Par : ZANDRY Marthérinot

Parcours : ADR

ZANDRY MARTHERINOT 1
INTRODUCTION
Un serveur informatique est au cœur du système d’information d’une Entreprise. Il peut stocker
des données, gérer le courrier électronique, héberger des applications comme des sites web, etc.
Un sinistre subi par un serveur peut donc entraîner des pertes lourdes pour d’une société :
destruction des données, perte financière, détérioration de l’image de marque, perte de
crédibilité…
Pourtant, à trop entendre parler des virus et des hackers, certes redoutables, on en oublie parfois
les mesures matérielles élémentaires.
Ce cours traite des règles de base de la sécurité physique et logique d’un serveur. Ces
préconisations s’appliquent également à des équipements informatiques spécialisés comme des
solutions de stockage.

CHAPITRE 1 : SECURITE PHYSIQUE

1. Définition

Par opposition à la sécurité des données, la sécurité physique vise à conserver l’intégrité
matérielle des équipements informatiques. Les risques physiques sont davantage liés aux
évènements imprévisibles comme les pannes, les accidents ou encore les atteintes
intentionnelles aux matériels.
Deux types de mesures (ou parades) existent pour se prémunir de ces risques :
 Les mesures préventives : elles doivent éviter qu’un sinistre ne survienne (ex :
empêcher un départ de feu)

 Les mesures protectrices : elles doivent protéger le patrimoine si un sinistre survient

malgré tout (ex : protéger son serveur du feu en cas d’incendie)
Les mesures préventives ne dispensent pas du risque de sinistre. C’est pourquoi il est tout de
même essentiel de mettre en place des mesures protectrices.

2. Les types des risques et ses conséquences

Il existe plusieurs menaces physiques potentielles pour du matériel informatique. Le tableau

suivant n’est pas exhaustif mais permet de dresser un panorama de ce qu’une Entreprise risque
si ses serveurs sont sinistrés.

ZANDRY MARTHERINOT 2
Tableau1 : Types des risques et ses conséquences

ZANDRY MARTHERINOT 3
 3. Comment se protéger ?
Des règles de sécurité simples existent pour se prémunir de ces risques. Voici les mesures
préventives et les mesures de protection essentielles d’un serveur.

a. Localisation du serveur
L’emplacement des serveurs sont déterminant dans sa sécurité, il doit donc être choisi avec
soin.

 Choisir un emplacement idéal

- Évitez d’installer des serveurs dans les sous-sols et le dernier étage d’un bâtiment à cause des
risques plus importants d’infiltration d’eau

- Pour le sol, évitez la moquette et préférez les revêtements antistatiques

- La pièce doit comporter très peu d’ouvertures, voire aucune autre que la porte (risque
d’intrusion physique)

- Veillez à choisir une pièce éloignée des ascenseurs à cause des phénomènes électrostatiques

- Installez votre serveur dans une pièce fermée à clé et loin d’un lieu de passage (ex : entrée)

- Les serveurs sont prévus pour fonctionner entre 10° et 35° en moyenne (certains supportent
une température plus élevée). Si vous installez votre serveur dans une petite pièce, la
température risque d’augmenter assez vite. Prévoyez alors un système de climatisation. Prenez
aussi garde aux phénomènes de condensation

- Installez un onduleur1 avec arrêt automatique du serveur en cas de coupure de courant

prolongée

 Éliminer les menaces à proximité

Veillez à ce que les serveurs ne soient pas en contact direct avec les rayons du soleil ou une
source de chaleur. Par ailleurs, pour les mêmes raisons, il est conseillé de ne pas stocker de
produits inflammables à proximité de votre serveur.

Le matériel informatique n’aime pas l’humidité, veillez donc à ce que les tuyauteries et les
gaines de climatisation ne surplombent pas le serveur. Il est également recommandé de le
surélever au cas où un liquide joncherait le sol.

ZANDRY MARTHERINOT 4
Enfin, évitez autant que possible les chapelets de blocs multiprises (vous éviterez ainsi les
risques de surcharge).

b. L’entretien des installations

Les risques peuvent provenir de pannes ou de dysfonctionnements parfois liés à la vétusté des
installations. Ne négligez donc pas l’entretien des éléments suivants :

 Les installations électriques

 Le tableau électrique (sa conception est-elle en adéquation avec la puissance nécessaire
? ...)
 La climatisation (un défaut de climatisation pendant un week-end de canicule peut
s’avérer fatal pour votre serveur)

Remarque :
Pensez à ranger la documentation associée au serveur à proximité. En revanche, les
sauvegardes ne doivent pas être dans la même pièce que le serveur.

