16 May 2018 11:55
Tags
1. Introduction
Les syst�mes d�information prennent de plus en plus une place strat�gique au sein des entreprises. Ainsi la notion du risque li� � ces derniers devient une source d�inqui�tude et une donn�e importante � prendre en compte, ceci en partant de la phase de conception d�un syst�me d�information jusqu�� son impl�mentation et le suivi de son fonctionnement.
Les pratiques associ�es � la s�curit� des syst�mes d�information constituent un point � l�importance croissante dans l��cosyst�me informatique qui devient ouvert et accessible par utilisateurs, partenaires et fournisseurs de services de l�entreprise. Il devient essentiel pour les entreprises de conna�tre leurs ressources en mati�re de syst�me d�information et de d�finir les p�rim�tres sensibles � prot�ger afin de garantir une exploitation ma�tris�e et raisonn�e de ces ressources.
Par ailleurs, les nouvelles tendances de nomadisme et de l�informatique � in the Cloud � permettent, non seulement, aux utilisateurs d�avoir acc�s aux ressources mais aussi de transporter une partie du syst�me d�information en dehors de l�infrastructure s�curis�e de l�entreprise. D�o� la n�cessit� de mettre en place des d�marches et des mesures pour �valuer les risques et d�finir les objectifs de s�curit� � atteindre.
Ainsi la s�curit� informatique est un ensemble de moyens techniques, organisationnels, juridiques et humains n�cessaires pour conserver, r�tablir et garantir la s�curit� du syst�me d�information [cf. wikip�dia].
On peut d�duire de ces constats que la d�marche de s�curit� informatique est une activit� manag�riale des syst�mes d�information et qu�il convient aussi d��tablir un tableau de bord de pilotage associ� � une politique de s�curit� comprenant les organes vitaux constituant une entreprise.
2. PRA et continuité menaces informatiques
La menace informatique repr�sente le type d�actions susceptibles de nuire dans l�absolu � un syst�me informatique. En termes de s�curit� informatique les menaces peuvent �tre le r�sultat de diverses actions en provenance de plusieurs origines :
Origine op�rationnel:
Ces menaces sont li�es � un �tat du syst�me � un moment donn�. Elles peuvent �tre le r�sultat d�un bogue logiciel (Buffer Overflows, format string �etc.), d�une erreur de filtrage des entr�es utilisateur (typiquement les XSS et SQL injection), d�un dysfonctionnement de la logique de traitement ou d�une erreur de configuration
Origine physique:
Elles peuvent �tre d�origine accidentelle, naturelle ou criminelle. On peut citer notamment les d�sastres naturels, les pannes ou casses mat�rielles, le feu ou les coupures �lectriques.
Origine humaine:
Ces menaces sont associ�es directement aux erreurs humaines, que ce soit au niveau de la conception d�un syst�me d�information ou au niveau de la mani�re dont on l�utilise. Ainsi elles peuvent �tre le r�sultat d�une erreur de conception ou de configuration comme d�un manque de sensibilisation des utilisateurs face au risque li� � l�usage d�un syst�me informatique.
Ainsi, devant cette panoplie de menaces, la s�curit� informatique vise � d�finir un sch�ma directeur pour faire face � ces menaces et garantir un fonctionnement sain et efficace des syst�mes d�information.
La s�curit� informatique est un processus perp�tuel visant � am�liorer le niveau de s�curit� en instaurant une politique de s�curit� au sein des organismes et en palliant � certaines faiblesses � la fois organisationnelles et technologiques.
3. Enjeux de la s�curit� des syst�mes d�information
Le syst�me d�information constitue un patrimoine essentiel des entreprises. Constitu� d�un ensemble de ressources mat�rielle et logicielle, il permet de traiter, stocker et transf�rer les donn�es des entreprises. Ainsi la s�curit� des syst�mes d�information cherche � apporter une meilleure ma�trise des risques qui p�sent r�ellement sur l�entreprise et r�pondre � certains enjeux qu�on peut r�sumer en 4 lettres � DICA � (disponibilit�, int�grit�, confidentialit� et auditabilit�).
