Politique de Sécurité

Dr Venant PALANGA
Maître de conférences

1
Stratégie et politique de sécurité
• La mise en place d’une politique de sécurité de l’information est une
étape très importante dans la mise en place des règles de bonne
gouvernance du Système d’Information (SI) en entreprise.

• La politique de sécurité est un outil indispensable à la gouvernance

de la sécurité et à la réalisation du plan stratégique de sécurité

2
Stratégie et politique de sécurité
Stratégie d’entreprise
Politique
d’entreprise

Politique
Stratégie du système du système
d’information d’information

Stratégie de sécurité

Politique
de sécurité

Une politique de sécurité exprime la volonté managériale de protéger les valeurs

informationnelles et les ressources technologiques de l’organisation.

3
 Stratégie et politique de sécurité
• La politique de sécurité informatique fixe les principes visant à garantir la
protection des ressources informatiques et de télécommunications en tenant
compte des intérêts de l'organisation et de la protection des utilisateurs.
• La politique de sécurité répond aux principes fondamentaux de la sécurité qui
permettent de protéger le système d’information. Cette protection sera assurée
par exemple par :
− Des règles : classification de l’information ;
− Des outils : chiffrement, pare-feu ;
− Des contrats : clauses et obligations ;
− L’enregistrement, la preuve, l’authentification, l’identification, le marquage ou le
tatouage ;
− Le dépôt de marques, de brevets, et la protection des droits d’auteur.

4
Stratégie et politique de sécurité
• L'information peut exister sous plusieurs formes:
– imprimé ou écrit sur papier ;
– stockées électroniquement ; (texte, image, etc.)
– transmis par la poste ou en utilisant des moyens électroniques ;
– localisée sur les films (vidéo);
– parlé dans la conversation (audio);

5
Stratégie et politique de sécurité
• Les ressources informatiques et de télécommunications doivent être
protégées afin de garantir l’identification, l’authenticité des
informations, confidentialité, intégrité, la disponibilité, la
non répudiation, la traçabilité et l’autorisation des informations
qu'elles traitent, dans le respect de la législation en vigueur.

6
Stratégie et politique de sécurité
Les critères de sécurité
• L’identification: Information permettant d’indiquer qui vous prétendez être. Une
identification élémentaire est le nom d’utilisateur que l’on saisit dans un système
informatique. Une identification plus évoluée peut être fournie par un relevé
d’empreinte digitale, une analyse faciale ou rétinienne, etc.
• L’authenticité garantit qu’un sujet (utilisateur, processus, système, ...) est celui qu’il
prétend être et que les informations reçues de ce sujet sont identiques à celles
fournies.
• La confidentialité garantit que l’information dans le système est uniquement
accessible aux utilisateurs autorisés c'est-à-dire qu’une communication de données
privées entre un émetteur et un destinataire. Des mécanismes (cryptographie,
chiffrement) doivent être présents garantissant cette confidentialité entre utilisateurs
et entre utilisateurs et système.

7
Stratégie et politique de sécurité
Les critères de sécurité
• L’intégrité évite la corruption ou la
destruction des données traitées par le
système. Il faut d’abord empêcher des
utilisateurs malveillants d’accéder aux
données non autorisées (assurer la
confidentialité et l’isolation des informations)
mais également assurer que les données sont
accédées de façon cohérente (par exemple
avec un accès transactionnel).
8
Stratégie et politique de sécurité
Les critères de sécurité

• La disponibilité est la garantie que les données et les

services du système sont disponibles aux utilisateurs
autorisés. Il faut pour cela empêcher un utilisateur
malveillant d’arrêter ou de bloquer un service (“Denial of
Service attacks”).

9
Stratégie et politique de sécurité
Les critères de sécurité

• La non-répudiation : c’est le mécanisme permettant de garantir

qu’un message a bien été envoyé par un émetteur et reçu par un
destinataire.
• La traçabilité : c’est l’ensemble des mécanismes permettant de
retrouver les opérations réalisées sur les ressources de l’entreprise.
Cela suppose que tout évènement applicatif soit archivé pour
investigation ultérieure.

10
Stratégie et politique de sécurité
Les critères de sécurité

• L’autorisation : c’est l’information permettant de

déterminer quelles sont les ressources de l’entreprise
auxquelles l’utilisateur identifié et autorisé a accès, ainsi
que les actions autorisées sur ces ressources. Cela couvre
toutes les ressources de l’entreprise.

