sécurité informatique

Problèmes de sécurité du commerce électronique

Objectif : Établissement d’une stratégie de sécurité

Leçon 5.2

E-Commerce Mme H.Jegham 2IHEC 2008~2009

Éléments de contenu(1/2) A quel point vos données sont-elles importantes ? Les dangers liés à la sécurité; La recherche d’un équilibre entre simplicité d’utilisation,

performances, coût et sécurité; La création d’une stratégie de sécurité; Les principes d’authentification; L’utilisation de l’authentification; Une présentation du cryptage;


Éléments de contenu(2/2) Le cryptage par clé privée; Le cryptage par clé publique; Les signatures numériques; Les certificats numériques; Les serveurs web sécurisés; La surveillance et les journaux; Les pare-feu La sauvegarde des données; La sécurité physique


1. Mesurer l’importance de ses données Protéger les données de l’entreprise pour

garantir le bon fonctionnement de son système d’information

et contre les pirates Si on choisit le niveau de sécurité le plus élevé cela

entraînera un budget élevé à investir. Donc le choix du budget est fonction de l’importance des

données.


Les informations n’ont pas toutes la même valeur, et elles peuvent être : Celles enregistrées sur l’ordinateur d’un particulier Celles d’une entreprise Celles d’une banque Celles d’une organisation militaire

L’intérêt des pirates à vos données dépend de ce qu’il cherchent.


Les ordinateurs des particuliers : les informations qu’ils possèdent ne sont intéressantes que pour

eux-mêmes; donc ils ne consacrent pas beaucoup de temps pour la sécurité

de leurs systèmes; Et par suite les pirates ne leurs consacrent pas beaucoup

d’effort; Les ordinateurs militaires :

Cibles des pirates individuels; Cibles des gouvernements étrangers;

L’ordinateur d’un site de commerce électronique d’une entreprise : Son intérêt pour les pirates se trouve entre les deux extrêmes

su-mentionnées;


2. Les dangers liés aux problèmes de sécurité L’exposition de données confidentielles; La perte ou destruction d’information; La modification des données; Les attaques type denial of service; Les erreurs dans les logiciels; Les annulations de commandes;


2.1. L’exposition de données confidentielles Ces données peuvent être enregistrées sur l’ordinateur

du client ou bien transférées vers son poste; Exemples :

Listes de prix Informations confidentielles fournies par le client comme

son mot de passe Ses informations de contact Son numéro de carte de crédit


Remédiassions (comment protéger les données) Éviter de conserver sur le serveur web des informations

confidentielles, car c’est l’ordinateur le plus exposé; Les ranger dans un ordinateur plus isolé; Le serveur web qui est une machine accessible au grand public ne

devra contenir que les informations générales ou les données qui viennent d’être saisies par les utilisateurs;

Limiter l’exposition des données en réduisant le nombre des méthodes (fonctions/procédures) permettant de leur accéder;

Limiter le nombre de personnes qui peuvent y accéder;


Penser sécurité depuis l’étape de conception Configurer correctement le serveur et les logiciels; Programmer avec précaution; Effectuer suffisamment de tests; Supprimer les services superflus; Exiger une authentification; Le risque d’une erreur de programmation ou de

configuration peut laisser par accident les informations confidentielles en accès libre;


L’authentification Elle consiste à demander aux visiteurs leur identité;

Pour permettre ou ne pas permettre l’accès Il existe plusieurs méthodes d’authentification dont

Les mots de passe Les signatures numériques

Exemple du cas de CD Universe : Fin 1999 Pirate s’appelle Maxux possédant 30 000 numéros de

cartes de crédits volés sur leur site Réclame 100 000$ pour détruire ces numéros;


Chemin des données Les données peuvent être exposées lorsqu’elles transitent sur les

réseaux. Les réseaux TCP/IP décomposent les données en paquets, et

transmettent ces paquets d’ordinateur en ordinateur jusqu’à la destination.

Chacun de ces ordinateurs peut voir les données qu’il transmet. Ces ordinateurs ne sont pas forcément tous sécurisés. La commande traceroute sous Unix affiche les adresse IP des

ordinateurs par lesquels vos données ont transité avant d’atteindre la destination.


Cryptage des données

Les serveurs web utilisent la méthode SSL développée par Netscape pour transmettre de manière sécurisée des données entre les serveurs web et les navigateurs.

Comme la tâche du serveur devient : Crypter avant d’envoyer, Décrypter à la réception, En plus de l’envoi,

Ses performances diminuent de manière considérable.


