Académique Documents
Professionnel Documents
Culture Documents
S É C U R I T É I N F O R M AT I Q U E
numéro 47 décembre 2003
T I O N
S D ’ I N F O R M A
D E S S Y S T È M E
S É C U R I T É
CENTRE NATIONAL
DE LA RECHERCHE
SCIENTIFIQUE
6pages sécu47-int 2/12/03 9:19 Page 2
suite de la page 1
Identification des Objectifs de Sécurité », qui relative aux risques par une mise en œuvre méthode peut être utilisée autant pour étudier
est une méthode de gestion des risques de participative. des systèmes à concevoir que des systèmes
sécurité des systèmes d’information. En fournissant les justifications nécessaires à la existants. Dans le premier cas, elle permet de
prise de décision (descriptions précises, enjeux déterminer progressivement les spécifications
R.L. : La SSI c’est donc d’abord la gestion stratégiques, risques détaillés avec leur impact de sécurité en s’intégrant à la gestion de pro-
des risques qui pèsent sur le système d’in- sur l’organisme, objectifs et exigences de jets. Dans le second cas, elle prend en compte
formation : quel effort suis-je prêt à sécurité explicites), EBIOS est un véritable les mesures de sécurité existantes et intègre la
consentir pour me protéger d’un incident outil de négociation et d’arbitrage. EBIOS sécurité à des systèmes en exploitation.
de sécurité (la perte d’un disque dur, une permet de sensibiliser les parties prenantes
intrusion dans ma base de données, la d’un projet (direction générale, financière, juri- R. L. : La critique généralement faite aux
corruption de mon fichier d’interlocu- dique ou des ressources humaines, maîtrise méthodes d’étude des systèmes d’infor-
teurs, de clients, etc.) compte tenu de la d’ouvrage, maîtrise d’œuvre, utilisateurs), mation est qu’elles sont lourdes, longues,
potentialité et de l’impact de la d’impliquer les acteurs du système d’informa- ésotériques et nécessitent une spécialisa-
menace ? Mais une étude des risques tion (SI) et de partager le vocabulaire. tion… qui ne sert qu’une seule fois.
n’est-elle pas aussi l’occasion de sensibili- M. G. : Dans le cas concret présenté dans ce
ser les acteurs, le personnel, la hiérarchie R. L.: Quels sont donc les domaines d’ap- numéro, on voit qu’une analyse des risques
– jusqu’au plus haut niveau – en déga- plication d’EBIOS ? peut être conduite en un mois. Pour cela, il est
geant des points forts, en mettant en évi- M. G. : EBIOS peut être utilisée pour de nom- avant tout nécessaire d’obtenir l’adhésion de
dence les menaces, des vulnérabilités, en breuses démarches de sécurité, telles que tous à l’étude. La méthode EBIOS permet la
produisant des documents faisant le l’élaboration de schémas directeurs, de poli- participation de tous les acteurs au processus.
point sur l’existant, etc. ? tiques de sécurité, de tableaux de bord SSI De plus, la durée de réalisation d’une étude
M. G. : La méthode EBIOS permet en effet ou des spécifications de sécurité pour un SI EBIOS est adaptée au résultat attendu car elle
d’apprécier les risques SSI avec une comme des fiches d’expressions rationnelles se limite aux éléments nécessaires et suffisants.
approche par construction de ceux-ci, de des objectifs de sécurité (FEROS), des profils Conduire une analyse de risques demande un
faciliter leur traitement et d’en consigner les de protections ou des cibles de sécurité (au minimum de formation et de compréhension
résultats, et de contribuer à la communication sens de l’ISO 15408) et des plans d’actions. La des concepts. Comme suite page 3
2
6pages sécu47-int 2/12/03 9:19 Page 3
suite de la page 2
toute méthode elle demande un effort et des R. L. : Pourriez-vous me donner des R. L. : Qu’est-ce qui a motivé la mise en
ressources mais les résultats obtenus sont bien exemples d’utilisation d’EBIOS ? œuvre d’une analyse des risques ?
