.

Les langages ainsi que les architectures ont répondu à un besoin exprimé à un moment donné par l'entreprise, mais pour certaines, les évolutions fulgurantes des technologies des systèmes d'information ont rendu ces applications moins bien adaptées qu'elles ne l'étaient à l'origine .

Pour d'autres entreprises, les développements ont été réalisés à bas coût et ont entraîné des failles qui ont pu être exploitées par la suite. En outre, les contraintes et la lourdeur des développements n'ont pas toujours permis leurs adaptations.

Afin d'éviter de tels écueils, les directions informatiques ont fait appel à des logiciels dits « intégrés ». C'est le cas notamment de logiciels Enterprise Resource Planning ( ERP ) intégrant la gestion des ventes, de la facturation, de la comptabilité, de la paie, des finances mais également de la production liée aux systèmes industriels. Le marché actuel est partagé entre SAP, ORACLE Application, Peoplesoft / JDE .

Ce genre de logiciels est muni, dès sa conception, d'une multitude de fonctions.

Lors d'une phase coûteuse de mise en place répondant au mieux au besoin de l'entreprise, des fonctions non utiles pour l'entreprise peuvent ne pas être désactivées , par ignorance ou par négligence de l'expert. Or, elles peuvent laisser la place à des usages non souhaités .