4. Pour encore plus de sécurité

Pour une protection optimale, il est conseillé d’investir dans du matériel spécifique.

a. Les systèmes d’alerte

Il s’agit de tous les équipements vous permettant de détecter une anomalie pouvant faire courir
un risque à votre serveur. Ces détecteurs peuvent vous alerter d’une intrusion physique, d’une
fuite, d’un échappement de fumée ou encore d’une température anormale.

b. Les équipements spécifiques

Il existe toute une panoplie d’équipements plus ou moins onéreux permettant de réduire les
risques de sinistre.
En voici quelques-uns :
 Contre les dégâts des eaux : tubes hermétiques pour le câblage d’alimentation et le
câblage réseau…

ZANDRY MARTHERINOT 5
  Contre les dégâts du feu : mécanisme d’extinction des feux ne détériorant pas le matériel
informatique (argon, inergen) …

 Contre les dégâts liés à l’électricité : paratonnerre, groupe électrogène ou équivalent...

 Contre les défauts de climatisation : système de ventilation correctement dimensionné

dans la pièce du serveur …

 Contre les intrusions physiques : vidéosurveillance, porte blindée…

CHAPITRE 2 : SECURITE LOGIQUE DES SERVEURS

1. Définition

Aujourd’hui, contrôler l’accès aux ordinateurs et au réseau est indispensable pour protéger les
données personnelles et professionnelles contre les attaques internes ou externes.
La sécurité logique fait référence à la réalisation des mécanismes de sécurité par logiciel, elle
repose sur la mise en œuvre d'un système de contrôle d'accès logique s'appuyant sur un service
d'authentification, d'identification et d'autorisation, et elle repose également sur : les dispositifs
mis en place pour garantir la confidentialité dont la cryptographie, une gestion efficace des mots
de passe et des procédures d'authentification, des mesures antivirus et de sauvegarde des
informations sensibles.

2. Les enjeux et les risques

Pour se protéger des pirates, il faut connaître les possibilités d'attaques. Aussi, pour se défendre
d'elles, il faut commencer par accepter le danger. La mise en place d'une politique (ou plan) de sécurité
consiste en :

 L'identification des éléments à protéger (matériels, logiciels, données, personnes, etc.).

 L'identification des attaques éventuelles des pirates dont :
 La dégradation qui consiste à perturber le réseau informatique via une panoplie de
programmes parasites tels que les virusv , les chevaux de Troiev , les vers (WORM)v , les
bombesv , les bactériesv , etc.
 L'altération des données qui s'effectue soit pendant la transmission des données sur un
réseau, soit avant leur émission, soit pendant le passage sur un nœudv du réseau.
 L'écoute qui consiste à surveiller et à intercepter des données soit sur un poste (cheval de
Troiev ), soit sur une ligne de communication (sniffer et probev ).

ZANDRY MARTHERINOT 6
Le choix d'une approche de sécurité : détermine si la sécurité du réseau nécessite de : ne rien autoriser,
n'autoriser que, autoriser tout sauf, ou tout autoriser.

Le choix des moyens nécessaires pour pallier aux défaillances de sécurité : il s'agit d'acheter le matériel
et les logiciels appropriés aux besoins et à la politique adoptée.

3. LES MESURES DE SÉCURITÉ

La politique de sécurité doit englober l'ensemble du réseau informatique. La plupart des

tentatives d'intrusions peuvent provenir (volontairement ou non) des utilisateurs autorisés.
Pour cela, les mesures de sécurité doivent prendre en considération le réseau local, appelé
LAN (Local Area Network), et le réseau externe connu sous le nom WAN (Wide Area
Network).

a. L'authentification des utilisateurs

Le premier niveau de sécurité à prendre en compte dans un LAN est l'utilisateur. Pour accéder
aux ressources locales et réseaux, il devra s'identifier grâce à un nom d'utilisateur et à un mot
de passe. Chaque utilisateur doit être unique dans son contexte et appartenir à au moins un
groupe d'utilisateurs. Certaines règles sont à respecter :

Le nom d'utilisateur (Login) doit être significatif pour pouvoir identifier toutes les personnes.
Plusieurs méthodes d'identification sont possibles. L'une d'entre elles consiste à associer la
première lettre du prénom au nom complet de la personne. Par exemple, le nom d'utilisateur
"rchbeir" est utilisé par l'utilisateur Richard CHBEIR. Par ailleurs, chaque système
d'exploitation propose des comptes administrateurs (admin sous Novell, root sous Unix, et
administrateur sous Windows) capable de gérer les utilisateurs (création, attribution des droits
et des fichiers, etc.).

