Réseautique

Dernière mise à jour : Janvier 2016

Principe

L’avocat doit mettre en place une politique encadrant l’utilisation de son réseau informatique ainsi que des mesures de sécurité pour en assurer la protection. Cette politique doit permettre à l’avocat de s’assurer que son réseau informatique est conforme à ses obligations déontologiques (secret professionnel, secrets commerciaux et industriels, renseignements personnels, etc.).

Définition

La réseautique vise l’ensemble des techniques relatives à la création, au maintien et à l’utilisation d’un réseau informatique. Ce dernier est formé d'ordinateurs et de périphériques, comme des imprimantes, des numériseurs, des téléphones intelligents, des tablettes, des serveurs, des commutateurs, des routeurs et des modems, reliés au moyen de matériel − avec ou sans fil − et de logiciels.

Les réseaux informatiques reliant plusieurs ordinateurs permettent aux utilisateurs de partager des données. Leur avantage réside dans la rapidité d'accès à l'information et l’amélioration de la productivité et de la collaboration. Les données contenues dans les réseaux informatiques sont souvent de nature confidentielle et doivent par conséquent être protégées. De plus, une même donnée placée sur un serveur partagé par plusieurs utilisateurs peut ne pas être destinée à être consultée par tous. Dans ces cas, la consultation de ces données devrait être subordonnée à l’octroi de droits d’accès préétablis. Cela peut s’avérer important lorsque la mise en place d’une « muraille de Chine » est nécessaire pour éviter des conflits d’intérêts apparents ou potentiels, ou pour éviter la dissémination d’information à des catégories d’utilisateurs qui n’ont pas à en prendre connaissance (principe du « besoin de savoir »).

Exemple

Voici un graphique représentant un réseau comprenant un serveur, des postes de travail, un commutateur et un pare-feu.

Réseau informatique

Utilité

La mise en réseau d'ordinateurs permet :

  1. Le partage de ressources (fichiers, applications, matériel, connexion à Internet, etc.);
  2. La communication entre utilisateurs (courriel, messagerie instantanée, etc.);
  3. La communication entre divers processus (p. ex., entre une application comptable et une application de facturation du temps passé sur un appel téléphonique), ce qui automatise les tâches et réduit le risque d’erreurs d’écriture;
  4. La possibilité de trouver la bonne information à jour (utilisation de bases de données);
  5. L'enregistrement centralisé de données.

Risques

Chaque ordinateur connecté à un réseau peut être exposé au monde extérieur et ainsi être victime d'une intrusion, d’une tentative de piratage ou, plus généralement, d’une atteinte à l’intégrité du système informatique et des données qu’il comporte.


Exemple de symboles de
connexion / déconnexion

Cette menace est d'autant plus grande lorsque l’ordinateur est connecté en permanence à Internet, ce qui est de plus en plus souvent le cas. Pour savoir si votre ordinateur est connecté en permanence à Internet, sur un PC, vous devez regarder en bas à droite de votre écran et repérer les petites lignes réseau ou un symbole de câble.

De nos jours, avec la mise en place de réseaux sans fil, l'utilisation de téléphones intelligents (p. ex., iPhone, Android, Blackberry, etc.), l’établissement de connexions à distance ou l’usage d'appareils à connexion sans fil Bluetooth, les données sensibles sont de plus en plus exposées et vulnérables à des risques d’accès et de divulgation non autorisés qui sont externes au bureau physique.

Meilleures pratiques

Il est important de s'assurer que les données conservées sur votre réseau informatique sont sécurisées. Voici quelques points à vérifier :

L'utilisation d'un mot de passe et la déconnexion des sessions inactives

Afin de protéger l'information contenue sur un réseau informatique, il est important de protéger l’accès à tous les postes de travail qui sont connectés au réseau. Ainsi, il est recommandé d'utiliser une méthode d'authentification de l'utilisateur (code d’utilisateur et mot de passe) lorsqu’on se connecte sur son poste de travail. La plupart des systèmes d'exploitation réseau permettent ce genre d'authentification. Le mot de passe devrait être modifié périodiquement (aux 30 jours) et être composé d’un code contenant un minimum de dix caractères (ou plus, selon les possibilités du système). Ce mot de passe devrait inclure au moins une majuscule, une minuscule, un chiffre et un symbole ou caractère spécial. Par ailleurs, afin de vous assurer un niveau de sécurité conforme aux risques auxquels fait face votre cabinet, eu égard à ses mandats et clients, veuillez revoir la Section 2 - Protection de l'accès aux données - Mot de passe.

