Politiques en Matière de Sécurité Des Systèmes D'information Inter-Organisationnels: Une Enquête Dans Dix Grandes Entreprises

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES
D'INFORMATION INTER-ORGANISATIONNELS : UNE ENQUÊTE

DANS DIX GRANDES ENTREPRISES
Nathalie Dagorn
ESKA | « Systèmes d'information & management »
Document téléchargé depuis www.cairn.info - St.Francis Xavier University - - 132.174.255.250 - 27/08/2018 00h33. © ESKA
2008/2 Volume 13 | pages 97 à 125
ISSN 1260-4984
ISBN 9782747214568
Article disponible en ligne à l'adresse :

--------------------------------------------------------------------------------------------------------------------
https://www.cairn.info/revue-systemes-d-information-et-
management-2008-2-page-97.htm
--------------------------------------------------------------------------------------------------------------------
Pour citer cet article :

--------------------------------------------------------------------------------------------------------------------
Nathalie Dagorn, « Politiques en matière de sécurité des systèmes d'information
inter-organisationnels : une enquête dans dix grandes entreprises », Systèmes
d'information & management 2008/2 (Volume 13), p. 97-125.
DOI 10.3917/sim.082.0097
--------------------------------------------------------------------------------------------------------------------
Distribution électronique Cairn.info pour ESKA.

© ESKA. Tous droits réservés pour tous pays.
La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les
limites des conditions générales d'utilisation du site ou, le cas échéant, des conditions générales de la
licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie,
sous quelque forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de
l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est précisé que son stockage
dans une base de données est également interdit.
Powered by TCPDF (www.tcpdf.org)

097-125 Dagorn 2/09/08 15:53 Page 97
CAS, EXPÉRIENCE ET PÉDAGOGIE
Politiques en matière de sécurité

des systèmes d’information
inter-organisationnels : une enquête
dans dix grandes entreprises
Nathalie DAGORN
ICN Ecole de Management, Nancy
Laboratory of Algorithmics, Cryptology and Security (LACS), Luxembourg
RÉSUMÉ
Cet article synthétise les résultats d’une enquête par questionnaire centrée sur les pra-
tiques et enjeux en matière de coopération et de sécurité des systèmes d’information, menée
en octobre 2007 auprès de dix grands groupes français des secteurs d’activité de l’indus-
trie, de la recherche, des banques et assurances. Il confirme notamment la tendance de
coopération par l’intermédiaire du Web, ainsi que les récents efforts des organisations en
management de la sécurité (protections techniques, politiques de sécurité conformes aux
normes ISO du domaine, budget, etc.).
Mots-clés : Enquête, Système d’information, Coopération, Sécurité, Pratiques.
ABSTRACT
This article analyzes the results of a questionnaire survey, the aim of which was to study
the practices employed, and the issues involved in the cooperation and security of
information systems. This survey was conducted in October, 2007 with ten leading French
companies of the sectors of industry, research, banking and insurance. It confirms the
trend of Web cooperation, as well as the recent efforts of the organizations to manage their
security (technical protections, security policies that conform to ISO standards in the field,
budget, etc.).
Key-words: Survey, Information system, Cooperation, Security, Practices.
Remerciements : Sans les nommer, nous tenons à remercier vivement toutes les organisations ayant contribué à
notre enquête de sécurité (et plus particulièrement leurs DSI, qui se reconnaîtront à la lecture de cet article) ; cha-
cun de leurs témoignages nous a apporté des informations d’autant plus précieuses que le cadre de recherche ex-
ploré était hautement confidentiel, abordant un sujet encore « tabou » pour la plupart des organisations aujourd’hui.
N° 2 – Vol. 13 – 2008 97
097-125 Dagorn 2/09/08 15:53 Page 98
SYSTÈMES D’INFORMATION ET MANAGEMENT
INTRODUCTION sur les pratiques et enjeux en matière

de coopération et de sécurité des sys-
Des enquêtes et statistiques pouvant tèmes d’information des organisations
être trouvées à l’heure actuelle dans la consultées. Enfin, la section 3 analyse et
littérature traditionnelle et électronique discute les résultats obtenus, avant de
sur la sécurité des systèmes d’informa- conclure dans la section 4.
tion, deux problèmes majeurs se déga-
gent : d’une part, les chiffres avancés 1. CADRE DE L’ÉTUDE
peuvent provenir de sources douteuses
ou d’enquêtes pas assez rigoureuse-
1.1. Contexte de la consultation
ment menées, générant des résultats et échantillon d’organisations
parfois contradictoires ; d’autre part, les consultées
enquêtes recensées peuvent ne pas
concerner notre zone géographique, ne
Cette étude a été menée dans le cadre

pas porter sur les points souhaités, ou d’un projet de recherche au sein de
tout simplement être obsolètes (vu Nancy-Université (France). Elle s’ap-
l’évolution rapide des technologies de puie sur un questionnaire d’enquête
l’information, particulièrement en ma- (fourni en Annexe) diffusé en octobre
tière de sécurité). 2007 à cent quatorze grandes entre-
Dans le cadre d’un projet d’étude sur prises françaises (d’après une liste four-
les pratiques et enjeux de la sécurité nie par le CIGREF1). Seules douze orga-
des systèmes d’information en France, nisations ont répondu à notre
nous avons entrepris d’interroger direc- sollicitation, la sécurité des systèmes
tement les Directions des Systèmes d’information étant généralement per-
d’Information (DSI) de dix grands çue comme un sujet extrêmement sen-
groupes français ; nous nous sommes sible sur lequel les organisations refu-
intéressés en particulier à deux sujets sent de communiquer. Parmi ces douze
d’actualité, qui sont (i) la coopération organisations intéressées par la ques-
des systèmes d’information de l’organi- tion de la sécurité, dix d’entre elles ont
sation avec d’éventuelles organisations finalement été retenues selon trois cri-
partenaires, et (ii) la sécurité des sys- tères essentiels : leur position favorable
tèmes d’information (inter-organisation- vis-à-vis de notre enquête (i.e., leur ac-
nels) déployés. cord explicite quant à leur contribution
sur la totalité du questionnaire), leur
Cet article est structuré de la manière crédibilité en tant qu’acteur important
suivante : la section 1 présente le cadre de leur secteur d’activité, et enfin l’hé-
de l’étude, renseignant sur le contexte térogénéité apparente de leur environ-
de la consultation, l’échantillon des or- nement de travail (hétérogénéité cultu-
ganisations consultées et la mise en relle, hétérogénéité des outils, etc.)
œuvre de l’étude. Puis les résultats de pressentie comme un facteur représen-
l’enquête sont dévoilés dans la section tatif de l’évolution de nombreuses orga-
2, en mettant successivement l’accent nisations.
1
Club Informatique des GRandes Entreprises Françaises, http://cigref.typepad.fr/.
98
097-125 Dagorn 2/09/08 15:53 Page 99
POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS
1.2. Mise en œuvre de l’étude date du 17 octobre 2007 aux DSI des
organisations ciblées. Le délai de ré-
L’étude a débuté par une revue de la ponse, initialement fixé au 30 octobre
littérature française et anglo-saxonne 2007, a été prolongé jusqu’au 7 no-
récente en matière de sécurité des sys- vembre 2007 pour permettre à une or-
tèmes d’information inter-organisation- ganisation de répondre tardivement.
nels2. Cette étude exploratoire était Nous avons précautionneusement suivi
notamment destinée à sonder les poli- les organisations répondantes dans leur
tiques de sécurité mises en œuvre dans compréhension du questionnaire afin
les grandes organisations, et en particu- que les réponses fournies soient perti-
lier celles s’appliquant aux systèmes nentes et exploitables. Durant le traite-
d’information inter-organisationnels. ment des résultats, peu de corrections
Quelques modèles mathématiques for- ont été nécessaires sur les retours obte-
mels à la base des politiques de sécuri- nus. Conscients de la confidentialité et
té actuelles ont ensuite été étudiés, tels de la criticité des informations de sécu-
que le modèle de contrôle d’accès dis- rité confiées par ces organisations, nous
crétionnaire DAC (Discretionary Access nous sommes engagés à protéger ces
Control) formulé par Lampson (1971), informations pour préserver leur inté-
le modèle de contrôle d’accès obligatoi- grité durant leur traitement et empêcher
re MAC (Mandatory Access Control) qu’elles soient communiquées à des
présenté par LaPadula et Bell (1973) et tiers sans l’autorisation de l’organisa-
sa variante (Biba, 1975), le modèle de tion. Nous nous sommes également en-
contrôle de flux d’information (Den- gagés à n’exploiter les résultats du
ning, 1976), le modèle de non-interfé- questionnaire que dans le cadre
rence (Goguen et Meseguer, 1982), le d’une enquête générale de manière
modèle à base de logique modale (Bie- anonyme, sans jamais divulguer ceux-ci
ber et Cuppens, 1992), le modèle de individuellement et/ou nominative-
contrôle d’accès à base de rôles RBAC ment.
(Role-Based Access Control) proposé
par Sandhu et al. (1996), le modèle de
contrôle d’accès à base de tâches TBAC 2. PRÉSENTATION
(Task-Based Access Control) formulé DES RÉSULTATS
par Thomas et Sandhu (1997) et sa va-
riante à base d’équipes TMAC (TeaM- L’enquête soumise comporte quatre
Based Access Control) proposée par parties : la première a pour but de col-
Thomas (1997), ou plus récemment le lecter quelques données générales sur
modèle de contrôle d’accès basé sur les organisations interrogées, la secon-
l’organisation Or-BAC (Organisation- de évalue leurs pratiques en matière
Based Access Control) présenté par El d’ouverture et de coopération éventuel-
Kalam et al. (2003). Puis le questionnai- le avec d’autres organisations parte-
re d’enquête a été rédigé et envoyé en naires, la troisième évalue leurs pra-
2
La littérature est encore peu abondante sur ce sujet spécifique : notre revue de littérature est basée sur 39 articles
académiques de la base de données Business Source Premier (économie et gestion), 8 ouvrages et 5 enquêtes de
sécurité.
99
097-125 Dagorn 2/09/08 15:53 Page 100
tiques en matière de sécurité des sys- naires scientifiques ou d’externalisation,

