Vous êtes sur la page 1sur 43

Politiques de scurit

Jean-Marc Robert
Gnie logiciel et des TI

Plan de la prsentation
Introduction
Analyse de risque

Politique de scurit
De sa dfinition son application

Exemples de politique de scurit


Politique de mots de passe Politique de confidentialit Politique de contrle daccs Politique dinstallation de logiciels

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Analyse de risque : la pierre angulaire


Lanalyse de risque a rpondu trois questions:
Quels sont les actifs devant tre protgs? Quels sont les impacts de la perte de ces actifs? Contre quelles menaces doivent-ils tre protgs?

Dterminer les risques auxquels un systme doit faire face!

Prioriser les risques auxquels doit faire face un systme dinformation

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Politique de scurit
Dfinir les objectifs de scurit en fonction des risques prsents. Une politique de scurit est un document qui tablit comment une organisation planifie de protger ses actifs et datteindre les objectifs quelle sest donns.
Ce document donne les grandes lignes des actions et des principes devant tre suivis.

Attention: Il faut viter tout dtail de mise en uvre.


Par exemple, choix ou configuration de technologie.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Politique de scurit suite


Politique organisationnelle
Pourquoi et comment le programme de scurit sera mis en place au sein de lorganisation: motifs, objectifs, intervenants, etc.

Politique propre une activit


Politique dtaille se rapportant une activit importante.

Politique propre un systme


Politique dtaille se rapportant aux quipements, aux serveurs applicatifs, aux bases de donnes,

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Types de politique
Politique rglementaire (Regulatory)
Se basant sur la rglementation dune industrie.
Bancaire : Gramm-Leach_Bliley Act (GLBA), 2001 (USA) Sant : Health Information Portability & Accountability (HIPAA), 1996 (USA)

Politique-conseil (Advisory)
Dfinissant les comportements et activits permis aux employs au sein de lentreprise ainsi que les sanctions possibles.

Politique informationnelle (Informative)


Jouant un rle ducationnel auprs des employs sur des sujets pointus.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Politique ou Politiques
Une politique globale Un ensemble de politiques indpendantes, mais cohrentes.
Chaque politique cible un sujet concis (une deux pages). Chaque politique est crite pour une audience cible. Chaque politique peut tre approuve indpendamment.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Politique : Sa naissance
La politique organisationnelle de scurit doit reflter les objectifs et les processus daffaires. Programme de scurit intgr (gouvernance)
Analyse de risque Politique de scurit

De ce fait, la politique doit avoir laval des dirigeants.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Politique : Son acceptation


Formation des employs
Justifier les politiques qui semblent contraignantes.
P. ex., montrer comment il est facile dcouvrir un mot de passe faible ou limpact dun programme malveillant (Trojan).

Communication continuelle Difficult: Manque de sensibilisation au Manque de sensibilisation.


Les usagers nont pas conscience quils doivent en faire beaucoup plus puisquils ont un impact important.

Organisation
Politique refltant bien lorganisation. Organisation agissant de faon cohrente.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Politique : Son application


Sans moyen de contrle, une politique ne demeure quun bout de papier (ou une suite de bits). Deux types de politiques
Techniques
Moyens techniques permettant de vrifier si une politique est respecte.

Comportementales

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

10

Politique : Sa rvaluation
Un politique pour les politiques! Les politiques doivent tre revues priodiquement (six mois?).
Rvaluation Mise jour

Divers intervenants de lentreprise.


Tout comme lanalyse de risque.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

11

Politique : nonc vs Mise en uvre


nonc
Politique de scurit

Mise en uvre
Norme Note d'orientation Procdure

Lnonc et la mise en uvre doivent demeurer distincts pour faciliter la maintenance.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

12

Mots de passe : Politique


Tous les usagers doivent avoir un identifiant unique et un mot de passe respectant la norme pour les mots de passe. Les usagers ne doivent partager leur mot de passe avec quiconque. Les mots de passe ne doivent pas tre crits de faon lisible pour des fins de mmorisation. Si un mot de passe semble tre compromis, il faut rapporter lvnement le plus tt possible et changer ce dernier sans laide de quiconque.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

