Introduction � la s�curit� informatique

16 May 2018 11:55
Tags

Back to list of posts

1. Introduction

Les syst�mes d�information prennent de plus en plus une place strat�gique au sein des entreprises. Ainsi la notion du risque li� � ces derniers devient une source d�inqui�tude et une donn�e importante � prendre en compte, ceci en partant de la phase de conception d�un syst�me d�information jusqu�� son impl�mentation et le suivi de son fonctionnement.

Les pratiques associ�es � la s�curit� des syst�mes d�information constituent un point � l�importance croissante dans l��cosyst�me informatique qui devient ouvert et accessible par utilisateurs, partenaires et fournisseurs de services de l�entreprise. Il devient essentiel pour les entreprises de conna�tre leurs ressources en mati�re de syst�me d�information et de d�finir les p�rim�tres sensibles � prot�ger afin de garantir une exploitation ma�tris�e et raisonn�e de ces ressources.

Par ailleurs, les nouvelles tendances de nomadisme et de l�informatique � in the Cloud � permettent, non seulement, aux utilisateurs d�avoir acc�s aux ressources mais aussi de transporter une partie du syst�me d�information en dehors de l�infrastructure s�curis�e de l�entreprise. D�o� la n�cessit� de mettre en place des d�marches et des mesures pour �valuer les risques et d�finir les objectifs de s�curit� � atteindre.

Ainsi la s�curit� informatique est un ensemble de moyens techniques, organisationnels, juridiques et humains n�cessaires pour conserver, r�tablir et garantir la s�curit� du syst�me d�information [cf. wikip�dia].

On peut d�duire de ces constats que la d�marche de s�curit� informatique est une activit� manag�riale des syst�mes d�information et qu�il convient aussi d��tablir un tableau de bord de pilotage associ� � une politique de s�curit� comprenant les organes vitaux constituant une entreprise.

2. PRA et continuité menaces informatiques

La menace informatique repr�sente le type d�actions susceptibles de nuire dans l�absolu � un syst�me informatique. En termes de s�curit� informatique les menaces peuvent �tre le r�sultat de diverses actions en provenance de plusieurs origines :

Origine op�rationnel:

Ces menaces sont li�es � un �tat du syst�me � un moment donn�. Elles peuvent �tre le r�sultat d�un bogue logiciel (Buffer Overflows, format string �etc.), d�une erreur de filtrage des entr�es utilisateur (typiquement les XSS et SQL injection), d�un dysfonctionnement de la logique de traitement ou d�une erreur de configuration

Origine physique:

Elles peuvent �tre d�origine accidentelle, naturelle ou criminelle. On peut citer notamment les d�sastres naturels, les pannes ou casses mat�rielles, le feu ou les coupures �lectriques.

Origine humaine:

Ces menaces sont associ�es directement aux erreurs humaines, que ce soit au niveau de la conception d�un syst�me d�information ou au niveau de la mani�re dont on l�utilise. Ainsi elles peuvent �tre le r�sultat d�une erreur de conception ou de configuration comme d�un manque de sensibilisation des utilisateurs face au risque li� � l�usage d�un syst�me informatique.

Ainsi, devant cette panoplie de menaces, la s�curit� informatique vise � d�finir un sch�ma directeur pour faire face � ces menaces et garantir un fonctionnement sain et efficace des syst�mes d�information.

La s�curit� informatique est un processus perp�tuel visant � am�liorer le niveau de s�curit� en instaurant une politique de s�curit� au sein des organismes et en palliant � certaines faiblesses � la fois organisationnelles et technologiques.

3. Enjeux de la s�curit� des syst�mes d�information

Le syst�me d�information constitue un patrimoine essentiel des entreprises. Constitu� d�un ensemble de ressources mat�rielle et logicielle, il permet de traiter, stocker et transf�rer les donn�es des entreprises. Ainsi la s�curit� des syst�mes d�information cherche � apporter une meilleure ma�trise des risques qui p�sent r�ellement sur l�entreprise et r�pondre � certains enjeux qu�on peut r�sumer en 4 lettres � DICA � (disponibilit�, int�grit�, confidentialit� et auditabilit�).

