Académique Documents
Professionnel Documents
Culture Documents
Dr Venant PALANGA
Maître de conférences
1
Stratégie et politique de sécurité
• La mise en place d’une politique de sécurité de l’information est une
étape très importante dans la mise en place des règles de bonne
gouvernance du Système d’Information (SI) en entreprise.
2
Stratégie et politique de sécurité
Stratégie d’entreprise
Politique
d’entreprise
Politique
Stratégie du système du système
d’information d’information
Stratégie de sécurité
Politique
de sécurité
3
Stratégie et politique de sécurité
• La politique de sécurité informatique fixe les principes visant à garantir la
protection des ressources informatiques et de télécommunications en tenant
compte des intérêts de l'organisation et de la protection des utilisateurs.
• La politique de sécurité répond aux principes fondamentaux de la sécurité qui
permettent de protéger le système d’information. Cette protection sera assurée
par exemple par :
− Des règles : classification de l’information ;
− Des outils : chiffrement, pare-feu ;
− Des contrats : clauses et obligations ;
− L’enregistrement, la preuve, l’authentification, l’identification, le marquage ou le
tatouage ;
− Le dépôt de marques, de brevets, et la protection des droits d’auteur.
4
Stratégie et politique de sécurité
• L'information peut exister sous plusieurs formes:
– imprimé ou écrit sur papier ;
– stockées électroniquement ; (texte, image, etc.)
– transmis par la poste ou en utilisant des moyens électroniques ;
– localisée sur les films (vidéo);
– parlé dans la conversation (audio);
5
Stratégie et politique de sécurité
• Les ressources informatiques et de télécommunications doivent être
protégées afin de garantir l’identification, l’authenticité des
informations, confidentialité, intégrité, la disponibilité, la
non répudiation, la traçabilité et l’autorisation des informations
qu'elles traitent, dans le respect de la législation en vigueur.
6
Stratégie et politique de sécurité
Les critères de sécurité
• L’identification: Information permettant d’indiquer qui vous prétendez être. Une
identification élémentaire est le nom d’utilisateur que l’on saisit dans un système
informatique. Une identification plus évoluée peut être fournie par un relevé
d’empreinte digitale, une analyse faciale ou rétinienne, etc.
• L’authenticité garantit qu’un sujet (utilisateur, processus, système, ...) est celui qu’il
prétend être et que les informations reçues de ce sujet sont identiques à celles
fournies.
• La confidentialité garantit que l’information dans le système est uniquement
accessible aux utilisateurs autorisés c'est-à-dire qu’une communication de données
privées entre un émetteur et un destinataire. Des mécanismes (cryptographie,
chiffrement) doivent être présents garantissant cette confidentialité entre utilisateurs
et entre utilisateurs et système.
7
Stratégie et politique de sécurité
Les critères de sécurité
• L’intégrité évite la corruption ou la
destruction des données traitées par le
système. Il faut d’abord empêcher des
utilisateurs malveillants d’accéder aux
données non autorisées (assurer la
confidentialité et l’isolation des informations)
mais également assurer que les données sont
accédées de façon cohérente (par exemple
avec un accès transactionnel).
8
Stratégie et politique de sécurité
Les critères de sécurité
9
Stratégie et politique de sécurité
Les critères de sécurité
10
Stratégie et politique de sécurité
Les critères de sécurité
11
Stratégie et politique de sécurité
«...Peu importe la forme que prend l'information, ou les moyens par lesquels elle est
partagée ou stockée, elle devrait toujours être convenablement protégée »
12
Stratégie et politique de sécurité
• La politique de sécurité répond aux principes fondamentaux de la
sécurité qui permettent de protéger le système d’information. Cette
protection sera assurée par exemple par:
− des règles: classification de l’information;
− des outils : chiffrement, firewalls;
− des contrats: clauses et obligations;
− l’enregistrement, la preuve, l’authentification, l’identification, le marquage
ou le tatouage;
− Le dépôt de marques et de brevets, et la protection des droits d’auteur.
13
Stratégie et politique de sécurité
• En complément elle pourra prévoir :
− de dissuader par des règles et des contrôles ;
15
Gestion des risques
• Ne pouvant anticiper les nouvelles menaces, mais sachant
qu’elles exploitent les vulnérabilités et les failles des
systèmes en places, le gestionnaire s’emploiera à réduire les
vulnérabilités de l’environnement à protéger afin de
minimiser la probabilité de réalisation de menace.
16
Gestion des risques
• La détermination des éléments critiques d’une entreprise
est une tâche délicate et qui prête à discussion, chaque
service ou département se considérant souvent comme un
secteur clé.
• Un bon moyen pour y parvenir consiste à mener avec les
responsables de l’entreprise une analyse des risques.
17
Gestion des risques
18
Gestion des risques
• Une fois l’analyse effectuée, il faut encore déterminer les objectifs de
sécurité qui visent à spécifier les besoins en terme de confidentialité,
d’intégrité et de disponibilité des éléments critiques de l’entreprise.
• Une fois les éléments critiques et les objectifs de sécurité identifiés,
il convient pour chacune des ressources vitales, d’associer les trois
éléments suivants : menace, vulnérabilité et conséquence.
19
Gestion des risques
20
Gestion des risques
• Menace : la menace désigne l’exploitation d’une faiblesse
de sécurité par un attaquant, qu’il soit interne ou externe à
l’entreprise. La probabilité qu’un évènement exploite une
faiblesse de sécurité est généralement évaluée par études
statistiques, même si ces dernières sont difficiles à réaliser.
