Sécurisation d’un patrimoine                           d’entreprise :                     Méthodologie et bonnes          ...
TABLE DES MATIERESI.   La politique de Sécurité des Systèmes d’Information (PSSI) ......................................4A...
Introduction : Les bonnes                                                    INTRODUCTION                                 ...
I.      La politique de Sécurité des Systèmes d’Information (PSSI)   La sécurisation du patrimoine de l’entreprise relève ...
besoins précédemment définis. Cette phase se déroule la plupart du temps sousforme d’audit et à l’aide de méthodes (EBIOS ...
A noter que la PSSI peut être intégrée au système d’informations de manière modulaire etéchelonnée, comme elle peut faire ...
II. La sécurité physique de l’entreprise : protéger les infrastructures         La sécurité physique de l’entreprise conce...
B. Risques naturels       Les risques naturels sont a priori, les plus imprévisibles de par leur nature souventmétéorologi...
C. Gestion de la sécurité physique   La sécurité physique est évolutive et fait partie intégrante de la politique de sécur...
III. La sécurité logique ; La méthode de défense en profondeurLa sécurité logique a vu son importance croître avec l’adopt...
L’évolution du nucléaire par rapport au fort Vauban, a été la gradation des risques et la miseen place des protections, en...
Les étapes d’un processus de défense en profondeur dans le cadre d’un projet SI sedéroulent généralement selon le schéma s...
c. Etape 3 : Politique de défenseCette phase consiste à déterminer la défense globale (détection des attaques, remontéedes...
CONCLUSION       La sécurisation du patrimoine de l’entreprise est un projet qui mobilise les dirigeantset les collaborate...
SOURCESWeb :   -    http://www.clusif.asso.fr/   -    http://www.cases.public.lu/fr/index.html   -    http://www.securite-...
Prochain SlideShare
Chargement dans…5
×

Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques

2 282 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 282
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
127
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques

  1. 1. Sécurisation d’un patrimoine d’entreprise : Méthodologie et bonnes pratiques Elodie Heitz E Marketing / Management des TIC Cours : Sécurité des Systèmes d’Information Responsable du cours ; Jean-Claude HéritierDû le15/01/2012 1
  2. 2. TABLE DES MATIERESI. La politique de Sécurité des Systèmes d’Information (PSSI) ......................................4A. Létude préalable des risques SSI + Elaboration de la politique SSI ................................... 4B. Mise en place de la politique SSI .......................................................................................... 5C. Evolutivité de la politique SSI ........................................................................................................ 6II. La sécurité physique de l’entreprise : protéger les infrastructures .............................7A. Contrôles des accès et intrusions ................................................................................................ 7B. Risques naturels .............................................................................................................................. 8C. Gestion de la sécurité physique ............................................................................................ 9III. La sécurité logique ; La méthode de défense en profondeur .................................10A. Défense en profondeur : origines et fondements de la méthode ........................................ 10B. Principes d’application de la défense en profondeur ............................................................ 11 a. Etape 1 : Objectifs de sécurité ......................................................................................... 12 b. Etape 2 : Organisation architecture générale ............................................................... 12 c. Etape 3 : Politique de défense ......................................................................................... 13 d. Etape 4 + 5: Qualification & homologation .................................................................... 13 e. exemple pratique .............................................................................................................. 13CONCLUSION .................................................................................................................................... 14SOURCES ............................................................................................................................................ 15 2