tèmes d’information, et enfin la quatriè- des organismes de recherche ou gou-
me a pour but de recueillir l’opinion vernementaux, ou encore des cabinets
des organisations interrogées sur le de notation boursière.
questionnaire soumis (les résultats de
Considérant le fait que plusieurs
cette partie seront présentés dans la
systèmes d’information inter-organi-
section suivante). Les résultats des trois
sationnels peuvent être utilisés par
premières parties de l’enquête sont dé-
les organisations interrogées, la fré-
taillés dans cette section.
quence de coopération est pluri-jour-
nalière pour neuf d’entre elles, jour-
2.1. Données générales sur nalière pour trois, hebdomadaire
les organisations interrogées pour deux, mensuelle pour deux, et
trimestrielle ou inférieure pour deux
En termes de taille de l’organisa- d’entre elles.

tion (effectif), nous avons interrogé Les systèmes d’information inter-
une organisation de 500 à 999 sala- organisationnels utilisés par ces or-
riés, une organisation de 1 000 à 4 999 ganisations pour coopérer avec leurs
salariés, et huit organisations de 5 000 partenaires sont les suivants (de ma-
salariés et plus. Elles font toutes par- nière non exclusive et par ordre dé-
tie d’un groupe de 5 000 salariés et croissant d’utilisation) : toutes utilisent
plus. une application Web, neuf utilisent un
Six organisations appartiennent au site Web, huit utilisent une application
secteur d’activité de l’industrie, deux propriétaire, huit utilisent un extranet,
au secteur bancaire, une au secteur des sept utilisent des marchés en ligne
assurances et une au secteur de la re- (place de marché électronique, plate-
cherche. forme d’achat et d’approvisionnement,
portail spécialisé), sept utilisent un sys-
tème EDI (Electronic Data Interchan-
2.2. Pratiques et enjeux ge), cinq utilisent un progiciel de ges-
en matière de coopération tion intégré (ERP pour Enterprise
des systèmes d’information Resource Planning) tel que SAP R/3
par exemple, cinq utilisent des services
2.2.1. Données générales sur Web intégratifs basés sur XML, trois
la coopération utilisent un collecticiel (groupeware),
trois utilisent un système EAI (Enter-
La totalité des organisations interro- prise Applications Integration), trois
gées coopère de manière habituelle utilisent un système XML purement do-
avec un (ou plusieurs) partenaires : cumentaire, deux utilisent un système
toutes coopèrent en effet avec un (ou de workflow intégratif (SGWf pour sys-
plusieurs) fournisseur(s), neuf d’entre tème de gestion de workflow), une or-
elles coopèrent avec une (ou plusieurs) ganisation utilise un système de work-
filiale(s) du groupe, huit avec un (ou flow purement documentaire, et une
plusieurs) client(s), et cinq avec organisation utilise une grille informa-
d’autres partenaires tels que des parte- tique (grid computing).
100
097-125 Dagorn 2/09/08 15:53 Page 101
2.2.2. Les risques liés huit organisations coopèrent par

à la coopération l’échange de messages électroniques
(mail), de messages EDI ou XML, ou
Les principaux risques organisa- génèrent du trafic réseau ; six organisa-
tionnels identifiés par les organisations tions échangent des documents papier,
interrogées sont, pour neuf d’entre et une organisation échange d’autres
elles, des risques de sécurité (réseau, types d’informations (tels que des tic-
Web) ; cinq identifient des risques de kets d’incidents sur le système d’infor-
lock-in (dépendance extrême du parte- mation inter-organisationnel, par
naire), trois des risques de conflit avec exemple).
le partenaire, et trois d’autres risques
Pour neuf organisations, les infor-
organisationnels tels que la maîtrise des
mations sensibles à protéger lors de
flux et leur disponibilité, la mesure de
la coopération sont les informations
la qualité de service, les risques juri-
commerciales ; huit évoquent les infor-

diques, commerciaux, financiers ou so-
mations ne présentant pas un caractère
ciaux liés à la coopération.
secret mais qui restent soumises à l’obli-
Les principaux risques institution- gation de réserve ou de discrétion pro-
nels (i.e., spécifiques au contexte inter- fessionnelle, sept signalent les informa-
organisationnel) engendrés exclusive- tions nominatives (fichiers des clients,
ment par la coopération sont, pour huit des fournisseurs, etc.), cinq soulignent
organisations, l’intrusion dans leur péri- les informations relevant de la vie pri-
mètre physique (par exemple, l’intru- vée (dossiers du personnel, données de
sion physique d’un salarié d’une orga- santé, etc.), cinq évoquent également
nisation partenaire) ; sept organisations les informations constitutives du patri-
craignent l’intrusion dans leur périmètre moine scientifique, industriel ou tech-
logique (par exemple, la propagation nologique de l’organisation, et deux
d’un ver ou d’une attaque par le réseau ajoutent d’autres informations telles que
de coopération), et deux organisations les informations financières avant publi-
redoutent d’autres risques institution- cation, les informations stratégiques du
nels tels que l’éventuel comportement groupe (sur les fusions/acquisitions, par
délictueux d’une organisation partenai- exemple), ou encore les informations
re relativement à la législation en vi- relatives au patrimoine intellectuel et au
gueur (loi Sarbanes-Oxley dite SOX, loi savoir-faire des partenaires de la co-
de sécurité financière dite LSF, lois fran- opération.
çaises et européennes, etc.), la perte ac-
Concernant la direction de ces flux
cidentelle ou frauduleuse (hors intru-
d’information (i.e., l’échange de qui
sion) de disponibilité, d’intégrité ou de
vers qui ?), la totalité des organisations
confidentialité.
sont « maîtres », c’est-à-dire qu’une (ou
plusieurs) organisation(s) partenaire(s)
2.2.3. Les flux d’information liés accède(nt) aux informations de l’orga-
à la coopération nisation, huit sont « esclaves », signifiant
que l’organisation accède aux informa-
Les types d’informations échangés tions d’une (ou plusieurs) organisa-
lors de la coopération sont les suivants : tion(s) partenaire(s), ces rôles n’étant
101
097-125 Dagorn 2/09/08 15:53 Page 102
pas exclusifs l’un de l’autre. Cinq orga- communication), neuf d’entre elles crai-
nisations synchronisent leurs informa- gnent les menaces logicielles (par
tions avec leur(s) partenaire(s), c’est-à- exemple, scanning, intrusion, altération
dire les répliquent de part et d’autre ; et/ou destruction de données, saturation
quatre accèdent à un système d’infor- d’une ressource du système d’informa-
mation commun partagé situé hors des tion, malware, etc.) ; huit organisations
organisations coopératives, et l’une redoutent les menaces humaines (ingé-
d’elles mutualise ses informations sur nierie sociale en particulier), huit orga-
une grille informatique. nisations également redoutent les me-
naces institutionnelles (décrites plus
Les permissions des utilisateurs de
avant), sept évoquent les menaces élec-
l’organisation sur ces flux d’information
troniques (par exemple, la vulnérabilité
sont pour huit d’entre elles la consulta-
des moyens de communication sans fil,
tion et la modification (lecture et écritu-
le brouillage ou la saturation des com-
re/suppression des données), pour