2.2. La perte ou destruction d’information Il est moins grave de perdre des données que de les laisser à la

portée des intrus. Plusieurs mois pourraient être investis pour mettre en œuvre le site,

à rassembler des commandes et des informations à propos des utilisateurs.

Des pirates peuvent pénétrer le système et formater le disque dur. Un programmeur ou même un administrateur peut supprimer des

fichiers accidentellement. La perte brusque d’un disque dur n’est pas exclue car ceux-ci ont

une durée de vie limitée. Loi de Murphy : c’est toujours le disque dur le plus important qui

tombe en panne et en plus longtemps après la dernière sauvegarde.


Remédiassions Réduire au minimum le nombre de personnes ayant accès au

système. N’embaucher que des personnes compétentes et

méticuleuses. Acheter des disques de bonnes qualité. Choisir un système RAID pour obtenir l’équivalent d’un disque

dur plus rapide et plus fiable. Une bonne stratégie de sauvegarde des données.

Sauvegarde régulière La procédure de sauvegarde est testée, de manière à récupérer

les données en cas de problème. Les sauvegardes sont stockées loin du local des ordinateurs

serveurs.


2.3. La modification des données La perte des données est assez grave mais leur modification est encore

pire. Une suppression de données ne passerait pas inaperçue et peut être

réparée par les sauvegardes. Mais combien de temps faudrait-il pour remarquer une modification des

données. On distingue la modification des fichiers de données et ceux exécutables. Un pirate peut modifier les fichiers de données de l’entreprise pour :

Dégrader son site Obtenir des bénéfices frauduleux

Il peut remplacer un fichier exécutable par une version sabotée qui lui permettra de mettre en place un autre moyen d’accès tranquille pour ses visites ultérieures.


Remédiassions

Protéger les données grâce aux signatures numériques. Les signatures n’empêchent pas les modifications, mais

en les recalculant à la réception et en les comparant aux signatures d’origine, on peut s’apercevoir si les données ont été modifiées ou pas en cours de route.

Si les données sont cryptées pour empêcher les intrus de les lire, il est d’autant plus difficile de les modifier en cours de route sans que le destinataire s’en aperçoive.


Protéger les fichiers du serveur, en utilisant les droits d’accès implémentés par le système d’exploitation.

Il est possible d’autoriser certains utilisateurs à se servir du système, sans pour autant leur permettre la modification.

L’absence de ces droits fait de Windows 95 et 98 des systèmes d’exploitation inadaptés pour jouer le rôle de serveurs.

On peut utiliser des logiciels de vérification de l’intégrité des fichiers comme Tripwire. Ces logiciels enregistrent des informations sur les fichiers

importants que l’on sait "propres", immédiatement après leur installation.

Ensuite, ces logiciels peuvent être utilisés pour vérifier que les fichiers n’ont pas été modifiés.


2.4. Les attaques type denial of service (DoS) Parmi les dangers les plus périlleux, mettre un site dans l’incapacité de

fonctionner correctement ou à le ralentir au-delà d’un seuil critique. Au début de l’année 2000, nous avons assisté à une véritable

avalanche d’attaques de type DoS contre des sites web très connus. Parmi ces cibles : yahoo, eBay, Amazon, E-Trade et Buy.com

Ces sites gèrent un trafic fabuleux Mais peuvent être bloqués pendant des heures

Les pirates ont peut d’intérêt à bloquer ces sites. Mais leurs propriétaires peuvent y perdre leur réputations, leurs temps,

et un peu d’argent.


Remédiassions

Ces attaques sont difficiles à contrer car elles peuvent prendre plusieurs formes.

Pour réaliser ce genre d’attaques, les pirates Installent sur le serveur un programme qui consomme la

plus grande partie du temps CPU. Envoient des myriades d’e-mails (spam) en précisant

l’adresse de la cible comme expéditeur, pour que celui-ci reçoive des milliers de plaintes.


Il est généralement difficile de se protéger contre les attaques DoS.

Il faut effectuer des recherches pour repérer les ports utilisés par la plupart des outils DoS et les fermer.

La seule protection contre ce genre d’attaque consiste à surveiller le trafic normal.


