Remove ads
récapitulatif des techniques en rapport avec la sécurité des systèmes d'information De Wikipédia, l'encyclopédie libre
La sécurité des systèmes d’information (SSI) ou plus simplement sécurité informatique, est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place de moyens visant à empêcher l'utilisation non autorisée, le mauvais usage, la modification ou le détournement du système d'information. Assurer la sécurité du système d'information est une activité du management du système d'information.
La sécurité est un enjeu majeur pour les entreprises. Elle n'est plus confinée uniquement au rôle de l’informaticien. Sa finalité à long terme est de maintenir la confiance des utilisateurs et des clients. La finalité à moyen terme est la cohérence de l’ensemble du système d’information. À court terme, l’objectif est que chacun ait accès aux informations dont il a besoin.
Une des méthodes les plus connues traitant de l'analyse des risques SSI est la méthode EBIOS Risk Manager. Une des normes les plus connues traitant des systèmes de management de la sécurité de l'information (SMSI) est l’ISO/CEI 27001 (créée en 2005) qui insiste sur la triade disponibilité, intégrité et confidentialité.
Les responsables de systèmes d'information se préoccupent depuis longtemps de sécuriser les données. Le cas le plus répandu, et sans aucun doute précurseur en matière de sécurité de l'information, reste la sécurisation de l'information stratégique et militaire. Le Department of Defense (DoD) des États-Unis est à l'origine du TCSEC, ouvrage de référence en la matière. De même, le principe de sécurité multi-niveau trouve ses origines dans les recherches de résolution des problèmes de sécurité de l'information militaire. La défense en profondeur, tout droit sorti d'une pratique militaire ancienne, et toujours d'actualité aujourd'hui (principe promu par l'ANSSI dès 2001). Cette pratique consiste à sécuriser chaque sous-ensemble d'un système.
Les conséquences d'une mauvaise sécurisation peuvent concerner les organisations, mais aussi la vie privée d'une ou plusieurs personnes, notamment par la diffusion d'informations confidentielles comme leurs coordonnées bancaires, leurs situations patrimoniales, leurs codes confidentiels, etc. De manière générale, la préservation des données relatives aux personnes fait l'objet d'obligations légales régies par la Loi Informatique et Libertés. Plus récemment le Parlement européen et le Conseil de l’Union européenne ont adopté en juillet 2016 la directive Network and Information Security (NIS), afin d'améliorer la sécurité des systèmes d'information européen (voir site web de l'ENISA).
Il est généralement admis que la sécurité ne peut être garantie à 100 % et requiert donc le plus souvent la mobilisation d'une panoplie de mesures pour réduire les chances de pénétration des systèmes d'information.
« Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu »[1].
La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :
D'autres aspects peuvent aussi être considérés comme des objectifs de la sécurité des systèmes d'information, tels que :
Une fois les objectifs de la sécurisation déterminés, les risques pesant sur chacun de ces éléments peuvent être estimés en fonction des menaces. Le niveau global de sécurité des systèmes d'information est défini par le niveau de sécurité du maillon le plus faible. Les précautions et contre-mesures doivent être envisagées en fonction des vulnérabilités propres au contexte auquel le système d'information est censé apporter service et appui.
Il faut pour cela estimer :
Pour sécuriser les systèmes d'information, la démarche adopte une spirale évolutive régulière : la fin d'un cycle entraîne le début d'un nouveau, comme dans la roue de Deming. En sécurité cela consiste à :
Il est important de prendre en compte les actifs ayant de la valeur en définissant un périmètre du système de management du système d’information. Il peut être orienté sur l’ensemble de l’entreprise, sur un site précis, sur un service en fonction de la stratégie de l’entreprise. Le capital intellectuel des entreprises intègre des informations sensibles, ce patrimoine informationnel doit être protégé. L’entreprise doit donc mettre en place une politique de sécurité des systèmes d’information, de sécurité des données, et des mécanismes d’identification. De plus, il faut définir une politique du SMSI, qui est l’engagement de l’entreprise sur un certain nombre de points en matière de sécurité. Ces deux points forment la pierre angulaire du SMSI, dans le but d’établir la norme ISO/CEI 27001 et ainsi d’apporter la confiance aux parties prenantes.
