systmes d'information Alaaeddine Fellah & Fabien Soulis Le 07 mai 2014
Tandis que la complexification des systmes d'information entrane de
nouveaux risques, les organisations sont en train de mettre en place de nouveaux standards de scurit de l'information. La mondialisation a permis l'essor d'organisations qui ont su profiter de l'ouverture de nouveaux marchs pour se dvelopper. Ces organisations tant prsentes dans de nombreux endroits diffrents, leurs modles organisationnels se sont rapidement complexifis afin de rpondre aux besoins des clients de manire efficace et transparente. Pour s'adapter rapidement ces nouvelles exigences organisationnelles, les directions des technologies de l'information ont progressivement conu et mis en place de nouvelles architectures informatiques. Autrefois circonscrits quelques immeubles, les systmes d'information d'aujourd'hui gnrent dsormais des changes en temps rel entre des systmes htrognes qui peuvent appartenir diffrentes entits
: units d'affaires, partenaires, fournisseurs, clients, etc.
Agissant comme de vritables systmes nerveux, les systmes d'information sont
au cur de l'ensemble des activits des organisations. Leur prdominance et leur complexification ont entran de nouveaux risques pour les organisations. Leur entretien est de plus en plus complexe et les synergies avec des systmes pouvant appartenir d'autres organisations sont l'origine de plusieurs initiatives de normalisation des activits informatiques. Ces travaux de normalisation, mens pour la plupart par des universits, des gouvernements et des regroupements d'organisations, ont permis de dfinir de bonnes pratiques en matire de gestion des systmes d'information.
L'adoption de ces normes par les organisations a ainsi permis une uniformisation progressive des pratiques de conception, de dveloppement, d'installation, d'entretien et de scurit des systmes d'information, et a amlior la qualit de ces derniers. Dans cet article, nous traiterons d'abord des normes et des standards de scurit de l'information les plus frquemment appliqus dans le monde des affaires. Nous prsenterons ensuite un guide de conformit de la scurit des systmes d'information, puis nous conclurons sur les points importants prendre en compte au moment de la slection d'une norme.
IMPORTANCE DE LA SCURIT DE L'INFORMATION
ET NORMES SPCIALISES De nos jours, les organisations se fondent essentiellement sur l'information pour prendre des dcisions, mener bien leurs activits et rpondre aux exigences des organismes de rglementation. Par consquent, l'information est considre de nos jours comme une ressource importante protger. Garantir la disponibilit, l'intgrit et la confidentialit (DIC) des informations d'une organisation est devenu une tche difficile, qu'il convient d'accomplir de faon continue. Les normes de scurit de l'information fournissent aux organisations des outils les aidant dfinir une stratgie de scurisation des systmes d'information adapte leurs besoins oprationnels et leurs exigences contractuelles ou lgislatives. Il existe de nombreuses normes de scurit de l'information, notamment : - ISO 27001; - ISO 27002; - SOC 1 - SSAE 16 (remplaant du SAS 70), SOC 2 et SOC 3; - PCI DSS; - Les normes du National Institute of Standards and Technology (NIST). Nous limiterons notre prsentation des normes de scurit de l'information celles qui s'appliquent le plus frquemment au monde des affaires.
COMPARAISON DES NORMES DE SCURIT DE
L'INFORMATION ISO 27001 La norme ISO 27001 spcifie les exigences de mise en place, d'exploitation et d'amlioration d'un systme de management de la scurit de l'information (SMSI). Cette norme prconise un modle de gouvernance permettant aux organisations de grer la scurit de l'information d'une manire structure, d'tablir un plan adapt de gestion de la scurit de l'information et de rpondre aux questions lgitimes de la direction, dont les suivantes : - L'organisation a-t-elle identifi les obligations juridiques, rglementaires et contractuelles applicables en matire de scurit? - L'organisation a-t-elle identifi les informations et les processus qu'il importe de protger? - Quelles mesures de scurit sont mises en uvre pour protger ces informations? - L'organisation connat-elle bien son systme d'information et celui-ci lui permet-il de prvoir les problmes potentiels? La norme ISO 27001 ne fournit pas d'indications prcises sur les contrles mettre en place pour garantir la scurit de l'information, mais elle prsente plutt des consignes d'encadrement dans le cadre des processus suivants, notamment : - la gestion des mesures de scurit; - la gestion de la conformit; - la gestion des risques; - la gestion des incidents. De par son caractre gnraliste et structurant, ISO 27001 conviendra tout type d'organisation qui souhaite cerner tous les enjeux de scurit. La norme ISO 27001 renvoie plusieurs normes pour la mise en place d'un SMSI, comme ISO 27002, ISO 27005, etc. La mise en place des bonnes pratiques prconises par ISO 27001 permet d'envisager des travaux de scurisation plus spcifiques aux activits et aux systmes d'information des organisations. L'organisation qui se conforme aux
recommandations de la norme ISO 27001 peut recevoir la certification norme ISO
27001 afin de mieux faire tat de son niveau de scurit tant l'interne qu' l'externe.