  3. 3. Introduction : Les bonnes INTRODUCTION Depuis quelques décennies, le modèle de l’entreprise s’est complexifié, ainsi que la chaîne de valeur. Enjeux politiques, sociaux, environnementaux mais surtout technologiques et informationnels amènent les Managers, Directeurs des Systèmes d’Informations et responsables à s’interroger voire se remettre en question sur les moyens les plus adéquats pour assurer la sécurité du patrimoine de l’entreprise. Toutes les organisations ne sont pas égales en termes de moyens, de taille ou depersonnel compétent lorsqu’il s’agit de veiller à la sécurité physique et/ou logique de leurpatrimoine. Pourtant, il existe aujourd’hui diverses ressources permettant d’assurer lapérennité de son activité.Seulement, avant de mandater un consultant ou de se risquer à l’abstention, des bonnespratiques, souvent simples, sont à adopter. Ces mesures et comportements sontapplicables quelque soit la taille de l’organisation, et sont souvent obligatoires carencadrées juridiquement.L’objet de notre étude est précisément d’établir une méthodologie et un tour d’horizon desbonnes pratiques. A mesure de notre analyse, nous verrons que le bon sens est souvent demise, et que dans la plupart des cas, il existe un référentiel ou ressources documentaires(sinon un organisme compétent) répondant au besoin de l’entreprise, que ce soit en termede réflexion, de mise en place d’une politique de sécurité ou de validation & test de celle-ci.Nous déroulerons également des procédés de mise en œuvre de protection physique dupatrimoine de l’entreprise, puis de protection logique à travers la défense en profondeur. 3
  4. 4. I. La politique de Sécurité des Systèmes d’Information (PSSI) La sécurisation du patrimoine de l’entreprise relève de la vision stratégique del’entreprise. Il est en effet capital que les procédures et mesures de sécurité soientclairement définies et alignées avec l’activité de l’entreprise, sa taille et ses objectifs.De plus, la sécurité concerne chaque partie prenante, l’information doit être diffuséeet accessible à tous. Pour celà, toute organisation est tenue d’établir, d’appliquer etde faire évaluer régulièrement une politique de sécurité des systèmes d’information. A. Létude préalable des risques SSI + Elaboration de la politique SSI Depuis 2002, l’OCDE met un point d’orgue à encadrer la sécurité dessystèmes d’information dans les entreprises. Cette normalisation permet auxentreprises de s’adapter aux nouveaux enjeux et challenges qui modifientconstamment l’écosystème des SI. Ainsi, l’instauration d’une « culture des SI »répond non seulement au besoin d’encadrement, mais aussi d’actualisationpermanente des processus.Il est alors nécessaire pour toute entreprise de mettre en place une politique desécurité des systèmes d’information. La mise en place de cette politique aboutira àun document, qui détaillera les règles de sécurité, suivant ce qu’on appelle lesprincipes de sécurité et constituera la référence relative à toute question en lamatière, et ce pour tout son périmètre d’application.Comme il s’agit d’un document référent, le rapport de politique de sécurité des SI doitêtre élaboré en cohérence avec la stratégie de l’entreprise, et être le fruit d’uneconcertation entre les acteurs clés (direction, management, responsables & salariés).De plus, aucun élément ne doit être négligé ni omis ; périmètre d’application, enjeux,objectifs, normes, menaces et besoins en disponibilité / Intégrité / confidentialité. Dans la pratique, l’élaboration d’une PSSI débute par une évaluation desrisques et des besoins puis la définition des règles cohérentes avec la stratégie et les 4
  5. 5. besoins précédemment définis. Cette phase se déroule la plupart du temps sousforme d’audit et à l’aide de méthodes (EBIOS par exemple, disponible en_ligne ). plan d’élaboration d’une PSSI – les encadrés gris représentent les livrables issus de chaque phase de réflexion- B. Mise en place de la politique SSI Une fois la politique de SSI établie, vient l’étape de la mise en œuvre. Il s’agit d’uneétape puisque plusieurs politiques SSI peuvent coexister au sein d’une organisation,chacune pouvant avoir un périmètre restreint (fonctionnel par exemple). A l’inverse, il peutn’y avoir qu’une politique globale et déclinable.Quel que soit la stratégie choisie, il est primordial d’assurer la communication tout au longdu projet de déploiement de la politique de sécurité, afin de minimiser les résistances etsurtout que chaque partie prenante adhère et s’approprie la démarche ainsi que sesbénéfices. 5
  6. 6. A noter que la PSSI peut être intégrée au système d’informations de manière modulaire etéchelonnée, comme elle peut faire l’objet d’une date d’application dans son ensemble.Tout dépend de la vision stratégique de l’entreprise, de son secteur d’activité et surtoutdes ressources (humaines, notamment) disponibles à chaque étape du projet de PSSI. C. Evolutivité de la politique SSILa politique de Sécurité des Systèmes d’Information n’a de raison d’être que si elle possèdeun volet relatif à sa vérification, son amélioration et sa révision.L’efficacité d’une PSSI dépend majoritairement de sa capacité à prendre en compte lesévolutions de plusieurs natures : - évolution de l’entreprise - évolutions/mises à jour/ modifications voire changement complet du SI - évolutions des risques et des menacesMais une Politique SSI doit aussi pouvoir être rectifiée en fonction des observations etretours des membres de l’organisation (suggestions, dysfonctionnements, difficultésconstatées etc.) Une Politique de Sécurité des Systèmes d’Information est donc un projet dynamiqueet mené à long terme, de manière cohérente avec la stratégie de l’organisation. Lesréférentiels et méthodes assurent une structure à la démarche et des experts et organismesgouvernementaux contribuent à l’encadrement de l’acquisition d’une culture de la sécuritédes SI. De plus, des référentiels d’aide et de vérification permettent d’évaluer les risques etles mesures prises. 6
