Académique Documents
Professionnel Documents
Culture Documents
Bibliographie
2
L'entreprise, qui était hier fortement hiérarchisée, est devenue, aujourd'hui un
système.
D'une vision verticale, on est ainsi passé à une vision globale ou ensembliste.
L'entreprise est un ensemble d'éléments relié entre eux et les liaisons sont le
siège d'interactions complexes, sources des principaux problèmes en matière de
système d'information.
3
1-Enjeux de la sécurité des systèmes d'information
Outre les aspects financiers, des bris de sécurité informatique peuvent causer du
tort à la vie privée d'une personne en diffusant des informations confidentielles
sur elle (entre autres ses coordonnées postales ou bancaires), et peuvent pour
cette raison être sanctionnés lorsqu'une négligence de l'hébergeur est établie : si,
par exemple, celui-ci n'a pas appliqué un correctif dans des délais raisonnables.
Même si le but de ces méthodes est identique, les termes et les expressions
utilisés peuvent varier. Ceux utilisés ci-dessous sont globalement inspirés de la
méthode Feros.
2-2-Informations sensibles
Il faut évaluer les menaces et déterminer les vulnérabilités pour ces éléments
sensibles.
2-3-Critères de sécurité
Une fois les éléments sensibles déterminés, les risques sur chacun de ces
éléments peuvent être évalués en fonction des menaces qui pèsent sur les
éléments à protéger. Il faut pour cela évaluer :
6
2-4-Menaces
2-5-Objectifs
Une fois les risques énoncés, il est souhaitable de déterminer des objectifs de
sécurité. Ces objectifs sont l'expression de l'intention de contrer des risques
identifiés et/ou de satisfaire à des politiques de sécurité organisationnelle. Un
objectif peut porter sur le système cible, sur son environnement de
développement ou sur son environnement opérationnel. Ces objectifs pourront
ensuite être déclinés en fonctions de sécurité, implémentables sur le système
d'information.
3-1-Conception globale
7
* la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans
certains cas « prise de conscience » (les anglophones utilisent le terme
awareness) ;
* la sécurité de l'information ;
* la sécurité des données, liée aux questions d'interopérabilité, et aux besoins
de cohérence des données en univers réparti ;
* la sécurité des réseaux ;
* la sécurité des systèmes d'exploitation ;
* la sécurité des télécommunications ;
* la sécurité des applications (débordement de tampon), cela passe par
exemple par la programmation sécurisée ;
* la sécurité physique, soit la sécurité au niveau des infrastructures matérielles
(voir la « stratégie de reprise »).
Pour certains, la sécurité des données est à la base de la sécurité des systèmes
d'information, car tous les systèmes utilisent des données, et les données
communes sont souvent très hétérogènes (format, structure, occurrences, …).
3-2-Défense en profondeur
3-3-Politique de sécurité
8
de faire en sorte qu'ils puissent utiliser le système d'information en toute
confiance. C'est la raison pour laquelle il est nécessaire de définir dans un
premier temps une politique de sécurité, c'est-à-dire :
* élaborer des règles et des procédures, installer des outils techniques dans les
différents services de l'organisation (autour de l'informatique) ;
* définir les actions à entreprendre et les personnes à contacter en cas de
détection d'une intrusion ;
* sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes
d'informations ;
* préciser les rôles et responsabilités.
La politique de sécurité est donc l'ensemble des orientations suivies par une
entité en termes de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la
direction de l'organisation concernée, car elle concerne tous les utilisateurs du
système.
9
3-5-Modèles formels de sécurité
Afin d'atteindre une cible d'évaluation avec un bon degré de confiance (niveau
E4 de TCSEC au minimum), nous définissons formellement le concept de
sécurité dans un modèle dont les objectifs sont les suivants :
* le Plan de Reprise d'Activité (PRA) aussi appelé reprise "à froid" qui permet
un redémarrage « rapide » de l'activité après un sinistre, avec restauration d'un
système en secours avec les données de la dernière sauvegarde
* le Plan de Continuité d'Activité (PCA) également appelé reprise "à chaud"
qui, par une redondance d'infrastructure et une réplication intersites permanente
10
des données, permet de maintenir l'activité en cas de sinistres majeur de l'un des
sites.
Chacun de ces plans tente de minimiser les pertes de données et d'accroitre la
réactivité en cas de sinistre majeur ; un PCA efficace, doit en principe, être
quasi-transparent pour les utilisateurs, et garantir l'intégrité des données sans
aucune perte d'information.
La mise en œuvre de telle ou telle solution est souvent déterminée par les
contraintes fonctionnelles et budgétaires.
3-7-Moyens techniques
De nombreux moyens techniques peuvent être mis en œuvre pour assurer une
sécurité du système d'information. Il convient de choisir les moyens nécessaires,
suffisants, et justes. Voici une liste non exhaustive de moyens techniques
pouvant répondre à certains besoins en termes de sécurité du système
d'information :
* Contrôle des accès au système d'information ;
* Surveillance du réseau : sniffer, système de détection d'intrusion ;
* Sécurité applicative : séparation des privilèges, audit de code, rétro-
ingénierie ;
* Emploi de technologies ad-hoc : pare-feu, UTM, anti-logiciels malveillants
(antivirus, anti pourriel (SPAM), anti-espiogiciel (spyware) ;
* Cryptographie : authentification forte, infrastructure à clés publiques,
chiffrement.
Le leader de ce marché est le groupe californien Symantec avec 26,6% des parts
de marché (et 50 millions d'ordinateurs protégés), suivi de McAfee (11,8 %),
puis Trend Micro (7,8), CA (4 %) et EMC (4%).
11