11
 Stratégie et politique de sécurité
«...Peu importe la forme que prend l'information, ou les moyens par lesquels elle est
partagée ou stockée, elle devrait toujours être convenablement protégée »

12
Stratégie et politique de sécurité
• La politique de sécurité répond aux principes fondamentaux de la
sécurité qui permettent de protéger le système d’information. Cette
protection sera assurée par exemple par:
− des règles: classification de l’information;
− des outils : chiffrement, firewalls;
− des contrats: clauses et obligations;
− l’enregistrement, la preuve, l’authentification, l’identification, le marquage
ou le tatouage;
− Le dépôt de marques et de brevets, et la protection des droits d’auteur.

13
Stratégie et politique de sécurité
• En complément elle pourra prévoir :
− de dissuader par des règles et des contrôles ;

− de réagir par l’existence de plans de secours, de continuité et de reprise ;

− de gérer les incidents majeurs par un plan de gestion de crise;

− de poursuivre en justice et de demander des réparations en prévoyant, par

exemple un plan d’intervention et de report des incidents et des mesures
d’assurance;

− de gérer les performances et les attentes des utilisateurs.

14
Gestion des risques
• Une bonne définition et une réalisation
pertinente d’une politique de sécurité
autorise une certaine maîtrise des risques
informatiques, tout en réduisant leur
probabilité d’apparition.
• Toutefois, il ne faut pas perdre de vue que
même un bon gestionnaire de la sécurité, tout
en anticipant et prévenant certains accidents
volontaires ou non, n’est pas divin.

15
Gestion des risques
• Ne pouvant anticiper les nouvelles menaces, mais sachant
qu’elles exploitent les vulnérabilités et les failles des
systèmes en places, le gestionnaire s’emploiera à réduire les
vulnérabilités de l’environnement à protéger afin de
minimiser la probabilité de réalisation de menace.

16
Gestion des risques
• La détermination des éléments critiques d’une entreprise
est une tâche délicate et qui prête à discussion, chaque
service ou département se considérant souvent comme un
secteur clé.
• Un bon moyen pour y parvenir consiste à mener avec les
responsables de l’entreprise une analyse des risques.

17
Gestion des risques

• L’analyse des risques consiste à identifier les

ressources ou les biens vitaux de l’entreprise. Ces
dernières sont de plusieurs ordres :
− Matériel (ordinateurs, équipements réseau, etc.)
− Données (bases de données, sauvegardes, etc.)
− Personnes (salariés, personnel en régie, etc.).

18
Gestion des risques
• Une fois l’analyse effectuée, il faut encore déterminer les objectifs de
sécurité qui visent à spécifier les besoins en terme de confidentialité,
d’intégrité et de disponibilité des éléments critiques de l’entreprise.
• Une fois les éléments critiques et les objectifs de sécurité identifiés,
il convient pour chacune des ressources vitales, d’associer les trois
éléments suivants : menace, vulnérabilité et conséquence.

19
Gestion des risques

20
Gestion des risques
• Menace : la menace désigne l’exploitation d’une faiblesse
de sécurité par un attaquant, qu’il soit interne ou externe à
l’entreprise. La probabilité qu’un évènement exploite une
faiblesse de sécurité est généralement évaluée par études
statistiques, même si ces dernières sont difficiles à réaliser.

21
Gestion des risques
• Vulnérabilité : il s’agit d’une faiblesse de sécurité qui peut être de
nature logique, physique, etc. une vulnérabilité peut découler :
− d’une erreur d’implémentation dans le développement d’une application,
erreur susceptible d’être exploitée pour nuire à l’application (pénétration, refus
de service, etc.),

− d’une mauvaise configuration,

− d’une insuffisance de moyens de protection des biens critiques comme

l’utilisation de flux chiffrés, l’absence de protection par filtrage de paquets, etc.
22
Gestion des risques
• Conséquence : il s’agit de l’impact (perte financière, dommage sur
l’image de marque, etc.) sur l’entreprise de l’exploitation d’une
faiblesse de sécurité. Estimer une conséquence d’une faiblesse de
sécurité nécessite généralement une connaissance approfondie de
l’entreprise et requiert la participation de l’ensemble des experts de
cette dernière.