Disponibilit� : garantir l�acc�s aux ressources, au moment voulu, aux personnes habilit�es d�acc�der � ces ressources.
Int�grit� : garantir que les donn�es �chang�es sont exactes et compl�te.
Confidentialit� : garantir que seules les personnes autoris�es peuvent avoir acc�s aux donn�es et aux ressources de l�entreprise.
Auditabilit� : garantir la tra�abilit� des acc�s et des tentatives d�acc�s et la conservation des ces traces comme preuves exploitables
En g�n�ral, la s�curit� informatique consiste � assurer que les ressources mat�rielles ou logicielles d�une organisation sont uniquement utilis�es pour les fins auxquelles elles ont �t� con�ues au d�but. De plus elle vise � inscrire l��volution des syst�mes informatique dans le cadre d�un processus d�am�lioration continue.
4. Mise en place de la PSSI
La s�curit� des syst�mes d�information s�appuient sur plusieurs mod�les pour r�pondre aux enjeux li�s aux syst�mes informatiques des entreprises (DAC, RBAC, BIBA, Bell La Padulla, Muraille de chine �etc.). Ces mod�les se cantonnent g�n�ralement � formaliser des strat�gies de s�curit� multi niveaux afin de garantir les droits d�acc�s aux donn�es et ressources d�un syst�me donn�.
Cependant, malgr� la diversit� de ces mod�les, la mise en place d�une politique de s�curit� du syst�me d�information passera probablement par une adaptation d�un mod�le au cas r�el. Celui-ci permettra d�engendrer la cr�ation d�un tableau de bord pour mener les diff�rentes d�marches de s�curisation de leurs syst�mes d�informations. Enfin, le mod�le permettra de mettre en place des m�canismes d�authentification et de contr�le permettant d�assurer que les utilisateurs des ressources poss�dent uniquement les droits qui leurs ont �t� octroy�s.
Autrement dit, la politique de s�curit� des syst�mes d�information constitue une impl�mentation concr�te et r�elle du principe du moindre privil�ge.
Les m�canismes de s�curit� informatique peuvent �tre la source de quelques g�nes pour les utilisateurs du syst�me d�information. Ainsi la PSSI cherche � trouver un juste milieu pour garantir, d�une part, l�efficacit� d�un syst�me d�information et d�autre part �valuer le risque et d�terminer son niveau d�acceptabilit� pour assurer la satisfaction des utilisateurs.
Ainsi plusieurs m�thodes permettent de formaliser la politique de s�curit� informatique et d�finir l�ensemble des orientations suivie par une organisation en terme de s�curit�, notamment les m�thodes EBIOS, MEHARI et la famille des normes ISO 2700x. Il est possible de retrouver des trames communes � ces m�thodes :
Identifier le besoin en terme de s�curit� informatique, �tudier le contexte � s�curiser et identifier les risques informatiques li�s � ce dernier.
Elaborer les proc�dures et les r�gles � mettre en place pour couvrir les risques identifi�s.
Surveiller et d�tecter les �ventuelles vuln�rabilit�s du syst�me d�information et mettre en place un syst�me de veille en vuln�rabilit�s ainsi qu�une politique de mises � jour des ressources logicielles et mat�rielles utilis�es.
D�finir les intrusions � entreprendre et les personnes � contacter en cas de d�tection de menace r�elle sur le syst�me d�information.
Bien �videment, une politique de s�curit� des syst�mes d�information n�emp�che pas d�avoir une approche globale sur la s�curit� informatique. Cela signifie que la s�curit� informatique doit �tre abord�e d�une mani�re globale afin de prendre en compte certains aspects que la PSSI permet de traiter avec plus de finesse.
