Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Oussama SAOUDI, Eng M.eng (ECP 2001) 1 Origines Origines Origines Origines Les

Oussama SAOUDI, Eng M.eng (ECP 2001) 1 Origines Origines Origines Origines Les responsables de systèmes d'information se préoccupent depuis longtemps de sécuriser les données. Le cas le plus répandu, et sans aucun doute précurseur en matière de sécurité de l'information, reste la sécurisation de l'information stratégique et militaire. Le Department of Defense (DoD) des États-Unis est à l'origine du TCSEC (Trusted Computer System Evaluation Criteria), ouvrage de référence en la matière. De même, le principe de sécurité multi-niveau trouve ses origines dans les recherches de résolution des problèmes de sécurité de l'information militaire. La défense en profondeur (terme emprunté à une technique militaire destinée à retarder l'ennemi) , tout droit sorti d'une pratique militaire ancienne, et toujours d'actualité aujourd'hui. Cette pratique consiste à droit sorti d'une pratique militaire ancienne, et toujours d'actualité aujourd'hui. Cette pratique consiste à sécuriser chaque sous-ensemble d'un système. Les conséquences d'une mauvaise sécurisation peuvent concerner les organisations, mais aussi la vie privée d'une ou plusieurs personnes, notamment par la diffusion d'informations confidentielles comme leurs coordonnées bancaires, leur situation patrimoniale, leurs codes confidentiels, etc. De manière générale, la préservation des données relatives aux personnes fait l'objet d'obligations légales régies par la Loi Informatique. Aujourd'hui, il est généralement admis que la sécurité ne peut être garantie à 100 % et requiert donc le plus souvent la mobilisation d'une panoplie de mesures pour réduire les chances de pénétration des systèmes d'information Oussama SAOUDI, Eng M.eng (ECP 2001) 2 Objectifs Objectifs Objectifs Objectifs « Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » . La sécurité des systèmes d'information vise les objectifs suivants : I. La disponibilité : Le système doit fonctionner sans faille durant les plages d'utilisation prévues et garantir l'accès aux services et ressources installées avec le temps de réponse attendu. II. L'intégrité : Les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon II. L'intégrité : Les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. III. La confidentialité : Seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché. IV. La traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables. V. L'authentification : L'identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d'échange. VI. La non-répudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur. Oussama SAOUDI, Eng M.eng (ECP 2001) 3 Objectifs Objectifs Objectifs Objectifs Une fois les objectifs de la sécurisation déterminés, les risques pesant sur chacun de ces éléments peuvent être estimés en fonction des menaces. Le niveau global de sécurité des systèmes d'information est défini par le niveau de sécurité du maillon le plus faible. Les précautions et contre-mesures doivent être envisagées en fonction des vulnérabilités propres au contexte auquel le système d'information est censé apporter service et appui. Il faut pour cela estimer : la gravité des impacts au cas où les risques se réaliseraient, la vraisemblance des risques (ou leur potentialité, ou encore leur probabilité d'occurrence). Oussama SAOUDI, Eng M.eng (ECP 2001) 4 Démarche générale Démarche générale Démarche générale Démarche générale Pour sécuriser les systèmes d'information, la démarche consiste à : I. évaluer les risques et leur criticité : quels risques et quelles menaces, sur quelles données et quelles activités, avec quelles conséquences ? On parle de « cartographie des risques ». De la qualité de cette cartographie dépend la qualité de la sécurité qui va être mise en œuvre. II. rechercher et sélectionner les parades : que va-t-on sécuriser, quand et comment ? Étape difficile des choix de sécurité : dans un contexte de ressources limitées (en temps, en Étape difficile des choix de sécurité : dans un contexte de ressources limitées (en temps, en compétences et en argent), seules certaines solutions pourront être mises en œuvre. III. mettre en œuvre les protections, et vérifier leur efficacité. C'est l'aboutissement de la phase d'analyse et là que commence la protection du système d'information. Une faiblesse fréquente de cette phase est d'omettre de vérifier que les protections sont bien efficaces : tests de fonctionnement en mode dégradé, tests de reprise de données, tests d'attaque malveillante…. Oussama SAOUDI, Eng M.eng (ECP 2001) 5 Phase PLAN Phase PLAN Phase PLAN Phase PLAN Planification de la démarche de sécurisation des systèmes Planification de la démarche de sécurisation des