Il est également important de déconnecter ou de verrouiller un poste de travail ou une session inactive afin d’éviter la prise de contrôle de ce poste de travail par un tiers et ainsi donner accès aux données confidentielles. La configuration d'un mot de passe sur l'écran de veille après une période maximale de trois minutes d'inactivité peut remplir cette fonction. Une configuration permettant un blocage du système pendant 15 à 30 minutes après cinq tentatives d’identification est aussi une bonne mesure de sécurité.

L'utilisation d'un antivirus polyvalent mis à jour régulièrement

Les antivirus sont des logiciels conçus pour identifier, neutraliser et éliminer les logiciels malveillants. Selon le produit utilisé, l'outil pourra également reconnaître un pourriel (spam) ou encore un logiciel espion (vers, témoins - communément appelés cookies-, etc.), et ainsi empêcher l'installation de logiciels de type Cheval de Troie, qui peuvent ouvrir une brèche donnant accès à un ordinateur faisant partie de votre réseau. La protection conférée par ces logiciels devrait s’accompagner de pratiques responsables, notamment quant à l’ouverture de pièces jointes provenant d’un courriel non sollicité ou de source non sûre.

L'utilisation d'un pare-feu

Un pare-feu (aussi nommé coupe-feu ou firewall en anglais) est un élément du réseau informatique, logiciel et/ou matériel, qui permet de protéger un ordinateur ou un réseau d’ordinateurs des intrusions provenant d’un réseau tiers (notamment Internet). L’objectif est de fournir une connexion sécuritaire et de contrôler les échanges de flux entre les différentes zones de confiance afin de laisser passer les données tout en respectant les règles de sécurité établies. Ainsi, une requête d’accès à un document provenant d’Internet sera refusée alors que cette même requête, provenant d’un utilisateur du même réseau, sera acceptée. Il est donc très important d’installer un pare-feu sur le réseau de votre organisation. À noter que certaines méthodes permettent d’authentifier des requêtes provenant d’Internet, ce qui facilite le télétravail sécuritaire.

Attention, bien que certains routeurs puissent contenir un pare-feu, le routeur n'en est pas un! Son rôle est de permettre à plusieurs équipements informatiques (ordinateurs, téléphones intelligents, téléphones IP, etc.) de partager un lien Internet. S’il peut être configuré pour laisser passer ou pour bloquer le trafic en provenance d'Internet, ce n’est pas son rôle premier. À la différence du pare-feu, il ne peut gérer le trafic entre des zones de confiance différentes.

Mise à jour des logiciels et des systèmes d'exploitation

Un logiciel ou un système d'exploitation, même après sa commercialisation, peut comporter des failles permettant à des programmeurs malveillants de les utiliser et de compromettre votre système.

1  |  Dans la majorité des cas, seules les licences légales comportent ces mises à jour.

La plupart des logiciels et des systèmes d'exploitation récents sont livrés avec des options de mises à jour1. Si votre poste de travail vous indique qu’une mise à jour est disponible, il est généralement recommandé de procéder à cette mise à jour. Avant d’installer celle-ci, assurez-vous qu’elle ne cause pas de faille informatique.

La connaissance de l’existence de ces failles se propage rapidement; c’est pourquoi il est recommandé de suivre les configurations par défaut et de choisir les options de mises à jour courantes ou périodiques prescrites par le fabricant (excluant les versions bêta ou en développement d’un logiciel qui pourraient engendrer des risques).