entendu réutilisables ; ils constituent en M. G.: Mais bien entendu ! Il me vient à l’esprit A. G.: L’utilisation de cet outil a mis à jour des
quelque sorte une base de connaissances le Conseil de l’Union Européenne qui a vulnérabilités sur son fonctionnement (dans les
dédiée à la sécurité de l’organisme. conduit des analyses de risques avec EBIOS aspects organisationnels et techniques: il était
La démarche structurée de la méthode EBIOS dans le but de sécuriser ses réseaux, ou possible de retrouver une clé secrète, d’effec-
permet d’identifier les éléments constitutifs encore la sphère santé en France pour de tuer des attaques par dictionnaire…). C’est
des risques (vulnérabilités, méthodes d’at- nombreux projets. Plus proche de l’actualité, pour cela qu’il fut alors décidé d’analyser plus
taques et éléments menaçants, besoins de les radars automatiques installés dernièrement profondément les risques pesant sur ce sys-
sécurité…). Cette construction méthodique sur les routes de France ont bénéficié d’une tème d’information.
garantit l’exhaustivité de l’analyse des analyse des risques avec EBIOS avant d’être La réalisation d’une analyse des risques liés au
risques. EBIOS favorise la pérennité des ana- déployés. Dans un autre registre, les bracelets système fit rapidement apparaître que le pro-
lyses de risques et la cohérence globale de la électroniques permettant à certains détenus blème ne devait pas être appréhendé uni-
SSI. En effet, l’étude spécifique d’un système d’être placés à leur domicile ont fait l’objet quement du point de vue technique mais que
repose sur l’étude globale de l’organisme ; d’une analyse EBIOS pour les aspects SSI. l’ensemble des acteurs de l’organisme
une étude peut être régulièrement remise à étaient impliqués dans ce processus.
jour afin de gérer les risques de manière conti- R. L. : Quels sont les services offerts par la
nue ; l’étude d’un système comparable peut DCSSI concernant EBIOS ? R. L. : …Et quelles sont les personnes qui
aussi être utilisée comme une référence. M. G.: Le bureau conseil de la DCSSI a un rôle ont été associées à ce processus ?
La méthode EBIOS peut être adaptée au d’assistance à maîtrise d’ouvrage au profit A. G.: Cette analyse des risques, menée en uti-
contexte de chacun et ajustée à ses outils et des administrations. Selon les cas, il peut lisant la méthode EBIOS, a impliqué toutes les
habitudes méthodologiques, tout en respec- accompagner vos équipes, suivre les travaux composantes de l’organisme : chercheurs,
tant la philosophie générale de la démarche. d’un prestataire externe ou réaliser les études ingénieurs, personnels techniques et adminis-
Sa flexibilité en fait une véritable boîte à EBIOS quand les autres solutions ne sont pas tratifs, direction. Il était très important d’asso-
outils pour les acteurs de la SSI. Ainsi, EBIOS envisageables. Cette assistance s’inscrit dans cier à la fois les personnels qui ont sur le sys-
permet de réaliser une étude globale du sys- un cadre plus général, en lien avec les autres tème un regard technique (Comment
tème d’information complet d’un organisme, bureaux de la DCSSI, comme le bureau audit, construire cet outil ? Comment l’admi-
mais également de réaliser une étude le CERTA ou encore le Laboratoire de crypto- nistrer ?) et les utilisateurs ayant un regard
détaillée d’un système particulier (site web, logie. pratique (Comment utiliser cet outil ? Quelles
messagerie, gestion des concours…). Il est On note aussi que, depuis trois ans, 600 cédé- sont les informations sensibles ?).
aussi possible de n’employer que certaines roms du logiciel d’assistance à la méthode
parties de la démarche lorsqu’on réalise, par EBIOS ont été demandés et livrés, près de 200 R. L.: Quels ont été les premiers enseigne-
exemple, une analyse de vulnérabilités ou un personnels des administrations ont été formés ments de cette étude ?
recueil d’éléments stratégiques. à cette méthode au Centre de formation de A. G.: Il est apparu que gérer les risques liés à
la sécurité des systèmes d’information (CFSSI) l’application n’était pas suffisant et qu’il
R. L.: Une méthode doit évoluer en fonction de la DCSSI. Depuis cette année, le Club EBIOS convenait d’augmenter la maturité de l’orga-
de son environnement ; quelles actions réunit tous les deux mois 20 experts contri- nisme pour qu’il soit à même de gérer des
avez-vous conduites dans ce sens ? buant au développement de la méthode, et données sensibles.