21
Gestion des risques
• Vulnérabilité : il s’agit d’une faiblesse de sécurité qui peut être de
nature logique, physique, etc. une vulnérabilité peut découler :
− d’une erreur d’implémentation dans le développement d’une application,
erreur susceptible d’être exploitée pour nuire à l’application (pénétration, refus
de service, etc.),
23
De l’analyse des risques à la politique de sécurité
Forte
origine Risque choisis, calculés, mesurés, acceptés Potentialité
du risque
Cause
Identification du
risque Potentialité
Risques pris
Impacts, effets,
conséquence,
gravité Risques profitables, risques de réussir Gravité de l’impact
Extrêmement grave
Risques subis
Analyse-Evaluation-Appréciation
Risques encourus Traitement-Gestion des risques
Risques de perte
24
Gestion des risques
• Aucune politique de sécurité, nul service de sécurité, aussi
perfectionné soit-il, ne tient si l’intégrité des personnes
(responsables sécurité, réseau, systèmes ou utilisateur) se
trouve en cause.
• Ne perdons pas de vue que le maillon faible de la sécurité
est toujours l’humain.
25
Gestion des risques
• La stratégie sécuritaire répond aux principes suivants:
− Les risques ayant une occurrence faible et une conséquence faible sur l’entreprise ne sont
pas pris en compte a priori. On peut cependant mitiger ce point par le fait que la
combinaison de risques faibles peut engendrer un risque fort. Ils doivent donc être pris en
compte.
− Les risques ayant une occurrence forte et une conséquence forte ne doivent pas exister par
nature, car ils mettraient en cause les activités de l’entreprise. Si de tels risques existent, ils
est probable que les coûts nécessaires pour les réduire seront trop importants pour
l’entreprise. Il est donc nécessaire de faire appel à des assurances pour les couvrir.
26
Gestion des risques
− Les risques ayant une occurrence forte et une conséquence faible doivent
être pris en compte et faire l’objet d’une analyse coût/acceptation du risque.
− Les risques ayant une occurrence faible et une conséquence forte doivent
être pris en compte et faire l’objet d’une analyse coût/acceptation du risque.
Il est probable qu’il faille faire appel à des assurance pour les couvrir.
− Tous les autres cas doivent être pris en compte et faire l’objet d’une analyse
coût/acceptation du risque.
27
Gestion des risques
• Bien que la sécurité absolue n’existe pas en soi, l’entreprise
détermine le niveau de risque qu’elle est prête à accepter
sur ses ressources en comparaison avec le coût induit par
les menaces qu’elle encourt.
28
Propriétés d’une politique de sécurité
− Aisément réalisable,
29
Propriétés d’une politique de sécurité
− de maintenance facile,
− Vérifiable et contrôlable,
− Adoptable par un personnel préalablement sensibilisé voire formé.
• Une politique de sécurité ne doit pas être statique mais
périodiquement évaluée, optimisée et adaptée à la dynamique du
contexte dans lequel elle s’inscrit. Elle doit être évolutive et suivre
l’évolution du contexte (risques, systèmes, environnement,
personnes, réglementations).
30
Propriétés d’une politique de sécurité
31
Propriétés d’une politique de sécurité
32
Propriétés d’une politique de sécurité
35
Méthode MEHARI (Méthode Harmonisée d’Analyse de
Risque)
• Développée par le CLUSIF (Club de la Sécurité d’Information
Français), cette méthode est destinée spécifiquement aux petites et
moyennes entreprises. Elle s’articule autour de trois plans:
− Le plan stratégique de la sécurité,
37
Méthode EBIOS: (Expression des Besoins et Identification des
Objectifs de Sécurité)
38
Méthode COBIT (Control Objectives for Information and
related Technology)
− acquisition et support,
− distribution et support,
− surveillance.
39
Méthode OCTAVE (Operationally Critical Threat, Asset, and
Vulnerability Evaluation)
• Développée par l’Université de Carnegie-Mellon, cette méthode est destinée aux
grandes entreprises. Elle est articulée autour de trois phases:
• Cette méthode s’appuie volontairement sur les ressources internes de l’entreprise plutôt
que sur des auditeurs externes.
40
Norme internationale ISO/IEC 17799
• La norme ISO 17799 est issue de la norme anglaise BS 7799 créée en
1995 et révisée en 1999. Cette norme constitue un code de bonnes
pratiques pour la gestion de la sécurité de l’information.
• La norme propose plus d’une centaine de mesures répartie en dix
chapitres:
− Politique de sécurité. Décrit la nécessité de disposer d’une politique de
− sécurité et d’un processus de validation et de révision de cette politique.
41
Norme internationale ISO/IEC 17799
− Organisation de la sécurité. Traite de la nécessité de disposer d’une
organisation dédier à la mise en place et au contrôle des mesures de sécurité.
43
Norme internationale ISO/IEC 17799
− Plan de continuité. Traite de la nécessité pour l’entreprise de
disposer de plans de continuité, de processus de rédaction, de
tests réguliers et de mises à jour de ces plans.
44
Autres normes
• A cette norme s’ajoutent d’autres normes en cours de révision,
notamment les suivantes:
− BS 7799 (code de pratiques pour la gestion de la sécurité de l’information) et
BS 7799-2 (système de management de sécurité de l’information);
45
Exercice
• Quels sont les avantages relatifs à la définition d’une
politique de sécurité pour une organisation?
46