23
 De l’analyse des risques à la politique de sécurité
Forte
origine Risque choisis, calculés, mesurés, acceptés Potentialité
du risque
Cause
Identification du
risque Potentialité
Risques pris
Impacts, effets,
conséquence,
gravité Risques profitables, risques de réussir Gravité de l’impact

Extrêmement grave

Risques subis
Analyse-Evaluation-Appréciation
Risques encourus Traitement-Gestion des risques
Risques de perte

Identification des risques

Quantification des risques Politique Sécurité
des
de valeurs
Risques acceptables?
sécurité

24
Gestion des risques
• Aucune politique de sécurité, nul service de sécurité, aussi
perfectionné soit-il, ne tient si l’intégrité des personnes
(responsables sécurité, réseau, systèmes ou utilisateur) se
trouve en cause.
• Ne perdons pas de vue que le maillon faible de la sécurité
est toujours l’humain.

25
Gestion des risques
• La stratégie sécuritaire répond aux principes suivants:
− Les risques ayant une occurrence faible et une conséquence faible sur l’entreprise ne sont
pas pris en compte a priori. On peut cependant mitiger ce point par le fait que la
combinaison de risques faibles peut engendrer un risque fort. Ils doivent donc être pris en
compte.

− Les risques ayant une occurrence forte et une conséquence forte ne doivent pas exister par
nature, car ils mettraient en cause les activités de l’entreprise. Si de tels risques existent, ils
est probable que les coûts nécessaires pour les réduire seront trop importants pour
l’entreprise. Il est donc nécessaire de faire appel à des assurances pour les couvrir.

26
Gestion des risques
− Les risques ayant une occurrence forte et une conséquence faible doivent
être pris en compte et faire l’objet d’une analyse coût/acceptation du risque.

− Les risques ayant une occurrence faible et une conséquence forte doivent
être pris en compte et faire l’objet d’une analyse coût/acceptation du risque.
Il est probable qu’il faille faire appel à des assurance pour les couvrir.

− Tous les autres cas doivent être pris en compte et faire l’objet d’une analyse
coût/acceptation du risque.

27
Gestion des risques
• Bien que la sécurité absolue n’existe pas en soi, l’entreprise
détermine le niveau de risque qu’elle est prête à accepter
sur ses ressources en comparaison avec le coût induit par
les menaces qu’elle encourt.

28
Propriétés d’une politique de sécurité

• Une politique de sécurité résulte d’une analyse des risques

et est définie pour répondre précisément et complètement
aux besoins de sécurité, dans un contexte donné.

• La définition de la politique de sécurité doit être:

− Simple et compréhensible,

− Aisément réalisable,
29
Propriétés d’une politique de sécurité

− de maintenance facile,
− Vérifiable et contrôlable,
− Adoptable par un personnel préalablement sensibilisé voire formé.
• Une politique de sécurité ne doit pas être statique mais
périodiquement évaluée, optimisée et adaptée à la dynamique du
contexte dans lequel elle s’inscrit. Elle doit être évolutive et suivre
l’évolution du contexte (risques, systèmes, environnement,
personnes, réglementations).

30
Propriétés d’une politique de sécurité

• Elle doit être adaptable et personnalisable selon des profils des

utilisateurs concernés.
• Une politique de sécurité doit prendre en compte la dimension
temporelle des besoins. Pour ce qui concerne les droits d’accès par
exemple, les autorisations peuvent être délivrées pour les jours
ouvrés, entre 7h et 20h mais exclusivement sur demande pour la
nuit ou les weekends ou en fonction des évènements.

31
Propriétés d’une politique de sécurité

• Une politique de sécurité peut également prendre en considération

la dimension spatiale et tenir compte du nomadisme de certains
employés qui travaillent à leur domicile, au bureau, en déplacement,
à l’étranger ou à l’extérieur chez un client.
• Ceci constitue autant de variantes à prendre en considération lors de
la définition de la politique de sécurité qui rend celle-ci complexe à
spécifier et à mettre en œuvre.

32
Propriétés d’une politique de sécurité

• Puisqu’une politique de sécurité varie en fonction de l’espace et du

temps, cela veut dire qu’il faut pouvoir authentifier et autoriser un
utilisateur en fonction de sa position, de sa situation, de la date et de
l’heure de sa demande de service.
• Une politique de sécurité peut être structurée en sous-politiques
correspondant à des thèmes particuliers comme le montre la figure
suivante qui propose un exemple de décomposition de politique de
sécurité en sous-politiques.
33
34
Méthodes et normes contribuant à la définition d’une
politique de sécurité

• De nombreuses méthodes d’évaluation qualitative de la sécurité ont

vu le jour pour permettre de bâtir des plans de sécurité efficaces.
Une méthode qualitative permet d’analyser des données qui ne sont
pas chiffrées et qui sont généralement disponibles sous forme de
textes.

