Gouvernance et Stratégie

1
de Sécurité
Cheikh DJIBA MIT

Cheikh DJIBA Mastère 2

2 Objectifs :

 Comprendre la gouvernance de la sécurité

 Comprendre et maitriser les risques
 Découvrir les stratégies et les démarches sécuritaires pour les organisations

Cheikh DJIBA Mastère 2

3 Définition
Une distinction existe entre la gouvernance de la sécurité de l’information et
la gouvernance des technologies de l’information.

En effet, cette dernière est la manière dont les technologies de l’information

soutiennent les objectifs stratégiques de l’entreprise et sont gérées. La
gouvernance de la sécurité de l’information concerne le processus par lequel
la sécurité informationnelle est traitée au niveau « exécutif » ( vision
stratégique et business) et s’appuie sur la sécurité des technologies qui
l’appréhendent (vision technologique et opérationnelle).

La gouvernance vise à s’assurer que les mesures de sécurité adoptées sont

optimales.

Cheikh DJIBA Mastère 2

 2.1 Principes de base de la gouvernance de la
4
sécurité de l’information

La mise en place d’un système gouvernant la sécurité de l’information,

présuppose l’existence des éléments suivants:
 Des stratégies business et sécuritaire
 Une politique de sécurité
 Une méthodologie de gestion des risques
 Une structure organisationnelle de la sécurité
 Des processus formels de surveillance , contrôle et évaluation de la sécurité

Puisque la gouvernance est une activité qui implique la gestion et le contrôle,

la fonction de gouvernance doit être située au niveau le plus haut de la
direction de l’entreprise.

Cheikh DJIBA Mastère 2

5
2.2 Gérer le risque informationnel

Un risque est un danger éventuel plus ou moins prévisible. Il se mesure à la

probabilité qu’il se produise et aux impacts et dommages consécutifs à sa
réalisation. Deux notions interviennent dans la variable de risque :
 La menace
 La vulnérabilité
Un risque est la combinaison de la probabilité d’un événement et de ses
conséquences :
Risque = F(vulnérabilité, menace, impact)

* Une leçon gestion des risques selon ISO 27005 est disponible en ligne

Cheikh DJIBA Mastère 2

6 2.3 Connaitre les risques pour les maitriser

Pour une entreprise l’objet de sa sécurité est de contribuer à préserver ses

valeurs, ses forces et ses moyens organisationnels, humains, financiers,
technologiques et informationnels, dont elle s’est dotée pour réaliser ses
objectifs. La sécurité de l’information, des processus et des systèmes est
désormais un facteur de productivité et de compétitivité des organisations.
La finalité de la sécurité informatique est de contrecarrer les incidents, les
erreurs ou malveillance qui pourraient mettre en péril sa pérennité ou limiter sa
productivité ou restreindre sa compétitivité. Cela consiste à diminuer la
probabilité de voir des menaces se concrétiser, à limiter les atteintes ou
dysfonctionnements induits.

Cheikh DJIBA Mastère 2

7 2.4 Méthodologies de gestion du risque

Il existe un certain nombre de méthodologies de gestion des risques

informationnels dans l’industrie.
Elles peuvent toutes être regroupées en deux grandes catégories :
- Les méthodes qualitatives
- Les méthodes quantitatives

Cheikh DJIBA Mastère 2

8 2.4.1 Approche Qualitative vs Quantitative
Attribut Quantitative Qualitative
Requiert aucun calcul X
Requiert des calculs complexe X
Demande beaucoup d’expérience et X
d’intuition
Facile à automatiser et à évaluer X
Permet une analyse des cout / X
bénéfice
Donne une vue claire des pertes X
monétaires
Opinion des analystes compte X

Cheikh DJIBA Mastère 2

9 2.4.2 La méthode OCTAVE

 Operationally Critical Threat, Asset and Vulnerability Evaluation

 Carnegie Mellon University 1999 ( publiée en 2001)
 Méthodologie pour identifier et évaluer les risques de sécurité associés aux
systemes d’information
 Développer des critères qualitatifs d’évaluation de risque
 Identifier les actifs
 Identifier les vulnérabilités et menaces
 Evaluer les conséquences sur les objectifs si une attaque réussit

Cheikh DJIBA Mastère 2

10 2.4.2 La méthode OCTAVE

Cheikh DJIBA Mastère 2

11 2.4.3 EBIOS

 Expression des Besoins et Identification des Objectifs de Sécurité

 Outil conforme ISO 27001,27005 et 31000
 Gratuit
 Créé en 1995 par l’ANSSI ( Agence National de la Sécurité des SI)
 Largement utilisé dans le monde francophone
 EBIOS fournit une méthode permettant de construire une politique de
sécurité en fonction d’une analyse des risques qui repose sur le contexte
de l’entreprise et des vulnérabilités liées à son SI.