munications, l’atteinte à l’intégrité des
quatre d’entre elles la consultation seule
communications par injection de don-
(lecture des données), et pour deux
nées malveillantes, l’atteinte à la confi-
d’entre elles la modification seule (écri-
dentialité par écoute des émissions ra-
ture/suppression des données).
dioélectriques du réseau, etc.), et trois
Pour ce faire, les différents rôles in- d’entre elles signalent d’autres menaces
carnés au sein de l’organisation par les telles que l’atteinte à l’image de l’organi-
utilisateurs du système d’information sation (diffamation), les recours légaux
inter-organisationnel sont les suivants : (contrats, législation sociale, réglemen-
dans neuf organisations, l’utilisateur est tations), les fraudes internes, les actes de
« simple » utilisateur (sans privilèges), sabotage, la réduction du niveau de sé-
dans huit organisations il est utilisateur curité par méconnaissance des risques,
avec des privilèges spécifiques, et dans ou encore les mesures de sécurité in-
sept organisations il est administrateur adaptées ou inefficaces donnant un faux
(tous privilèges autorisés). sentiment de sécurité.
Aussi les critères de sécurité les
2.3. Pratiques et enjeux plus importants (incluant le contexte
en matière de sécurité inter-organisationnel) sont-ils la dispo-
des systèmes d’information nibilité des données et services du sys-
tème d’information inter-organisa-
2.3.1. Les risques liés à la sécurité tionnel pour huit des organisations
interrogées ; sept d’entre elles mettent
Pour la totalité des organisations inter- en avant l’intégrité des données, six pri-
rogées, les principales menaces de sé- vilégient l’authentification/identification
curité auxquelles elles sont confrontées de l’utilisateur partenaire, six organisa-
(incluant le contexte inter-organisation- tions également évoquent la non-répu-
nel) sont les menaces physiques (par diation des transactions, cinq soulignent
exemple, un accès physique non autori- l’importance de la confidentialité des
sé, la compromission matérielle du sys- données, et l’une d’elles ajoute le critè-
tème d’information ou du réseau de re de la traçabilité.
102
097-125 Dagorn 2/09/08 15:53 Page 103
Pour neuf organisations, les princi- telles que COBIT5, COSO6, EBIOS ou
paux enjeux liés à la sécurité (en FEROS7 ; une organisation applique
termes de conséquences en cas de un modèle de maturité du système
compromission de la sécurité, in- d’information8, et la dernière applique
cluant le contexte inter-organisation- le modèle de contrôle d’accès RBAC9.
nel) sont la perte de crédibilité ou de
Nous avons également voulu savoir
confiance ; huit organisations crai-
si une (ou plusieurs) politique(s) de
gnent la perte de marché ou la perte
sécurité étai(en)t appliquée(s) dans
d’argent, quatre redoutent le recours
les organisations interrogées : huit
juridique (tribunaux, etc.), trois souli-
d’entre elles nous ont répondu appli-
gnent la perte de temps, et une orga-
quer une politique de sécurité centra-
nisation ajoute d’autres enjeux tels
lisée (i.e., existence d’une unique po-
que la perte d’image.
litique de sécurité prenant en compte
l’ensemble des entités de l’organisa-

2.3.2. Les modèles et politiques tion, avec utilisation d’un moniteur de
de sécurité référence regroupant les mécanismes
de protection permettant de garantir
Une organisation interrogée n’a pas le contrôle d’accès et de flux définis
répondu à cette question. Trois des par les règles de la politique de sécu-
organisations y ayant répondu n’ap- rité), et cinq d’entre elles une poli-
pliquent aucun modèle de sécurité, tique de sécurité distribuée (i.e., co-
trois organisations appliquent la existence de plusieurs politiques de
norme ISO/IEC 270013 et plus généra- sécurité éventuellement incohérentes,
lement la série 27000, une organisa- chacune pouvant être définie par
tion applique la norme ISO/IEC un administrateur de sécurité diffé-
177994 accompagnée de méthodes rent).
3
La norme ISO/IEC 27001:2005 décrit comment mettre en place un Système de Management de la Sécurité de l’In-
formation (SMSI). Elle est en vente à l’adresse http://www.iso.org/iso/fr/iso_catalogue/catalogue_tc/catalogue_de-
tail.htm?csnumber=42103.
4
La norme ISO/IEC 17799 (créée en 2000, modifiée en 2005 et renommée ISO/IEC 27002) est une norme interna-
tionale concernant la sécurité de l’information, comprenant un ensemble de bonnes pratiques relatives à la mise en
place ou au maintien d’un SMSI. Elle est en vente à l’adresse http://www.iso.org/iso/fr/iso_catalogue/catalogue_
tc/catalogue_detail.htm?csnumber=50297.
5
Le référentiel COBIT (Control OBjectives for Information & related Technology) est une méthode d’audit et de gou-
vernance des systèmes d’information développée par l’ISACA (Information Systems Audit and Control Association)
en 1996. La version 4.1 est téléchargeable sur le site de l’ISACA http://www.isaca.org/.
6
Le référentiel COSO, développé par le Committee Of Sponsoring Organizations of the treadway commission, est
utilisé notamment pour le contrôle interne de la mise en place de dispositions relevant des lois SOX ou LSF. COSO
1 « Internal Control – Integrated Framework » date de 1992, COSO 2 « Enterprise Risk Management Framework » de
2002 (http://www.coso.org/).
7
La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), publiée par la Direction
Centrale de la Sécurité des Systèmes d’Information (DCSSI) en 1997, permet d’identifier les besoins de sécurité d’un
système d’information. Une documentation récente est présentée à l’adresse http://www.ssi.gouv.fr/fr/confiance/
ebiospresentation.html; la Fiche d’Expression Rationnelle des Objectifs de Sécurité (FEROS) permet de formaliser
ces besoins (http://www.ssi.gouv.fr/fr/documentation/150/).
8
Tel que le CMM (Capability Maturity Model) élaboré par le Software Engineering Institute (Humphrey, 1987).
9
Op. cit., p. 3.
103
097-125 Dagorn 2/09/08 15:53 Page 104
Concernant la gestion des accès au initiale ; cette approche est habituel-

système d’information, cinq organisa- lement mise en œuvre en cas de sus-
tions appliquent une politique de picion mutuelle ou de confiance
contrôle d’accès discrétionnaire, cinq faible entre les différents administra-
autres appliquent une politique de teurs de sécurité).
contrôle d’accès obligatoire, et deux
d’entre elles appliquent d’autres poli-
tiques de contrôle d’accès très opéra- 2.3.3. Les mesures de sécurité
tionnelles, par exemple dédiées à la
messagerie, à l’Internet, au business, au Les textes de sécurité existants
développement d’applications, à la clas- dans les organisations interrogées sont
sification des informations, à la lutte an- les suivants : toutes les organisations
tivirus, à la conformité ou aux ont élaboré des chartes (par exemple,
contrôles. charte sur l’utilisation de la messagerie
intranet, charte sur l’utilisation des ser-

