Chapitre 5 : La scurit des SI

1- Dfinitions Protection de linformation, scurit dun S.I, sinistre

2-Critres de scurit : Disponibilit, intgrit, confidentialit, non-rpudiabilit (Lmetteur comme le rcepteur ne peuvent nier avoir reu un message dterminant) traabilit

A partir de ces critres on construit un tableau de bord sur la gestion de la scurit (indicateurs) 3- Les causes des sinistres : LAPSAIR (Assemble Plnire des Socits dAssurance et Risques dIncendies divers) tablit chaque anne des statistiques sur la sinistralit informatique en France qui regroupe les risques en quatre classes. a- Les accidents entrainent des risques matriels causs par des incendies, explosions, inondations, foudreetc. b- Par ailleurs, des pannes ou disfonctionnement sur des outils de bases (perturbations dans les rseaux). Les erreurs de saisie (interventions humaines). Transmission (erreur de destinataire) erreur dutilisation. c- Malveillance : action volontaire pour nuire ; dans beaucoup de cas, sabotage immatriel (virus) bombe logique (programme qui va se dclencher sur une action ou une base de donne), le dtournement de logiciel, Le dtournement dinformation, le chantage (faire croire une personne quon a pu accder son systme de messagerie) d- Risques divers : grve du personnel ddi (porte atteinte la disponibilit de linformation), les stats montrent un accroissement de la classe 3 => motif de vengeance, pcunier. Ces actes de malveillance reprsentent 72% du cout des sinistres dclars avec une progression de 64% ces quatre dernires annes. Une fois le sinistre survenu et donc dtect il est primordial pour lentreprise de retrouver un niveau de fonctionnement oprationnel. Selon limportance du sinistre, le temps de remise niveau devient le paramtre critique. Cest ainsi que sont dfinis les plans de reprise sur sinistre dtaillant les actions mener pour rtablir le systme dinformation. 4- Lorganisation de la scurit : Mthodes daudit : M.E.H.A.R.I. (Mthode dvaluation et d Harmonisation dAnalyse des risques Informatiques) Mthode MARION ddie PME (Mthode danalyse des risques informatiques optimiss par niveaux) Intrt : Approche graphique qui va permettre de superposer diffrents audits

Les responsables de la gestion de la scurit SI sont confronts deux difficults : Le management de la scurit se situe dans un univers incertain, il ny a pas de rptition suffisante des sinistres pour raisonner en termes de probabilits. On ne peut estimer les vnements quen termes de possibilit ou de plausibilits. Lincertitude lie au montant des pertes encourus lorsque le sinistre se ralise. Il est difficile dajuster le cout de la prvention.

La mthode Mehari
A- Phase prparatoire 1- Contextes stratgiques techniques et organisationnels Le contexte stratgique par ex : on va identifier le positionnement stratgique de lentreprise sur son march, le contexte organisationnel : organigramme complet de lentreprise, on va relever la rpartition des responsabilits en ce qui concerne la scurit. 2- Primtre de la mission daudit : Il faut formaliser le champ de laudit en termes gographiques. 3- Fixation des paramtres de lanalyse des risques : (par rapport au cours de lanne dernire + grille dacceptabilit des risques) On tablit une grille dacceptabilit des risques qui permet dapprcier la gravit des sinistres potentiels. On combine deux paramtres limpact not de 1 4 et la possibilit de ralisation. Zone verte = risque accept. I=4 I=3 I=2 I=1 G=2 G=2 G=1 G=1 P=1 G=3 G=3 G=2 G=2 P=2 G=4 G=3 G=2 G=2 P=3 G=4 G=4 G=3 G=2 P=4

B- Phase oprationnelle 1- Classification des actifs On va placer sur une chelle de valeurs, les disfonctionnements. Disfonctionnement Non significatif Falsification P<0,1 M donnes de paye Divulgation Salaire donnes perso 1employ Important Trs grave Vital

0,1M<P<1m 1M<P<10m P>10M Salaire de tous les employs 2j<R<15j Divulgation rpte

Retard paiement R<2jours R>15jours salaris En fonction de cette chelle de valeur, on dterminera lurgence pour traiter les disfonctionnements

2- Diagnostic de la qualit des services de scurit : On ne part pas de rien, il existe dj des procdures mais il faut faire cet tat des lieux. On tablit des scnarios de risques afin didentifier les situations les plus graves. Ces actions concernent les scnarios de risques de niveau 4 qui doivent tre traits en priorit. Le but nest pas obligatoirement dans un premier temps de faire disparaitre les risques mais de passer un stade tolrable. La gestion de la scurit a pour finalit dabaisser le seuil de vulnrabilit. On mettra en place des actions en fonction de leurs cots, de la rapidit dobtention de rsultat et en termes dimpacts sur les utilisateurs. 3- Pilotage du traitement des risques : On tablit un comit de pilotage avec des acteurs membres qui sont ddis, un calendrier de runions et un rapport dactivit.

