Vous êtes sur la page 1sur 15

Le processus de gestion de scurit

de linformation dans les


Organisations Virtuelles
Michel KAMEL

Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

Problmatique
Environnement collaboratif

Systme de gestion

Organisations

Pratiques s
scuritaires

Comp
Comptences
Ressources

Fdration d
didentit
identit

Utilisateurs

Normes de s
scurit
curit

Syst
Systmes dInformation
Politique de s
scurit
curit

Domaines de scurit
curit

 Ouverture des Systmes dInformation des organisations membres.


 Confiance en les organisations partenaires; sont-elles capables de bien grer le
contrle daccs dans leurs domaines de scurit? Peut-on compter sur eux?
Objectif: tablir la chane de confiance entre les organisations partenaires dans une OV.
 Ces organisations ont-elles une culture et des stratgies pour la dfinition de
politiques de scurit.
 Les administrateurs ont-ils une exprience dans la gestion de la scurit et le
dploiement des services de scurit?
Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

Meilleures pratiques (scuritaires)


Scuriser un Systme dInformation ce nest pas seulement utiliser et implmenter
les technologies avances qui existent sur le march.
Scuriser un Systme dInformation cest contrler les processus de scurit et
savoir comment utiliser et grer ces technologies avances pour en tirer profit maximal.
 On doit valuer les pratiques scuritaires (comment est gre la scurit,
quels sont les processus de scurit dfinis, lexprience des administrateurs en la
gestion de la scurit, etc.).
 Y a t-il des meilleures pratiques pour la scurit de linformation?
 Y a t-il des normes qui traitent cette valuation et standardisent les
meilleures pratiques pour la scurit de linformation?

Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

Gestion de la scurit de linformation


- ISO/IEC 17799  ISO/IEC 17799 est un code de bonnes pratiques pour la gestion de la scurit de
linformation; il permet la dfinition dun Systme de Gestion de Scurit de
lInformation (SGSI) dans une organisation.
 Un SGSI permet une organisation dtablir sa politique de scurit de
linformation, et sassurer quelle rpond bien aux objectifs dfinis.
 ISO/IEC 17799 classe les meilleures pratiques en onze thmes (chapitres) de scurit
(Politique de scurit, Organisation de la scurit de linformation, Contrle daccs,
Conformit aux rglements, etc.).
 ISO/IEC 17799 est trop gnral et trop complexe pour les PMEs (39 objectifs de
contrles, 133 contrles de scurit). En plus, il liste les meilleures pratiques sans dire
comment les utiliser et il nest pas adapt aux OVs.
Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

Gestion de la scurit de linformation


- ISO/IEC 27001  ISO/IEC 27001 instruit le responsable de scurit dans lorganisation comment
appliquer ISO/IEC 17799 et comment btir, oprer, maintenir et amliorer un SGSI.
 ISO/IEC 27001 adopte une approche damlioration continue qui est le modle PlanDo-Check-Act (PDCA).
 ISO/IEC 27001 nest pas adapt aux OVs.

Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

Le niveau de maturit

Nous sommes intresss par lvaluation des pratiques scuritaires contre les
meilleures pratiques dfinies par ISO/IEC 17799.

Nous avons adopt le concept de maturit. La maturit des pratiques


scuritaires identifie quel point les questions de scurit sont traites dans une
organisation et value lexprience et lexpertise quont les administrateurs de ces
organisations.

Le modle de rfrence Capability Maturity Model Integration (CMMI)


traite la maturit; il adopte une approche oriente processus. Mais, comme nous nous
intressons valuer lefficacit dune organisation dans lassurance dun certain
niveau de scurit et non pas la bonne mise en place de processus (telle la gestion des
configurations ou de production), lapproche adopte par CMMI nest pas adapte
nos besoins.

Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

Lapproche adopte
1.

Adapter le cadre de l ISO/IEC 17799 aux organisations virtuelles.

Nous avons identifi, partir des onze chapitres de la norme ISO/IEC


17799, les objectifs et les contrles valuer dans les Systmes
dInformation des PMEs dsirant faire partie dune OV.

2.