  7. 7. II. La sécurité physique de l’entreprise : protéger les infrastructures La sécurité physique de l’entreprise concerne principalement ses locaux et lesmoyens d’y accéder et d’y pénétrer. Evaluer la sécurité physique d’une organisationconsiste à juger de la difficulté d’accès aux informations qu’elle génère et stocke, et plusgénéralement aux risques pouvant compromettre la disponibilité, l’intégrité et laconfidentialité des données. Ainsi, une entreprise bâtie telle une forteresse pourra paraîtreinfaillible au vu des contrôles d’accès draconiens et de l’architecture dédiée. Pourtant, sil’entreprise se situe dans une forte zone sismique, le risque de disponibilité demeureraélevé. A. Contrôles des accès et intrusions Procéder à l’évaluation des contrôles d’accès au site physique de l’organisation et deses vulnérabilités en terme d’intrusions revient à vérifier de manière stricte chaque pointd’accès et ses moyens de contrôles, puis de les noter selon une gradation stricte. Cettegradation est déterminée par le référentiel utilisé par l’auditeur, mais aussi par le degréd’importance et de menace que représente la vulnérabilité physique en question. Les points de contrôles extérieurs peuvent comprendre ; - le dispositif de sécurité (éclairage, alarmes, vigiles, portail sécurisé…) - l’environnement extérieur (végétation, présence de cours d’eau, altitude…) - la nature des installations (type de construction, voies d’accès, configuration)De plus, il faut s’assurer que les bonnes personnes aient accès aux bonnes ressources. Lesystème de badges magnétiques aujourd’hui adopté dans de nombreuses entreprisesrépond plutôt bien au besoin de segmenter les accès et de protéger les informationssensibles des personnes dont les besoins métiers ne nécessitent pas la consultation ni lamodification de telles données. Bien entendu, la principale limite à ce procédé est la perteou le vol d’un tel badge mais à ce jour, il n’existe aucun système parfait. 7
  8. 8. B. Risques naturels Les risques naturels sont a priori, les plus imprévisibles de par leur nature souventmétéorologique et donc inévitable. Pourtant, qu’il s’agisse d’une tempête, d’un orage oud’un tremblement de terre, l’organisation doit pouvoir se prémunir des conséquences queces intempéries pourraient avoir sur leur activité. Une fois encore, le degré de mesures enmatières de prévention, recouvrement et mesures de continuité dépendra des risquesavérés, croisés avec les besoins de disponibilité, intégrité et/ou confidentialité de chaqueressource de l’entreprise.Lors d’un audit, il ne s’agit pas seulement d’évaluer les risques, mais de mettre en rapportles menaces extérieures potentielles avec les mesures préventives afin de déterminer ledegré de risques.Les principaux points pouvant être vérifiés peuvent comprendre ; - l’état des locaux - Le mode de stockage des produits inflammables & mesures anti-incendie - Procédures liées aux dégâts des eaux - Lieux et modes de stockage des données sensibles (archives, serveurs …) - Plan d’évacuation du personnel et formations liées - Etc. 8
  9. 9. C. Gestion de la sécurité physique La sécurité physique est évolutive et fait partie intégrante de la politique de sécurité dessystèmes d’information.A ce titre, la gestion de la sécurité physique doit être dynamique et évolutive en fonction deschangements pouvant intervenir dans la vie de l’entreprise, mais égalementl’environnement extérieur et les évolutions technologiques.Outre les installations, l’accent doit être mis sur la communication des processus desécurité et les bonnes pratiques à adopter. En effet, il est souvent estimé qu’uncollaborateur constitue la plus grande vulnérabilité au sein d’une entreprise. Cette assertionpeut être comprise comme un manque de circulation de l’information de la part de ladirection, ou d’un manque de formation.Le collaborateur formé et informé sera plus sensibles au respect des règles de sécuritéqu’un salarié ayant uniquement reçu un document (ou un email) détaillant les nouveauxcomportement à adopter suite à la modification du système d’alarme ou suite àl’instauration d’une norme qu’il ne maîtrisera pas.L’organisation doit en conséquence prévoir un budget important pour assurer sa sécuritéphysique afin d’entretenir les locaux, de rénover ou réparer des éléments ayant subid’éventuels dommages. Tout cela afin de réduire les risques et de ne pas compromettre lasécurité du système d’informations, ni des collaborateurs. 9