M. G. : Depuis trois ans, alors qu’EBIOS est en la formation de formateurs est lancée. Du strict point de vue technique, l’analyse des
plein essor, une veille permanente et une ∞ risques a montré, du fait du nombre important
étude comparative des méthodes d’analyse Robert Longeon : Monsieur Alain Gallet, d’acteurs extérieurs impliqués dans le proces-
des risques SSI nous ont permis de révéler les vous travaillez aussi au Bureau Conseil de sus, qu’il était nécessaire de remanier l’archi-
points d’améliorations possibles. Ainsi, la la DCSSI. Pouvez-vous nous présenter par tecture du processus de protection des don-
seconde version de la méthode en cours de un cas concret montrant comment s’ins- nées et d’évaluer, par le biais d’une cotation
finalisation converge vers les normes interna- crit une démarche d’analyse des risques cryptographique, le code préalablement à sa
tionales (ISO/IEC 13335, ISO/IEC 15408…) et dans un projet global d’organisme ? mise en service. Au niveau de l’environne-
devient une véritable méthode de gestion Alain Gallet : Je vais prendre l’exemple d’un ment du système, de nombreux objectifs de
des risques SSI. organisme qui avait à réaliser des études sta- sécurité ont été exprimés comme la définition
tistiques sur des dossiers médicaux en prove- de zones plus sécurisées au sein de l’orga-
R. L. : EBIOS n’était-elle pas un outil destiné nance d’un grand nombre de partenaires. nisme, une réorganisation de l’architecture de
aux organismes liés à la défense ? Pour préserver le secret médical et la vie pri- son SI, mais également une meilleure organi-
M. G.: À l’origine, EBIOS fut en effet créée dans vée des patients concernés par l’étude, l’ano- sation du circuit courrier et la création d’un
le but de rédiger des Fiches d’Expression nymisation de ces dossiers était nécessaire. poste d’administrateur de la sécurité.
Rationnelle des Objectifs de Sécurité (FEROS), D’autre part, la nécessité de pouvoir faire évo-
documents couramment utilisés dans certains luer dans les temps les dossiers médicaux R. L.: Une fois l’étude réalisée, quelles sont
ministères comme celui de la Défense. Ces der- interdisait une anonymisation totale et impli- les étapes suivantes ?
nières années,la pratique a néanmoins démon- quait donc la mise en place de fonctions à A. G.: Les résultats ont été repris dans le cadre
tré qu’EBIOS permet de réaliser bien d’autres sens unique (de type fonction de hachage). À d’une politique de sécurité. Celle-ci a rapide-
formes de spécifications SSI ou de documents partir de cet unique aspect fonctionnel et ment été distribuée à tout l’organisme. Les dif-
cadres, comme par exemple des schémas technique, un outil informatique avait été férentes étapes de l’analyse des risques et la
directeurs et des politiques de sécurité. développé. politique de sécurité ont suite page 4
3
6pages sécu47-int 2/12/03 9:19 Page 4
suite de la page 3
été exposées lors de comité d’homologation associer sa direction aux études menées (la l’obstacle que représente l’apprentissage
aux partenaires de l’organisme ainsi qu’au direction a été impliquée au même titre que d’une méthode. Vous nous dites que cette
milieu associatif, sans oublier la CNIL. Cette les autres acteurs, à la définition des risques charge n’est pas démesurée avec EBIOS. En
clarté sur les objectifs de l’organisme a permis pesant sur le système). Cela a permis une vali- effet, deux jours de formation à la méthode
de désamorcer une situation qui avait été ten- dation rapide de la politique de sécurité (infé- au centre de formation de la DCSSI permet-
due en de maintes occasions antérieurement rieure à un mois) et d’obtenir le budget pour tent déjà de conduire une vraie étude, même
à l’analyse des risques entre l’organisme et cer- la création d’un poste d’administrateur de la si l’on ne devient pas encore un expert. De
taines associations. sécurité ainsi que pour l’achat de développe- plus, EBIOS est soutenue par la DCSSI (c’est
ments et de matériels. l’assurance qu’elle sera pérenne et qu’elle
R. L. : Ce travail a-t-il été « gourmand » en saura évoluer en fonction des normes interna-
termes de ressources humaines ? R. L. : Ainsi, EBIOS donne les moyens de tionales). On peut aussi prendre en main faci-
A. G.: Jugez vous-même : l’analyse des risques faire comprendre aux directions géné- lement le référentiel EBIOS (guides méthodo-
a duré un mois, et de même pour la rédaction rales qu’il peut exister un retour sur inves- logiques, meilleures pratiques, logiciel
de la politique de sécurité et la spécification tissement de la sécurité. d’assistance, mémento, plaquettes…) car il
technique de la sécurité de la chaîne logi- Tout le monde convient qu’une approche est intégralement disponible en télécharge-
cielle. méthodologique est nécessaire en SSI car ment sur le site web de la DCSSI. Enfin, le Club
c’est la seule manière d’appréhender globa- EBIOS contribue grandement à l’amélioration
R. L. : En conclusion, pouvez citer un point lement son système d’information. Ceci per- continue de la méthode et de ses outils.