2.5. Les erreurs dans les logiciels Il se peut que les logiciels que l’entreprise a achetés, obtenus ou

écrits elle-même recèlent des erreurs. Ces erreurs peuvent entraîner toutes sortes de comportements

imprévisibles comme : La disparition de certains services Des failles de sécurité Des pertes financières Une diminution du service apporté aux clients

Ces erreurs sont dus à des : Spécification médiocres Suppositions des développeurs Tests insuffisants


2.6. Les annulations de commandes Ce genre de danger prend lieu lorsque l’une des deux

parties impliquées dans une transaction se rétracte. Une personne commande des articles sur un site web,

puis bloque le débit sur sa carte de crédit. Une personne pourrait accepter une commande par e-

mail, puis qui se plaint qu’une autre personne s’est servie frauduleusement de son e-mail.

Dans l’idéal, les transactions financières ne devraient pas pouvoir être annulées.

Ou encore mieux chacune des deux parties devrait pouvoir faire appel à une autorité compétente.


Remédiassions Les systèmes d’identification fournissent une certaine garantie de

l’identité des personnes avec lesquelles l’entreprise traite. S’ils sont utilisés par une organisation réputée, les certificats

numériques peuvent encore accroître cette confiance. Les message envoyés par chaque partie ne doivent pas pouvoir

être modifiés. Aucun intérêt de recevoir des commandes si l’entreprise n’est

pas capable de prouver que le contenu de cette commande n’a pas été altéré.

La signature et le cryptage sont de bons outils pour les sécuriser.


Pour les transactions à long terme, les certificats numériques utilisés conjointement avec des techniques de communication cryptées ou signées sont une manière efficace de limiter les modifications.

Les entreprises de commerce électronique se doivent de : prouver leur identité dépenser de l’argent auprès d’entreprises de

certification comme Verisign (http://www.verisign.com) Thawte (http://www.thawte.com) ANCE (http://www.ance.tn)

pour assurer les visiteurs de leurs bonnes intentions. Pour les petites transactions, les commerçant sont prêts à accepter un

certain niveau de risque, au lieu d’alourdir leur commerce.


VISA a conclu un accord avec un certain nombre d’organisations financières, et des entreprises de logiciels qui a permis de mettre en place en 1997 un standard appelé Secure Electronic Transaction (SET)

Les pocesseurs de cartes peuvent obtenir des certificats numériques auprès de l’organisme qui leur a fourni leur carte.

Le SET permet de réduire le risque d’annulations et des autres fraudes faisant intervenir les carte de crédit dans les transactions sur Internet.


Les spécifications du SET existent depuis des années mais : Les banques ne suivent pas le mouvement. Les marchands ne rejettent pas les clients qui ne

possèdent pas le logiciel SET. Les consommateurs ne s’équipent pas de ce logiciel.


3. La recherche d’un équilibre entre simplicité d’utilisation, performances, coût et sécurité; Le web est un environnement risqué. Des utilisateurs anonymes demandent des services sur

les ordinateurs des entreprises. N’importe qui peut effectuer d’autres types de

connexions. Le niveau de sécurité le plus élevé non seulement est

très coûteux en terme d’argent mais aussi en terme de temps ce qui alourdi la transaction et la rend complexe.

Un compromis devra être trouvé entre : sécurité, simplicité d’utilisation, coût et performances.


Lorsque le niveau de sécurité sa simplicité d’utilisation: En limitant se que les utilisateurs peuvent faire En leur demandant de s’authentifier

Lorsque le niveau de sécurité les performances des machines : Les logiciels de cryptage Les systèmes de détection d’intrusion Les scanners de virus Les fichiers journaux

Consomment des ressources Il faudra investir dans des processeurs plus puissants pour effectuer

une session cryptée comme une connexion SSL vers un site web.


4. La création d’une stratégie de sécurité

C’est un document qui décrit : La philosophie générale de la sécurité de l’organisation; Ce qui doit être protégé : les logiciels, les plates-formes,

les données; La personne qui s’occupe de protéger ces éléments; Des standards pour la sécurité et son évaluation;


5. Les principes d’authentification

L’authentification permet de prouver qu’une personne est réellement la personne qu’elle prétend être.

Parmi les techniques d’authentification on cite : Les mots de passe; Les signature numérique; Les mesures biométriques comme les empreintes digitales; Les cartes à puces;

Sur le web les mots de passe et les signatures numériques sont les plus utilisées.


Les mesures biométriques et les solutions matérielles comme les cartes à puces, ont besoin d’un périphérique particulier. Ceci limite le nombre d’utilisateurs qui peuvent s’en servir. Ces deux solutions sont intéressantes pour l’accès aux

systèmes internes d’une organisation. On préfère des systèmes de sécurité disponibles

directement sur le web.