Si des politiques de sécurité mul- vices Internet ou d’un périmètre plus
tiples coexistent dans l’organisation, large, charte informatique, etc.) ; sept
celles-ci sont fédérées pour quatre or- organisations consacrent à la sécurité
ganisations (i.e., des interactions exis- un paragraphe spécifique dans le
tent : leurs règles sont composées), et contrat de sous-traitance ou de parte-
cohabitent dans deux organisations nariat, six organisations y dédient un
(i.e., aucune interaction n’existe : aucun paragraphe spécifique dans le règle-
sujet de l’une n’accède aux objets de ment intérieur, cinq font valoir
l’autre, le système résultant pouvant d’autres textes de sécurité sous forme
être assimilé à deux systèmes indépen- écrite (par exemple, politique généra-
dants). le et/ou politiques techniques de sé-
En cas de fédération de plusieurs curité, référentiels de sécurité, normes
politiques de sécurité, le mode de et règles de sécurité, standards asso-
composition utilisé dans quatre or- ciés, circulaires, etc.), et deux organi-
ganisations est la combinaison des sations consacrent un paragraphe spé-
politiques (i.e., les politiques initiales cifique à la sécurité dans le contrat de
peuvent être incohérentes, la poli- contrat de travail des salariés concer-
tique résultante pouvant ne pas pré- nés.
server les conditions de sécurité asso-
Pour toutes les organisations
ciées à chaque politique initiale ;
consultées, les règles de sécurité en
cette approche est habituellement
vigueur à l’usage de la DSI compren-
mise en œuvre en cas de confiance
nent :
mutuelle entre les différents adminis-
trateurs de sécurité pouvant résulter • la gestion des mots de passe, impo-
d’une entente préalable). Deux orga- sant certaines contraintes (telles que
nisations pratiquent l’interopération la durée de validité maximum, le
des politiques (i.e., si les politiques nombre de caractères minimum, le
initiales sont cohérentes, la politique nombre maximum d’essais de
résultante préserve les conditions de connexion infructueux avant révoca-
sécurité associées à chaque politique tion du compte, les principes de ré-
104
097-125 Dagorn 2/09/08 15:53 Page 105
initialisation du compte en cas de pression de certains services du systè-

perte du mot de passe par l’utilisateur, me, protection du BIOS – Basic Input
etc.) ; Output System, premier programme à
s’exécuter lors de l’allumage d’un ordi-
• le filtrage du pare-feu, détaillant l’ACL
nateur –, auto-logon, etc.). Enfin, trois
(Access Control List, liste définissant
organisations appliquent d’autres règles
les ressources disponibles du réseau
de sécurité telles que le passage de tout
et les utilisateurs autorisés à y accé-
projet devant un comité technique/de
der : adresses, ports, protocoles auto-
sécurité, le respect de directives éven-
risés et interdits) ; les infrastructures
tuellement imposées par les normes ap-
complexes peuvent nécessiter l’instal-
pliquées (ISO 27001/17799), des règles
lation de plusieurs pare-feu, chacun
sur la protection des données sensibles
pouvant être paramétré avec des ACL
(santé, etc.), des clauses de sécurité
différentes ;
contractuelles ou légales, ou encore des
• la définition des VLAN (Virtual Local règles sur les transferts de fichiers.
Area Network, sous-réseaux virtuels
Les règles de sécurité applicables à
du réseau interne permettant d’isoler
l’usage des utilisateurs sont, pour
certaines machines) avec pour cha-
neuf organisations, des conseils sur le
cun d’eux sa finalité, son plan
choix des mots de passe, pour huit
d’adressage et les flux éventuellement
d’entre elles des règles de protection
filtrés vers les VLAN voisins ;
des PC portables (par exemple, chiffre-
• la sauvegarde des données (fréquen- ment obligatoire des données ou stoc-
ce des sauvegardes, leur type – sau- kage sur un support externe, banalisa-
vegarde incrémentale ou totale –, tion du contenu de la sacoche, arrimage
temps de rétention des données, prin- du PC portable par un câble ou dépôt
cipes d’externalisation des supports dans une armoire dès le retour de l’uti-
magnétiques, etc.). lisateur dans l’organisation, etc.), et
pour quatre d’entre elles d’autres règles
Neuf organisations appliquent des
dérivées de la politique locale de sécu-
règles pour les produits antivirus rete-
rité de l’organisation, ou dédiées à la
nus (références, principe de mise à jour,
sensibilisation et à la réglementation
positionnement – serveur de message-
des comportements des utilisateurs (sur
rie, postes de travail –) ; huit organisa-
Internet, accès distant, Wi-fi, message-
tions mettent en œuvre des règles
rie, ingénierie sociale, analyse des
d’identification de l’utilisateur en fonc-
risques, etc.).
tion de son statut, de son entité fonc-
tionnelle, de son établissement ou de sa De la même manière, concernant les
mission. Sept organisations appliquent procédures de sécurité existantes à
des règles pour les produits de chiffre- l’usage de la DSI, toutes les organisa-
ment retenus (références, périmètre tions interrogées ont mis en place une
d’application, environnement de fonc- procédure d’installation et de paramé-
tionnement) ou pour la configuration trage du produit antivirus sur le serveur
d’un poste de travail dédié au person- de messagerie, neuf organisations ap-
nel extérieur (par exemple, bridage pliquent une procédure d’installation et
physique par cadenas ou verrou, sup- de paramétrage du produit antispam
105
097-125 Dagorn 2/09/08 15:53 Page 106
sur le serveur de messagerie, et quatre démilitarisée (DMZ pour DeMilitarized

appliquent d’autres procédures relatives Zone, segment du réseau où les règles
au management de la sécurité, au Wi-fi, de sécurité sont moins strictes pour per-
au filtrage réseau, aux pare-feu applica- mettre la connexion à des réseaux ex-
tifs sur postes, à la gestion des adresses ternes à l’organisation, tels que l’Inter-
IP (Internet Protocol, protocole stan- net), d’une solution antivirus, d’une
dard d’échange de paquets de données solution antispam, et déploient pour
sur Internet), à l’analyse de trafic, de leurs communications un réseau privé
contenu et de capacité, à la gestion des virtuel (VPN pour Virtual Private Net-
accès logistiques, à la constitution d’une work, réseau privé construit au sein
cellule de crise en cas d’incident de sé- d’un réseau public tel qu’Internet). Six
curité, à la gestion d’une infection vira- d’entre elles utilisent un système de dé-
le, ou encore au plan de continuité de tection ou de prévention d’intrusion
l’activité (BCP pour Business Continuity (IDS pour Intrusion Detection System
Plan). ou IPS pour Intrusion Prevention Sys-

tem), quatre d’entre elles utilisent une
Les procédures de sécurité appli-
solution d’authentification unique (SSO
cables à l’usage des utilisateurs com-
pour Single Sign-On), et deux mettent
prennent, dans sept organisations, un
en œuvre d’autres solutions techniques
guide d’utilisation d’un dispositif d’au-
de sécurité telles que pare-feu applica-
thentification forte (tel que calculette,
tif (sur poste), anti-espiogiciels (ou an-
carte à puce, token USB – clef USB à
tispyware), synchronisation des mots de
puce qui contient le certificat du poste
passe.
du signataire –) ; six organisations met-
tent à disposition de l’utilisateur un
De la même manière, au niveau des
guide d’utilisation du produit de chif-
méthodes de sécurité, huit organisa-
frement (détaillant ses fonctionnalités,
tions procèdent au contrôle d’URL (Uni-
son périmètre d’application et ses ins-
form Resource Locator, adresse Internet
tructions d’utilisation), et cinq four-
exploitée par les navigateurs), au
nissent un guide d’utilisation du pro-
contrôle des messageries, ou mettent en
gramme antivirus (détaillant ses
œuvre une authentification forte ; sept
fonctionnalités et ses instructions d’uti-
organisations utilisent le chiffrement
lisation) ; deux organisations mettent
(cryptographie), et quatre la détection
en œuvre d’autres procédures de sécu-
ou prévention d’intrusion distribuée
rité, telles que des manuels d’utilisation
(DIDS pour Distributed Intrusion Detec-
divers ou un guide pour la connexion
tion System ou DIPS pour Distributed
sur l’intranet depuis l’Internet, par
Intrusion Prevention System). Trois or-
exemple.
ganisations implémentent d’autres mé-
En matière de solutions techniques thodes de sécurité telles que des
de sécurité, les organisations interro- contrôles sur les accréditations ou sur
gées disposent toutes d’un pare-feu, les solutions antivirus, utilisent un Sys-
d’un proxy (unique machine d’un ré- tème de Management de la Sécurité de
seau local connectée à l’Internet et ef- l’Information (SMSI) ou des méthodes
fectuant les requêtes pour les autres or- de sécurité telles que précédemment
dinateurs du réseau), d’une zone évoquées (EBIOS ou FEROS pour l’ana-
106
097-125 Dagorn 2/09/08 15:53 Page 107
lyse des risques, COSO ou COBIT pour litiques et référentiels de sécurité utili-
le contrôle interne de la sécurité). Une sés (par exemple, management de la
organisation pratique la biométrie (en- sécurité, Windows11, référentiel de sûre-
semble des techniques permettant té de l’information, revues ISO, COBIT,
l’identification d’une personne sur la audits internes et externes ciblés) ; trois
base de caractères physiologiques ou organisations vérifient auprès d’une po-
de traits comportementaux), et une pulation choisie la bonne utilisation des
autre la stéganographie (branche parti- logiciels de chiffrement mis à disposi-
culière de la cryptographie qui consiste tion et l’absence de données « en clair »
à camoufler un message dans un conte- (i.e., non chiffrées) sur les PC portables,
neur – souvent une image – de maniè- ou contrôlent la bonne application des
re à masquer sa présence). règles et procédures existantes (par
exemple, dépôt des disques amovibles
dans un coffre, fermeture des bu-
2.3.4. La surveillance du système reaux en cas d’absence, etc.). Une orga-

