Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Chapitre 1 Gestion des risques et sécurité du système d’information 1. Concept

Chapitre 1 Gestion des risques et sécurité du système d’information 1. Concept de sécurité du système d’information 1.1 Définition d’un système d’information 1.2. Structure d’un système d’information 1 1.3. Notion de sécurité  Qu’est-ce que la sécurité ? 2. Gestion de la sécurité du système d’information 2.1. Les critères de sécurité 2 2.2. Explication des objectifs de la sécurité : Pour assurer la sécurité, il faut assurer l’ensemble des objectifs bien définis : 2.2.1. La disponibilité : - La disponibilité d’un service est la probabilité de pouvoir mener correctement à terme une session de travail c'est-à-dire garantir en permanence la communication et l’échange des données pour les personnes autorisées. - Exemple : Dans un réseau grand distance et de topologie maillée, la disponibilité sera réalisée à condition que l’ensemble des liaisons ait été correctement dimensionné et que les politiques de routage soient satisfaisantes. - Une ressource doit être assurée avec un minimum d’interruption. On parle de continuité de service. «Le système doit fonctionner sans faille durant les plages d’utilisation prévues, garantir l’accès aux services et ressources installées avec le temps de réponse attendu » 2.2.2. Intégrité : - Le critère d’intégrité est lié au fait que des ressources ou services n’ont pas été altérés ou détruit tant de façon intentionnelle qu’accidentelle. - Il est indispensable de se protéger contre la modification des données lors de leur stockage, le leur traitement ou de leur transfert. « Les données doivent être celles que l’on s’attend à ce qu’elles soient, et ne doivent pas être altérées de façon fortuite ou volontaire » 2.2.3. Confidentialité : - La confidentialité peut être vue comme la protection des données contre une divulgation non autorisé. - Deux actions complémentaires permettent d’assurer la confidentialité des données: - limiter leur accès par un mécanisme de contrôle d’accès; - Transformer les données par des techniques de chiffrement pour qu’elles deviennent inintelligibles aux personnes qui n’ont pas les moyens de les déchiffrer. 3 - Le chiffrement des données (ou cryptographie) contribue à en assurer la confidentialité des données et à en augmenter la sécurité des données lors de leur transmission ou de leur stockage. « Seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirables doit être empêché » 2.2.4. Authenticité : Les interlocuteurs, émetteur et récepteur doivent pouvoir être identifiés sans qu’il puisse exister le moindre doute sur leur identité. «L’identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d’échange. » 2.2.5. La non-répudiation et l’imputabilité : Garantit la connaissance de l’origine et de la destination d’une action. Ca revient toujours à la confiance à la source de données. « Aucun utilisateur ne doit pouvoir contester les opérations qu’il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s’attribuer les actions d’un autre utilisateur » 3. Gestion des risques 3.1. Connaître les risques pour les maîtriser - Pour une entreprise, l’objectif de la sécurité informatique est de garantir qu’aucune perte ne puisse mettre en danger son développement. - Exemple : Il faut réduire la probabilité de voir des risques se concrétiser, à diminuer les atteintes ou dysfonctionnements, et permettre le retour à un fonctionnement normal à des coûts et des délais acceptables en cas d’incident. - Il faut que les solutions de sécurité informatique assurent tout ou une partie des propriétés suivantes: La disponibilité (aucun retard) : permet l’accessibilité en continu sans dégradation, ni interruption; L’intégrité (aucune falsification): maintient intégralement les données et les programmes sans altération; La confidentialité (aucune écoute illicite): permet de maintenir le secret de l’information et assure l’accès aux seules entités autorisées La pérennité (aucune destruction) : les logiciels et les données sont stockés, ils sont conservés le temps nécessaire; La non-répudiation et l’imputabilité : garantit la connaissance de l’origine et de la destination d’une action Le respect des contraintes règlementaires ou légales (aucun risque juridique); L’authentification (pas de doute sur l’identité d’une ressource) 3.2. Analyse de risque La première étape de management de la sécurité des systèmes doit rendre clair les risques qui visent une organisation : l’analyse de risque. 