particulier qui a permis la réussite de ce met d’analyser correctement où, pourquoi et
Matthieu Grall et Alain Gallet
projet ? comment renforcer la sécurité. appartiennent au SGDN/DCSSI Bureau Conseil
A. G. : Le chef de projet a pu dès le début Pourtant, certains hésitent encore devant Courriel : conseil.dcssi@sgdn.pm.gouv.fr
4
6pages sécu47-int 2/12/03 9:19 Page 5
lutions du contexte (modifications des processus, du SI, des personnels, de met d’obtenir l’ensemble des éléments stratégiques et d’élaborer les
l’organisation) et des risques (réévaluation de la menace, variation des règles de sécurité ;
besoins de sécurité, des contraintes et des enjeux). ● les différents acteurs (décideurs, responsables SSI, maîtrise d’œuvre, maî-
Afin de maintenir la cohérence avec la nouvelle version des « lignes direc- trise d’ouvrage, acteurs financiers, utilisateurs…) sont sensibilisés à la SSI et
trices régissant la sécurité des systèmes et réseaux d’information – vers une au fait que la sécurité organisationnelle constitue une part importante de
culture de la sécurité » de l’OCDE, la DCSSI a mis à jour le guide PSI de 1994, la sécurité globale.
qui est devenu le guide d’élaboration de Politiques de Sécurité des
Systèmes d’Information (PSSI) en 2003. Le recueil d’éléments stratégiques, base de la PSSI, constitue en quelque
Le nouveau guide PSSI précise que l’élaboration d’une PSSI requiert une sorte une synthèse de l’étude de risques. Il demande une connaissance
approche globale, considérant non seulement les domaines techniques approfondie de l’organisme de son environnement, des enjeux, des besoins
mais aussi les domaines non techniques. Les règles de sécurité seront alors et de la menace. Tous ces éléments vont apparaître lors de l’étude EBIOS,
réalistes et cohérentes pour un périmètre généralement large et un champ en particulier dans la partie contexte qui traduit l’environnement de
d’application étendu. l’étude. L’étude menée permet de saisir la dimension humaine et organisa-
Il prévoit la réalisation préalable d’une analyse des risques SSI. Elle permet tionnelle de l’organisme, en mettant en évidence les besoins des utilisateurs
de déterminer les éléments stratégiques, de sélectionner les principes de et, indépendamment de ces derniers, les méthodes d’attaque propres au
sécurité à développer (orientations de sécurité nécessaires) et de guider système d’information.
leur déclinaison en règles de sécurité tout en assurant la cohérence avec Le choix des principes de sécurité puis leur déclinaison en règles et procé-
les objectifs de sécurité identifiés. dures, étape particulièrement délicate, peuvent être grandement facilités
Le guide propose en outre un plan type pour les PSSI, ce qui améliore l’ho- par l’exploitation des objectifs de sécurité issus d’EBIOS. En effet, le choix des
mogénéité des PSSI en interne (PSSI globale et PSSI spécifiques) et en principes correspond à l’application des objectifs. L’utilisation des objectifs
externe (comparaisons avec d’autres organismes). de sécurité issus d’EBIOS permet d’aider le responsable sécurité dans le
choix des principes à retenir ou à éliminer. Il devient ensuite possible d’ar-
La démarche du nouveau guide d’élaboration de PSSI est découpée en gumenter sur la légitimité des règles et procédures imposées dans la PSSI.
