2 Planification Politique

Planification de la sécurité
-
Politique de sécurité
Crédits : Dr Didier BASSOLE, UFR SEA / UJKZ

1
Règles d’or de la sécurité informatique
1 - Elaborer une politique de sécurité
2 - Sensibiliser le personnel aux risques encourus
3 - Sauvegarder régulièrement ses données informatiques
4 - Sécuriser le réseau de l’entreprise
5 - Protéger les terminaux mobiles
6 - Protéger les données personnelles
7 - Gérer les données sensibles
8 - Sécuriser les locaux
9 - Faire régulièrement des tests de sécurité
10 - Disposer d’un plan d’action et de reprise en cas d’attaque
2
Elaborer une politique de sécurité (1)
 Une politique de sécurité est l'ensemble des modèles
d'organisation, des procédures et des bonnes pratiques
techniques permettant d'assurer la sécurité d’un SI.
 Une politique de sécurité peut être organisée autour de 3

axes :
 La sécurité physique des installations;
 La sécurité logique du système informatique;
 La sensibilisation des utilisateurs aux contraintes de sécurité.

3
 La politique de sécurité d’un SI constitue le principal

document de référence en matière de SSI de l'organisme;
 Elle en est un élément fondateur définissant les objectifs
à atteindre et les moyens accordés pour y parvenir;
 La démarche de réalisation de cette politique est basée
sur une analyse des risques en matière de SSI.
4
 La politique de sécurité informatique fixe les principes visant à
garantir la protection des ressources informatiques et de
télécommunications en tenant compte des intérêts de
l'organisation et de la protection des utilisateurs.

 Les ressources informatiques et de télécommunications doivent
être protégées afin de garantir la confidentialité, l’intégrité et la
disponibilité des informations qu'elles traitent, dans le respect de
la législation en vigueur.
5
 Diriger la sécurité informatique passe donc par la définition d'une
politique de sécurité et la formation du personnel.
 La politique de sécurité informatique est en constante évolution et se
traduit par un problème de gestion de la qualité constante lié pour
l'essentiel à la maintenabilité et à l'évolution des SI, des enjeux et
des risques.
 Comme dans nos entreprises l'outil informatique est essentiel au
développement, un dysfonctionnement constitue donc un risque
majeur. 6
 Une politique de sécurité traite de l'organisation de la sécurité, de
l'inventaire des risques, de la définition d'une architecture de sécurité et
de l'établissement d'un plan de continuité.
 Une politique de sécurité définit:

 La politique de contrôle d'accès : gestion des identités, des profils, ...
 La politique de protection : prévention des intrusions, des
vulnérabilités, ...
 La politique de réaction : gestion des crises, des sinistres, ...
 La politique de suivi : audit, évaluation, optimisation
 La politique d'assurance.
7
Étapes d’une politique de sécurité
 Définition de la politique: ensemble des règles concernant les ressources

informatiques et les règles concernant les ressources physiques (documents
papiers, accès aux bâtiments);
 Identification des vulnérabilités: définir tous les points faibles;
 Évaluation des probabilités associées à chacune des menaces;
 Évaluation du coût d'une intrusion réussie;
 Choix des contre mesures;
 Évaluation des coûts et de l'adéquation des contre mesures;
 Décision : Application et mise en place des solutions.

8
Cohérence des moyens
 La réalisation d'une politique de sécurité passe par
la mise en œuvre cohérente de :
Moyens physiques : architecture des bâtiments,
systèmes de contrôle d'accès, destructeurs de
documents;
Moyens informatiques : contrôles de services et
des machines;
Règles d'organisation et moyens procéduraux :
règles de fonctionnement qui doivent être
respectées.
9
Principe de mise en œuvre
 Assurer la mise en œuvre d’une politique de sécurité consiste à garantir

que, à chaque instant, toutes les opérations sur les ressources ne soient
réalisables et réalisées que par les acteurs habilités.
 Les bases de la réalisation de la politique de sécurité sont :
 Le confinement : l'ensemble des ressources est maintenu dans des

domaines étanches; l’accès se fait via un guichet protégé;
 Le principe du moindre privilège : pour qu'un système fonctionne en

sécurité il faut donner à ses utilisateurs exactement les droits dont ils
ont besoin pour s'exécuter, ni plus ni moins.
10
Méthodes
 Il existe plusieurs méthodes de mise en œuvre de la politique

de sécurité informatique dont:
 MARION
 COBIT
 EBIOS
 MEHARI
 OCTAVE
 CRAMM
11
Méthodes MARION
 MARION (Méthode d'Analyse des Risques Informatiques et Optimisation par
Niveau) est une méthode d'audit de la sécurité d'une entreprise, proposée en 1983
par le CLUSIF (Club de la sécurité de l'information française) mais abandonnée en
1998 au profit de la méthode MEHARI;
 Elle donne une évaluation chiffrée du risque informatique;
 MARION repose sur l'évaluation des aspects organisationnels et techniques de la

sécurité de l'entreprise à auditer. Son objectif est de :
 situer l'entreprise auditée par rapport à un niveau jugé correct, et par rapport
au niveau atteint par les entreprises similaires;
 identifier les menaces et vulnérabilités à contrer. 12