Le mot de passe (Password) doit être personnel et incessible. Certaines consignes peuvent
rendre difficiles voire inefficaces les tentatives de connexion des pirates :

 le mot de passe doit contenir au moins 8 caractères dont 2 numériques ;

 le renouvellement périodique (mensuel si possible) du mot de passe ;
 le cryptage des données pour rendre l'interception et la surveillance moins efficaces ;

ZANDRY MARTHERINOT 7
  la déconnexion et le blocage du système après un certain nombre de tentatives de
connexion ;
 l'interdiction de se connecter avec des comptes administrateurs sur des postes non
sécurisés.

b. Les permissions d'accès

Afin de rendre votre politique de sécurité plus efficace, il faut établir convenablement les droits
d'accès des utilisateurs et des groupes. L'installation standard des systèmes d'exploitation (Unix,
Windows NT, Novell, etc.) n'est pas sécurisée en soi. Elle nécessite certaines manipulations.
Quelques points fondamentaux cités ci-dessous peuvent apporter un niveau minimal de
sécurité :

Sécurité des fichiers contenant les mots de passe : sous les systèmes Unix, deux fichiers sont
à prendre en compte : le fichier des utilisateurs et leurs mots de passe : "/etc/passwd", et celui
des groupes : "/etc/groups". Les deux fichiers cryptés sont accessibles à tous les utilisateurs,
même "guest" ou "anonyme", sans quoi ces derniers ne pourraient pas se connecter. Ce qui les
rend, malgré le cryptage, faciles à pirater. En effet, certains outils permettent de les décrypter.
Pour remédier à cela, l'administrateur (root) peut exécuter la commande "shadow" permettant
de transférer le contenu de ces deux fichiers dans un autre fichier inaccessible aux utilisateurs.
D'autre part, sous Windows, la base de registre contenant les paramètres cryptés du système
(system.dat) et des utilisateurs (user.dat) doit être protégée. Microsoft propose deux outils :
"poledit" et "regedit" qui permettent de manipuler et de personnaliser entièrement le système.
A l'aide de ces deux outils, vous pouvez minimiser les risques d'intrusions :

1. En interdisant l'exécution de l'Explorateur Windows, des commandes MS-DOS et les

outils de la base de registre (Poledit et regedit).
2. En autorisant l'exécution d'une liste d'applications comme Winword, Excel, etc.
3. En interdisant les modifications des paramètres de configuration (panneau de
configuration, imprimante, etc.).

Attribution convenable des droits d'accès : dans un LAN, chaque utilisateur doit pouvoir
créer et gérer des fichiers et des répertoires dans son espace de travail. Les autorisations d'accès
(lecture, écriture, listage, exécution, etc.) aux fichiers et programmes doivent être parfaitement
étudiées et installées. Dans une politique standard de sécurité, un simple utilisateur possède,

ZANDRY MARTHERINOT 8
d'une part, son répertoire de travail où il a tous les droits d'accès, et, d'autre part, des répertoires
plus restreints appropriés à son activité. Il faut en principe éviter de donner le droit d'installation
des programmes, de sauvegarde des fichiers système, de création de compte, d'ouverture des
sessions sur le terminal du serveur, aux utilisateurs non autorisés.

c. Les ports et les services

Les ports utilisés par un ordinateur sont aussi des portes ouvertes aux pirates (LAN et WAN).
Un port sur un serveur est un point d'entrée logique permettant à un client d'utiliser une
application (ou un service). Par exemple, pour afficher la page d'accueil du site "TF1" sur un
navigateur WEB, l'utilisateur se met en contact avec le port 80 du serveur http://www.tf1.fr.
D'autres ports existent tels que le port 21 pour le service ftp, 23 pour le service Telnet, 25 pour
le SMTP, 53 pour le DNS, 80 pour le HTTP, 110 pour le POP3, etc. Les pirates peuvent entrer
en contact avec les applications qui "écoutent" les ports associés à chaque service. Les
techniques actuelles de piratage utilisées sont multiples :

Plantage du serveur : en exécutant des applications non prévues (Telnet sur le service Ftp), ou
en exécutant un nombre de demandes qui dépassent la capacité du serveur.