systèmes Planification de la démarche de sécurisation des systèmes Planification de la démarche de sécurisation des systèmes d'information d'information d'information d'information Étape 1 : Périmètre et Politique Il est important de prendre en compte les actifs ayant de la valeur en définissant un périmètre du Système de Management de la Sécurité de l'Information (SMSI) (en anglais : Information security management system, ou ISMS) Il peut être orienté sur l’ensemble de l’entreprise, sur un site précis, sur un service en fonction de la stratégie de l’entreprise. Le capital intellectuel des entreprises intègre des informations sensibles, ce patrimoine informationnel doit Le capital intellectuel des entreprises intègre des informations sensibles, ce patrimoine informationnel doit être protégé : 1. L’entreprise doit donc définir une politique du SMSI, qui est l’engagement de l’entreprise sur un certain nombre de points en matière de sécurité. 2. De plus il faut mettre en place une politique de sécurité des systèmes d’information, de sécurité des données, et des mécanismes d’identification. Ces deux points forment la pierre angulaire du SMSI, dans le but d’établir la norme ISO 27001 et ainsi d’apporter la confiance aux parties prenantes Oussama SAOUDI, Eng M.eng (ECP 2001) 6 Phase PLAN Phase PLAN Phase PLAN Phase PLAN Planification de la démarche de sécurisation des systèmes Planification de la démarche de sécurisation des systèmes Planification de la démarche de sécurisation des systèmes Planification de la démarche de sécurisation des systèmes d'information d'information d'information d'information Étape 2 : Évaluation des risques Tenter de sécuriser un système d'information revient à essayer de se protéger contre les menaces intentionnelles (voir Guide des menaces intentionnelles) et d'une manière plus générale contre tous les risques pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite. I. Méthode d'analyse des risques Différentes méthodes d'analyse des risques sur le système d'information existent. Voici les méthodes d’appréciation des risques les plus courantes : En France, la première méthode développée a été Marion. Aujourd’hui elle a été remplacée, même si En France, la première méthode développée a été Marion. Aujourd’hui elle a été remplacée, même si certaines entreprises ont conservé ce modèle initial, par la méthode Mehari (méthode harmonisée d'analyse des risques) développée par le CLUSIF, et par la méthode EBIOS (expression des besoins et identification des objectifs de sécurité) développée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). En Angleterre, Cramm est une méthode d'analyse des risques développée par l'organisation du gouvernement britannique ACTC (Agence centrale de communication et des télécommunications). C’est la méthode d'analyse des risques préférée par le gouvernement britannique, mais elle est également utilisée par beaucoup d’autre pays. Les États-Unis utilisent OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), développée par l'Université de Carnegie Mellon. Oussama SAOUDI, Eng M.eng (ECP 2001) 7 Phase PLAN Phase PLAN Phase PLAN Phase PLAN Planification de la démarche de sécurisation des systèmes Planification de la démarche de sécurisation des systèmes Planification de la démarche de sécurisation des systèmes Planification de la démarche de sécurisation des systèmes d'information d'information d'information d'information Étape 2 : Évaluation des risques À l'international, on utilise ISO 27005, qui est une méthode internationale répondant point par point aux exigences de l’ISO 27001. C’est la norme la plus récente, de plus elle est facilement applicable car pragmatique. Même si le but de ces méthodes est identique, les termes et les expressions utilisés peuvent varier. Ceux utilisés sont globalement inspirés de la méthode Feros. Les autres méthodes les plus utilisées à l'international Oussama SAOUDI, Eng M.eng (ECP 2001) 8 méthode Feros. Paradoxalement, dans les entreprises, la définition d'indicateurs « sécurité du SI » mesurables, pertinents et permettant de définir ensuite des objectifs dans le temps raisonnables à atteindre, s'avère délicate. Pour mesurer la performance on peut désigner comme indicateurs les états d'installation d'outils ou de procédures, mais les indicateurs de résultats sont plus complexes à définir et à apprécier, par exemple ceux concernant les « alertes virales » Phase PLAN Phase PLAN Phase PLAN Phase PLAN Planification de la démarche de sécurisation des systèmes Planification de la démarche de sécurisation des systèmes Planification de la démarche de sécurisation des systèmes Planification de la démarche de sécurisation des systèmes d'information d'information d'information uploads/Management/it-security-management.pdf