Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 SUPPORT DE COURS D’AUDIT ET SECURITE DES SYSTEMES D’INFORMATION PARTIE 1 : SE

1 SUPPORT DE COURS D’AUDIT ET SECURITE DES SYSTEMES D’INFORMATION PARTIE 1 : SECURITE DES SYSTEMES D’INFORMATION INTRODUCTION La Sécurité des Système d’Information ne se résume pas à protéger son informatique. Un dégât des eaux, pas de sauvegarde à l’abri et c’est votre entreprise qui est en péril. Vos procédés de fabrication piratés, vos secrets professionnels découverts ; c’est votre bénéfice qui s’envole. Que vous utilisiez peu ou beaucoup d’informatique, votre entreprise en est forcément dépendante. Et si la survie de votre entreprise tenait à la sécurité de votre système d’Information (SI) ? alors il faudrait bien qu’il soit protégé. L’usage d’outils nomades (téléphone, PDA, clés USB), d’accès distants aux données internes de l’entreprise, connexion sans fil à Internet … : ces nouveaux usages facilitent la dématérialisation et la circulation de l’information mais génèrent de nouveaux risques. Selon une étude réalisée par l’Espace Numérique Entreprises auprès de 350 PME du Rhône, plus d’un tiers des entreprises reconnaissent avoir perdu des données dans l’année. Quelles qu’en soient les causes, ces pertes engendrent des coûts directs (remplacement des équipements, chômage technique des salariés) et indirects (perte d’image) ainsi que des conséquences parfois irréversibles pour l’entreprise. Sécuriser son système d’information ne se résume pas qu’à prendre de nouvelles mesures techniques, c’est aussi protéger l’information stratégique de l’entreprise (plans, fichiers client, etc.). Le vol ou l’altération de ces données capitales aura certainement des conséquences parfois irréversibles pour l’entreprise. Par ailleurs, la sécurité des systèmes d’information représente également un avantage concurrentiel car elle offre la garantie aux clients et partenaires que les informations confidentielles, confiées à votre entreprise (cahiers des charges, plans), sont protégées. L’informatique n’étant finalement qu’un moyen de faciliter la gestion de l’information, il serait donc réducteur de considérer que protéger ses outils, c’est protéger l’information de l’entreprise. La sécurité des systèmes d’information (SSI) prend en compte tous les éléments qui composent le SI : les utilisateurs, les procédures et les outils. Protéger son SI, c’est donc aussi sensibiliser les utilisateurs à la sécurité ou revoir certaines procédures comportant des risques pour le patrimoine informationnel de l’entreprise. Dans cette partie, il sera question de traiter des sujets clés liés à la sécurisation du système d’information d’une entreprise à travers des fiches explicatives qui constitueront les chapitres de cette dernière. 2 CHAPITRE 1 : EVALUATION DE L’IMPORTANCE DES INFORMATIONS POUR MIEUX LES PROTEGER SITUATION-PROBLEME : "Ce n’était qu’un fichier parmi tant d’autres mais mises à disposition d’un concurrent, les données sont devenues des informations stratégiques." Tous les éléments d’un système d’information n’ont pas besoin d’être sécurisés de la même manière. Protéger l’ensemble de son système d’information à un même niveau de sécurité se révèlerait d’ailleurs extrêmement coûteux. Certaines informations stratégiques nécessitent une protection importante mais elles ne représentent pas la majorité des données d’une entreprise. C’est pourquoi la Sécurité d’un Système d’Information (SSI) implique une réflexion au préalable sur la valeur de l’information avant de mettre en place des outils de protection. Le but est de trouver le meilleur compromis entre les moyens que l’on est prêt à consacrer pour se protéger et la volonté de parer les menaces identifiées. Ce chapitre vous explique comment hiérarchiser les données à protéger en fonction de leur importance stratégique et comment mettre en place une politique de sécurité adéquate. Les points clés à retenir sont :  Réaliser un état des lieux afin d’avoir une vision d’ensemble de son système d’information et élaborer une classification des données.  Formaliser et faire connaître les règles générales de sécurité à tous les acteurs du système d’information.  Etre sélectif : il est impossible de protéger toute l’information à un fort niveau de sécurité. 1.1. Identifier ce qui doit être protégé. La première étape est de réaliser un état des lieux afin d’avoir une vision d’ensemble de son système d’information. Il n’est pas toujours facile pour un dirigeant de mesurer l’étendue de l’information détenue par son entreprise car elle n’est généralement pas stockée dans un lieu unique. Dans un premier temps, commencez par recenser :  Les ressources internes de votre entreprise : messagerie électronique (emails, contacts, agenda), données stratégiques, fichier clients, données techniques…  Les ressources de l’entreprise exploitées ou détenues par un prestataire extérieur ou un tiers.  Les ressources appartenant à un prestataire extérieur exploitées par lui au profit de votre entreprise. 