Méthodes COBIT
COBIT (Control OBjectives for Information and Technology ISACA) :

propose un référentiel pour les systèmes d'information.
Méthodes EBIOS
 EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)
permet d'identifier les risques d'un SI et de proposer une politique de
sécurité adaptée aux besoins de l'entreprise ;
 La méthode EBIOS est découpée en 5 étapes :
1. Étude du contexte;
2. Expression des besoins de sécurité;
3. Étude des menaces;
4. Identification des objectifs de sécurité;
5. Détermination des exigences de sécurité. 14

Méthodes EBIOS
 L'étude du contexte permet d'identifier quel SI est la cible d'étude (présentation
de l'entreprise, architecture du SI, contraintes techniques et réglementaires,
enjeux commerciaux) et d’étudier le détail des équipements, des logiciels et de
l'organisation humaine de l'entreprise.
 L'expression des besoins de sécurité permet d'estimer les risques et de définir les
critères de risque.
 L'étude des menaces permet d'identifier les risques non plus en fonction des
besoins des utilisateurs mais de l'architecture technique du système d'information.
 L'identification des objectifs de sécurité confronte les besoins de sécurité

exprimés et les menaces identifiées afin de mettre en évidence les risques contre
lesquels le SI doit être protégé.
 La détermination des exigences de sécurité permet de déterminer jusqu'où on

15
devra aller dans les exigences de sécurité.
Méthodes MEHARI
 MEHARI (MEthode Harmonisée d'Analyse de RIsques) est développée

par le CLUSIF en 1995 et consiste en l'analyse des enjeux de sécurité
pour spécifier les scénarios redoutés, et en la classification préalable des
entités du SI en fonction de trois critères de sécurité de base
(confidentialité, intégrité, disponibilité);
 Ces enjeux expriment les dysfonctionnements ayant un impact direct
sur l'activité de l'entreprise. Puis, des audits identifient les vulnérabilités
du SI. Et enfin, l'analyse des risques proprement dite est réalisée;
16
Méthodes MEHARI
MEHARI s'articule autour de 3 types de livrables :
1. Le Plan Stratégique de Sécurité (PSS);
2. Le Plan Opérationnel de Sécurité (POS);
3. Le Plan Opérationnel d'Entreprise (POE).

Indicateurs
Tableau de bord
Objectifs
Métriques
Plan
17
d’action
Méthodes MEHARI
 Le Plan Stratégique de Sécurité fixe les objectifs de

sécurité ainsi que les métriques permettant de les mesurer.
 Le Plan Opérationnel de Sécurité définit pour chaque site
les mesures de sécurité qui doivent être mises en œuvre.
 Le Plan Opérationnel d'Entreprise assure le suivi de la
sécurité par l'élaboration d'indicateurs sur les risques
identifiés et le choix des scénarios de catastrophe contre
lesquels il faut se prémunir. 18
Méthodes OCTAVE
 Octave (Operationally Critical Threat, Asset, and Vulnerability

Evaluation), créé par l'université de Carnegie Mellon (USA) en
1999, a pour but de permettre à une entreprise de réaliser par elle-
même l'analyse des risques de son SI en se basant sur un catalogue
de bonnes pratiques de sécurité qui est fourni avec la méthode.
 Elle est centrée sur la protection des actifs de l'entreprise et le
management du personnel, couvre l'ensemble des processus
métiers de l'entreprise à tous les niveaux (organisationnel et
technique).
 OCTAVE est constituée de 3 étapes : Vue organisationnelle, Vue
technique et Stratégie de sécurité;
19
Méthodes OCTAVE
20
Méthodes OCTAVE
 La vue organisationnelle permet d'identifier les actifs de l'entreprise, les

menaces qui pèsent sur son fonctionnement, les vulnérabilités de son
organisation, les objectifs de sécurité imposés par la direction et les
mesures actuelles de sécurité
 La vue technique identifie les éléments essentiels de chaque actif

identifié plus haut et les audite afin d'en connaître les vulnérabilités.
 Le développement de la stratégie de sécurité consiste à évaluer les

risques identifiés (impact, probabilité) plus haut et à proposer les
mesures permettant de les réduire.
21
Méthodes CRAMM
 CRAMM (CCTA Risk Analysis and Management Method) est une

méthode exhaustive inventée par Siemens en Anglettre.
 CRAMM est réservée aux grandes entreprises car elle est assez
lourde (recourt à près de 3 000 points de contrôle).
 Elle possède deux variantes : CRAMM Express et CRAMM Expert.
 Elle comporte 3 phases :