Dfinir un outil taill pour lvaluation du niveau de maturit des pratiques


scuritaires.

Loutil intgre les concepts de meilleures pratiques et le niveau de maturit.

3.

Adapter le cadre de lISO/IEC 27001 aux organisations virtuelles.

Nous avons adapt le modle PDCA aux processus de SGSI dans un


environnement distribu.

Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

Loutil dvaluation du niveau de


maturit

Loutil est sous la forme dun questionnaire bas sur les meilleures pratiques qui
sont fournies par ISO/IEC 17799 que nous avons adapt aux OVs.

Loutil identifie 158 questions :


- 6 thmes de scurit
- 11 objectifs de scurit
- 29 contrles de scurit
 Chaque question permet didentifier, jusqu quel point, un contrle de scurit
est implment dans le SI de lorganisation.

Loutil propose cinq niveaux de maturit : initial, minimal, acceptable, gr et


optimal. Nous affectons un niveau de maturit chaque question et cela selon la
criticit et le problme de scurit quelle exprime.

Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

Objectifs de laudit et choix des questions


Chaque question cherche dterminer ou identifier la prsence (ou non) dune
pratique scuritaire dans le SGSI dune organisation. Les recommandations de
lISO/IEC 17799 permettent dtablir un canevas pour constituer laudit.
Le contenu des questions permet de corrler les pratiques scuritaires avec un
niveau de maturit.
Les questions ne sont pas lies des technologies spcifiques : elles sont bien
cibles pour quelles prennent en considration les contraintes de scurit des
diffrentes organisations et leurs caractristiques distinctives.

Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

Niveau de maturit
- rpondre aux questions 1) Ladministrateur dune organisation rpond aux questions par 1 pratique implmente ,
0 pratique non implmente ou bien 0.5 pratique partiellement implmente .

Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

10

Niveau de maturit par contrle de


scurit
2) Dans une premire tape, loutil calcule le niveau de maturit par contrle de scurit.
chapter

section

5
5
6
6
6
6
6
6
6
10
10
10
10
10
10
11
11
11
11
11
11
12
12
15
15
15

1
1
1
1
1
1
1
2
2
6
6
8
10
10
10
1
2
2
4
4
4
3
3
1
1
1

subsection objective level (1 to 5) equivalent objective level (1 to 15)

1
2
1
2
3
5
8
1
3
1
2
2
1
4
5
1
1
2
1
2
5
1
2
1
4
6

3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3

Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

6
6
6
6
6
6
6
6
6
6
6
6
6
6
6
6
6
6
6
6
6
6
6
6
6
6

eval

6
6
3
3
3
3
3
3
3
6
6
6
6
6
6
7,89
6
6
6
7,14
6
3
3
3
3
3

Michel Kamel

11

Niveau de maturit par thme de


scurit
3) Dans une deuxime tape, loutil calcule le niveau de maturit par thme de scurit.

Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

12

Niveau de maturit
- valuation graphique 4) Finalement, loutil calcule la valeur moyenne de maturit des pratiques scuritaires
implmentes dans le SI de lorganisation et le compare une valeur objectif identifi par les
partenaires. Le rsultat est affich sur un graphique Kiviat.

Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

13

Conclusion
La scurisation et le dploiement de rseaux incluant dynamiquement des
organisations collaborant dans un but commun et formant une Organisation Virtuelle
ncessitent que ces organisations ouvrent leurs Systmes dInformation aux autres.
Ouvrir son SI aux autres et leur dlguer la tche dauthentifier et daccrditer leurs
propres utilisateurs voulant accder aux ressources partages ncessitent
ltablissement de la chane de confiance entre ces organisations.
Nous ne fournissons pas une nouvelle technologie ni une solution technique: notre
approche et notre outil dvaluation de maturit des pratiques scuritaires offrent aux
organisations le moyen de quantifier la confiance et tablir la chane de confiance entre
elles. Notre outil est un systme d aide la dcision permettant aux organisations de
choisir la meilleur solution pour interconnecter leurs SI et former lOV.

Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

14

Merci

Rencontres Recherche Industrie IRIT - 26 Septembre 2007-

Michel Kamel

15