Cheikh DJIBA Mastère 2

12 2.4.3 EBIOS

Cheikh DJIBA Mastère 2

13 2.4.4 Les autres méthodes

 MEHARI ( Méthode Harmonisée d’Analyse des Risques) CLUSIF

 FMEA ( Failure Mode and Effects Analysis)
 FRAP ( Facilitated Risk Analysis Process)
 CRAMM ( CCTA Risk Analysis and Management Method) UK utilisé par l’OTAN

Cheikh DJIBA Mastère 2

14 2.5 Stratégie de sécurité
2.5.1 Stratégie Générale

En raison du caractère évolutif du contexte de la sécurité informatique(évolution

des besoins, des risques, des technologies,..) les solutions de sécurité ne sont
jamais ni absolues, ni définitives. Cela pose le problème de la pérennité des
solutions mises en place. De plus, la diversité et le nombre de solutions peuvent
créer un problème de cohérence globale de l’approche sécuritaire.

Ainsi la technologie sécuritaire doit être au service d’une vision stratégique de la

sécurité. Seule la dimension managériale de la sécurité permet de faire face au
caractère dynamique du risque.

Cheikh DJIBA Mastère 2

15 Stratégie de Sécurité
2.5.2 De la stratégie d’entreprise à la stratégie sécuritaire

Stratégie •Besoins du Business

de •Identification des valeurs,
menaces, vulnérabilités
l’entreprise

•Besoins de sécurité
Stratégie •Identification des
de sécurité exigences de sécurité
• Technologies
• Procédures
Politique • Organisation
de sécurité • Moyen Juridique
• Moyen Humain

Cheikh DJIBA Mastère 2

16 Une question de compromis
La définition d’une stratégie de sécurité est une affaire de bon sens, de vision , d’analyse, de
compromis et de choix. Elle pourrait se résumer à une suite de questions simples:

 Quelles sont les valeurs de l’organisation?

 Quel est leur niveau de sensibilité ou de criticité?

 De qui, de quoi doit-on se protéger?

 Quels sont les risques réellement encourus?

 Quel est le niveau actuel de sécurité?

 Quel est le niveau que nous désirons atteindre?

 Quels sont les moyens à mettre en œuvre pour y arriver?

 Quelles sont les contraintes effectives?

Cheikh DJIBA Mastère 2

 2.5 Politique de Sécurité
17
 Une politique de sécurité permet l’expression et la concrétisation d’une stratégie
sécuritaire.
 Une politique de sécurité est donc un document qui exprime la volonté managériale de
protéger les valeurs (actifs) informationnelles et les ressources technologiques de
l’organisation. Elle spécifie les moyens ( ressources, procédures, outils..) qui répondent de
façon complète et cohérente aux objectifs stratégiques de sécurité.
 La thématique réseau dans la politique de sécurité englobe les recommandations pour
l’exploitation des liens réseaux et des équipements. Les domaines abordés évoluent avec
les intérêts économiques de l’entreprise et concernent entre autres :
 la gestion des accès au réseau et aux ressources
 La cryptographie
 La sécurité des équipements
 Les sécurité des systèmes terminaux
 La sensibilisation des utilisateurs
 La gestion de la continuité

Cheikh DJIBA Mastère 2

 2.5 Politique de Sécurité
18
La rédaction d’une politique de sécurité est un travail sur mesure dont le
document final est applicable à toutes les ressources et à toutes les
populations de l’entreprise. Ce document est obligatoirement validé au plus
haut niveau de la hiérarchie. Il est important de faire évoluer la politique de
sécurité en fonction des liens qui ne manquent pas de se tisser avec les
partenaires et les clients. Une politique qui n’évolue pas perd tout son sens et
devient peu à peu inapplicable.

Cheikh DJIBA Mastère 2

 2.5 Politique de Sécurité
19
Méthodes et Bonnes Pratiques

Il existe de bonnes pratiques qui peuvent constituer des guides de référence

permettant d’élaborer des politiques de sécurité, parmi les plus connues
retenons celles éditées par :

 Le CERT – Guide to System and Network practices;

 Le NCSA – Guide to Enterprise Security qui concerne la dimension

technique de l’implantation d’une politique de sécurité;

 L’Internet Security Alliance – Common sense guide for senior manager

Une norme ou une méthode peut contribuer à définir une politique de sécurité.

Cheikh DJIBA Mastère 2

20 Conclusion

Il appartient à la direction d’une entreprise d’évaluer les risques encourus par

le système d’information, d’élaborer une politique de sécurité et d’établir une
structure organisationnelle chargée de coordonner et de superviser la mise en
œuvre de cette politique dans le respect des diverses législations et
réglementations en vigueur.
Faire de la gestion des risques et de la sécurité un facteur de performance de
la gestion d’entreprise, constitue un véritable défi pour les organisations.

Cheikh DJIBA Mastère 2