  10. 10. III. La sécurité logique ; La méthode de défense en profondeurLa sécurité logique a vu son importance croître avec l’adoption de l’informatique, puis desbases de données et enfin des systèmes d’information complexes. L’information et lesdonnées sensibles sont aujourd’hui au cœur de la valeur de l’entreprise. La gestion del’information en entreprise est d’ailleurs un des secteurs les plus importants sur les marchésbusiness to business et business to government .De plus en plus, l’entreprise s’ouvre vers l’extérieur, échange des informations avec unerapidité croissante. En conséquence, les réseaux de l’entreprise s’ouvrent à leur tour etdeviennent plus vulnérables. A. Défense en profondeur : origines et fondements de la méthodeLe concept de défense en profondeur provient du domaine militaire, avec l’apparition duboulet métallique remettant en cause la protection du fort Vauban. Ses fortifications ontdonc été construites afin d’anticiper la menace (le boulet métallique), en utilisant laprofondeur du terrain. Outre la profondeur, les lignes de défenses étaient autonomes demanière à ce que la destruction d’une ligne défensive ne compromette pas les deuxsuivantes.Dans l’industrie énergétique, le même procédé des 3 barrières indépendantes a été mis enœuvre, comme ci-dessous dans le cas d’un réacteur nucléaire : 10
  11. 11. L’évolution du nucléaire par rapport au fort Vauban, a été la gradation des risques et la miseen place des protections, en fonction de l’échelle de vulnérabilité (échelle INES).Cette gradation des vulnérabilités appliquée à l’industrie a longtemps été manquante dansle domaine de l’informatique. B. Principes d’application de la défense en profondeurLorsqu’il s’agit de sécurité des systèmes d’information, le principe de défense en profondeurest évoqué pour répondre à quatre objectifs principaux : - Evaluation des biens à protéger - Evaluation du niveau de sécurité de l’entreprise - Estimation des menaces possibles - Mise en place de barrières de défenses indépendantes 11
  12. 12. Les étapes d’un processus de défense en profondeur dans le cadre d’un projet SI sedéroulent généralement selon le schéma suivant, que nous allons détailler : a. Etape 1 : Objectifs de sécuritéLors de cette étape, il s’agit d’évaluer les biens et les objectifs de sécurité de l’entrepriseafin de s’assurer que les objectifs SI soient alignés avec la stratégie de l’entreprise.Outils / méthode : classification des informations, criticité des applications, échelle degravité SSI b. Etape 2 : Organisation architecture généraleCette phase d’analyse a pour but d’évaluer le niveau de maturité de l’entreprise. End’autre termes, de mesurer son degré de sécurisation et d’exposition au risque.On détermine ensuite les barrières nécessaires.Outils / méthode : diagrammes en radar croisant plusieurs paramètres de sécurité &aspects organisationnels de l’entreprise.
  13. 13. c. Etape 3 : Politique de défenseCette phase consiste à déterminer la défense globale (détection des attaques, remontéedes informations, déclenchement des alertes) et la planification (reconfigurations possibles,plan de secours) d. Etape 4 + 5: Qualification & homologationDurant ces étapes, l’organisation et l’architecture proposée sont validées. L’homologationpar la direction est suivie par l’exécution du plan de défense en profondeur, puis de sonsuivi par les parties désignées. e. exemple pratiqueDans le schéma ci-dessus, nous retrouvons les trois niveaux de barrières indépendantesque préconise la méthode de défense en profondeur. 13
  14. 14. CONCLUSION La sécurisation du patrimoine de l’entreprise est un projet qui mobilise les dirigeantset les collaborateurs à long terme, car elle est inhérente à la stratégie de l’entreprise. Deplus, les normes légales imposées sont de plus en plus strictes.Il est donc indispensable de choisir son/ses référentiels avec précaution afin que lesdécisions et actions qui en découlent soient en adéquation avec l’activité et le niveau dematurité de l’entreprise.La politique de sécurité des systèmes d’information est le point de départ déterminant pourassurer une bonne sécurité physique et logique du patrimoine d’une organisation car elle enfixe les bases.Toutefois, suivre un projet de sécurité des systèmes d’information ne doit en aucun cas selimiter à l’application d’un référentiel ou d’une stratégie figée.Les tendances évoluent : marché, outils, menaces, enjeux des entreprises. A titred’exemple, la tendance aujourd’hui n’est plus le filtrage blacklist / whitelist, mais selon unfiltrage protocolaire, effectué selon la réputation des sites.Autre élément capital, la communication et la prévention. 90% des attaques proviennent duréseau interne de l’entreprise.Enfin, les nouvelles pratiques tendent à redessiner le patrimoine de l’entreprise et à enrendre plus floues les frontières : télétravail, BYOB (bring your own device). Tantd’opportunités business qui posent aujourd’hui de nouvelles problématiques en terme desécurité SI. 14
  15. 15. SOURCESWeb : - http://www.clusif.asso.fr/ - http://www.cases.public.lu/fr/index.html - http://www.securite-informatique.gouv.fr/ - http://www.ssi.gouv.fr/Entretien :- Julien Dross ; spécialiste IT , Orange Business Services 15

×