Tenter de sécuriser un système d'information revient à essayer de se protéger contre les menaces intentionnelles[2] et d'une manière plus générale contre tous les risques pouvant avoir une influence sur la sécurité de celui-ci ou des informations qu'il traite.
Différentes méthodes d'analyse des risques sur le système d'information existent. Voici les méthodes d’appréciation des risques les plus courantes :
En France, la première méthode développée a été Marion. Aujourd’hui, elle a été remplacée, même si certaines entreprises ont conservé ce modèle initial, par la méthode Méhari (Méthode harmonisée d'analyse des risques) développée par le CLUSIF, et par la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité) développée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
En Angleterre, Cramm est une méthode d'analyse des risques développée par l'organisation du gouvernement britannique ACTC (Agence centrale de communication et des télécommunications). C’est la méthode d'analyse des risques préférée par le gouvernement britannique, mais elle est également utilisée par beaucoup d’autres pays.
Les États-Unis utilisent OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), développée par l'Université de Carnegie Mellon.
À l'international, on utilise ISO/CEI 27005, qui est une norme internationale répondant point par point aux exigences de la certification ISO/CEI 27001. C’est la norme la plus récente, de plus elle est facilement applicable car pragmatique.
Méthode | Auteur | Pays |
---|---|---|
Risk Assessment | Platinum squared | Royaume-Uni |
Afhankelijkheids | Ministère néerlandais | Pays-Bas |
ISAMM | Evosec | Belgique |
IT-Grundschutz | BSI | Allemagne |
Magerit | Ministère espagnol | Espagne |
Migra | AMTEC/ElsagDatamat | Italie |
SP 800-30 | NIST | USA |
ISO 17799 | ISO | International |
ISO 13335 | ISO | International |
ISO 14408 | ISO | International |
Même si le but de ces méthodes est identique, les termes et les expressions utilisés peuvent varier. Celles utilisées ci-dessus sont globalement inspirés de les méthodes EBIOS, Feros, ainsi que la méthode d'audit MASSIA (Méthode d’Audit de la Sécurité des Systèmes d’Information de l’Armement) première méthode d'audit employée au Ministères de la Défense dès 1994 (donc bien avant les autres méthodes notamment ISO apparues à partir des années 2000).
Paradoxalement, dans les entreprises, la définition d'indicateurs « sécurité du SI » mesurables, pertinents et permettant de définir ensuite des objectifs dans le temps raisonnables à atteindre, s'avère délicate. Pour mesurer la performance on peut désigner comme indicateurs les états d'installation d'outils ou de procédures, mais les indicateurs de résultats sont plus complexes à définir et à apprécier, par exemple ceux concernant les « alertes virales »[évasif].
Cela consiste à faire une liste de tous les éléments importants en matière d’information au sein du périmètre SMSI. Il existe différents types d'actifs :
Pour l’identification des actifs, trois problèmes se posent :
Il est aujourd'hui indispensable de disposer de plans de sécurisation de l'activité pour en assurer la continuité et la reprise si un sinistre survient (Plan de reprise d'activité). Ces plans tentent de minimiser les pertes de données et d’accroître la réactivité en cas de sinistre majeur. Un plan de continuité d'activité efficace est quasi-transparent pour les utilisateurs, et garantit l'intégrité des données sans aucune perte d'information.
C’est la personne responsable d’un bien qui en répond. Il s’agit en général de celle qui connaît le mieux la valeur et les conséquences de disponibilité, d’intégrité et de confidentialité de l’actif. Dans une entreprise c’est généralement le responsable de la sécurité des systèmes d’information qui connaît le mieux les actifs de l’information.
Chaque actif recensé présente des vulnérabilités, c’est une propriété intrinsèque du bien qui l’expose à des menaces.
Les vulnérabilités précédemment identifiées exposent les biens à des menaces. La norme ISO/CEI 27001 impose l’identification des menaces pour tous les biens recensés.