PCI DSS Payment Card Industry Data Security Standard (PCI DSS) est une norme mise au point par le secteur des cartes de crdit. Elle vise principalement encadrer la scurit des renseignements lis aux cartes de crdit transmis aux organisations. Le respect de la norme PCI DSS permet de rduire considrablement les risques de fraude et de vol de renseignements bancaires. Pour protger une organisation des menaces internes ou externes dont elle pourrait faire l'objet, PCI DSS recommande la mise en place d'un grand nombre de dispositifs et de procdures de contrles spcifiques la protection des renseignements de cartes de crdit, dont la gestion des accs, le cryptage des donnes des cartes de crdit et des communications et l'installation de solutions de dtection et de blocage des activits informatiques suspectes. Certaines organisations pourront procder leur propre autovaluation de PCI DSS. Cependant, au-del d'une limite fixe en ce qui a trait aux oprations par carte de crdit, les organisations devront faire appel un valuateur de scurit qualifi (Qualified Security Assessor, QSA), qui prendra en charge l'valuation de ces oprations. La certification PCI DSS est requise si une organisation souhaite accepter les paiements effectus au moyen des principales cartes de crdit.
SOC 1, 2 et 3 SOC (Service Organization Control) 1 (SSAE16), 2 et 3 (AT 101) prescrivent la prparation de trois types de rapports qui dcrivent les procdures et les contrles mis en place par une organisation pour assurer la scurit des systmes d'information. Le rapport SOC 1, qui remplace le trs connu SAS 70, met l'accent sur la fiabilit des informations financires, tandis que les rapports SOC 2 et 3 comportent des exigences plus strictes quant la scurit, la disponibilit, l'intgrit et la confidentialit des donnes qualifies de sensibles.
Le rapport SOC 1 est particulirement adapt aux organisations qui ralisent des activits financires pour leurs clients (p. ex. services financiers, gestion de la paie), alors que ceux de type SOC 2 ou 3 s'adressent un plus large ventail d'organisations, c'est--dire celles qui fournissent des services pour lesquels la scurit, la confidentialit et l'intgrit des donnes sont essentiels, comme le traitement de donnes mdicales et l'archivage de renseignements confidentiels.
GUIDE POUR LA CONFORMIT DE LA SCURIT
DES SYSTMES D'INFORMATION La conformit n'est pas un projet ralis un moment donn, puis oubli. Il s'agit plutt d'un processus d'affaires qui s'adapte aux contraintes rglementaires, aux besoins de l'entreprise et surtout aux nouveaux risques en matire de scurit. Les technologies de l'information sont en constante volution et les risques lis ces technologies changent et voluent constamment. Par consquent, le programme de conformit doit s'adapter ces changements. Pour ce faire, il est important de se doter d'un processus de conformit volutif, qui prend en compte les trois axes suivants (Figure 1) :
la comprhension du cadre rglementaire;
l'intgration des contrles; la correction des carts.
Le choix de se conformer une norme de scurit de l'information ou la
certification, ou une norme donne doit se faire de manire rflchie et structure, en se fondant sur les besoins stratgiques et les exigences contractuelles et rglementaires de l'organisation. Voici une description dtaille de chacune des tapes telle que prsente dans la figure 1.
COMPRENDRE LE CADRE RGLEMENTAIRE
tablir un cadre de gouvernance de la conformit La premire tape d'un programme de conformit consiste comprendre l'environnement rglementaire d'une organisation. En matire de scurit des systmes d'information, la recherche doit tre ralise en collaboration avec l'quipe de scurit ou un consultant spcialiste en la matire. Ce processus visera identifier les sources de gouvernance qui s'appliquent au contexte de l'organisation et numrer les contrles associs ces sources. Dans le cas d'une organisation qui ne dispose pas d'une structure unifie de gestion de la scurit de l'information, il est fortement recommand d'utiliser la norme ISO 27001 afin de mettre en place un systme de management de la
scurit de l'information (SMSI).
Une organisation peut galement tre amene se conformer des normes plus spcifiques de scurit de l'information pour rpondre des exigences imposes par certains secteurs d'activit (p. ex. la norme PCI DSS par de grands groupes comme Visa et MasterCard) ou ses partenaires et ses clients (SOC 1, 2 et 3, PCI DSS, etc.).
