Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Livre Blanc du Groupe 4 Sécurité des Systèmes d’Information Bruno DOUCENDE Dire

Livre Blanc du Groupe 4 Sécurité des Systèmes d’Information Bruno DOUCENDE Directeur Pôle Sécurité des Systèmes d'Information au Groupe 4 Signature numérique de GROUPE 4 DN : cn=GROUPE 4, o=Groupe 4 - 4IM SAS, ou=Edition Livre Blanc, email=contact@group e4.fr, c=FR Date : 2008.12.03 19:15:05 +01'00' Livre Blanc du Groupe 4 Sécurité des Systèmes d’Information Copyright Copyright © 2004-2009 Groupe4, 4IM SAS. Tous droits réservés Mention sur les droits restreints Ce document est protégé par copyright et ne peut être copié, photocopié, reproduit, traduit ou converti sous forme électronique ou toute autre forme exploitable par un ordinateur, en tout ou partie, sans le consentement préalable écrit du Groupe 4, 4IM SAS. Les informations contenues dans ce document sont sujettes à modification sans préavis et ne constitue aucun engagement de la part du Groupe 4. LA DOCUMENTATION EST FOURNIE « TELLE QUELLE » SANS GARANTIE D’AUCUNE SORTE, Y COMPRIS MAIS SANS LIMITATION, TOUTE GARANTIE DE QUALITE MARCHANDE OU D’ADEQUATION A UN USAGE PARTICULIER. DE PLUS, GROUPE 4, 4IM, NE FOURNIT AUCUNE GARANTIE CONCERNANT L’UTILISATION OU LE RESULTAT DE L’UTILISATION DU DOCUMENT EN TERMES E VERACITE, D’EXACTITUDE, DE FIABILITE OU AUTRES. Marques commerciales et de service Copyright © Groupe4, 4IM SAS. Tous droits réservés. Toutes autres noms ou marques sont la propriété de leurs détenteurs respectifs. CWP1567D1252-1A Copyright © 2004‐2009 Groupe4, 4IM SAS. Tous droits réservés 2 Livre Blanc du Groupe 4 Sécurité des Systèmes d’Information Avant Propos La sécurité des systèmes informatiques et plus globalement des systèmes d’information (SI) a été considéré pendant très longtemps par les entreprises, comme un aspect de second plan. Peu à peu, une prise de conscience amène la Sécurité des SI sur le devant de la scène. La raison principale est liée à la multitude d’incidents et plus grave, de sinistres qui provoquent de lourdes pertes aussi bien pour les entreprises que pour le simple citoyen. Mais le chemin est encore long pour que la Sécurité des SI soit une véritable réalité dans les organismes et les entreprises petites, moyennes ou grandes. Encore trop souvent, j’entends dire « Mon entreprise est sécurisée car elle dispose d’un firewall et d’un antivirus ». Si cela est un bon début, il ne s’agit que des premières marches de l’immense escalier de la Politique de Sécurité des SI, que l’on pourrait comparer à l’escalier infini du mathématicien Penrose. La sécurité des systèmes d’information est un (très) vaste domaine en perpétuelle évolution. L’escalier de Penrose illustration : Philip Ronan Malheureusement la sécurité est appréhendée correctement après un sinistre important. « La sécurité a un coût », me dit-on. Je réponds : « Exact ! Mais la non-sécurité a également un coût.» Plus généralement, le système d’information a un coût. Mais bien conçu, bien utilisé le système d’information s’avère être un atout de performance pour un organisme. On associe alors, Système d’information et gain de productivité. La vision de la Sécurité des SI doit être semblable, au détail près qu’elle n’engendre pas de gain en premier lieu, mais elle évite des pertes (liées à un sinistre). Bien appréhendée, la sécurité des SI ou plus simplement la sécurité de l’information, peut apporter un avantage concurrentiel. L’approche de la Sécurité de l’information est donc un enjeu financier et même stratégique pour les organismes. Il faut donc penser et concevoir la Sécurité des systèmes d’information comme un investissement. Et en cela, c’est un véritable chantier. C’est l’objectif de ce livre blanc : Faire prendre conscience de l’enjeu sécuritaire et présenter dans ses grandes lignes, les contours d’une approche gagnante de la Sécurité des SI. Ainsi dans cette perspective, sensibiliser et former l’ensemble des acteurs de l’entreprise et des organismes, est une première pierre à l’édifice. Naturellement ce livre blanc est une synthèse et de fait n’est pas exhaustif. Le terme générique d’Organisme sera employé pour désigner globalement les entreprises, organisations, administrations, collectivités territoriales, … . Copyright © 2004‐2009 Groupe4, 4IM SAS. Tous droits réservés 3 Livre Blanc du Groupe 4 Sécurité des Systèmes d’Information A Propos de l’Auteur Bruno DOUCENDE est Consultant indépendant spécialisé en Sécurité des Systèmes d’information. Ingénieur en Informatique EFREI, après plusieurs années en Société de Service en tant qu'Ingénieur d'Etudes & Développement et Chef de Projet, Bruno DOUCENDE a pris en charge, la direction d’unités de Recherche & Développement en conception logicielle et en exploitation d’infrastructures dans le domaine des systèmes d’information et des NTIC. Il a assuré des missions à responsabilité opérationnelle, d’organisation, de pilotage, d’audit, de stratégie & conseil, et de management dans la conception, le développement et l’exploitation de systèmes d’information pour divers secteurs d’activités : le médical, les transports, les administrations, collectivités locales, l’Aéronautique, Industrie, Les sociétés de services, ... Ces expériences l'ont amené à être en permanence au contact des problématiques et besoins des entreprises et ainsi appréhender et participer à leur stratégie globale dans un contexte concurrentiel, où