Disponibilit� : garantir l�acc�s aux ressources, au moment voulu, aux personnes habilit�es d�acc�der � ces ressources.

Int�grit� : garantir que les donn�es �chang�es sont exactes et compl�te.

Confidentialit� : garantir que seules les personnes autoris�es peuvent avoir acc�s aux donn�es et aux ressources de l�entreprise.

Auditabilit� : garantir la tra�abilit� des acc�s et des tentatives d�acc�s et la conservation des ces traces comme preuves exploitables

En g�n�ral, la s�curit� informatique consiste � assurer que les ressources mat�rielles ou logicielles d�une organisation sont uniquement utilis�es pour les fins auxquelles elles ont �t� con�ues au d�but. De plus elle vise � inscrire l��volution des syst�mes informatique dans le cadre d�un processus d�am�lioration continue.

4. Mise en place de la PSSI

La s�curit� des syst�mes d�information s�appuient sur plusieurs mod�les pour r�pondre aux enjeux li�s aux syst�mes informatiques des entreprises (DAC, RBAC, BIBA, Bell La Padulla, Muraille de chine �etc.). Ces mod�les se cantonnent g�n�ralement � formaliser des strat�gies de s�curit� multi niveaux afin de garantir les droits d�acc�s aux donn�es et ressources d�un syst�me donn�.

Cependant, malgr� la diversit� de ces mod�les, la mise en place d�une politique de s�curit� du syst�me d�information passera probablement par une adaptation d�un mod�le au cas r�el. Celui-ci permettra d�engendrer la cr�ation d�un tableau de bord pour mener les diff�rentes d�marches de s�curisation de leurs syst�mes d�informations. Enfin, le mod�le permettra de mettre en place des m�canismes d�authentification et de contr�le permettant d�assurer que les utilisateurs des ressources poss�dent uniquement les droits qui leurs ont �t� octroy�s.

Autrement dit, la politique de s�curit� des syst�mes d�information constitue une impl�mentation concr�te et r�elle du principe du moindre privil�ge.

Les m�canismes de s�curit� informatique peuvent �tre la source de quelques g�nes pour les utilisateurs du syst�me d�information. Ainsi la PSSI cherche � trouver un juste milieu pour garantir, d�une part, l�efficacit� d�un syst�me d�information et d�autre part �valuer le risque et d�terminer son niveau d�acceptabilit� pour assurer la satisfaction des utilisateurs.

Ainsi plusieurs m�thodes permettent de formaliser la politique de s�curit� informatique et d�finir l�ensemble des orientations suivie par une organisation en terme de s�curit�, notamment les m�thodes EBIOS, MEHARI et la famille des normes ISO 2700x. Il est possible de retrouver des trames communes � ces m�thodes :

Identifier le besoin en terme de s�curit� informatique, �tudier le contexte � s�curiser et identifier les risques informatiques li�s � ce dernier.

Elaborer les proc�dures et les r�gles � mettre en place pour couvrir les risques identifi�s.

Surveiller et d�tecter les �ventuelles vuln�rabilit�s du syst�me d�information et mettre en place un syst�me de veille en vuln�rabilit�s ainsi qu�une politique de mises � jour des ressources logicielles et mat�rielles utilis�es.

D�finir les intrusions � entreprendre et les personnes � contacter en cas de d�tection de menace r�elle sur le syst�me d�information.

Bien �videment, une politique de s�curit� des syst�mes d�information n�emp�che pas d�avoir une approche globale sur la s�curit� informatique. Cela signifie que la s�curit� informatique doit �tre abord�e d�une mani�re globale afin de prendre en compte certains aspects que la PSSI permet de traiter avec plus de finesse.