13

Mots de passe : Norme


Minimum de 8 caractres
Au moins une lettre minuscule Au moins une lettre majuscule Au moins un chiffre Au moins un caractre spcial ! ? : ; @ # $ % * ( ) [ ]

Doit tre chang tous les 60 jours Doit tre diffrent des 10 derniers mots de passe utiliss

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

14

Mots de passe : Note d'orientation


Une bonne faon de crer un mot de passe est dabrger une phrase de notre choix: Jaime 2 BD: Tintin et Astrix ! Cette phrase devient le mot de passe: Ja2B:T&A! Il est donc plus facile de se rappeler la phrase que le mot de passe.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

15

Mots de passe : Procdure


Montrer comment changer un mot de passe.
CTRL-ALT-DEL

Onglet: Change Password

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

16

Une politique [Greene]


nonc Nomenclature
Catgorie, Nom, Version Approbation

Description
Objectifs Raison dtre Audience Politique Exceptions Actions disciplinaires

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

17

nonc
Introduction un ensemble de politiques.
Quest-ce qui a motiv la prsentation de ces politiques? Quelle est la ligne de pense qui a t suivie pour la dfinition de ces politiques? Comment ces politiques sintgrent-elles dans la culture de lorganisation?

Livrer un message clair au sujet de limportance de la scurit de linformation aux lecteurs de la politique.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

18

Nomenclature
Catgorie
Domaine (ou sous-domaine) dapplication Scurit du personnel Ententes de confidentialit

Nom
Nom de lorganisation Nom du document

Version
Identificateur unique du document Numro de version Priode de validit

Approbation
Nom de la personne qui a approuv cette politique.
Jean-Marc Robert, ETS MTI 719 - Politiques de scurit v1.1 19

Description Objectifs
Quels sont les buts de cette politique?
Quest-ce que lon cherche faire en dfinissant cette politique?

La confidentialit des donnes de lorganisation est une des pierres angulaires de notre programme de scurit de linformation. Afin datteindre ce but, XYZ inc. demandera la signature dune entente de confidentialit toutes les personnes autorises utiliser ses systmes dinformation. Cette entente doit respecter les lois et les rglementations en vigueur ainsi que la convention collective. Quoi: Demander la signature dune entente de confidentialit de la part de tous les usagers autoriss.
Jean-Marc Robert, ETS MTI 719 - Politiques de scurit v1.1 20

Description Raison dtre


Pour quelle raison la politique a-t-elle t dveloppe? Comment la politique sera-t-elle mise en uvre dans les grandes lignes? Protger les actifs de lorganisation en informant clairement les employs de leur rle et de leurs responsabilits afin de conserver les informations de lorganisation confidentielles. Pourquoi: Protger les actifs de lorganisation. Comment: En informant les employs de leur rle et leurs responsabilits.
Jean-Marc Robert, ETS MTI 719 - Politiques de scurit v1.1 21

Description Audience
qui sadresse cette politique? La politique de confidentialit doit tre suivie par tous les employs de XYZ inc. ayant lautorisation daccder aux informations confidentielles de XYZ inc. Qui: Tous les employs autoriss accder aux informations confidentielles.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

22

Description Politique
Description de la politique dtails de la mise en uvre. - Les employs doivent signer une entente de confidentialit avant quils soient autoriss accder aux informations confidentielles. - Les ententes sont revues avec les employs lorsquil y a un changement dans leur statut demploi ou leur contrat. - Les ententes sont conserves par le dpartement des ressources humaines.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

23

Description Exceptions
Certaines situations demandent parfois un traitement particulier.
Sil y a trop dexceptions, la rgle initiale est
Inapproprie Perue ngativement pas importante, favoritisme Difficile appliquer et auditer

Le CISO peut dcider quun tiers ne soit pas oblig de signer une entente de confidentialit si le contrat avec celui-ci inclut dj une telle clause.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

24

Description Action disciplinaire


Certaines situations demandent parfois de prendre des mesures disciplinaires envers les contrevenants.
Le niveau de la pnalit doit tre en fonction de la nature de linfraction.