la sécurisation de leur Système d’Information constitue un enjeu majeur. Fort de ces expériences professionnelles réussies, Bruno Doucende accompagne aujourd’hui les sociétés, en tant que consultant sous l’enseigne Synertic Conseil. Il anime des séminaires sur la sécurité des systèmes d’information en France et à l’International, auprès des petites, moyennes et grandes entreprises, administrations et ministères. Il les accompagne et les assiste dans l’élaboration et le suivi de leur politique de sécurité des SI. Au sein des Ecoles d'Ingénieur-Manager et Centre de Formation du Groupe 4, Bruno DOUCENDE a pris en charge le pôle Sécurité des SI et intervient comme enseignant dans les domaines de la Sécurité des Systèmes d’Information, du Management de la Qualité, de l’Intelligence Economique. Il fait également parti des consultants qui encadrent et assurent le suivi des projets « Sim Game », mettant en situation réelle un projet d’envergure, sur un système d’information avec des équipes de 20 à 50 personnes durant plusieurs mois. Copyright © 2004‐2009 Groupe4, 4IM SAS. Tous droits réservés 4 Livre Blanc du Groupe 4 Sécurité des Systèmes d’Information Sommaire Contexte .................................................................................................................................. 6 La sécurité des SI : Effet Marketing ou Réel Besoin? ........................................................ 9 L’homme : le maillon faible ................................................................................................. 13 Les codes malicieux : Véritable pandémie ........................................................................ 16 Vulnérabilité et Intrusion : le vol à l’étalage ...................................................................... 18 La protection de l’information ............................................................................................ 19 Les aspects juridiques ........................................................................................................ 21 Concevoir des solutions sécurisées : Une nécessité ...................................................... 22 Management de la sécurité : une vision globale .............................................................. 25 De la Protection à la Maitrise Stratégique de l’Information ............................................. 28 Le RSSI : une compétence transverse, un rôle stratégique ............................................ 29 Conclusion : « La Sécurité, c’est l’affaire de tous ! » ....................................................... 30 Copyright © 2004‐2009 Groupe4, 4IM SAS. Tous droits réservés 5 Livre Blanc du Groupe 4 Sécurité des Systèmes d’Information Contexte La société de l’information : Une évidence Une information est une donnée qui a un sens. En fonction d’un modèle d’interprétation, une donnée constitue une signification pour une personne au moment où celle-ci va en prendre connaissance. Une information peut apporter à celui qui la détient un avantage substantiel. On parle alors de valeur de l’information. Quelque soit les domaines, la connaissance ou la maitrise de l’information peut s’avérer un atout décisif. Cela est vrai depuis la nuit des temps. Mais aujourd’hui, grâce à l’essor des technologies de l’information et de la communication, la gestion de l’information devient plus aisée et plus efficiente. Aujourd’hui, qui pourrait nier l’omniprésence de l’outil informatique dans nos quotidiens, que ce soit dans le domaine professionnel ou à la maison. L’environnement et les outils numériques se sont propagés partout, la simplicité et la facilité d’accès et de manipulation de l’informat L’outil informatique a permis d’optimiser l’acquisition, le traitement et la production ion, sous toutes ses formes, est une réalité. ajorité des es systèmes d’Information : Un atout majeur ence est âpre, pour assoir leur position de productivité. Pour répondre à ces d’information. L’interconnexion des systèmes et le développement des réseaux a complété les possibilités de partage, de diffusion et de communication de cette information. Bien évidement, l’activité économique n’y a pas échappée. Si bien que la m entreprises ne peuvent plus se passer de leur système d’information. Dépendance des entreprises vis‐à‐vis de leur Système d’Information (Clusif 2008) L Dans le contexte de mondialisation où la concurr les entreprises sont en quête de compétitivité, nécessités, les technologies de l’information et de la communication, sont devenues incontournables dans le quotidien des entreprises. La maitrise et la réactivité de l’information constituent un avantage stratégique. Les systèmes d’informations sont un enjeu, un défi pour les entreprises, organismes et administrations. Ainsi les Systèmes d’Information ont un périmètre fonctionnel de plus en plus large et complexe avec une exigence d’adaptation et d’évolutivité très importante et véloce. Copyright © 2004‐2009 Groupe4, 4IM SAS. Tous droits réservés 6 Livre Blanc du Groupe 4 Sécurité des Systèmes d’Information Si les technologies de l’Information et de la communication sont aujourd’hui un facteur de progrès et de croissance incontestable pour les entreprises, elles sont aussi leur talon L’insécurité des SI : Des exemples à foisons simplement à travers e de virus ier n à ne pas omettre, concerne les défaillances u système uploads/Management/ livre-blanc-ssi-v1-4c-0.pdf