• Parmi les méthodes connues, retenons principalement les suivantes:

35
Méthode MEHARI (Méthode Harmonisée d’Analyse de
Risque)
• Développée par le CLUSIF (Club de la Sécurité d’Information
Français), cette méthode est destinée spécifiquement aux petites et
moyennes entreprises. Elle s’articule autour de trois plans:
− Le plan stratégique de la sécurité,

− Les plans opérationnels de sécurité,

− Le plan opérationnel d’entreprise.

• Succède à la méthode Marion.

36
Méthode MARION (Méthodologie d’Analyse de Risques
Informatiques Orientée)

• Egalement développée par le CLUSIF, cette méthode est

aussi destinée spécifiquement aux petites et moyennes
entreprises. Elle comporte quatre phases distinctes:
− la préparation,
− l’audit des vulnérabilités,
− l’analyse de risques et
− le plan d’action.

37
Méthode EBIOS: (Expression des Besoins et Identification des
Objectifs de Sécurité)

• Développée par la DCSSI (Direction Centrale de la Sécurité des

Systèmes d’Information), cette méthode est destinée à un large
panel allant d’une grande administration aux petites et moyennes
entreprises. Elle comporte quatre étapes :
− l’étude du contexte,
− l’expression des besoins de sécurité,
− l’étude des risques et
− l’identification des besoins de sécurité.

38
Méthode COBIT (Control Objectives for Information and
related Technology)

• Développée par l’ISACA (Information System Audit and Control

Association), cette méthode est destinée aux managers, auditeurs et
utilisateurs. Elle couvre quatre domaines principaux:
− planification et organisation,

− acquisition et support,

− distribution et support,

− surveillance.
39
Méthode OCTAVE (Operationally Critical Threat, Asset, and
Vulnerability Evaluation)
• Développée par l’Université de Carnegie-Mellon, cette méthode est destinée aux
grandes entreprises. Elle est articulée autour de trois phases:

− délimitation du niveau organisationnel,

− identification des vulnérabilités,

− développement d’un plan de sécurité.

• Cette méthode s’appuie volontairement sur les ressources internes de l’entreprise plutôt
que sur des auditeurs externes.

40
Norme internationale ISO/IEC 17799
• La norme ISO 17799 est issue de la norme anglaise BS 7799 créée en
1995 et révisée en 1999. Cette norme constitue un code de bonnes
pratiques pour la gestion de la sécurité de l’information.
• La norme propose plus d’une centaine de mesures répartie en dix
chapitres:
− Politique de sécurité. Décrit la nécessité de disposer d’une politique de
− sécurité et d’un processus de validation et de révision de cette politique.

41
Norme internationale ISO/IEC 17799
− Organisation de la sécurité. Traite de la nécessité de disposer d’une
organisation dédier à la mise en place et au contrôle des mesures de sécurité.

− Classification des informations. Traite de la nécessité de répertorier

l’ensemble des informations et de déterminer leur classification.

− Sécurité du personnel. Traite du recrutement et de la sensibilisation.

− Sécurité de l’environnement et des biens physiques. Traite de toutes les

mesures classiques permettant de protéger les bâtiments et les équipements
informatiques.
42
Norme internationale ISO/IEC 17799
− Administration. Traite de la gestion du système d’information (procédure
d’exploitation, critères d’acceptation de tout nouveau système, etc.).

− Contrôle d’accès. Traite de la nécessité pour l’entreprise de disposer d’une

politique de contrôle d’accès.

− Développement et maintenance. Traite de la nécessité d’intégrer les

besoins de sécurité dans les spécifications fonctionnelles d’un système.

43
Norme internationale ISO/IEC 17799
− Plan de continuité. Traite de la nécessité pour l’entreprise de
disposer de plans de continuité, de processus de rédaction, de
tests réguliers et de mises à jour de ces plans.

− Conformité légale et audit de contrôle. Traite de la nécessité

de disposer de l’ensemble des lois et règlements qui s’appliquent
aux informations qu’elle manipule et des procédures associées.

44
Autres normes
• A cette norme s’ajoutent d’autres normes en cours de révision,
notamment les suivantes:
− BS 7799 (code de pratiques pour la gestion de la sécurité de l’information) et
BS 7799-2 (système de management de sécurité de l’information);

− ISO 17799 (code de pratiques pour la gestion de la sécurité de l’information)

et ISO 13335 (système de management de la sécurité de l’information);

− ISO 19011 (audit des systèmes de management de la qualité).

45
Exercice
• Quels sont les avantages relatifs à la définition d’une
politique de sécurité pour une organisation?

46