Le non-respect de cette politique peut entraner des mesures disciplinaires qui pouvant aller jusquau congdiement de lemploy, lannulation du contrat liant XYZ inc. et un tiers. De plus, les individus peuvent tre poursuivis au civil ou au criminel.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

25

Un politique pour tout [Diver]


1. Responsibilities Information Security and Audit Departments 2. Email and Internet Use 3. Ethics and Appropriate Use 4. Personnel / Administration 5. User Identification and Accountability 6. Managing Users Accounts 7. Authentication 8. Access Control 9. Authorization 10. Auditing 11. Physical 12. Hardware 13. Software 14. Incident Response 15. Intrusion Detection 16. Cryptography 17. Data Classification 18. System and Network Controls 19. Business Continuity / Disaster Recovery 20. Compliance Measurement 21. Change Management 22. Information Handling 23. Information Backup 24. Remote Access 25. Third Party/Service Provider Management 26. Network Connections 27. Instant Messaging 28. Web Conferencing 29. Voice Communications 30. Application Development

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

26

Un politique pour tout (bis) [Greene]


1. Security Policy 2. Organizational Security 3. Asset Classification and Control 4. Personnel Security 5. Physical and Environmental Security 6. Communications and Operations Management 7. Access Control 8. System Development and Maintenance 9. Business Continuity Management 10. Compliance

Cette approche est fidle la norme ISO 27002. Chaque catgorie devient donc une famille de politiques.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

27

Un politique pour tout (rebis) [JMR]


1. Cration et gestion dun rseau scuris 2. Protection des donnes des titulaires de cartes de crdit 3. Mise jour dun programme de gestion des vulnrabilits 4. Mise en oeuvre de mesures de contrle daccs strictes 5. Surveillance et test rguliers des rseaux

Cette approche est fidle la norme PCI (Payment Card Industry) DSS (Data Security Standard). Chaque catgorie devient donc une famille de politiques.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

28

Un politique pour tout!


Risque: Trop de politiques
Entreprise
Scurit physique Ressources humaines Recouvrement Contrle daccs

Usagers
Authentification Accs distance Utilisation de lInternet, du courriel et des messageries instantanes Tlchargement de logiciel ou tout autre document

Administrateurs rseau
Architecture rseau Accs rseau Audit

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

29

Politiques pour une PME [Greene]


Politique de confidentialit Politique de bonne utilisation des ressources Politique de lutilisation de lInternet Politique de lutilisation des courriels Politique de gestion des mots de passe Politique pour la protection des informations sensibles
Jean-Marc Robert, ETS

Politique pour la protection contre les virus Politique pour laccs distance Politique pour le contrle des changements Politique sur la notification des incidents et la rponse ses incidents Politique pour les sauvegardes informatiques et les rcuprations de donnes

MTI 719 - Politiques de scurit v1.1

30

Politiques pour une PME Objectifs


Politique de confidentialit
Protger les informations de lentreprise contre la divulgation. Protger les informations dun tiers contre la divulgation. laborer une contre-mesure lgale en cas dune divulgation.

Politique de bonne utilisation des ressources


Dfinir ce qui est acceptable et ce qui ne lest pas pour les ressources de lentreprise. Sassurer que les ressources sont utilises de faon acceptable. Protger lentreprise contre les poursuites judiciaires, latteinte rputation et la compromission de ses systmes dues des utilisations inacceptables de ses ressources.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

31

Politiques pour une PME Objectifs


Politique de lutilisation de lInternet
Dfinir ce qui est acceptable et ce qui ne lest pas. Protger lentreprise contre les logiciels malveillants se propageant sur Internet. Limiter les risques associs linterconnexion du rseau de lentreprise et de lInternet.

Politique de lutilisation des courriels


Dfinir ce qui est acceptable et ce qui ne lest pas. Protger lentreprise contre les utilisations abusives. Exiger lutilisation du chiffrement pour les courriels confidentiels.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

32

Politiques pour une PME Objectifs


Politique sur la notification des incidents et la rponse ses incidents
tablir les responsabilits des usagers dans la notification des incidents. Dfinir les critres pour la rponse un incident. Exiger un plan dintervention pour rpondre aux incidents.