Les mots de passe sont simples à implémenter, à utiliser, ne nécessitent aucun périphérique et fournissent un certain niveau de sécurité mais ne sont pas suffisants pour des systèmes à haute sécurité. Vous pouvez obliger vos utilisateurs à inclure des nombres , des

signes de ponctuation, des lettres majuscules et des lettres minuscules

Leurs demander d’éviter les mots de passe simples à deviner ou ceux prix du dictionnaire.

Malheureusement les mots de passe sont compliqués à

retenir, les utilisateurs ont tendance à faire des actions peu sécurisées comme les écrire sur un bout de papier collé sur le moniteur.


Les mots de passe peuvent être capturés sur les ordinateurs : En exécutant un programme qui capture les messages clavier

des terminaux En utilisant un programme d’interception des paquets pour

capturer le trafic réseau, les pirates peuvent récupérer des noms d’utilisateurs avec les mots de passe correspondants.

Pour réduire ce danger il faut crypter votre trafic réseau. Les mots de passe restent idéaux pour vérifier l’état des

commandes de vos clients mais leur niveau de sécurité n’est pas approprié pour des informations d’ordre sécurité nationale.


6. L’utilisation de l’authentification

Les mécanismes d’authentification sont intégrés dans la plupart des navigateurs web et des serveurs web.

Les serveurs web peuvent demander un nom d’utilisateur et un mot de passe à une personne qui demande des fichiers dans des répertoires particuliers du serveur.

Le navigateur affiche une boîte de dialogue pareille :


Le serveur web Apache et le serveur web de Microsoft (IIS) permettent de protéger facilement une partie ou l’intégralité du site.

Avec PHP ou MySQL on peut programmer la même authentification intégrée au niveau des navigateurs pour obtenir les mêmes résultats et même en moins de temps.


7. Une présentation du cryptage

Un algorithme de cryptage est un processus mathématique qui transforme des informations en une suite de données qui semble aléatoire.

Données de départ texte brut Les informations cryptées texte crypté Le texte brut est passé au moteur de cryptage, qui peut

être un périphérique matériel. Comme la machine Enigma utilisée pendant la seconde

guerre mondiale. Comme il peut être un programme informatique.

Texte brut

Algorithme de cryptage

Texte crypté


Les mots de passe introduits lors de l’authentification sont ensuite cryptés avant d’être enregistrés par le serveur web dans un répertoire protégé.

Un utilisateur créé, avec un mot de passe comme "password" se voit crypté et enregistré son mot de passe sous " aWDuA3X3H.mc2 "

Texte brut


Texte crypté

Algorithme de décryptage

Texte clair

Clé


8. Le cryptage par clé privée Se fonde sur le fait que les personnes autorisées possèdent une clé

permettant de décrypter les messages. Cette clé doit être gardée secrète. L’expéditeur (qui crypte le message) et le destinataire (qui décrypte

le message) possèdent la même clé. L’algorithme de cryptage par clé privée le plus utilisé au monde est

le DES (Data Encryption Standard). Développé par IBM en 1970. devenu obsolète en 1998.

D’autres systèmes à clé privée : RC2, RC4, RC5, le triple DES; et IDEA.

Le défaut du cryptage par clé privée est que pour envoyer un message sécurisé à quelqu’un, il faut posséder un moyen sécurisé de lui envoyer la clé secrète.


9. Cryptage par clé publique En 1976 Diffie et Hellman ont publié le système de

cryptage public. Le cryptage par clé publique nécessite deux clés

différentes : Une clé publique Et une clé privée

La clé publique sert à crypter les messages. La clé privée sert à les décrypter.

Texte brut


Texte crypté

Algorithme de décryptage

Texte clair

Clé publique

Clé privée


La clé publique peut être distribuée à tout le monde. Les personnes à qui vous avez envoyé votre clé publique peuvent

vous envoyer des messages de manière sécurisée. Tant que vous êtes le seul à détenir votre clé privée, vous êtes le

seul à pouvoir décrypter vos messages. L’algorithme de cryptage par clé publique le plus utilisé est RSA,

développé par Rivest, Shamir et Adelman, au MIT. La clé publique présente la capacité de pouvoir être transmise sans

la crypter et sans avoir peur qu’elle soit interceptée.


10. Les signatures numériques Les signatures numériques sont en rapport avec la cryptographie

par clé publique. Elles inversent le rôle de la clé publique et de la clé privée. Une personne désirant envoyer un message peut crypter ce dernier

et le signer numériquement avec sa clé privée. Lorsque le message est reçu, le destinataire peut le décrypter avec

la clé publique de l’expéditeur. Comme l’expéditeur est la seule personne pouvant accéder à la clé

privée, le destinataire peut avoir la certitude de qui provient le message et que celui-ci n’a pas été modifié.