1.2. Hiérarchiser la valeur des informations Pour définir le degré de valeur ajoutée de chaque type de données, hiérarchisez la valeur des informations selon l’importance de leur disponibilité et de leur intégrité. Attribuez ensuite des droits d’accès aux documents à l’aide de profils utilisateurs selon leur degré de responsabilité dans l’entreprise. Il est préférable de désigner une personne responsable pour ce type d’activité. Pour vous aider dans la démarche de classification de vos données, vous pouvez vous inspirer librement du tableau ci-dessous dont la légende est la suivante : 3  Information sensible : information susceptible de causer des préjudices à l’entreprise si elle est révélée à des personnes mal intentionnées pouvant entraîner la perte d’un avantage compétitif ou une dégradation du niveau de sécurité.  Information stratégique : information essentielle et critique contenant la valeur ajoutée de l’entreprise (savoir-faire, procédures, méthodes de fabrication…). Tableau 1.1. Tableau de classification des informations de l’entreprise selon leur degré d’importance Information divulgable (faible valeur ajoutée) Information sensible1 (moyenne valeur ajoutée) Information stratégique2 (forte valeur ajoutée) Accès autorisé pour les personnes Contacts et dossiers du personnel Factures clients Factures fournisseurs Listes fournisseurs Données comptables Relevés de compte Propositions commerciales Contrats commerciaux Contrats de travail Données de production Grille tarifaire des produits Procédés de fabrication Veille concurrentielle Autre Voici quelques exemples donnés à titre indicatif permettant de remplir le tableau :  La divulgation d’une proposition commerciale peut permettre à un concurrent de remporter un appel d’offre en proposant un meilleur prix (Information sensible).  La diffusion d’un catalogue de produits accompagnée des prix permet à des prospects de faire appel aux services de l’entreprise. (Information ouverte) En général, dans les entreprises :  5% de l’information est stratégique : toute information permettant de mettre à nu la valeur ajoutée de l’entreprise ou divulguant ses avantages compétitifs.  15 % de l’information est sensible : ensemble des données qui, associées et mises en cohérence, peuvent révéler une partie de l’information stratégique.  80% de l’information est divulgable (ouverte) : ensemble des données diffusables à l’extérieur de l’entreprise sans pour autant lui être préjudiciable. 4 Il est courant de dire qu’en matière de SSI, 80% de l’effort en matière de sécurité (budget, ressources) doit être consacré à sécuriser les 20 % de données qui contiennent 80% de l’information stratégique de l’entreprise. 1.3. Evaluation des risques La phase d’évaluation des risques internes et externes permet d’identifier les différentes failles, d’estimer leur probabilité et d’étudier leur impact en estimant le coût des dommages qu’elles causeraient. Une menace est une action susceptible de nuire et de causer des dommages à un système d’information ou à une entreprise. Elle peut être d’origine humaine (maladresse, attaque) ou technique (panne) et être interne ou externe à l’entreprise. Le CLUSIF (Club de la Sécurité de l’Information Français) a établi une grille des menaces types et de leurs conséquences dans un document intitulé Plan de continuité d’activité – Stratégie et solutions de secours du SI et publié en 2003. Pour chaque menace, il convient ensuite d’estimer la probabilité qu’elle se concrétise. L’analyse d’impact consiste à mesurer les conséquences d’un risque qui se matérialise. A titre d’exemple, l’Afnor a établi un système de classification des risques liés aux informations (Tableau ci- après). 1.2. Tableau de classification des risques selon le degré d’importance des informations (Afnor) 3 : secret 2 : confidentiel 1 : diffusion contrôlée Préjudice potentiel Préjudice grave Séquelles compromettant l’action à court et moyen terme Préjudice faible Perturbation ponctuelles Préjudice faible Perturbation ponctuelles Risques tolérés Aucun risque même résiduel n’est acceptable Des risques très limités peuvent être pris Des risques sont pris en connaissance de cause Protection Recherche d’une protection maximale Prise en compte de la notion de probabilité d’occurrence La fréquence et le coût du préjudice potentiel déterminent les mesures prises 5 Vous pouvez également vous aider de méthodes d’analyse de risques approfondies et reconnues telles que : EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) ; MEHARI (Méthode Harmonisée d’Analyse de Risques) qui seront abordée dans la partie 2. 1.4. Bâtir une politique de sécurité adéquate 1.4.1. Les grands principes La SSI repose sur trois finalités :  L’intégrité du SI : s’assurer de son bon fonctionnement, de l’exactitude des données et de leur intégrité.  La confidentialité SI : s’assurer que seules les personnes autorisées ont accès aux données.  La disponibilité du SI : s’assurer que les différentes ressources (ordinateurs, réseaux, périphériques, applications) sont accessibles au moment voulu par les personnes autorisées. En fonction de ces objectifs, la politique de sécurité de l’entreprise va se décliner de trois manières :  Stratégique : définition des objectifs globaux de sécurité, définition qui découle du travail d’état des lieux, de hiérarchisation des données selon uploads/Management/ support-de-cours-assi-partie-seurite-des-si.pdf