Affecter un responsable certifi
Il est important d'affecter au programme de conformit une personne responsable qui possde les comptences ncessaires pour le mener bien. Plusieurs certifications visent valider les comptences en matire de scurit des systmes d'information, comme le CISSP (Certified Information Systems Security Professional), le CISA (Certified Information System Auditor), le CISM (Certified Information Security Manager) ou la certification Lead Auditor ISO 27001 qui porte spcifiquement sur la mise en place d'un systme de gestion de la scurit des systmes d'information conforme la norme ISO 27001.
Communiquer efficacement au sujet du programme de conformit
La mise en place de contrles de scurit informatique donne toujours lieu une certaine rsistance de la part des utilisateurs. Il est donc trs important de communiquer efficacement au sujet du programme de conformit, mais surtout d'expliquer au personnel touch par ce programme sa valeur ajoute et les contrles qui seront mis en place.
INTGRER LES CONTRLES
Mettre en place les oprations du programme d'audit Ce processus permet de dfinir et de normaliser les activits de contrles ainsi que les procdures bases sur les objectifs de la gouvernance. Ce processus englobe les risques d'affaires, les objectifs de contrle, les activits de contrles
et les procdures de test des contrles. Il permet la traabilit d'un contrle, il
dmontre sa relation avec des sources de gouvernance et enfin, il relve la nonconformit d'un lment, bas sur des risques affaires.
CORRIGER LES CARTS
Mesures appropries en cas de constats de non-conformit En matire de scurit des systmes d'information, les constats de nonconformit peuvent signaler des failles dans le dispositif de scurit et des risques d'affaires. Ainsi, le processus dcisionnel doit comporter des mcanismes d'action pour la prise de dcision dynamique, la collecte et l'examen des dfaillances de contrle, l'laboration et le choix des stratgies d'attnuation. Souvent, l'attnuation des risques de scurit ne ncessite pas la mise en place de contrles trs coteux. L'idal consiste trouver le parfait quilibre entre les risques et les cots de contrle.
Jouer un rle de service-conseil au sein des quipes informatiques
Un programme efficace de conformit de la scurit comprend un processus visant conseiller les architectes technologiques et les dveloppeurs de systmes et les aider comprendre les besoins en contrles. Ce service-conseil pourrait galement tre utilis lors de l'laboration de contrats avec des fournisseurs de services. Le groupe de conformit des TI et de la scurit doit tre capable de dfinir les responsabilits des fournisseurs de services par rapport aux contrles. L'efficacit de ces contrles sera mesure afin de transmettre l'information la haute direction de l'organisation.
CONCLUSION Nous avons prsent les normes et les pratiques les plus frquemment appliques dans le monde des affaires en matire de scurit de l'information. Nous avons parl de leurs lments spcifiques et des facteurs prendre en compte lors de leur slection.
Une organisation devrait se demander de quels moyens elle dispose pour
communiquer efficacement, tant l'interne qu' l'externe, en matire de scurit de l'information. S'ils sont limits, la solution consiste alors aligner la dmarche de conformit de l'organisation sur l'une des normes de scurit de l'information.
propos des auteurs
Alaaeddine Fellah
Alaaeddine Fellah, M.B.A., M.Sc., CISA, est directeur, Audit interne, Gestion des risques et Services-conseils chez Richter. Fabien Soulis
Fabien Soulis, M.Sc, SSCP est auditeur senior, Audit interne, Gestion des risques et Services-conseils chez Richter.
Dcouvrez le nouveau bulletin lectronique personnalis de CPA Canada, Linfolettre CPA, qui vous permet de recevoir de linformation sur les sujets de votre choix.
CENTRE DE GESTION DES PRFRENCES (/FR/ZONEMEMBRES/CENTRE-DE-GESTION-DES-PREFERENCES)
Le Centre de gestion des prfrences vous permet de choisir les sujets et les champs d'intrts sur lesquels vous souhaitez recevoir de l'information, et la faon dont vous souhaitez qu'elle vous soit communique par CPA Canada.
PRINCIPALES ACTIONS EN RESPONSABILIT VISANT LES
CABINETS COMPTABLES (/FR/CARRIERE-ETPERFECTIONNEMENT-PROFESSIONNEL/PERFECTIONNEMENTPROFESSIONNEL/WEBINAIRES/2015/JANVIER/PRINCIPALESACTIONS-EN-RESPONSABILITE-VISANT-LES-CABINETSCOMPTABLES) Bnficiez dindications qui vous aideront rduire le nombre dactions en responsabilit intentes contre vous ainsi qu accrotre vos chances dobtenir gain de cause.
