Scurit du systme d'information

La scurit des systmes dinformation (SSI) est lensemble des moyens techniques, organisationnels, juridiques et
humains ncessaire et mis en place pour conserver, rtablir, et garantir la scurit du systme d'information. Assurer
la scurit du systme d'information est une activit du management du systme d'information.

Sommaire
1 Enjeux de la scurit des systmes d'information
2 L'valuation des risques
2.1 Mthodes d'analyse de risque
2.2 Informations sensibles
2.3 Critres de scurit
2.4 Menaces
2.5 Objectifs
3 Moyens de scurisation d'un systme
3.1 Conception globale
3.2 Dfense en profondeur
3.3 Politique de scurit
3.4 Responsable de la scurit du systme d'information
3.5 Modles formels de scurit
3.6 Plan de continuit d'activit
3.7 Moyens techniques
4 March de la scurit informatique
4.1 Dpenses gouvernementales
5 Notes et rfrences
6 Voir aussi
6.1 Articles connexes
6.2 Liens externes
6.3 Bibliographie

Enjeux de la scurit des systmes d'information

Le terme systme informatique dsigne ici tout systme dont le fonctionnement fait appel, d'une faon ou d'une
autre, l'lectricit et destin laborer, traiter, stocker, acheminer ou prsenter de l'information. Les systmes
d'information s'appuient en rgle gnrale sur des systmes informatiques pour leur mise en uvre. Ils comprennent
les donnes de tlcommunications (voix analogique, voix sur IP) et dans certains cas, les donnes sur papier.
De tels systmes se prtent des menaces de types divers, susceptibles d'altrer ou de dtruire l'information (on parle
d' intgrit de l'information ), ou de la rvler des tiers qui ne doivent pas en avoir connaissance (on parle de
confidentialit de l'information ), ou bien par exemple de porter atteinte sa disponibilit (on parle alors de
disponibilit du systme ). Depuis les annes 1970, l'accs rapide aux informations, la rapidit et l'efficacit des
traitements, les partages de donnes et l'interactivit ont augment de faon considrable mais c'est galement le
cas des pannes indisponibilits, incidents, erreurs, ngligences et malveillances en particulier avec l'ouverture sur
internet.
Certaines de ces menaces peuvent aussi, indirectement, causer d'importants dommages financiers. Par exemple, bien
qu'il soit relativement difficile de les estimer, des sommes de l'ordre de plusieurs milliards de dollars US ont t
avances suite des dommages causs par des programmes malveillants comme le ver Code Red. D'autres
dommages substantiels, comme ceux lis au vol de numros de cartes de crdit, ont t dtermins plus prcisment.
Outre les aspects financiers, des bris de scurit informatique peuvent causer du tort la vie prive d'une personne en

diffusant des informations confidentielles sur elle (entre autres ses coordonnes postales ou bancaires), et peuvent
pour cette raison tre sanctionns lorsqu'une ngligence de l'hbergeur est tablie : si, par exemple, celui-ci n'a pas
appliqu un correctif dans des dlais raisonnables.
Indirectement aussi, certaines menaces peuvent nuire l'image mme du propritaire du systme d'information. Des
techniques rpandues de defacing (une refonte d'un site web) permettent une personne mal intentionne de
mettre en vidence des failles de scurit sur un serveur web. Ces personnes peuvent aussi profiter de ces
vulnrabilits pour diffuser de fausses informations sur son propritaire (on parle alors de dsinformation).
Le cas le plus rpandu, et sans aucun doute les prcurseurs en matire de scurit de l'information, reste la
scurisation de l'information stratgique et plus particulirement militaire. Le TCSEC, ouvrage de rfrence en la
matire, est issu du Department of Defense (DoD) des tats-Unis. Le principe de scurit multiniveau trouve ses
origines dans les recherches de rsolution des problmes de scurit de l'information militaire. Aujourd'hui, plusieurs
mcanismes sont tudis ; citons les leurres reposant sur l'argument qu'interdire explicitement l'accs une donne
consiste fournir une information sur cette dernire ce qui sous-tend l'hypothse raliste que la scurit 100%
n'est pas atteinte.

L'valuation des risques

Tenter de scuriser un systme d'information revient essayer de se protger contre les risques pouvant avoir un
impact sur la scurit de celui-ci, ou des informations qu'il traite.