d’information et le pilotage nisation n’a pas répondu à cette ques-
de la sécurité tion.
Nous avons voulu savoir également si Pour réaliser ces audits, huit des or-
les organisations interrogées effec- ganisations répondantes utilisent un
tuaient (ou non) des audits ponctuels scanner de vulnérabilités (VDS pour
(contrôles) de sécurité, notamment Vulnerability Detection System).
pour vérifier si leur politique de sécuri-
Toutes les organisations interrogées
té était correctement appliquée. Selon
affirment pratiquer des tests d’intru-
les résultats obtenus, la moitié des or-
sion.
ganisations analyse régulièrement l’as-
sociation compte/propriétaire pour dé- En matière de surveillance du systè-
tecter d’éventuelles utilisations de me d’information, toutes les organisa-
comptes par des personnes non autori- tions répondantes pratiquent un exa-
sées, ou inspecte physiquement l’état men des fichiers de journalisation
général de la salle des serveurs (par (logs) : six d’entre elles ont configuré
exemple, les cartons vides et les listings leur logiciel antivirus pour recevoir au-
inutiles doivent être dégagés car ce sont tomatiquement un mail d’alerte en cas
des éléments majeurs de propagation de détection de virus sur le réseau in-
d’incendie). Quatre organisations véri- terne, quatre filtrent les événements gé-
fient auprès de l’administrateur réseau nérés par les commutateurs pour faire
la non-utilisation de commandes dan- ressortir les tentatives de connexion de
gereuses (telles que telnet10) et l’absen- postes de travail d’adresse MAC (numé-
ce de mots de passe triviaux ; quatre or- ro d’identification unique d’une carte
ganisations également pratiquent réseau Ethernet) inconnue, trois filtrent
d’autres audits relatifs aux modèles, po- les logs de connexion de manière à
10
Ou ftp, par exemple. Ces commandes sont dangereuses car elles font passer les informations demandées « en clair »
(i.e., de manière non chiffrée) sur le réseau, les exposant à d’éventuelles interceptions (sniffer, etc.).
11
Une fonction d’audit peut être activée au niveau du serveur ou du PC à surveiller.
107
097-125 Dagorn 2/09/08 15:53 Page 108
faire ressortir les révocations de tion à la sécurité des systèmes d’infor-

comptes de session (si un nombre d’es- mation est choisi par sept organisa-
sais de connexion maximum a été défi- tions, le pourcentage de personnes
ni), trois mettent en œuvre d’autres satisfaites à ces séances de sensibilisa-
types d’examens de surveillance tels tion par quatre organisations, le suivi
que la centralisation des logs suivie de mensuel des dépenses relatives à la
leur analyse par moteur de corrélation sécurité (permettant de piloter le bud-
(sur un SMSI, par exemple), l’analyse get alloué et de s’assurer qu’il ne sera
des logs d’accès à Internet ou aux ser- pas dépassé) par deux organisations,
veurs en cas d’incident, ou encore le fil- et trois organisations ont proposé
trage sur les incidents de transferts de d’autres indicateurs organisationnels
flux de données. Deux organisations li- tels que le nombre annuel de projets
mitent leur audit à certains répertoires ayant fait l’objet d’une validation par
de manière à tracer uniquement les ten- un comité de sécurité, le nombre de
tatives d’accès infructueuses à certaines comités de sécurité tenus, le nombre

arborescences choisies pour leur critici- de projets intégrés dans le plan de se-
té. cours (DRP pour Disaster Recovery
Plan), ou le suivi des cinquante appli-
L’examen des fichiers de journalisa-
cations les plus sensibles ;
tion (logs) du système d’information est
automatisé dans huit organisations, et • parmi les indicateurs fonctionnels :
manuel dans trois organisations. le taux de disponibilité de chaque ap-
plication critique de l’organisation ar-
Pour sept organisations, cet examen
rive en tête, sélectionné par huit or-
est effectué périodiquement (une orga-
ganisations, suivi du nombre mensuel
nisation effectue cet examen toutes les
de blocages (ou abends, problèmes
heures, deux organisations le font quo-
bloquants entraînant une perte de
tidiennement, deux organisations le
fonctionnalité) de chaque application
font à Jour+1, une organisation le fait
critique choisi par trois organisations,
mensuellement et une organisation le
puis du pourcentage de mots de
fait sur incident seulement) ; pour
passe triviaux détectés pour une ap-
quatre organisations, cet examen est ef-
plication donnée choisi par deux or-
fectué en temps réel (notamment pour
ganisations ; deux organisations
la détection de virus).
également ont proposé d’autres indi-
Pour piloter la sécurité de leur systè- cateurs fonctionnels tels que la « fraî-
me d’information, huit organisations cheur » des politiques de sécurité, les
utilisent un tableau de bord. Pour postes de contrôle pourvus ou le
celles-ci, ainsi que pour les organisa- nombre d’applications ayant un plan
tions n’en utilisant pas mais interrogées de secours (DRP) ;
à ce sujet, les indicateurs de sécurité les
• sur les indicateurs opérationnels :
plus suivis ou les plus intéressants à
huit organisations ont choisi le
suivre sont :
nombre mensuel de détections virales
• pour les indicateurs organisation- recensées sur le réseau interne de l’or-
nels : le nombre annuel d’utilisateurs ganisation, six le nombre journalier de
ayant suivi une session de sensibilisa- mails non sollicités mis en quarantai-
108
097-125 Dagorn 2/09/08 15:53 Page 109
ne par le logiciel antispam, trois le contact direct avec les utilisateurs ;

nombre mensuel de comptes révo- quatre organisations regroupent les
qués (par essais de connexion infruc- règles et procédures de sécurité dans
tueux, pouvant révéler une tentative des répertoires protégés ou une base
d’intrusion par usurpation de comp- documentaire dont les accès sont gérés
te) ; la moitié des organisations a pro- selon le principe de besoin, et quatre
posé d’autres indicateurs opération- organisations utilisent d’autres supports
nels tels que le délai de distribution d’information tels que plaquettes, af-
des correctifs (patches) de sécurité, le fiches, brochures, séquences vidéo,
pourcentage de machines « patchées » séances d’apprentissage en ligne (e-
(par rapport au total des machines), le learning), supports de sensibilisation
suivi des policy active directory (poli- diffusés à l’ensemble du personnel.
tiques de l’annuaire Windows sur la
De la même manière, sur le processus
définition des utilisateurs, groupes,
de formation des utilisateurs à la sé-