Les principales menaces auxquelles un système d’information peut être confronté sont :
La norme ISO 27001 oblige l’évaluation de conséquences ; tel que : la perte de confidentialité, de disponibilité ou d’intégrité. Cela revient à donner une note en trois dimensions (confidentialité ; disponibilité et intégrité), selon des critères définis, pour chaque actif.
Quatre types de dommages peuvent affecter le système d'information d'une organisation:
Il s’agit de remettre le bien d’information dans son contexte environnemental et donc de prendre en compte les mesures qui sont déjà mises en place (ex. : si un fichier client est déjà chiffré, alors la vraisemblance de voir sa confidentialité compromise est limitée). Il est possible d’évaluer la notion de vraisemblance par une note sur une échelle de 1 à 5.
L’attribution d’une note finale reflétera le niveau de risque réel tout en tenant compte des éléments ci-dessus. La norme ISO 27001 n’impose aucune formule c’est donc à l’implémenteur de la choisir. Il peut s’agir d’une note allant de 0 à 100 ou d’un code couleur.
L’entreprise peut traiter les risques identifiés de 4 façons :
Enfin, il ne faut pas oublier de prendre en compte les « Risques résiduels » qui persistent après la mise en place de l’ensemble des mesures de sécurité. Il faut prendre des mesures complémentaires de protection pour rendre ces risques acceptables.
L'implémentation de la norme ISO2/CEI 27001 se déroule généralement en cinq phases complémentaires:
L’étape de planification identifie les mesures à prendre dans l’organisation, mais ne permet pas de les mettre en place concrètement. Il faut les organiser, sélectionner les moyens nécessaires et définir les responsabilités en établissant un plan de traitement des risques. Cette étape relève de la gestion de projet.
De nombreux moyens techniques peuvent être mis en œuvre pour assurer une sécurité du système d'information. Il convient de choisir les moyens nécessaires, suffisants, et justes. Voici une liste non exhaustive de moyens techniques pouvant répondre à certains besoins en matière de sécurité du système d'information :
Une des nouveautés de la norme ISO/CEI 27001 est d’exiger une vérification régulière de la sécurité. Le responsable doit choisir des indicateurs qui permettent de mesurer sa fiabilité. Ils peuvent être de deux sortes :
L’information du personnel est primordiale dans la réussite d’un projet de sécurisation du SI, pour qu’il en comprenne l’utilité et sache l’appliquer. Une bonne pratique est donc de sensibiliser l’ensemble du personnel aux enjeux de la sécurité informatique pour leur organisation, de manière généraliste. Cette explication doit rappeler les engagements de l’organisation, et donner des exemples très pratiques et des procédures internes pour éviter les incidents les plus habituels. Les employés directement concernés par la sécurité informatique doivent être formés pour qu’ils sachent utiliser correctement les outils.
Une formation incluant l’inoculation psychologique contre les techniques d’ingénierie sociale, permet aux gens de résister aux tentations de s’écarter des procédures et des principes de sécurité.
La norme ISO/CEI 27001 n’impose pas seulement de mettre en place un système de sécurité, mais aussi de prouver son efficacité. Les entreprises doivent donc gérer correctement leurs ressources et développer la traçabilité.
Cette phase repose sur la théorie de time-based security. Le principe est de prendre en compte le délai nécessaire pour qu’une attaque contre la sécurité réussisse. Pendant ce laps de temps, l’entreprise doit être capable de détecter la menace et de la contrer, avec une marge de sécurité supplémentaire.
Il doit y avoir des moyens de contrôle pour surveiller l’efficacité du SMSI ainsi que sa conformité.
Il existe des outils pour vérifier cela comme :
Les audits internes : Audit planifié longtemps en avance et faisant appel à des auditeurs.
Le contrôle interne : Contrôle en permanence au sein de l’organisation, pour vérifier que chacun applique les procédures au quotidien.
Les réexamens : Prendre du recul pour mettre en adéquation le SMSI et son environnement.
On peut s’aider de :
Après la mise en lumière de dysfonctionnements grâce à la phase Check, il est important de les analyser et de mettre en place des :
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.