Ce livre procurera au lecteur les connaissances de base en sécurité informatique dont aucun utilisateur d’ordinateur ni aucun internaute ne devrait être dépourvu, qu’il agisse dans le cadre professionnel ou à titre privé. Pour cela nous lui proposerons quelques pistes qui devraient l’aider à trouver son chemin dans un domaine en évolution rapide où l’information de qualité est parfois difficile à distinguer du vacarme médiatique et des rumeurs sans fondement.
Plutôt que de proposer des recettes à appliquer telles quelles, et qui dans un domaine en évolution rapide seraient de toute façon vouées à une prompte péremption, nous présenterons des axes de réflexion accompagnés d’exemples techniques.
L’Internet est au cœur des questions de sécurité informatique : nous rappellerons brièvement ses principes de fonctionnement, placés sous un éclairage qui fera apparaître les risques qui en découlent. Pas de sûreté de fonctionnement sans un bon système d’exploitation : nous passerons en revue les qualités que nous sommes en droit d’en attendre. Nous examinerons les différentes formes de malfaisance informatique, sans oublier les aspects organisationnels et sociaux de la sécurité. Pour les entreprises, nous proposerons quelques modèles de documents utiles à l’encadrement des activités informatiques de leur personnel.
La protection des systèmes d’information repose aujourd’hui sur la cryptographie : nous donnerons un exposé aussi simple que possible des principes de cette science, qui permette au lecteur qui le souhaite d’en comprendre les bases mathématiques, cependant que celui qui serait rebuté par ces aspects pourra en première lecture sauter sans (trop) de dommage ces développements.
Nous terminerons par un tour d’horizon des nouvelles possibilités de l’Internet, qui engendrent autant de nouveaux risques : échange de fichiers peer to peer, téléphonie sur IP avec des systèmes tels que Skype.
Les lignes qui suivent sont avant tout le fruit de nos expériences professionnelles respectives, notamment dans les fonctions de responsable de la sécurité des systèmes d’information de l’Institut National de la Santé et de la Recherche Médicale (INSERM) pour l’un, d’expert des protocoles de l’Internet au sein de la division Orange Business Services de France Télécom pour l’autre.
L’informatique en général, ses domaines techniques plus que les autres, et celui de la sécurité tout particulièrement, sont envahis de « solutions », que des entreprises s’efforcent de vendre à des clients qui pourraient être tentés de les acheter avant d’avoir identifié les problèmes qu’elles sont censées résoudre. Il est vrai que la démarche inductive est souvent fructueuse dans les domaines techniques, et que la démonstration d’une solution ingénieuse peut faire prendre conscience d’un problème, et du coup aider à sa solution. Mais l’induction ne peut trouver son chemin que dans un esprit déjà fécondé par quelques interrogations : le but des lignes qui suivent est de contribuer à cet effort de réflexion.
L’axe de ce livre, on l’aura compris, n’est pas dirigé vers les modes d’emploi de logiciels ou de matériels de sécurité, mais bien plutôt vers la position et l’explication des problèmes de sécurité, insérés dans un contexte technique dont il faut comprendre les tenants et les aboutissants si l’on veut adopter des solutions raisonnables.
Et donner dans un livre des solutions techniques ou, pire, des recettes toutes faites, nous semblerait futile à une heure où le contexte technique évolue si vite que le Web et la presse spécialisée (qui se développe, y compris en langue française, cf. par exemple la revue MISC [4]) nous semblent bien mieux placés pour répondre à ce type d’attente. Il nous a paru plus judicieux de proposer au lecteur un tour d’horizon des problèmes afin qu’il puisse plus facilement, le moment venu, choisir entre plusieurs solutions techniques qui pourraient s’offrir à lui face à un problème concret.
Alors que la sécurité des systèmes d’information était un produit de luxe, elle tend aujourd’hui à devenir un moyen d’apporter la confiance au cœur des affaires.
Cet ouvrage en rappelle les bases techniques et présente une perspective nouvelle, pertinente et utile à tous les acteurs du secteur de la sécurité des systèmes d’information, par deux esprits vifs, qui ont prouvé, par leur carrière et leurs réalisations, leur indépendance et leur compétence.