droits par groupe), les actions illicites
curité (en termes de thèmes abordés),
des administrateurs sécurité et systè-
sept organisations forment les salariés à
me, les alarmes déclenchées par le
l’utilisation des PC portables et aux
SMSI, les erreurs de sauvegarde, le
moyens de les sécuriser, cinq à l’utilisa-
nombre annuel de contrôles internes
tion d’Internet dans l’organisation et
auto-évalués et audités, et les indica-
aux sujets connexes (virus, spam, phi-
teurs de qualité de ces contrôles.
shing – usurpation d’identité en ligne –,
En cas d’incident de sécurité, sept or- ingénierie sociale, etc.), cinq organisent
ganisations déclarent élaborer des des formations ciblées pour les infor-
fiches d’incident de sécurité (ou maticiens (par exemple, protection des
fiches de suivi d’incident). systèmes et réseaux, développement
sécurisé, etc.), quatre organisent des
formations moins techniques à l’atten-
2.3.5. L’implication tion de la hiérarchie (présentant notam-
des utilisateurs dans ment la politique de sécurité de l’en-
la démarche de sécurité semble du système d’information de
l’organisation), deux forment les utilisa-
Nous avons interrogé les organisa-
teurs aux outils de chiffrement, et deux
tions participantes sur le processus
abordent d’autres thèmes de formation
d’information des utilisateurs à la
tels que la sensibilisation à la sécurité
sécurité (en termes de méthodes et sup-
(campagnes obligatoires pour les utili-
ports choisis). Les résultats révèlent que
sateurs) ou mettent à disposition des
toutes les organisations diffusent les in-
utilisateurs des articles de vulgarisation
formations courantes de sécurité via
dans l’intranet corporatif.
l’intranet sur des pages dédiées à la sé-
curité des systèmes d’information, la
moitié d’entre elles envoie les messages 2.3.6. Veille technologique
urgents par mail et messages pop-up et aspects légaux
(nouvelle fenêtre de navigateur s’ou-
vrant automatiquement au-dessus de la Parmi les canaux de veille techno-
fenêtre actuelle) ou privilégient le logique exploités en matière de sécuri-
109
097-125 Dagorn 2/09/08 15:53 Page 110
té par les organisations interrogées, ar- quettes, ou encore s’accordent sur des
rivent en tête, ex æquo avec neuf ré- pratiques de benchmarking avec des
ponses positives, les sites Web institu- confrères à l’international.
tionnels et associatifs spécialisés (tels
que DCSSI12, CNIL13, CLUSIF14, etc.) met- Huit organisations déclarent avoir déjà
tant en ligne des informations d’ordre eu recours à la législation existante en
juridique et des tendances en matière matière de sécurité des systèmes d’in-
de malveillance et de protection, ainsi formation sur la protection de la vie pri-
que les salons et revues spécialisés, vée (CNIL, loi Informatique et Libertés
fournissant un panorama intéressant de du 6 janvier 1978 modifiée par la loi du
la problématique et des technologies 6 août 2004) ; six organisations ont eu
liées à la sécurité des systèmes d’infor- recours à la législation sur la protection
mation. Suivent, avec huit votes, les de l’information, notamment en termes
CERT (Computer Emergency Response de protection contre les atteintes di-
Team), émettant régulièrement des rectes au système d’information (articles

alertes de sécurité et maintenant des spécifiques 323-1 à 323-4 du code
bases de vulnérabilités sur les matériels pénal), protection des logiciels (droit
et logiciels les plus courants (en France, d’auteur et propriété intellectuelle), pro-
on trouve le CERTA dédié à l’adminis- tection contre le vol (article 311-1 du
tration, le CERT-IST pour les secteurs code pénal pour le vol de matériel, di-
de l’industrie, des services et du tertiai- vers articles du code pénal ou du code
re, le CERT-RENATER pour l’enseigne- de la propriété intellectuelle pour le vol
ment et la recherche, le CERT-LEXSI à de données informatiques). Six organi-
vocation commerciale). Enfin, cinq or- sations concèdent également avoir eu
ganisations utilisent d’autres canaux de recours aux lois de sécurité financière
veille technologique tels que les sites (notamment SOX, LSF, recommandation
SecurityFocus (www.securityfocus. Bâle 2), cinq à la réglementation fran-
com/), SANS Institute (https://www2. çaise des moyens cryptographiques
sans.org/), participent à des groupes de (DCSSI), et trois à d’autres lois telles que
travail sectoriels (par exemple, NetFo- les normes internationales de certifica-
cus France), font réaliser des enquêtes tion, les lois sur l’archivage légal et fis-
spécifiques par des groupes renommés cal, la réglementation internationale sur
(tels que Gartner Group, Forrester, le chiffrement, le code de la profession,
etc.), organisent des rencontres avec les les lois sur l’anti-blanchiment, ou enco-
fournisseurs de produits de sécurité afin re les conventions Belorgey15 et AERAS16
qu’ils présentent leurs produits et pla- dans les secteurs d’activité concernés.
12
Direction Centrale de la Sécurité des Systèmes d’Information, http://www.ssi.gouv.fr/fr/dcssi/.
13
Commission Nationale de l’Informatique et des Libertés, http://www.cnil.fr/.
14
CLUb de la Sécurité de l’Information Français, http://www.clusif.asso.fr/.
15
La convention Belorgey accorde depuis 2001 un accès au crédit aux personnes présentant un risque aggravé de
santé (voir http://www.convention-belorgey-informations.fr/texte-officiel.php).
16
La convention AERAS (s’Assurer et Emprunter avec un Risque Aggravé de Santé) met en place en 2007 un dispo-
sitif d’ensemble tendant à élargir l’accès à l’emprunt et l’accès à l’assurance des personnes présentant un risque ag-
gravé de santé ; elle concerne les prêts professionnels, les prêts immobiliers et les crédits à la consommation (voir
http://www.aeras-infos.fr/).
110
097-125 Dagorn 2/09/08 15:53 Page 111
2.3.7. La gestion du budget du RROI (réduction du risque sur in-

de sécurité vestissement, parfois exprimé par les
termes anglais Reduction of Risk on In-
Existe-t-il un budget dédié à la sécu- vestment ou Rapid Return on Invest-
rité dans les grandes organisations ment) pour les investissements liés aux
françaises ? Les réponses à notre en- applications et processus métier, ou la
quête révèlent que la moitié d’entre justification formalisée selon divers cri-
elles a effectivement un budget dédié à tères prédéfinis (tels que le risque tech-
la sécurité ; pour deux organisations, nique, le risque métier, l’optimisation
les dépenses de sécurité sont diluées des coûts ou la création de valeur, par
dans le budget informatique mais font exemple). L’une des organisations n’est
l’objet d’une affectation analytique qui tenue de fournir aucune justification re-
permet de les identifier ; pour deux or- lativement à ses investissements.
ganisations également, les dépenses de
sécurité sont diluées dans le budget in-

formatique mais ne font l’objet d’aucu- 3. ANALYSE DES RÉSULTATS
ne affectation analytique qui permette ET DISCUSSION
de les identifier ; et enfin pour l’une
d’elles, les dépenses de sécurité sont
(encore) imputées au budget de fonc- 3.1. Données générales sur
tionnement général de l’organisation. les organisations interrogées
Les diverses politiques pratiquées par La majorité des organisations interro-
les organisations interrogées au regard gées compte plus de 5 000 salariés et
des investissements de sécurité sont appartient au secteur de l’industrie (au-
les suivantes : dans huit organisations, cune organisation ne compte moins de
les investissements souhaités doivent 500 salariés ; les secteurs de la distribu-
être justifiés par des critères qualitatifs tion, de l’énergie, de la santé et des
ou une bonne argumentation (notam- transports ne sont pas représentés).
ment lorsque le retour sur investisse- Cette étude est donc surtout représenta-
ment – ou ROI pour Return Over In- tive des comportements des grands ac-
vestment – n’est pas calculable ou pas teurs industriels français.
exigé) ; dans cinq organisations, cer-
tains investissements sont imposés par
le groupe ou dans le cadre du recours 3.2. Pratiques en matière
à la sous-traitance (par exemple, mise de coopération
en place d’un VPN, utilisation d’outils
de chiffrement spécifiques, etc.), dans Un premier constat intéressant s’im-
quatre organisations les investissements pose : toutes les organisations interro-
souhaités (tels que logiciel antispam, gées coopèrent (ce qui est révélateur de
système de signature unique, outil de tendances futures). Plus précisément,
gestion centralisée de la sécurité, etc.) nous remarquons qu’elles coopèrent
doivent être justifiés par un calcul de toutes avec leur(s) fournisseur(s), via
ROI, et trois organisations pratiquent une application Web ou un site Web. La
d’autres politiques d’investissements en tendance du Web identifiée dans la lit-
matière de sécurité telles que le calcul térature est donc clairement confirmée
111
097-125 Dagorn 2/09/08 15:53 Page 112
par notre étude. Les organisations co- dèles mathématiques théoriques et dif-
opèrent majoritairement plusieurs fois ficilement applicables directement dans
par jour et échangent des informations les organisations. A défaut, les six orga-
essentiellement commerciales. Sur le nisations répondantes à cette question
plan technique, toutes les organisations utilisent des modèles très opérationnels,
sont « maîtres », avec permissions de tels que les normes ISO/IEC 27001 et
consultation et de modification des 17799. Cet écart a priori important entre
données de la coopération, pour la plu- l’approche théorique formelle et la réa-
part en tant qu’utilisateur simple du sys- lité des pratiques actuelles, ne l’est en
tème d’information inter-organisation- fait pas tant que cela et s’explique par
nel. Les principaux risques identifiés trois arguments principaux. Première-
liés à la coopération sont des risques de ment, la plupart des innovations propo-
sécurité (réseau/Web) et des risques sées dans les modèles formels sont au-
d’intrusion physique spécifiques au jourd’hui incluses sous une forme
contexte inter-organisationnel. « implémentable » dans les standards de