Mthodes d'analyse de risque

Diffrentes mthodes d'analyse des risques sur le systme d'information existent. Voici les trois principales mthodes
d'valuation disponibles sur le march franais :

la mthode EBIOS (Expression des besoins et identification des objectifs de scurit), dveloppe par
l'Agence nationale de la scurit des systmes d'information (ANSSI) ;
la mthode MEHARI (Mthode harmonise d'analyse des risques), dveloppe par le CLUSIF ;
la mthode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), dveloppe par
l'Universit de Carnegie Mellon (USA).

La socit MITRE, qui travaille pour le Dpartement de la Dfense des tats-Unis, a aussi dvelopp en 1998 une
mthode d'valuation des menaces et des vulnrabilits applique l'industrie arospatiale, et pouvant tre
gnralise aux infrastructures critiques : NIMS (NAS Infrastructure Management System, NAS signifiant National
Aerospace).
Mme si le but de ces mthodes est identique, les termes et les expressions utiliss peuvent varier. Ceux utiliss cidessous sont globalement inspirs de la mthode Feros.
Paradoxalement, dans les entreprises, la dfinition d'indicateurs scurit du SI mesurables, pertinents et
permettant de dfinir ensuite des objectifs dans le temps, raisonnables atteindre, s'avre dlicate. S'il s'agit
d'indicateurs de performances, on peut dsigner comme indicateurs les tats d'installation d'outils ou de procdures,
mais les indicateurs de rsultats sont plus complexes dfinir et apprcier, preuve ceux sur les alertes virales .

Informations sensibles
Avant de tenter de se protger, il convient de dterminer quelles sont les informations sensibles de l'entreprise, qui
peuvent tre des donnes, ou plus gnralement des actifs reprsents par des donnes. Chaque lment pourra avoir
une sensibilit diffrente.
Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise, qui constitue un patrimoine informationnel
protger.

Il faut valuer les menaces et dterminer les vulnrabilits pour ces lments sensibles.

Critres de scurit
La scurit peut s'valuer suivant plusieurs critres :

Disponibilit : garantie que ces lments considrs sont accessibles au moment voulu par les personnes
autorises.
Intgrit : garantie que les lments considrs sont exacts et complets.
Confidentialit : garantie que seules les personnes autorises ont accs aux lments considrs.

D'autres aspects peuvent ventuellement tre considrs comme des critres (bien qu'il s'agisse en fait de fonctions de
scurit), tels que :

Traabilit (ou Preuve ) : garantie que les accs et tentatives d'accs aux lments considrs sont tracs
et que ces traces sont conserves et exploitables.

Une fois les lments sensibles dtermins, les risques sur chacun de ces lments peuvent tre estims en fonction
des menaces qui psent sur les lments protger. Il faut pour cela estimer :

la gravit des impacts au cas o les risques se raliseraient,

la vraisemblance des risques (ou leur potentialit, ou encore leur probabilit d'occurrence).

Dans la mthode EBIOS, ces deux niveaux reprsentent le niveau de chaque risque qui permet de les valuer (les
comparer).
Dans la mthode MEHARI, le produit de l'impact et de la potentialit est appel gravit . D'autres mthodes
utilisent la notion de niveau de risque ou de degr de risque .

Menaces
Les principales menaces effectives auxquelles un systme dinformation peut tre confront sont :

Un utilisateur du systme : l'norme majorit des problmes lis la scurit d'un systme d'information est
l'utilisateur, gnralement insouciant ;
Une personne malveillante : une personne parvient s'introduire sur le systme, lgitimement ou non, et
accder ensuite des donnes ou des programmes auxquels elle n'est pas cense avoir accs en utilisant par
exemple des failles connues et non corriges dans les logiciels ;
Un programme malveillant : un logiciel destin nuire ou abuser des ressources du systme est install
(par mgarde ou par malveillance) sur le systme, ouvrant la porte des intrusions ou modifiant les donnes ;
des donnes personnelles peuvent tre collectes l'insu de l'utilisateur et tre rutilises des fins
malveillantes ou commerciales ;
Un sinistre (vol, incendie, dgt des eaux) : une mauvaise manipulation ou une malveillance entranant une
perte de matriel et/ou de donnes.