Accès indirect : en se servant de la faiblesse de certains protocoles. Par exemple, le protocole

réseau NetBios sous Windows permet d'accéder au disque local de la machine. En effet, cela
s'avère dangereux puisque l'accès à la base de registre est ouvert.

Contourner les applications : en exécutant des applications non prévues, ou en accédant aux
privilèges (droits) administrateurs nécessaires pour faire tourner tel service.

Pour remédier à cela, quelques manipulations sont primordiales :

 suppression des services non utilisés,

 audit des connexions sur les ports utilisés,
 attribution des privilèges appropriés aux services (pour éviter qu'ils fonctionnent avec
des privilèges d'administrateur ou d'invité).

ZANDRY MARTHERINOT 9
 d. Les outils de sécurité

L'achat des moyens de sécurité est dépendant de la politique de sécurité envisagée. Il peut s'agir,
d'une part, de l'achat de matériel pour l'interconnexion de réseaux (LAN et WAN) comme les
routeurs, les passerelles et les ponts. Il peut s'agir également de l'achat de logiciels de différents
types tels que les relais de connexion, les relais d'applications, les firewalls, etc….L'installation
de ces produits nécessite des compétences spécifiques.

e. Les audits

La mise en place d'un système de sécurité nécessite la réalisation des audits dans le but de
détecter ses éventuelles vulnérabilités. Cela consiste à collecter et à analyser plusieurs
informations : login (connexion) et logout (déconnexion), tentatives de prises de droits de
l'administrateur, accès aux ports, serveurs demandés, changements de droits, accès invité
(guest) et anonyme (anonymous), modifications des services, login échoué, etc. Sous Unix, les
commandes syslogd, COPS, audit, ac, et sa permettent de mettre l'écoute sur les processus et
les connexions. Sous Windows NT, plusieurs outils d'audits existent, parmi lesquels : "Audit
Policy" accessible par "User Manager/Policies/Audit".

f. La sauvegarde
La sauvegarde de votre système est l'élément le plus important dans la mise en place d'une
politique de sécurité. Elle permet de reconstruire votre installation en cas d'intrusion. Il est
préférable qu'elle soit effectuée sur des supports variés (cartouche, cédérom, disque dur
amovible, etc.). La commande tar, sous Unix, est utilisée pour sauvegarder des fichiers sur
bandes ou cassettes. Sous Windows, plusieurs outils existent sur le marché (Arcserve, Seagate,
Computer Associate, etc.) permettant une sauvegarde automatique sur des supports multiples.
Il est très important de vérifier que le produit choisi soit capable non simplement d'effectuer
la sauvegarde du système mais également de le reconstruire entièrement.

ZANDRY MARTHERINOT 10
CONCLUSION
La mise en place d'une politique de sécurité ne s'arrête pas à l'installation du système de
protection (ou garde-barrière). Il faut : paramétrer le système, choisir une stratégie de sécurité,
acheter le matériel approprié, installer les logiciels avec les compétences pertinentes, tracer les
évènements, et sauvegarder les données. Mais cela n'est pas tout. Une politique de sécurité doit
prendre en compte le suivi des mises à jour des logiciels. Il est également important de
s'informer de l'évolution des nouvelles technologies et des techniques de piratage à travers les
publications (news et journaux). En cas d'incident, il faut prendre plusieurs dispositions. En
résumé : décider qui prévenir, évaluer et gérer les dégâts, sauvegarder la configuration actuelle
et reconstruire le système, remettre en cause et réorganiser la politique de sécurité, enfin,
attribuer les responsabilités.

Bibliographie
1. CHBEIR, Richard, Récapitulatif des enjeux et de la mise en place d'une politique de
sécurité dans un réseau informatique, 15 mars 2000.
2. Zaafouri, Sawsen, la sécurité du matériel informatique, Juin 2014

ZANDRY MARTHERINOT 11