sécurité évoqués. Deuxièmement, l’ap-
proche normative s’est imposée depuis
3.3. Pratiques en matière
une dizaine d’années comme un gage
de sécurité des systèmes indéniable à la fois de qualité en matiè-
d’information re de sécurité de l’information et d’ou-
verture à l’international, que l’organisa-
En matière de sécurité des systèmes
tion peut faire valoir auprès de ses
d’information, toutes les organisations
clients et partenaires comme une ga-
craignent les menaces physiques, sui-
rantie supplémentaire. Depuis mars
vies par les menaces logicielles. Le cri-
2005, la certification BS7799-2 (ISO
tère de sécurité le plus important est la
27001) est possible et assure, par l’éva-
disponibilité des données et services du
luation méthodologique d’un tiers indé-
système d’information inter-organisa-
pendant et neutre, qu’une organisation
tionnel, le souci majeur en cas de com-
implémente tous les moyens néces-
promission de celui-ci étant la perte de
saires à la maîtrise de son système d’in-
crédibilité de l’organisation ; une orga-
formation. Malgré l’engouement actuel
nisation signale le critère émergent de
pour ces certifications, peu d’orga-
la traçabilité.
nismes français17 permettent encore de
Concernant les modèles et politiques certifier BS7799-2. Notons que cette cer-
de sécurité mis en œuvre, aucune orga- tification n’est pas imposée, néanmoins
nisation n’a implémenté les modèles les partenaires et les clients y sont de
formels (de contrôle d’accès notam- plus en plus attentifs. Troisièmement,
ment) présentés dans la section 1.2. dans la pratique, la plupart des mé-
Ceci peut s’expliquer par le fait que ces thodes (telles que COBIT, COSO,
modèles, bien que performants et inno- EBIOS ou FEROS), politiques et outils
vants, restent tout de même des mo- (tels que les annuaires LDAP ou Micro-
17
LSTI (http://www.lsti.fr/) est le principal acteur dans ce domaine ; beaucoup d’organisations françaises se tour-
nent vers des organismes de certification anglais ou suisses.
112
097-125 Dagorn 2/09/08 15:53 Page 113
soft Active Directory) de sécurité exis- de messagerie et l’authentification

tants pour l’organisation sont compa- forte ; l’usage de la biométrie et de la
tibles avec ces normes (et non pas avec stéganographie semble encore peu ré-
les modèles formels initiaux). Remar- pandu en France, en comparaison avec
quons pour conclure cette question les pratiques affichées outre-Atlantique.
qu’en soustrayant une organisation non
La totalité des organisations répon-
répondante, trois organisations (tout de
dantes pratique des audits et contrôles
même) n’appliquent aucun modèle de
de sécurité (pour rappel, une organisa-
sécurité ! Est-ce par manque de réacti-
tion n’a pas souhaité répondre à cette
vité ou d’organisation, ou n’en éprou-
question) ; leurs principales préoccu-
vent-elles pas le besoin… ? Par contre,
pations sont la surveillance des
toutes les organisations mettent en
comptes utilisateurs et l’inspection phy-
œuvre au moins une politique de sécu-
sique ponctuelle de la salle des ser-
rité centralisée et/ou distribuée, confir-
veurs. Pour réaliser leurs audits, huit

mant ainsi l’application opérationnelle
organisations utilisent un scanner de
d’un certain nombre de principes de sé-
vulnérabilités.
curité des systèmes d’information, sou-
vent demandés par le déploiement stra- Toutes les organisations affirment
tégique par ailleurs de divers modèles également pratiquer des tests d’intru-
actuels de conception et de gouvernan- sion. Devant cet excellent résultat
ce des systèmes d’information. (peut-être « trop bon » ?), sans aller jus-
qu’à mettre en doute sa véracité, l’on
En termes de documents écrits de sé- peut néanmoins se demander si les
curité, la charte à l’attention des utilisa- tests d’intrusion sont pratiqués tels
teurs des moyens informatiques semble qu’envisagés implicitement par la ques-
être une précaution minimale puisqu’el- tion posée, c’est-à-dire par des cabinets
le a été ratifiée dans toutes les organi- ou consultants externes spécialisés ?
sations. Rappelons que des tests d’intrusion réa-
lisés en interne peuvent être biaisés
Du point de vue des solutions tech-
(tests partiels ou exécutés en fonction
niques et méthodes de sécurité, toutes
des résultats attendus, non respect du
les organisations disposent aujourd’hui
principe de séparation des fonctions,
de pare-feu, proxy, DMZ, VPN, sys-
etc.). Des questions complémentaires
tèmes antivirus et antispam (phénomè-
intéressantes auraient effectivement pu
ne relativement nouveau, mais dont
explorer la méthode et la fréquence des
l’absence pèse de plus en plus sur les
tests d’intrusion pratiqués par ces orga-
utilisateurs du système d’information).
nisations.
Ces organisations appliquent également
des règles et procédures relatives à la Pour piloter la sécurité de leur systè-
gestion des mots de passe, au filtrage me d’information, huit organisations
du pare-feu, à la définition des VLAN, à utilisent un tableau de bord. Les indica-
la sauvegarde des données, et à la ges- teurs les plus fréquemment suivis sont
tion des produits antivirus et antispam. la sensibilisation des utilisateurs (au ni-
Les méthodes de sécurité les plus utili- veau organisationnel), la disponibilité
sées sont le contrôle d’URL, le contrôle des applications (au niveau fonction-
113
097-125 Dagorn 2/09/08 15:53 Page 114
nel) et les détections virales (au niveau treprises, sauf celles de grande taille
opérationnel). Sept organisations éta- pouvant se permettre une équipe de sé-
blissent des fiches de suivi pour les in- curité importante » (ce qui était en fait le
cidents de sécurité recensés. profil recherché), les commentaires des
autres organisations témoignent de la
Concernant l’implication des utilisa-
pertinence des questions posées :
teurs dans le processus de sécurité, l’in-
« vous posez les bonnes questions »,
formation du personnel se fait désor-
« nous rencontrons quotidiennement la
mais via l’intranet corporatif ;
plupart des problèmes évoqués », etc.
l’utilisation et la sécurité des PC por-
Une organisation remarque toutefois
tables est un thème de formation récur-
que « le questionnaire aborde peu les
rent.
aspects maîtrise d’ouvrage de la sécuri-
Les principaux canaux de veille tech- té, les aspects légaux et les fraudes in-
nologique sont les sites Web institution- ternes/externes ». Une autre organisa-
nels et associatifs, les salons et revues tion nous recommande également, et à