Objectifs
Une fois les risques noncs, il est souhaitable de dterminer des objectifs de scurit. Ces objectifs sont l'expression
de l'intention de contrer des risques identifis et/ou de satisfaire des politiques de scurit organisationnelle. Un
objectif peut porter sur le systme cible, sur son environnement de dveloppement ou sur son environnement
oprationnel. Ces objectifs pourront ensuite tre dclins en fonctions de scurit, implmentables sur le systme
d'information.

Moyens de scurisation d'un systme

Conception globale
La scurit d'un systme d'information peut tre compare une chane de maillons plus ou moins rsistants. Elle est
alors caractrise par le niveau de scurit du maillon le plus faible.
Ainsi, la scurit du systme d'information doit tre aborde dans un contexte global :

la sensibilisation des utilisateurs aux problmatiques de scurit, ou dans certains cas prise de
conscience (les anglophones utilisent le terme awareness) ;
la scurit de l'information ;
la scurit des donnes, lie aux questions d'interoprabilit, et aux besoins de cohrence des donnes en
univers rparti ;
la scurit des rseaux ;
la scurit des systmes d'exploitation ;
la scurit des tlcommunications ;
la scurit des applications (dbordement de tampon), cela passe par exemple par la programmation
scurise ;
la scurit physique, soit la scurit au niveau des infrastructures matrielles (voir la stratgie de reprise ).

Pour certains, la scurit des donnes est la base de la scurit des systmes d'information, car tous les systmes
utilisent des donnes, et les donnes communes sont souvent trs htrognes (format, structure, occurrences, ).

Dfense en profondeur
Tout droit sorti d'une pratique militaire ancienne et toujours d'actualit, le principe de dfense en profondeur revient
scuriser chaque sous-ensemble du systme, et s'oppose la vision d'une scurisation du systme uniquement en
priphrie. De faon puriste, le concept de dfense en profondeur signifie que les divers composants d'une
infrastructure ou d'un systme d'information ne font pas confiance aux autres composants avec lesquels ils
interagissent. Ainsi, chaque composant effectue lui-mme toutes les validations ncessaires pour garantir la scurit.
En pratique, ce modle n'est appliqu que partiellement puisqu'il est habituellement impraticable de ddoubler tous
les contrles de scurit. De plus, il peut mme tre prfrable de consolider plusieurs contrles de scurit dans un
composant ddi cette fin. Ce composant doit alors tre considr comme tant sr par l'ensemble du systme.

Politique de scurit
La scurit des systmes d'information se cantonne gnralement garantir les droits d'accs aux donnes et
ressources d'un systme, en mettant en place des mcanismes d'authentification et de contrle. Ces mcanismes
permettent d'assurer que les utilisateurs des dites ressources possdent uniquement les droits qui leurs ont t
octroys.
La scurit informatique doit toutefois tre tudie de telle manire ne pas empcher les utilisateurs de dvelopper
les usages qui leur sont ncessaires, et de faire en sorte qu'ils puissent utiliser le systme d'information en toute
confiance. C'est la raison pour laquelle il est ncessaire de dfinir dans un premier temps une politique de scurit,
c'est--dire :

laborer des rgles et des procdures, installer des outils techniques dans les diffrents services de
l'organisation (autour de l'informatique) ;
dfinir les actions entreprendre et les personnes contacter en cas de dtection d'une intrusion ;
sensibiliser les utilisateurs aux problmes lis la scurit des systmes d'informations ;
prciser les rles et responsabilits.

La politique de scurit est donc l'ensemble des orientations suivies par une entit en termes de scurit. ce titre,
elle se doit d'tre labore au niveau de la direction de l'organisation concerne, car elle concerne tous les utilisateurs
du systme.