quatre phases successives: Plus encore, l’abandon d’un principe, pour des raisons financières, organi-
1. La phase 0 consiste à organiser le projet PSSI et à constituer le référentiel sationnelles ou techniques, permet de mettre en évidence un objectif de
(du SI, de la SSI, des aspects juridiques, déontologiques et contractuels). sécurité non atteint ou partiellement atteint. Dans ce cas précis, la
2. La phase 1 permet de recueillir l’ensemble des éléments stratégiques démarche structurée proposée par EBIOS permettra également de déter-
(enjeux et orientations stratégiques en matière de SSI, prise en compte des miner le bien visé, les enjeux pour les utilisateurs et leurs besoins quand ils
aspects légaux et réglementaires, échelle de besoins, expression des seront touchés par ce choix.
besoins de sécurité généraux, éléments menaçants et méthodes d’at-
taque). La première annexe du guide décrit plus de 150 principes de sécurité cou-
3. La phase 2 consiste à choisir les principes de sécurité à prendre en vrant les normes internationales (ISO 13335, ISO 15408, ISO 17799) organisés
compte dans le catalogue fourni en annexe et à les décliner en règles en 16 domaines :
de sécurité sur la base des éléments stratégiques. ● principes organisationnels (politique de sécurité, suite page 6
5
6pages sécu47-int 2/12/03 9:19 Page 6
suite de la page 5
organisation de la sécurité, gestion des risques SSI, sécurité et cycle de vie, ● réglementation nationale et internationale (atteinte aux personnes,
assurance et certification), atteinte aux biens, atteinte aux intérêts fondamentaux de la nation, terro-
● principes de mise en œuvre (aspects humains, plan de continuité, ges- risme et atteinte à la confiance publique, atteintes à la propriété intellec-
tiondes incidents, sensibilisation et formation, exploitation, aspects phy- tuelle, cryptologie, signature électronique…),
siques et environnementaux), ● lignes directrices de l’OCDE (SSI, cryptographie…),
logique, journalisation, infrastructures de gestion des clés cryptogra- ● critères communs d’évaluation (ISO 15408),
La seconde annexe du guide d’élaboration de PSSI permet de disposer Le nouveau guide PSSI sera bientôt disponible gratuitement sur le site web
d’axes de réflexion et de ne rien omettre quant aux évolutions récentes de de la DCSSI (http://www.ssi.gouv.fr).
la réglementation et des normes : Alain Gallet
L
’OBJET d’un Schéma Directeur de Sécurité des pouvoir être actualisé en tant que de besoin. Ce
Systèmes d’Information (SDSSI) est de renfor- document et sa mise à jour sont pris en compte pression des enjeux de sécurité et des valeurs stra-
cer la sécurité des systèmes d’information pour l’examen annuel des demandes budgé- tégiques de l’organisme dans un document fon-
(SSI) d’un organisme à un niveau global (pour taires relatives à la SSI. Pour le CNRS, le SDSSI est dateur de la culture en sécurité, par exemple un
une administration on se situe au niveau du minis- établi sous la responsabilité du Directeur Général. schéma directeur ou une politique générique de
tère ou de la direction générale) en la position- Eu égard à l’importance des enjeux de sécurité sécurité. A partir de cette vision au long terme, un
nant comme élément de stratégie à part entière. décrits dans ce SDSSI, vous aurez tout avantage référentiel de règles, de politiques et de meilleures
C’est le document cadre de la SSI qui servira de à instituer, en fonction de l’organisation de votre pratiques sera établi pour répondre aux besoins
socle fondateur à l’ensemble des actions de organisme, un « comité d’homologation ». Ce exprimés par les directions, les maîtrises d’ou-
SSI de l’organisme, qu’il s’agisse par exemple comité sera responsable, sous votre autorité, de vrage et d’œuvre sans oublier de satisfaire les
de l’élaboration de politiques SSI (PSSI) globales, l’élaboration, de l’actualisation et de l’évalua- attentes des utilisateurs et des partenaires.
