SlideShare une entreprise Scribd logo
1  sur  7
Télécharger pour lire hors ligne
Sécurité des systèmes d'information
La sécurité des systèmes d’information (SSI) est
l’ensemble des moyens techniques, organisationnels,
juridiques et humains nécessaires et mis en place
pour conserver, rétablir, et garantir la sécurité du
système d'information. Assurer la sécurité du système
d'information est une activité du management du système
d'information.
Aujourd’hui, la sécurité est un enjeu majeur pour les en-
treprises ainsi que pour l’ensemble des acteurs qui l’en-
tourent. Elle n'est plus confinée uniquement au rôle de
l’informaticien. Sa finalité sur le long terme est de main-
tenir la confiance des utilisateurs et des clients. La finali-
té sur le moyen terme est la cohérence de l’ensemble du
système d’information. Sur le court terme, l’objectif est
que chacun ait accès aux informations dont il a besoin.
La norme traitant des SMSI est l’ISO 27001 qui insiste
sur Confidentiality – Integrity – Availability, c'est-à-dire
en français Disponibilité – Intégrité - Confidentialité.
1 Historique
Les responsables de systèmes d'information se préoc-
cupent depuis longtemps de sécuriser les données. Le cas
le plus répandu, et sans aucun doute précurseur en ma-
tière de sécurité de l'information, reste la sécurisation de
l'information stratégique et militaire. Le Department of
Defense (DoD) des États-Unis est à l'origine du TCSEC,
ouvrage de référence en la matière. De même, le prin-
cipe de sécurité multi-niveau trouve ses origines dans les
recherches de résolution des problèmes de sécurité de
l'information militaire. La défense en profondeur, tout
droit sorti d'une pratique militaire ancienne, et toujours
d'actualité aujourd'hui. Cette pratique consiste à sécuriser
chaque sous-ensemble d'un système.
Les conséquences d'une mauvaise sécurisation peuvent
concerner les organisations, mais aussi la vie privée
d'une ou plusieurs personnes, notamment par la diffusion
d'informations confidentielles comme leurs coordonnées
bancaires, leur situation patrimoniale, leurs codes confi-
dentiels, etc. De manière générale, la préservation des
données relatives aux personnes fait l'objet d'obligations
légales régies par la Loi Informatique et Libertés.
Aujourd'hui, il est généralement admis que la sécurité ne
peut être garantie à 100 % et requiert donc le plus souvent
la mobilisation d'une panoplie de mesures pour réduire les
chances de pénétration des systèmes d'information.
2 Objectifs
« Le système d'information représente un patrimoine es-
sentiel de l'organisation, qu'il convient de protéger. La sé-
curité informatique consiste à garantir que les ressources
matérielles ou logicielles d'une organisation sont unique-
ment utilisées dans le cadre prévu » [1]
.
La sécurité des systèmes d'information vise les objectifs
suivants :
1. La disponibilité : Le système doit fonctionner sans
faille durant les plages d'utilisation prévues et garan-
tir l'accès aux services et ressources installées avec
le temps de réponse attendu.
2. L'intégrité : Les données doivent être celles que l'on
attend, et ne doivent pas être altérées de façon for-
tuite, illicite ou malveillante. En clair, les éléments
considérés doivent être exacts et complets.
3. La confidentialité : Seules les personnes autorisées
ont accès aux informations qui leur sont destinées.
Tout accès indésirable doit être empêché.
D'autres aspects peuvent aussi être considérés comme des
objectifs de la sécurité des systèmes l'information, tels
que :
1. La traçabilité (ou « Preuve ») : garantie que les
accès et tentatives d'accès aux éléments considérés
sont tracés et que ces traces sont conservées et ex-
ploitables.
2. L'authentification : L'identification des utilisateurs
est fondamentale pour gérer les accès aux espaces de
travail pertinents et maintenir la confiance dans les
relations d'échange.
3. La non-répudiation et l'imputation : Aucun utili-
sateur ne doit pouvoir contester les opérations qu'il
a réalisées dans le cadre de ses actions autorisées,
et aucun tiers ne doit pouvoir s’attribuer les actions
d'un autre utilisateur.
Une fois les objectifs de la sécurisation déterminés, les
risques pesant sur chacun de ces éléments peuvent être
estimés en fonction des menaces. Le niveau global de
sécurité des systèmes d'information est défini par le ni-
veau de sécurité du maillon le plus faible. Les précau-
tions et contre-mesures doivent être envisagées en fonc-
tion des vulnérabilités propres au contexte auquel le sys-
tème d'information est censé apporter service et appui.