Sécuriser les réseaux sans fil (WiFi)

L'utilisation de réseaux sans fil donne l'avantage de connecter un ordinateur, un téléphone intelligent ou une tablette à un réseau sans avoir besoin de connexion physique (câble). Les connexions diffusent un signal qui permet d'accéder au réseau. Ce signal peut être capté par toute personne ayant une carte réseau sans fil (WiFi). Les règles de sécurité de base dans l'utilisation de tels réseaux sont :

  1. Modifier le code administrateur et le mot de passe du point d'accès (l'endroit où l'on se connecte) ou du routeur sans fil. Les paramètres par défaut sont les premiers testés lors de tentatives d’intrusion, et la plupart des utilisateurs ne les modifient pas.  Voir la section 2 du guide dédiée aux mots de passe.
  2. Mettre en place le chiffrement des données transitant sur le lien sans fil. L'utilisation du protocole WPA2 est recommandée, car le protocole WEP peut être piraté facilement et rapidement et devrait être évité.
  3. Filtrer les adresses MAC (Media Access Control − adresse physique unique d'une carte réseau). Le point d'accès ou le routeur sans fil communiquera seulement avec les adresses préconfigurées par l'administrateur du réseau.
  4. Bloquer la diffusion publique du signal du nom de réseau sans fil (SSID Broadcasting) afin de « cacher » l'équipement sans fil aux yeux des utilisateurs non autorisés.

Si vous offrez l’accès à votre réseau WiFi dans la salle d’attente de votre bureau : Prévoir un accès invité, distinct de celui que vous utilisez pour accéder à votre réseau, afin de minimiser les risques de sécurité et limiter les droits d’accès des personnes accédant à ce réseau. Outre les passerelles qui donnent l’accès à vos invités, vos mots de passe ne devraient pas être partagés.

L'utilisation de l'informatique mobile

Les clés USB et les disques durs externes ont rapidement remplacé les CD, DVD, disquettes et autres médias amovibles. Il y a aussi l'utilisation des téléphones intelligents qui contiennent courriels, agendas, liste de contacts et documents, et qui peuvent donner accès à votre réseau. Les connexions au réseau interne à partir d'un lien Internet (extérieur à l’entreprise) sont aussi de plus en plus répandues. Pour assurer une bonne sécurité sur cette masse de données, facile à oublier sur la table d'un restaurant ou sur le siège arrière d'un taxi, il faut chiffrer les données s'y trouvant.

2  |  Pour plus de détails, voir la sous-section intitulée Cellulaire.

Pour ce qui est des téléphones intelligents, la mise en place d'une authentification par mot de passe est impérative ainsi que le chiffrement des documents que l'appareil contient2. Il faut aussi s'assurer que les connexions Bluetooth (connexions à faible portée permettant la connexion d'appareils comme des casques mains libres ou le transfert d'information entre deux appareils) sont non disponibles par défaut et sécurisées lorsqu'utilisées.

Pour ce qui est de l’utilisation de l’informatique mobile, dans la mesure où un réseau WiFi est public, il faut s'assurer d'utiliser une connexion RPV sécurisée (réseau privé virtuel; plus souvent appelé VPN ou Virtual Private Network). Pour ce qui est du télétravail, la même prudence s’impose : si vous branchez votre ordinateur professionnel à la maison à partir de votre réseau personnel, utilisez également une connexion RPV (VPN).

Une telle connexion permet d’avoir accès au réseau local de votre entreprise à travers une connexion Internet sécurisée et d’accéder aux ressources de votre réseau local (p. ex., fichiers, intranet, extranet) comme si vous étiez sur votre lieu de travail.

Une connexion RVP procure le niveau de sécurité le plus élevé possible, grâce à des tunnels chiffrés et à des technologies d’authentification. Les données traversant le RPV sont ainsi protégées contre tout accès non autorisé.

Ressources

(certaines de ces ressources n’existent qu’en anglais)

Antivirus
Pare-feu
Mise à jour des logiciels et des systèmes d'exploitation
Ajout d'une minuterie et d'un mot de passe à l'écran de veille
Sécurité réseau sans-fil