consacrés à la sécurité. En matière léga- juste titre, d’ « envisager [davantage
le, la protection de la vie privée est au dans notre réflexion] les modèles de
cœur des préoccupations des organisa- maturité, qui permettent de se placer
tions. dans une perspective de progrès plutôt
La moitié des organisations interro- que dans la recherche de solutions
gées a dédié un budget spécifique à la [dites] sûres ».
sécurité, ce qui confirme les récents ef-
forts des grandes entreprises en matière
de gestion de la sécurité des systèmes
4. CONCLUSION
d’information ; cette tendance avait déjà
La contribution principale de cette
été soulignée dans la dernière étude18
étude est la synthèse (rare et fiable) de
du CLUSIF en 2005. Néanmoins, l’autre
dix témoignages extrêmement intéres-
moitié des organisations dilue ses dé-
sants d’organisations françaises de
penses et investissements de sécurité
renom, nous ayant dévoilé leurs pra-
dans le budget informatique voire gé-
tiques quotidiennes et retours d’expé-
néral de l’organisation, rappelant qu’il
riences en matière de gestion opéra-
reste encore du chemin à parcourir…
tionnelle de la sécurité de leurs
Les pratiques liées aux investissements
systèmes d’information. Il ressort de
de sécurité révèlent que ceux-ci sont
leurs témoignages que, même dans les
décidés principalement sur des critères
organisations de grande taille, la sécuri-
qualitatifs.
té reste souvent le fait de petites
Enfin, nous avons laissé les DSI équipes transverses portant le message
consultés émettre un avis sur notre en- aux équipes opérationnelles et veillant
quête. Si l’une des organisations a jugé à la mise en place progressive, et pas
le niveau théorique de l’enquête trop forcément coordonnée, des mesures de
élevé et « rarement utilisé dans les en- base. Néanmoins, les résultats de cette
18
Les principaux résultats de cette étude sont disponibles en ligne à l’adresse http://www.vulnerabilite.com/securi-
te-informatique-etude-clusif-actualite-20060723162004.html.
114
097-125 Dagorn 2/09/08 15:53 Page 115
étude montrent que la sécurité est une Humphrey, W.S. (1987), A Method for As-
préoccupation grandissante pour ces sessing the Software Engineering Capability
organisations (et par extension pour les of Contractors, Software Engineering Institu-
organisations françaises en général), les te, Technical report CMU/SEI-87-TR-23,
September, Carnegie Mellon University,
activités de coopération aggravant mal-
Pittsburgh, Pennsylvania, USA.
heureusement mais inévitablement leur
vulnérabilité. Lampson, B. (1971), « Protection », Procee-
dings of the 5th Symposium on Information
En guise de prolongement à cette Sciences and Systems, Princeton University,
étude, il serait intéressant de formuler USA, March, p. 437-443. Réédité dans ACM
une politique de sécurité spécifique aux Operating Systems Review, Vol. 8, n° 1,
systèmes d’information inter-organisa- p. 18-24, janvier 1974.
tionnels, dont le pilotage serait facilité LaPadula, L.J., Bell, D.E. (1973), Secure
par un tableau de bord dédié ; de telles Computer Systems: Mathematical Founda-
propositions sont en cours d’implémen- tions, The MITRE Corporation, Technical

tation et seront publiées sous peu. report MTR-2547, Vol. 2, Bedford, Mass,
USA. Réédité dans Journal of Computer Se-
curity, Vol. 4, n° 2/3, p. 239-263, décembre
BIBLIOGRAPHIE 1996.
Sandhu, R., Coyne, E.J., Feinstein, H.L.,
Biba, K.J. (1975), Integrity Consideration Youman, C.E. (1996), « Role-Based Access
for Secure Computer Systems, The MITRE Control Models », IEEE Computer, Vol. 29,
Corporation, Technical report MTR-3153, n° 2, p. 38-47.
June, Bedford, Mass, USA.
Thomas, R.K. (1997), « TMAC: A Primitive
Bieber, P., Cuppens, F. (1992), « A Logical
for Applying RBAC in Collaborative Envi-
View of Secure Dependencies », Journal of
ronment », Proceedings of the 2nd ACM Work-
Computer Security, Vol. 1, n° 1, p. 99-129.
shop on RBAC, Fairfax, Virginia, USA No-
Denning, D. (1976), « A Lattice Model of vember, p. 13-19.
Secure Information Flow », Communica-
Thomas, R.K., Sandhu, R. (1997), « Task-
tions of the ACM, Vol. 19, n° 5, p. 236-243.
Based Authorization Controls (TBAC): A Fa-
Goguen, J., Meseguer, J. (1982), « Security mily of Models for Active and Enterprise-
Policies and Security Models », Proceedings Oriented Authorization Management »,
of the IEEE Symposium on Research in Secu- Proceedings of the 11th IFIP Working Confe-
rity and Privacy, Oakland, CA, USA, May, rence on Database Security, Lake Tahoe,
p. 11-20. California, USA, p. 166-181.
115
ANNEXE
Page 116

2/09/08 15:53
097-125 Dagorn
116
097-125 Dagorn 2/09/08 15:53 Page 117
117
Page 118

2/09/08 15:53
097-125 Dagorn
118
097-125 Dagorn 2/09/08 15:53 Page 119
119
Page 120

2/09/08 15:53
097-125 Dagorn
120
097-125 Dagorn 2/09/08 15:53 Page 121
121
Page 122

2/09/08 15:53
097-125 Dagorn
122
097-125 Dagorn 2/09/08 15:53 Page 123
123
Page 124

2/09/08 15:53
097-125 Dagorn
124
097-125 Dagorn 2/09/08 15:53 Page 125
125

Langue

Politiques en Matière de Sécurité Des Systèmes D'information Inter-Organisationnels: Une Enquête Dans Dix Grandes Entreprises

Transféré par

Informations du document

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Politiques en Matière de Sécurité Des Systèmes D'information Inter-Organisationnels: Une Enquête Dans Dix Grandes Entreprises

Titre original :

Transféré par

Droits d'auteur :

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES

D'INFORMATION INTER-ORGANISATIONNELS : UNE ENQUÊTE

ESKA | « Systèmes d'information & management »

Article disponible en ligne à l'adresse :

Pour citer cet article :

Distribution électronique Cairn.info pour ESKA.

Powered by TCPDF (www.tcpdf.org)

CAS, EXPÉRIENCE ET PÉDAGOGIE

Politiques en matière de sécurité

Laboratory of Algorithmics, Cryptology and Security (LACS), Luxembourg

SYSTÈMES D’INFORMATION ET MANAGEMENT

INTRODUCTION sur les pratiques et enjeux en matière

Cette étude a été menée dans le cadre

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS

SYSTÈMES D’INFORMATION ET MANAGEMENT

tiques en matière de sécurité des sys- naires scientifiques ou d’externalisation,

En termes de taille de l’organisa- d’entre elles.

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS

2.2.2. Les risques liés huit organisations coopèrent par

commerciales ; huit évoquent les infor-

SYSTÈMES D’INFORMATION ET MANAGEMENT

re/suppression des données), pour

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS

l’ensemble des entités de l’organisa-

SYSTÈMES D’INFORMATION ET MANAGEMENT

Concernant la gestion des accès au initiale ; cette approche est habituel-

intranet, charte sur l’utilisation des ser-

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS

initialisation du compte en cas de pression de certains services du systè-

SYSTÈMES D’INFORMATION ET MANAGEMENT

sur le serveur de messagerie, et quatre démilitarisée (DMZ pour DeMilitarized

Plan). ou IPS pour Intrusion Prevention Sys-

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS

2.3.4. La surveillance du système reaux en cas d’absence, etc.). Une orga-

SYSTÈMES D’INFORMATION ET MANAGEMENT

faire ressortir les révocations de tion à la sécurité des systèmes d’infor-

tatives d’accès infructueuses à certaines comités de sécurité tenus, le nombre

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS

ne par le logiciel antispam, trois le contact direct avec les utilisateurs ;

de formation des utilisateurs à la sé-

SYSTÈMES D’INFORMATION ET MANAGEMENT

Team), émettant régulièrement des rectes au système d’information (articles

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS

2.3.7. La gestion du budget du RROI (réduction du risque sur in-

sécurité sont diluées dans le budget in-

SYSTÈMES D’INFORMATION ET MANAGEMENT

contexte inter-organisationnel. « implémentable » dans les standards de

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS

soft Active Directory) de sécurité exis- de messagerie et l’authentification

veurs. Pour réaliser leurs audits, huit

SYSTÈMES D’INFORMATION ET MANAGEMENT

nels et associatifs, les salons et revues tion nous recommande également, et à

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS

propositions sont en cours d’implémen- tions, The MITRE Corporation, Technical

SYSTÈMES D’INFORMATION ET MANAGEMENT

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS

SYSTÈMES D’INFORMATION ET MANAGEMENT

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS

SYSTÈMES D’INFORMATION ET MANAGEMENT

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS

SYSTÈMES D’INFORMATION ET MANAGEMENT

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS

SYSTÈMES D’INFORMATION ET MANAGEMENT

POLITIQUES EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D’INFORMATION INTER-ORGANISATIONNELS