La s�curit� informatique doit r�pondre � plusieurs probl�matiques sur les m�thodes raisonn�es d�usage d�un syst�me d�information. Ceci en passant de la sensibilisation des utilisateurs aux probl�mes de s�curit�, puisque � there is no patch for human stupidity � � la r�ponse aux questions purement techniques qui assurent l�efficacit� des m�canismes s�curitaire � impl�menter, notamment la s�curit� physique et logique d�un syst�me d�information. Dans les phrases embl�matiques du milieu de la s�curit� informatique, il convient �galement de citer Bruce Schneier � Security is a process, not a product �. L�id�e de fond �tant que le processus de s�curit� est la pierre angulaire, pas le firewall ou l�antivirus, trop de dirigeants ont cru que s�abriter derri�re un produit permettait d��viter le pire. Cybercriminalité : l'intelligence artificielle accroit les risques de s�curit� pr�voit aussi le pire et les moyens d�y r�pondre, ce que ne font pas les produits.

5. Processus de s�curisation

Comme nous l�avons d�j� cit� la s�curit� informatique est un processus en perp�tuelle �volution. Ce processus permet de faire �voluer le syst�me d�information que ce soit au niveau des choix technologiques ou au niveau de l�organisation des ressources utilis�es pour assurer son fonctionnement.

En g�n�ral, la s�curit� informatique s�appuie sur le principe de la roue de Deiming ou la m�thode PDCA (Plan-Do-Check-Act) pour instaurer une m�thode de management de risques informatiques au sein d�un organisme. Ce principe permet de d�finir la d�marche suivie pour l�impl�mentation d�une politique de s�curit� efficace et l�inscrire dans un contexte d�am�lioration continue afin de garantir une �volution sereine et ma�tris�e d�un syst�me d�information donn�.

L�impl�mentation d�un tel processus passe tout d�abord par la d�finition de la politique de s�curit� informatique afin d�identifier les risques et �laborer les objectifs de s�curit� (Plan).

Ensuite il faut mettre en place les mesures s�curitaires d�finies pour atteindre les objectifs fix�s par la PSSI (Do).

Apr�s il faut v�rifier que ces mesures couvrent l�essentiel de la cha�ne s�curitaire du syst�me d�information sachant que la s�curit� de ce dernier est compar�e � celle de son maillon le plus faible (Check).

Enfin analyser les r�sultats, r�agir selon le niveau de s�curit� obtenu, identifier les ressources qui n�cessitent des modifications et bien entendu suivre l��volution des nouvelles menaces et les traduire en mesures s�curitaires dans la PSSI (Act).

De plus la majorit� des m�thodes d�analyse de la s�curit� des syst�mes d�information visent la mise en place d�un syst�me de management de la s�curit� informatique (SMSI) au sein des organismes. En effet, ces m�thodes reprennent les grandes lignes du PDCA pour formaliser un SMSI pour ensuite aller plus dans le d�tail afin de garantir une gouvernance rationnelle de la s�curit� informatique au sein des entreprises.

6. Conclusion

La s�curit� des syst�mes d�information repr�sente aujourd�hui une t�che de fond � prendre en compte par toute entreprise qui d�sire disposer d�un ensemble d�outils et de m�thodes qui lui permettent et assurent la gouvernance de son syst�me d�information. Ainsi plusieurs m�thodes d�analyse des syst�mes informatiques proposent des d�marches de certification afin de garantir une image p�renne aux entreprises int�grant les processus de s�curit� dans la liste de leurs pr�occupation manag�riale.

Bien �videment la s�curit� � 100% reste un id�al � atteindre, surtout devant le large �ventail des menaces qui mettent en danger l�exploitation d�un syst�me d�information. Ainsi il est important de bien formaliser une politique de s�curit� en prenant en compte les risques r�elle qu�encourt un syst�me informatique et en �valuant les co�ts que peuvent engendrer les probl�mes r�sultants de ces risques par rapport au co�t n�cessaire � la mise en place des solutions palliative � ces probl�mes.

Partager

Comments: 0

Add a New Comment

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License