3.3. Méthodologie d’analyse Pour élaborer une politique de sécurité et arriver à implémenter un tel système de sécurité, on doit passer par 4 étapes : 4 Quoi protéger et pourquoi ? : liste des biens (actifs) sensibles (informations : les données et les applications) à protéger. De quoi protéger ? : liste des menaces et modes opératoires (les attaques) Quels sont les risques ? listes des impacts et probabilités Comment protéger l’entreprise ? liste des contre-mesures 3.4. Exemple : 3.5. Définitions 3.5.1. Risques : Un risque en littérature est la prise en compte par une personne de la possibilité de réalisation d’un événement contraire à ses attentes ou à son intérêt. C’est la possibilité qu’une menace donné exploite les vulnérabilités d’un bien actif ou d’un groupe de biens actifs et nuise donc à l’organisation. Un risque est la combinaison de la probabilité d’un évènement et de ses impacts. Un risque exprime la probabilité qu’une valeur soit perdue en fonction d’une vulnérabilité liée à une menace. Pour évaluer un risque, il y a deux formules à utiliser : Avant implémentation : dans un nouveau système d’information : ……………………………………………………………………….. Après implémentation : le système contient déjà quelques mesures de sécurité implémentées qui peuvent réduire la valeur de risque : ……………………………………………………………………….. La terminologie liée au risque distingue l’analyse, l’évaluation, l’appréciation, le traitement et la gestion du risque : 5 - Analyse du risque : Exploitation systématique d’information pour fixer les sources afin de pourvoir estimer le risque. - Evaluation du risque : c’est le processus de comparaison du risque estimé avec des critères de risque donnés pour identifier l’importance du risque. - Appréciation du risque : Processus d’analyse et d’évaluation du risque. - Traitement du risque : Processus de sélection et implémentation des mesures visant à modifier le risque. - Gestion du risque : activités coordonnées visant à conduire et à piloter une organisation vis-à-vis des risques. 3.5.2. Exemples de risque : a. risque lié à la disponibilité : b. risque lié à la l’intégrité : b. risque lié à la confidentialité : 6 ………………………………………………………… ………………………………………………………… ………………………………………………………… ………………………………………………………… ………………………………………………………… ………………………………………………………… ………………………………………………………… ………………………………………………………… …………………………………………......... ……………………………………………………… ……………………………………………………… ……………………………………………………… ……………………………………………………… ……………………………………………………… ……………………………………………………… ……………………………………………………… ……………………………………………………… ……………………………………………………… ……….. 3.5.3. Niveau de risques Il correspond à l’estimation de sa gravité (impact : l’ampleur d’un risque) et de sa vraisemblance. Niveau de gravité : - négligeable : l’organisme surmontera les impacts sans difficultés. - Limitée : l’organisme surmontera les impacts malgré quelques difficultés. - Importante : l’organisme surmontera les impacts avec de sérieuses difficultés - Critique : l’organisme ne surmontera pas les impacts, sa survie est menacée. Niveau de vraisemblance : force d’occurrence - Minime : cela ne devrait pas se (re)produire. - Significative : cela devrait se (re)produire un jour ou l’autre. - Forte : cela pourrait se reproduire. - Maximale : cela va certainement se reproduire. 3.5.4. Menace : Attaque possible d’un individu sur des biens (les informations) entraînant des conséquences potentielles négatives. Elle est souvent caractérisée par une expertise de l’attaquant, ses ressources disponibles et sa motivation. 7 ……………………………………………………… ……………………………………………………… ……………………………………………………… …………………………………………………......... Exemple : un développeur modifie le code source en vue de détournement de fond (grande expertise et forte motivation si les flux financiers sont importants), vol d’un ordinateur portable lors d’un déplacement (peu d’expertise nécessaire)… 3.5.5. Vulnérabilité : Caractéristique d’une entité qui peut constituer une faiblesse ou une faille au regard de la sécurité de l’information. Ces vulnérabilités peuvent être organisationnelle (ex : pas de politique de sécurité), humaine (ex : pas de formation des personnels), logicielles ou matérielles (ex : utilisation de produits peu fiables ou non testés)… Exemple : les fichiers sur les ordinateurs portables ne sont pas protégés en lecture. 3.5.6. Bien essentiel et bien support : Le bien essentiel est l’information ou processus jugé comme important pour l’organisation autrement dit c’est les fonctions principales réalisées par le système. On appréciera ses besoins de sécurité mais pas ses vulnérabilités. Exemple : le dossier patient et les données médicales, les informations personnelles des patients. Le bien support est un bien sur lequel repose des biens essentiels autrement dit c’est les parties du système qui réalisent les fonctions principales. On appréciera ses vulnérabilités mais pas ses besoins de sécurité. Exemple : les systèmes informatiques, les organisations et les locaux, logiciels, réseau. 4. Gouvernance de la sécurité du système d’information 4.1. Gouvernance des systèmes d’information La gouvernance est un processus qui permet de contrôler stratégiquement des fonctions grâce à des politiques, des objectifs, des délégations de responsabilité, des audits et des métriques. La gouvernance permet aux organes de direction de s’assurer que les processus de système informatique répondent bien aux besoins de l’entreprise. 4.2. Gouvernance de la sécurité des systèmes d’information Ce processus a pour rôle d’identifier les acteurs et les responsabilités, d’identifier et de traiter les risques sur les actifs tangibles et intangibles et de mesurer l’efficacité des processus de sécurité. Il s’articule principalement autour de uploads/Management/ securite-si.pdf