Les signatures numériques sont très utiles : Le destinataire est rassuré que le message n’a pas été modifié. L’expéditeur ne peut plus se rétracter en prétendant que ce n’est

pas lui qui a envoyé le message.


Le message crypté peut être lu par n’importe qui, possédant la clé publique.

Le but du cryptage ici est : d’empêcher la modification d’identifier avec certitude l’expéditeur

Le problème du cryptage par clé publique est qu’il est lent sur les messages de grandes tailles.

Un autre algorithme est utilisé pour améliorer l’efficacité du traitement : c’est la fonction de hachage.


La fonction de hachage

C’est une technique qui permet de produire un condensé de

massage qui est une représentation réduite et unique du message.

Elle calcule un code d’identification du message appelé une valeur de hachage.

Elle est calculée de manière déterministe en fonction du message

(unidirectionnel : impossible de retrouver le message à partir du

condensé).

Cette valeur de hachage peut être très petite.

L’algorithme qui la calcule est généralement très rapide.

Les fonctions de hachage les plus courantes sont MD5 et SHA.


Manière de créer une signature numérique

Lors de l’envoi :

Calculer la valeur de hachage d’un message;

Crypter cette valeur par un algorithme de cryptage par clé publique.

La signature peut être ensuite envoyée avec le message via n’importe quelle méthode de transmission non sécurisée.

A la réception : le message reçu est signé. La signature est décryptée grâce à

la clé publique de l’expéditeur. Une valeur de hachage est

générée à partir du message, en utilisant la même méthode que celle de l’expéditeur.

Si la valeur de hachage décryptée correspond à la valeur de hachage décryptée, le message provient bien de l’expéditeur et n’a pas été modifié.


11. Les certificats numériques Nous voulons nous assurer

de l’intégrité du message (qu’il n’a pas été modifié) Et de la provenance des messages (c’est bel et bien l’utilisateur

spécifique qui a envoyé les messages) Pour des transactions commerciales, on souhaiterait rattacher un utilisateur

ou un serveur à une entité légale comme une personne ou une entreprise. Un certificat numérique combine à la fois une clé publique et les détails

concernant une organisation ou un particulier, tout cela dans un format signé numériquement.

A partir d’un certificat vous possédez la clé publique de l’entité avec laquelle vous traitez. Vous connaissez également ses détails personnels, qui n’ont pas pu

être modifiés.


Les informations ont autant de valeur que la personne qui les a signées.

Pour les transactions commerciales, il est souhaité qu’un organisme indépendant vérifie l’identité des participants et les détails qu’ils ont enregistrés dans leur certificat.

Ces organismes sont appelés des autorités de certification. Elles délivrent des certifications numériques à des individus et à des

personnes. Les deux autorités de certification les plus connues sont :

Verisign (http://www.verisign.com) Et Thawte (http://www.thaxte.com)

D’autres autorités sont moins connues et moins chères comme (http://www.equifaxsecure.com)


Ces autorités signent un certificat pour valider l’identité de leur propriétaire.

Mais un certificat ne garantit pas la solvabilité de son propriétaire, ni ses bonnes intentions.

En cas d’escroquerie vous pouvez déterminer l’adresse physique de la personne responsable.

Les certificats créent une sorte de chaîne de confiance : si vous faites confiance à l’autorité de certification qui a émis un certificat, vous pourrez également faire confiance aux personnes auxquelles cette autorité fait confiance.


Les certificats numériques servent à donner du respect envers un site de commerce électronique.

Grâce à un certificat provenant d’une autorité de certification, les navigateurs web peuvent effectuer des connexions SSL vers votre site, sans afficher la boîte de dialogue d’avertissement.

Les serveurs web qui autorisent les connexions SSL sont appelés des serveurs web sécurisés.


12. Les serveurs web sécurisés

Apache, Microsoft IIS ou tout autre serveur web commercial ou gratuit peuvent permettre de communiquer de manière sécurisée avec des navigateurs via SSL.

Pour utiliser SSL avec IIS, il suffit d’installer IIS, de générer une paire de clés et d’installer le certificat.

Pour utiliser SSL avec Apache il faut installer trois bibliothèques différentes : Apache, Mod_SSL, OpenSSL.