La s�curit� informatique doit r�pondre � plusieurs probl�matiques sur les m�thodes raisonn�es d�usage d�un syst�me d�information. Ceci en passant de la sensibilisation des utilisateurs aux probl�mes de s�curit�, puisque � there is no patch for human stupidity � � la r�ponse aux questions purement techniques qui assurent l�efficacit� des m�canismes s�curitaire � impl�menter, notamment la s�curit� physique et logique d�un syst�me d�information. Dans les phrases embl�matiques du milieu de la s�curit� informatique, il convient �galement de citer Bruce Schneier � Security is a process, not a product �. L�id�e de fond �tant que le processus de s�curit� est la pierre angulaire, pas le firewall ou l�antivirus, trop de dirigeants ont cru que s�abriter derri�re un produit permettait d��viter le pire. Cybercriminalité : l'intelligence artificielle accroit les risques de s�curit� pr�voit aussi le pire et les moyens d�y r�pondre, ce que ne font pas les produits.
5. Processus de s�curisation
Comme nous l�avons d�j� cit� la s�curit� informatique est un processus en perp�tuelle �volution. Ce processus permet de faire �voluer le syst�me d�information que ce soit au niveau des choix technologiques ou au niveau de l�organisation des ressources utilis�es pour assurer son fonctionnement.
En g�n�ral, la s�curit� informatique s�appuie sur le principe de la roue de Deiming ou la m�thode PDCA (Plan-Do-Check-Act) pour instaurer une m�thode de management de risques informatiques au sein d�un organisme. Ce principe permet de d�finir la d�marche suivie pour l�impl�mentation d�une politique de s�curit� efficace et l�inscrire dans un contexte d�am�lioration continue afin de garantir une �volution sereine et ma�tris�e d�un syst�me d�information donn�.
L�impl�mentation d�un tel processus passe tout d�abord par la d�finition de la politique de s�curit� informatique afin d�identifier les risques et �laborer les objectifs de s�curit� (Plan).
Ensuite il faut mettre en place les mesures s�curitaires d�finies pour atteindre les objectifs fix�s par la PSSI (Do).
Apr�s il faut v�rifier que ces mesures couvrent l�essentiel de la cha�ne s�curitaire du syst�me d�information sachant que la s�curit� de ce dernier est compar�e � celle de son maillon le plus faible (Check).
Enfin analyser les r�sultats, r�agir selon le niveau de s�curit� obtenu, identifier les ressources qui n�cessitent des modifications et bien entendu suivre l��volution des nouvelles menaces et les traduire en mesures s�curitaires dans la PSSI (Act).
De plus la majorit� des m�thodes d�analyse de la s�curit� des syst�mes d�information visent la mise en place d�un syst�me de management de la s�curit� informatique (SMSI) au sein des organismes. En effet, ces m�thodes reprennent les grandes lignes du PDCA pour formaliser un SMSI pour ensuite aller plus dans le d�tail afin de garantir une gouvernance rationnelle de la s�curit� informatique au sein des entreprises.
6. Conclusion
La s�curit� des syst�mes d�information repr�sente aujourd�hui une t�che de fond � prendre en compte par toute entreprise qui d�sire disposer d�un ensemble d�outils et de m�thodes qui lui permettent et assurent la gouvernance de son syst�me d�information. Ainsi plusieurs m�thodes d�analyse des syst�mes informatiques proposent des d�marches de certification afin de garantir une image p�renne aux entreprises int�grant les processus de s�curit� dans la liste de leurs pr�occupation manag�riale.
Bien �videment la s�curit� � 100% reste un id�al � atteindre, surtout devant le large �ventail des menaces qui mettent en danger l�exploitation d�un syst�me d�information. Ainsi il est important de bien formaliser une politique de s�curit� en prenant en compte les risques r�elle qu�encourt un syst�me informatique et en �valuant les co�ts que peuvent engendrer les probl�mes r�sultants de ces risques par rapport au co�t n�cessaire � la mise en place des solutions palliative � ces probl�mes.
Partager