Politique de gestion des mots de passe


Exiger lutilisation de mots de passe confidentiels. Dfinir les caractristiques des mots de passe (norme) Informer les usagers que leurs mots de passe sont contrls.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

33

Politiques pour une PME Objectifs


Politique de la protection des informations sensibles
Dfinir la classification des informations sensibles. tablir les critres pour lidentification de ces classes. Dfinir le niveau de protection pour chacune de ces classes.

Politique pour la protection contre les virus


Exiger un moyen automatique de protection contre les logiciels malveillants, incluant un systme de patchs automatiques. tablir les responsabilits des divers intervenants pour assurer la protection contre les logiciels malveillants. Exiger une formation adquate pour les usagers.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

34

Politiques pour une PME Objectifs


Politique pour laccs distance
Dfinir les types daccs distance qui sont autoriss. Exiger que les accs distance soient autoriss. Dfinir les exigences pour la configuration des systmes utiliss pour ces accs distance.

Politique pour le contrle des changements


Exiger un processus de changement formel. tablir les responsabilits des divers intervenants dans ce processus. Dfinir la consquence de toute infraction face ce processus.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

35

Politiques pour une PME Objectifs


Politique pour les sauvegardes informatiques et les rcuprations de donnes
tablir les responsabilits des divers intervenants dans le processus de sauvegarde et le processus de rcupration. Dfinir les caractristiques du processus de sauvegarde. tablir les mcanismes de validation pour le processus de sauvegarde.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

36

Quelques exemples de politiques!

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

37

Contrle daccs [Greene]


Objectif Afin de sassurer de la protection des informations sensibles, XYZ inc. doit mettre en place une politique de contrle daccs base sur les principes suivants : (1) interdiction par dfaut, (2) besoin de connatre et (3) moindre privilge. Raison dtre Dfinir clairement les contrles daccs aux systmes et aux ressources de XYZ inc. Audience Tout employ autoris accder aux informations sensibles de XYZ inc.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

38

Contrle daccs suite


Politique Par dfaut, il est interdit daccder aux informations sensibles. Les permissions daccs sont accordes selon une classification cohrente des informations et des individus.
P. ex., le modle militaire public, confidentiel, secret, ultra-secret.

Les accs sont accords selon des objectifs daffaires prcis. Les accs sont accords de faon minimale afin datteindre les objectifs daffaires.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

39

Contrle daccs suite


Politique (suite) Les autorisations daccs sont accordes par les propritaires des informations ou des ressources. Les contrles daccs des informations ou des ressources doivent tre revus au moins une fois par anne par leur propritaire. Exception Aucune.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

40

Installation de logiciels
Objectif Rduire les risques qui sont associs lutilisation de logiciels illicites.
Ils peuvent contenir des logiciels malicieux (tels que des Chevaux de Troie) permettant des personnes malveillantes daccder un ordinateur. Ils peuvent contrevenir aux droits dauteurs, exposant ainsi lentreprise des poursuites judiciaires.

Raison dtre Dfinir clairement la liste des logiciels pouvant tre utilises par les employs de XYZ inc. Audience Tout employ utilisant un ordinateur de XYZ inc.
Jean-Marc Robert, ETS MTI 719 - Politiques de scurit v1.1 41

Installation de logiciels suite


Politique Les employs ne peuvent installer ou utiliser aucun logiciel nayant pas t autoris par dpartement TI de XYZ inc. Toute demande dinstallation dun nouveau logiciel doit tre autorise par le directeur du service concern. Le dpartement TI doit autoriser lutilisation dun logiciel.
Aprs la vrification de la licence dutilisation et du paiement des droits dutilisation appropri Aprs la vrification que le logiciel ne soit pas malveillant

Exception Aucune.
Jean-Marc Robert, ETS MTI 719 - Politiques de scurit v1.1 42

Rfrences
Sari Stern Greene, Security Policies and Procedures: Principles and Practices, Prentice-Hall, 2006. Scott Barman, Writing Information Security Policies, New Riders, 2002. Sorcha Diver, Information Security Policy A Development Guide for Large and Small Companies, SANS Institute, 2007 (http://tiny.cc/U85XB).

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

43