1. Identification de l'existant;
2. Évaluation des menaces et des vulnérabilités;
3. Choix des remèdes.
22
Méthodes CRAMM
23
Méthodes CRAMM
 L'identification de l'existant permet de dresser l'inventaire des

équipements, des applications, et des données qui constituent
l'infrastructure informatique sur laquelle repose le SI de
l'entreprise. Chacun des éléments de cet inventaire est évalué en
terme de coût et d'impact en cas de compromission
 L'évaluation des menaces et des vulnérabilités met en évidence
les problèmes possibles.
 Le choix des remèdes consiste à sélectionner parmi une base de 3
000 contre-mesures possibles classées en 70 thèmes les remèdes
aux risques identifiés plus haut.
24
Mesures de sécurité
 Après identification des risques, des mesures de sécurité sont mises en place.
 Plusieurs types génériques de mesures de sécurité sont identifiés:
 Avant sinistre :
 Mesures préventives: détecteur d'intrusion, anti-virus, contrôle d'accès, …

 Mesures structurelles: occultation des ressources, fragmentation de
l'information afin de réduire la vulnérabilité des ressources;
 Mesures de dissuasion: protections juridiques ou administratives.
 Après sinistre :
 Mesures palliatives et correctives: sauvegardes, plan de continuité,

redondances
 Mesures de récupération: limiter les pertes/préjudices, utilisation

25
Plan de secours
 Le plan de secours permet d'assurer un fonctionnement des applications
critiques après un sinistre;
 Le plan de secours doit être suivi comme un vrai projet et suivre une
méthodologie qui pourrait être en quatre phases suivies d’un audit :
 Analyse stratégique;
 Analyse des solutions;
 Mise en œuvre opérationnelle;
 Validation et suivi.
 Audit: évaluer, déterminer la qualité du plan établi et élaborer26 des

Plan de secours
Phase 1: Analyse stratégique
 Organisation et conduite de projet;
 Analyse des risques;
 Analyse d'impact;
 Définition des modes de fonctionnement normal et minimal de
chaque application critique.
Phase 2: Analyse des solutions

 Identifier et évaluer les solutions de reprises possibles et de choisir la
meilleure en fonction des critères stratégiques de l'entreprise.
 Procéder à la rédaction des documents définitifs
27
Plan de secours
Phase 3: Mise en œuvre opérationnelle
 Attribution des responsabilités, sensibilisation et formation des

responsables de l'exécution des procédures de reprise.
 Une documentation complète du plan de secours doit être établie.
Phase 4:
 Permet de tester le plan de secours, son efficacité par des simulations

d'alertes et la réalisation de tests de bascule programmés
 Permet de documenter et analyser les résultats
 Permet de mettre à jour le plan et éventuellement de réorganiser la

28
répartition des tâches aux membres de l'équipe.
Résumé
Pour bien planifier l’implantation d’une solution de

sécurité informatique, il faut :
1. Identifier ce que vous devez protéger;
2. Élaborer une politique de sécurité informatique;
3. Établir un budget;
4. Choisir les bons outils.