Responsable de la scurit du systme d'information

Cela tant, en France, ce sont principalement les grandes socits, entreprises du secteur public et administrations qui
ont dsign et emploient, plein temps ou non, des responsables de la scurit des systmes d'information . Les
tches de la fonction dpendent du volontarisme politique ; les cadres ou techniciens concerns ont en gnral une
bonne exprience informatique allie des qualits de pdagogie, conviction, etc. Peu peu, le management de la
scurit informatique s'organise en domaines ou sous-domaines des services informatiques ou d'tat-major ; ils sont
dots de moyens financiers et humains et intgrent les contrats de plan ou de programmes de l'entreprise.
Ainsi, il ne revient pas aux administrateurs informatiques de dfinir les droits d'accs des utilisateurs mais aux
responsables hirarchiques de ces derniers ou au RSSI (Responsable de la scurit des systmes d'information), si ce
poste existe au sein de l'organisation. Le rle de l'administrateur informatique est donc de faire en sorte que les
ressources informatiques et les droits d'accs celles-ci soient en cohrence avec la politique de scurit retenue. De
plus, tant donn qu'il est le seul connatre parfaitement le systme, il lui revient de faire remonter les informations
concernant la scurit sa direction, ventuellement de la conseiller sur les stratgies mettre en uvre, ainsi que
d'tre le point d'entre concernant la communication aux utilisateurs des problmes et recommandations en termes de
scurit.

Modles formels de scurit

Afin d'atteindre une cible d'valuation avec un bon degr de confiance (niveau E4 de TCSEC au minimum), nous
dfinissons formellement le concept de scurit dans un modle dont les objectifs sont les suivants :

exprimer les besoins de scurits intgres dans un contexte informatique,

fournir des moyens pour justifier que le modle est cohrent,
fournir des moyens permettant de convaincre que les besoins sont satisfaits,
fournir des mthodes permettant de concevoir et d'implanter le systme.

Il existe plusieurs modles formels de scurit :

Le modle de Bell-LaPadula (gestion d'accs par mandat, confidentialit, statique) modle qui a t le plus
utilis pour vrifier la scurit des systmes informatiques. Les concepteurs de ce modle ont dmontr un
thorme appel Basic Security Theorem (BST). De ce modle furent drivs d'autres modles : celui de Biba
(gestion d'accs par mandat, intgrit, statique), celui de Dion (gestion d'accs par mandat, confidentialit et
intgrit, statique), de Jajodia et Sandhu (gestion d'accs par mandat, confidentialit, statique).

Le modle de non-dduction (gestion d'accs par mandat, confidentialit, dynamique) modlisant le flux
d'informations en utilisant des concepts de la logique. Les modles de scurit bass sur le principe de flux
d'informations ont leur utilit dans le contrle des accs indirects l'information : ils mettent en vidence le
problme des canaux cachs.

Le modle HRU (gestion d'accs discrtionnaire) et ses drivs, le modle Take-Grant et le modle SPM.

Plan de continuit d'activit

Face la criticit croissante des systmes d'information au sein des entreprises, il est aujourd'hui indispensable de
disposer d'un plan de scurisation de l'activit.
Ce plan se dcline en deux niveaux distincts :

le Plan de Reprise d'Activit (PRA) aussi appel reprise " froid" qui permet un redmarrage rapide de
l'activit aprs un sinistre, avec restauration d'un systme en secours avec les donnes de la dernire
sauvegarde
le Plan de Continuit d'Activit (PCA) galement appel reprise " chaud" qui, par une redondance
d'infrastructure et une rplication intersites permanente des donnes, permet de maintenir l'activit en cas de
sinistres majeur de l'un des sites.

Chacun de ces plans tente de minimiser les pertes de donnes et d'accroitre la ractivit en cas de sinitre majeur ; un
PCA efficace, doit en principe, tre quasi-transparent pour les utilisateurs, et garantir l'intgrit des donnes sans
aucune perte d'information.
La mise en oeuvre de telle ou telle solution est souvent dtermine par les contraintes fonctionnelles et budgtaires.

Moyens techniques
De nombreux moyens techniques peuvent tre mis en uvre pour assurer une scurit du systme d'information. Il
convient de choisir les moyens ncessaires, suffisants, et justes. Voici une liste non exhaustive de moyens techniques
pouvant rpondre certains besoins en termes de scurit du systme d'information :

Contrle des accs au systme d'information ;

Surveillance du rseau : sniffer, systme de dtection d'intrusion ;
Scurit applicative : sparation des privilges, audit de code, rtro-ingnierie ;
Emploi de technologies ad-hoc : pare-feu, UTM, anti-logiciels malveillants (antivirus, antipourriel (SPAM),
antiespiogiciel (spyware) ;
Cryptographie : authentification forte, infrastructure cls publiques, chiffrement.