1
24 PHASE PLAN : PLANIFICATION DE LA DÉMARCHE DE SÉCURISATION DES SYSTÈMES D'INFORMATION
Il faut pour cela estimer :
• la gravité des impacts au cas où les risques se réali-
seraient,
• la vraisemblance des risques (ou leur potentialité, ou
encore leur probabilité d'occurrence).
3 Démarche générale
Pour sécuriser les systèmes d'information, la démarche
consiste à :
• évaluer les risques et leur criticité : quels risques
et quelles menaces, sur quelles données et quelles ac-
tivités, avec quelles conséquences ?
On parle de « cartographie des risques ». De la qualité de
cette cartographie dépend la qualité de la sécurité qui va
être mise en œuvre.
• rechercher et sélectionner les parades : que va-t-
on sécuriser, quand et comment ?
Étape difficile des choix de sécurité : dans un contexte
de ressources limitées (en temps, en compétences et en
argent), seules certaines solutions pourront être mises en
œuvre.
• mettre en œuvre les protections, et vérifier leur ef-
ficacité.
C'est l'aboutissement de la phase d'analyse et là que com-
mence la protection du système d'information. Une fai-
blesse fréquente de cette phase est d'omettre de vérifier
que les protections sont bien efficaces (tests de fonction-
nement en mode dégradé, tests de reprise de données,
tests d'attaque malveillante, etc.)
4 Phase PLAN : Planification de
la démarche de sécurisation des
systèmes d'information
4.1 Étape 1 : Périmètre et Politique
Il est important de prendre en compte les actifs ayant
de la valeur en définissant un périmètre du système de
management du système d’information. Il peut être orien-
té sur l’ensemble de l’entreprise, sur un site précis, sur un
service en fonction de la stratégie de l’entreprise. Le ca-
pital intellectuel des entreprises intègre des informations
sensibles, ce patrimoine informationnel doit être protégé.
L’entreprise doit donc mettre en place une politique de
sécurité des systèmes d’information, de sécurité des don-
nées, et des mécanismes d’identification. De plus il faut
définir une politique du SMSI, qui est l’engagement de
l’entreprise sur un certain nombre de points en matière de
sécurité. Ces deux points forment la pierre angulaire du
SMSI, dans le but d’établir la norme ISO 27001 et ainsi
d’apporter la confiance aux parties prenantes.
4.2 Étape 2 : Évaluation des risques
Tenter de sécuriser un système d'information revient à es-
sayer de se protéger contre les menaces intentionnelles
(voir | Guide des menaces intentionnelles) et d'une ma-
nière plus générale contre tous les risques pouvant avoir
un impact sur la sécurité de celui-ci, ou des informations
qu'il traite.
• Méthode d'analyse des risques :
Différentes méthodes d'analyse des risques sur le système
d'information existent. Voici les méthodes d’appréciation
des risques les plus courantes :
En France, la première méthode développée a été
MARION. Aujourd’hui elle a été remplacée, même si
certaines entreprises ont conservé ce modèle initial, par la
méthode MEHARI (Méthode harmonisée d'analyse des
risques) développée par le CLUSIF, et par la méthode
EBIOS (Expression des besoins et identification des ob-
jectifs de sécurité) développée par l'Agence nationale de
la sécurité des systèmes d'information (ANSSI).
En Angleterre, CRAMM est une méthode d'analyse des
risques développée par l'organisation du gouvernement
britannique ACTC (Agence centrale de communication
et des télécommunications). C’est la méthode d'analyse
des risques préférée par le gouvernement britannique,
mais elle est également utilisée par beaucoup d’autre pays.
Les États-Unis utilisent OCTAVE (Operationally Critical
Threat, Asset, and Vulnerability Evaluation), développée
par l'Université de Carnegie Mellon.
À l'international, on utilise ISO 27005, qui est une mé-
thode internationale répondant point par point aux exi-
gences de l’ISO 27001. C’est la norme la plus récente, de
plus elle est facilement applicable car pragmatique.
Voici les autres méthodes les plus utilisées à
l'international :
Même si le but de ces méthodes est identique, les termes
et les expressions utilisés peuvent varier. Ceux utilisés ci-
dessous sont globalement inspirés de la méthode Feros.
Paradoxalement, dans les entreprises, la définition
d'indicateurs « sécurité du SI » mesurables, pertinents et
permettant de définir ensuite des objectifs dans le temps
raisonnables à atteindre, s’avère délicate. Pour mesurer
la performance on peut désigner comme indicateurs les
états d'installation d'outils ou de procédures, mais les in-
dicateurs de résultats sont plus complexes à définir et à
4.2 Étape 2 : Évaluation des risques 3
apprécier, par exemple ceux concernant les « alertes vi-
rales »[évasif]
.