Crédits : Dr Didier BASSOLE, UFR SEA / UJKZ 29
Sensibiliser le personnel aux risques encourus
(Généralités)
 Objectifs :
 Limiter les risques d’un piratage à cause d’une erreur humaine ;
 Éviter les fuites/pertes de données volontaires/involontaires ;
 Réduire les tentatives d’usurpation d’identité de votre entreprise.
 Outils :
 Charte informatique : définir les droits et les devoirs de chacun en
matière de protection des données personnelles, de confidentialité
des informations sensibles et d’usage des outils informatiques;
 Politique de sensibilisation : newsletter, affiches dans les
bureaux/salles de réunion, mémos, …
 Formations spécifiques : en fonction des profils il peut y avoir des
risques spécifiques (RH, comptabilité, …). 30
(Exemple de charte )
 Règles de protection des données et sanctions encourues en cas de non respect de celles-ci;
 Champ d’application de la charte:
 Modalités d’intervention des informaticiens;
 Moyens d’authentification utilisés par l’organisme;
 Règles de sécurité auxquelles les utilisateurs doivent se conformer :
 signaler au service informatique toute violation ou tentative de violation suspectée de son
compte informatique et de manière générale tout dysfonctionnement;
 ne jamais confier son identifiant/mot de passe à un tiers;
 ne pas installer, copier, modifier, détruire des logiciels sans autorisation;
 verrouiller son ordinateur dès que l’on quitte son poste de travail;
 ne pas accéder, tenter d’accéder, ou supprimer des informations si cela ne relève pas des tâches
incombant à l’utilisateur;
 respecter les procédures préalablement définies par l’organisme afin d’encadrer les
opérations de copie de données sur des supports amovibles, notamment en obtenant l’accord
préalable du supé- rieur hiérarchique et en respectant les règles de sécurité.
31
(Exemple de charte - suite)
 Modalités d’utilisation des moyens informatiques et de
télécommunications mis à disposition : poste de travail, équipements
nomades (par exemple pour télétravail) , espaces de stockage
individuel , réseaux locaux , conditions d’utilisation des dispositifs
personnels , Internet, messagerie électronique , téléphonie.
 Conditions d’administration du système d’information ou sinon
systèmes automatiques de filtrage , systèmes automatiques de
traçabilité , gestion du poste de travail.
 Responsabilités et sanctions encourues en cas de non respect de la
charte.
32
(Exemple de charte )
 Le rappel des règles de protection des données et les sanctions

encourues en cas de non respect de celles-ci.
 Le champ d’application de la charte, qui inclut notamment : les

modalités d’intervention des équipes chargées de la gestion des
ressources informatiques de l’organisme , les moyens
d’authentification utilisés par l’organisme , les règles de sécurité
auxquelles les utilisateurs doivent se conformer, ce qui doit inclure
notamment de : signaler au service informatique interne toute
violation ou tentative de violation suspectée de son compte
informatique et de manière générale tout dysfonctionnement , 33 ne
jamais confier son identifiant/mot de passe à un tiers , ne pas
Sauvegarder régulièrement ses données
informatiques
 Effectuer des sauvegardes fréquentes des données:
 des sauvegardes journalières d’une durée d’une semaine ;
 des sauvegardes hebdomadaires d’une durée d’un mois ;
 des sauvegardes mensuelles d’une durée de 6 mois ;
 des sauvegardes semestrielles d’une durée d’un an ;
 des sauvegardes annuelles qui seront conservées définitivement.
 Stocker les sauvegardes sur un site extérieur: Serveur miroir? Disque
dur hors ligne? Coffres ignifuges et étanches?
 Protéger les données sauvegardées au même niveau de sécurité que
celles stockées sur les serveurs d’exploitation;
 Lorsque les sauvegardes sont transmises par le réseau, chiffrer le canal
34
de transmission si celui-ci n’est pas interne à l’organisme.
Sécuriser le réseau de l’entreprise
 Contrôle d’accès:
Utilisateurs : identification, authentification;
Ordinateurs : adresses MAC;
Réseaux :
Pare-feu;
DMZ;
IDS;
VPN;
Filtrage …
35
Protéger les terminaux mobiles
 Maintenir le système à jour;
 Eviter de télécharger les applications hors stores
officiels;
 Vérifier les permissions des applications;
 Ne pas rooter / jailbreaker son terminal;
 S’équiper de solutions de sécurité.
36
Protéger les données personnelles
 Sensibiliser les utilisateurs sur la question;
 Authentifier les utilisateurs;
 Gérer les habilitations des utilisateurs;
 Journaliser les accès et définir des procédures de gestion d’incidents;
 Sécuriser les postes de travail et l’équipement mobile;
 Encadrer la sécurité des données avec les sous-traitants;
 Encadrer la maintenance et la destruction des données;
 Chiffrer ou signer pour garantir l’intégrité, … 37