5-Les enjeux de la scurit A) Impact organisationnels 1- Protection de linformation On constate depuis ces 30 dernires annes que la forme de linformation a chang dun usage massif du papier lusage de logiciels traitants des informations numriss. Consquence => les structures organisationnelles ont dut sadapter avec la cration de service de maintenance informatiques. Besoin de redfinition des modes dchanges, en parallle ces nouveaux modes dchanges entrainent des obligations lgales. Lvolution de ces formes dinformation rend leur scurisation difficile, le stockage sur des services ne permet pas toujours didentifier au plus vite le sinistre (contrairement une effraction physique). Enfin, outre ces obligations lgales et organisationnelles la protection des donnes valorise limage de lentreprise. 2- Ncessit dune rflexion stratgique : toutes les entreprises nont pas les comptences ou le budget ncessaire pour mettre en place une vritable politique de scurit SI. (PSSI) Il est ncessaire quil y ait au minimum une prise de conscience sur la ncessit dune scurisation SI. Aujourdhui, il y a 30% des PME qui ont une scurit SI. Une solution peut tre linfogrance qui propose des projets adapts aux entreprises. 3- Rle des services RH : Les services RH connaissent tous les mouvements de personnel, cest donc le service RH qui tient jour des annuaires dentreprises contenants. La position des salaris en termes de statut, lappartenance aux services, les droits daccs. Le service RH intervient aussi dans la phase de prvention des risques avec des clauses de non concurrence, de non divulgation de linformation, des clauses de scurit faisant rfrence au plan de scurit des SI obligent les salaris respecter ces clauses sous peine de sanctions. B) Impacts humains : Chaque acteur de lentreprise est au centre de la scurit. Il est donc impratif que la scurit du SI intgre le facteur humain qui est la source de la plupart des failles scuritaires. Les assureurs

estiment quentre les malveillances et les erreurs on a peu prs 70% qui sont dues au facteur humain. 1- De la sensibilisation la formation : Dmarche pdagogique pour expliquer tous les acteurs leur rle dans la dmarche scurit et les consquences prjudiciables toute lentreprise lors de la ralisation dun sinistre. Paralllement, des formations sont raliss pour que les acteurs sachent comment ragir ex : formation incendie. 2- De la vigilance, le contrleEt le stress : Les entreprises demandent leurs collaborateurs surtout lors de dplacements hors de lentreprise dtre attentifs des attaques potentielles ou des faiblesses de leur SI. 600.000ordinateurs portables sont dclars perdu ou vol dans les aroports. Sont conscient des risques lis leur mobilit, ont un sentiment de flicage qui est selon eux gnrateur de stress. C- Impacts financiers 1- Besoins de ressources financires en amont De manire gnrale face un risque scurit, lentreprise a trois possibilits : Se prmunir contre ce risque : Sassurer contre ce risque. Ne rien faire

La dcision est souvent lie aux ressources financires dont dispose lentreprise. 2- Besoins de ressources financires en aval Il faut mobiliser des ressources pour limiter lindisponibilit du systme : Ressources financires pour saisie de donnes, pour mettre en place des astreintes de personnel. Concernant les indemnisations, les assurances sont insuffisantes car elles se basent sur un remboursement la valeur net comptable. Le cout dune PSSI est souvent peru plus comme une dpense quun investissement pourtant tant donn la dimension stratgique des enjeux de la scurit il est primordial pour une entreprise dintgrer cette gestion dans ces objectifs, dans sa politique dentreprise. Si on veut russir la mise en place dune politique de scurit, il faut savoir dcider des moyens au bon moment, savoir choisir internalisation ou externalisation et prvention. Il faut privilgier les actifs importants. Au-del des aspects financiers il y a encore beaucoup deffort faire au niveau des attitudes et des comportements des acteurs notamment par rapport aux pratiques de travail.

Conclusion Gnrale :
Les 7 points cls dun management russi des S.I
Le SI va apporter une rduction en matire de couts, une meilleure gestion des dlais et gestion des stocks. Le SI va permettre de renforcer la vision et la proactivit. Valoriser les relations fournisseurs. Intelligence collective, flexibilit et agilit (capitalisation des savoirs). Etendre la zone dinfluence (dimension commerciale). Valoriser les relations clients. Amliorer lefficacit des capitaux.