Processus d’obtention des certificats

Prouver que vous êtes une entreprise reconnue légalement.

Possédant une adresse physique. Et que votre entreprise possède le nom de domaine

correspondant. Générer par votre serveur web une requête de signature

de certificat (CSR) le résultat est une requête de signature de certificat

cryptée


-----------BEGIN NEW CERTIFICATE REQUEST----------

MIIBuwIBAAKBgQCLn1XX8faMHhtzStpwY6BVTPuE

En7Q1XnXw1s7xXbbuKP0

-----------END NEW CERTIFICATE REQUEST-----------


Le CSR Un chèque Documentation qui prouve que vous existez Preuve de correspondance du nom de domaine actuel à votre

entreprise Sont les pièces nécessaires pour demander un certificat auprès

d’une autorité de certification. Lorsque l’autorité délivre le certificat, il faudra

L’enregistrer sur votre système Indiquer à votre serveur web l’endroit où il peut le trouver

Le certificat final est un fichier texte semblable à la requête présentée en D53.


13. La surveillance et les journaux Le système d’exploitation permet d’enregistrer toutes sortes

d’événements. Du point de vue de la sécurité, les événements à prélever sont :

Les erreurs de réseaux. Les accès à des fichiers de données particuliers

Comme les fichiers de configuration ou la base de registre de windowsNT Ou bien l’appel à des programmes permettant d’ouvrir une session

sous le nom d’un utilisateur. Les fichiers journaux aident à détecter les erreurs et les

comportements suspects. Peuvent aussi indiquer comment un problème ou une intrusion ont

pu avoir lieu. Mais les journaux posent deux problèmes :

Leur taille Et leur véracité.


Si l’entreprise choisit d’enregistrer beaucoup d’informations dans les journaux leur taille s’accroîtra vite et il sera plus fastidieux de les examiner.

L’entreprise pourra s’aider d’outils existants ou bien développer des scripts de surveillance, pour chercher les événements "intéressants“ dans les journaux.

Malheureusement, les fichiers journaux sont les proies de choix pour les pirates.

Si un intrus possède un accès administrateur sur le système de l’entreprise, il aura toute la liberté de s’approprier des fichiers journaux et effacer ses traces.

L’administrateur devra effectuer des surveillances régulières. Mais l’entreprise peut aussi demander l’aide d’une société de

surveillance externe pour vérifier le comportement de ses administrateurs.


14. Les pare-feu ou firewalls Servent à séparer le réseau de l’entreprise (Intranet) du monde extérieur. En protégeant les ordinateurs de son réseau, des attaques provenant de

l’extérieur. Il filtre et bloque le trafic qui ne remplit pas certaines conditions. Il restreint également l’activité de personnes et d’ordinateurs situés à

l’extérieur. Les pare-feu sont

soit des périphériques matériels, comme des routeurs possédant des règles de filtrage.

Soit des programmes exécutés sur un ordinateurs. Les paquets peuvent être filtrer en fonction

de leur type, de leur adresse source, De leur adresse destination, Ou de leur port.


15. La sauvegarde des données Aucune compagnie d’assurance ne pourra remplacer le logiciel web

que l’entreprise aura développé elle-même et qui vient de disparaître. L’entreprise doit sauvegarder tous les composants de son site web

(les pages statiques, les scripts et les bases de données) La fréquence des sauvegarde dépend des modifications apportées au

site. Les sites permettant aux clients d’effectuer des commandes en ligne,

donc qui sont sensés être modifiés fréquemment doivent être sauvegardés régulièrement.

La plupart des sites d’une certaine taille peuvent être hébergés sur un serveur RAID (Redundant Array of Inexpensive Disks), qui enregistre les information en plusieurs exemplaires sur les différents disque durs.


16. La sécurité physique :

Panne d’air conditionné, Les incendies, Les propres collaborateurs de l’entreprise maladroits ou

réellement malintentionnées, Les coupures de courant, Et les pannes du réseau.


Solutions Local approprié Interdire l’accès à la salle des machines aux personnes non

concernées. Les extincteurs automatiques peuvent être dangereux pour les

matériels électroniques. Investir dans un onduleur pour une alimentation supplémentaire de

10mn. Pour plus de temps il faudra investir dans un équipement plus

onéreux. Héberger son site chez plusieurs fournisseurs d’accès Internet

permettra en cas de panne, une capacité réduite au site au lieu d’être totalement inaccessible.

Regrouper ses ordinateurs avec ceux d’autres entreprises dans des locaux spécialisés.

sécurité informatique

Education