Sécuriser les locaux
 Salles climatisées avec des portes et fenêtres
hermétiques en vitre pour les postes nécessitant le
matériel informatique ;
 Acquisition de housses pour les machines ;
 Détecteurs de fumées ;
 Conservation des supports de sauvegarde dans un
coffre-fort ;
 Aménagement des salles nécessitant le matériel
informatique loin des endroits humides.
38
Sécuriser les locaux
 Utiliser des alarmes anti-intrusion ;
 Mettre en place des détecteurs de fumée ainsi que des
moyens de lutte contre les incendies;
 Protéger les clés permettant l’accès aux locaux et les codes
d’alarme;
 Distinguer les zones des bâtiments selon les risques ;
 Tenir à jour une liste des personnes ou catégories de
personnes autorisées à pénétrer dans chaque zone;
 Établir les règles et moyens de contrôle d’accès des visiteurs.
39
Faire régulièrement des tests de sécurité
Simulation d’attaques dans un cadre officiel;
Audit sécurité;
ISO 27001.
40
Disposer d’un plan d’action et de reprise en
cas d’attaque
 Rédiger un plan de reprise et de continuité d’activité informatique
même sommaire, incluant la liste des intervenants.
 S’assurer que les utilisateurs, prestataires et sous-traitants savent

qui alerter en cas d’incident.
 Tester régulièrement la restauration des sauvegardes et

l’application du plan de continuité ou de reprise de l’activité.
41

2 Planification Politique

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

2 Planification Politique

Transféré par

Droits d'auteur :

Formats disponibles

Planification de la sécurité

Crédits : Dr Didier BASSOLE, UFR SEA / UJKZ

 Une politique de sécurité peut être organisée autour de 3

 La sécurité logique du système informatique;

 La sensibilisation des utilisateurs aux contraintes de sécurité.

 La politique de sécurité d’un SI constitue le principal

garantir la protection des ressources informatiques et de

télécommunications en tenant compte des intérêts de

l'organisation et de la protection des utilisateurs.

être protégées afin de garantir la confidentialité, l’intégrité et la

disponibilité des informations qu'elles traitent, dans le respect de

politique de sécurité et la formation du personnel.

 La politique de sécurité informatique est en constante évolution et se

traduit par un problème de gestion de la qualité constante lié pour

l'essentiel à la maintenabilité et à l'évolution des SI, des enjeux et

 Comme dans nos entreprises l'outil informatique est essentiel au

développement, un dysfonctionnement constitue donc un risque

 Une politique de sécurité définit:

 Définition de la politique: ensemble des règles concernant les ressources

 Identification des vulnérabilités: définir tous les points faibles;

 Évaluation des probabilités associées à chacune des menaces;

 Évaluation du coût d'une intrusion réussie;

 Choix des contre mesures;

 Évaluation des coûts et de l'adéquation des contre mesures;

 Décision : Application et mise en place des solutions.

 Assurer la mise en œuvre d’une politique de sécurité consiste à garantir

 Les bases de la réalisation de la politique de sécurité sont :

 Le confinement : l'ensemble des ressources est maintenu dans des

 Le principe du moindre privilège : pour qu'un système fonctionne en

 Il existe plusieurs méthodes de mise en œuvre de la politique

 Elle donne une évaluation chiffrée du risque informatique;

 MARION repose sur l'évaluation des aspects organisationnels et techniques de la

 identifier les menaces et vulnérabilités à contrer. 12

COBIT (Control OBjectives for Information and Technology ISACA) :

 La méthode EBIOS est découpée en 5 étapes :

2. Expression des besoins de sécurité;

3. Étude des menaces;

4. Identification des objectifs de sécurité;

5. Détermination des exigences de sécurité. 14

 L'identification des objectifs de sécurité confronte les besoins de sécurité

 La détermination des exigences de sécurité permet de déterminer jusqu'où on

 MEHARI (MEthode Harmonisée d'Analyse de RIsques) est développée

1. Le Plan Stratégique de Sécurité (PSS);

2. Le Plan Opérationnel de Sécurité (POS);

3. Le Plan Opérationnel d'Entreprise (POE).

 Le Plan Stratégique de Sécurité fixe les objectifs de

 Octave (Operationally Critical Threat, Asset, and Vulnerability

 La vue organisationnelle permet d'identifier les actifs de l'entreprise, les

 La vue technique identifie les éléments essentiels de chaque actif

 Le développement de la stratégie de sécurité consiste à évaluer les

 CRAMM (CCTA Risk Analysis and Management Method) est une

 Elle possède deux variantes : CRAMM Express et CRAMM Expert.

 Elle comporte 3 phases :

 L'identification de l'existant permet de dresser l'inventaire des

 Plusieurs types génériques de mesures de sécurité sont identifiés:

 Mesures préventives: détecteur d'intrusion, anti-virus, contrôle d'accès, …

 Mesures palliatives et correctives: sauvegardes, plan de continuité,

 Mesures de récupération: limiter les pertes/préjudices, utilisation

 Analyse des solutions;

 Mise en œuvre opérationnelle;

 Audit: évaluer, déterminer la qualité du plan établi et élaborer26 des

Phase 2: Analyse des solutions

 Attribution des responsabilités, sensibilisation et formation des