génériques et sectorielles. tion du SDSSI. Le travail au sein de ce comité sera Ce numéro de Sécurité Informatique est centré sur
Le SDSSI doit donc exprimer la stratégie de votre facilité par l’analyse des risques, en particulier la construction d’un schéma directeur et d’une
Établissement Public, votre département ministé- dans les phases de négociation et d’arbitrage. politique de la sécurité, à laquelle il conviendrait
riel,ou votre entreprise en matière de sécurisation Le SDSSI est généralement découpé en trois par- sans nul doute d’associer un plan de formation,
de vos SI, d’utilisation de produits de sécurité, ties : le champ d’application, le volet stratégique une mesure de la performance de la sécurité, des
pour construire et mettre en œuvre des SI perfor- et le volet opérationnel. préceptes de défense en profondeur, une planifi-
mants, à la sécurité maîtrisée, afin de répondre à Son champ d’application englobe les cation de la continuité, etc. C’est ainsi que le sys-
vos missions, à vos objectifs, notamment par la échanges entre les services de l’organisme ou tème d’information pourra atteindre un niveau de
Conseil et coordination: CNRS - DIST - Jacqueline Leclère • Conception et réalisation : La Souris 0145210961
mise en œuvre des conditions de confiance vers l’extérieur, les actions de collaboration, les maturité adapté aux besoins de l’organisme.
avec les usagers. Il définit ainsi les orientations programmes ou les réseaux liés, et les échanges
stratégiques pour la maîtrise d’ouvrage. de données informatisées. L. B.
Auditeur de la 56e IHEDN
Il doit vous permettre de mesurer l’effort d’inté- Le volet stratégique décrit votre stratégie de conseil.dcssi@sgdn.pm.gouv.fr
gration et de normalisation des éléments de SSI gestion des risques attachés aux SI, c’est-à-dire
et d’en favoriser l’exploitation optimale,tant pour les objectifs et les enjeux associés, mais aussi les
la gestion de ses applications propres que pour règles d’organisation pour les atteindre et les S É C U R I T É I N F O R M AT I Q U E
numéro 47 décembre 2003
T I O N
l’établissement d’un dialogue normalisé avec contraintes à respecter. Il permet d’identifier et D E S S Y S T È M E S
D ’ I N F O R M A
S É C U R I T É
l’extérieur. de comprendre les différents aspects de votre
Le SDSSI est avant tout un instrument de diagnos- politique de sécurité. L’identification de vos Sujets traités : tout ce qui concerne
tic et de dialogue,un instrument pragmatique de besoins de sécurité et une analyse des risques la sécurité informatique. Gratuit.
Périodicité : 5 numéros par an.
planification, un instrument de suivi de l’évolution vous permettront de faciliter la définition de votre Lectorat : toutes les formations CNRS.
de la sécurité du SI ainsi qu’un instrument d’ar- stratégie. Responsable de la publication :
gumentation budgétaire. Précisément, la Le volet opérationnel décrit la mise en œuvre ROBERT LONGEON
Centre national de la recherche scientifique
méthode EBIOS peut fournir des informations per- de la stratégie SSI exprimée dans le volet straté- Service du Fonctionnaire de Défense
mettant d’établir une planification et une hiérar- gique et le passage de l’état actuel à l’état c/o IDRIS - BP 167. 91403 Orsay Cedex
Tél. 01 69 35 84 87
chisation des actions. L’analyse des risques per- ciblé. Il doit non seulement permettre de planifier Courriel : robert.longeon@cnrs-dir.fr
mettra d’assurer la traçabilité entre des choix et d’organiser les actions de sécurité, mais aussi http://www.cnrs.fr/Infosecu
organisationnels ou techniques et les éléments prévoir les modalités de suivi de sa mise en ISSN 1257-8819
Commission paritaire n° 3105 ADEP
stratégiques concernés. œuvre et les budgets associés. La reproduction totale ou partielle
Par exemple, pour un département ministériel, le des articles est autorisée sous réserve
Stanislas De Maupeou de mention d’origine
SDSSI est établi sous la responsabilité du ministre SGDN/DCSSI Bureau Conseil
pour une durée de trois ans généralement et doit conseil.dcssi@sgdn.pm.gouv.fr