• Identifier les actifs :
Cela consiste à faire une liste de tous les éléments im-
portants en matière d’information au sein du périmètre
SMSI. Il existe différent types d'actifs :
1. Matériel
2. Physique
3. Logiciel
4. Humain
5. Documents
6. Immatériels
Pour l’identification des actifs, trois problèmes se posent :
1. Le niveau de granularité : plus la notion de granula-
rité est élevée plus la notion d’actif est large.
2. Lister le plus important : le but n’est pas de faire
une liste exhaustive d’actifs mais de recenser les plus
importants d’entre eux.
3. Ne pas confondre les actifs avec les actifs d’infor-
mation : un actif est un élément qui possède de la
valeur pour l’entreprise, alors qu'un actif d’informa-
tion est ce qui possède de l’importance en matière
d’information.
Il est aujourd'hui indispensable de disposer de plans de
sécurisation de l'activité pour en assurer la continuité et
la reprise si un sinistre survient. Ces plans tentent de
minimiser les pertes de données et d’accroître la réac-
tivité en cas de sinistre majeur. Un Plan de Continuité
d'Activité efficace est quasi-transparent pour les utilisa-
teurs, et garantie l'intégrité des données sans aucune perte
d'information
Articles détaillés : Plan de continuité d'activité (informa-
tique) et Plan de reprise d'activité.
• Identifier les personnes responsables :
C’est la personne responsable d’un bien est celle qui en
répond. Il s’agit en général de celle qui connaît le mieux
la valeur et les conséquences de disponibilité, d’intégrité
et de confidentialité de l’actif. Dans une entreprise c’est
généralement le responsable de la sécurité des systèmes
d’information qui connait le mieux les actifs de l’informa-
tion.
• Identifier les vulnérabilités :
Chaque actif recensé présente des vulnérabilités, c’est une
propriété intrinsèque du bien qui l’expose à des menaces.
• Identifier les menaces :
Les vulnérabilités précédemment identifié exposent les
biens a des menaces. La norme ISO 27001 impose l’iden-
tification des menaces pour tous les biens recensés.
Article détaillé : Insécurité du système d'information.
Les principales menaces auxquelles un système d’infor-
mation peut être confronté sont :
1. un utilisateur du système : l'énorme majorité
des problèmes liés à la sécurité d'un système
d'information a pour origine un utilisateur, générale-
ment insouciant. Il n'a pas le désir de porter atteinte
à l'intégrité du système sur lequel il travaille, mais
son comportement favorise le danger ;
2. une personne malveillante : une personne parvient à
s’introduire sur le système, légitimement ou non, et à
accéder ensuite à des données ou à des programmes
auxquels elle n'est pas censée avoir accès. Le cas fré-
quent est de passer par des logiciels utilisés au sein
du système, mais mal sécurisés ;
3. un programme malveillant : un logiciel destiné à
nuire ou à abuser des ressources du système est ins-
tallé (par mégarde ou par malveillance) sur le sys-
tème, ouvrant la porte à des intrusions ou modifiant
les données ; des données confidentielles peuvent
être collectées à l'insu de l'utilisateur et être réuti-
lisées à des fins malveillantes ;
4. un sinistre (vol, incendie, dégât des eaux) : une mau-
vaise manipulation ou une malveillance entraînant
une perte de matériel et/ou de données.
• Identifier les impacts :
La norme ISO 27001 oblige l’évaluation de consé-
quences ; tel que : la perte de confidentialité, de disponibi-
lité ou d’intégrité. Cela revient à donner une note en trois
dimensions (confidentialité ; disponibilité et intégrité), se-
lon des critères définis, pour chaque actif.
• Identifier les dommages :
Deux types de dommages peuvent affecter le système
d'information d'une organisation :
1. Les dommages financiers :
(a) Sous forme de dommages directs, c'est l'action
de reconstituer des bases de données qui ont
disparu, de reconfigurer un parc de postes in-
formatiques ou de réécrire une application ;
4 5 PHASE DO : MISE EN PLACE DES OBJECTIFS
(b) Sous la forme de dommages indirects, c'est le
dédommagement des victimes d'un piratage,
le vol d'un secret de fabrication ou la perte de
marchés commerciaux.
2. La perte de l'image de marque :
(a) Perte directe par la publicité négative faite
autour d'une sécurité insuffisante tel que
l'hameçonnage ;
(b) Perte indirecte par la baisse de confiance du
public dans une société, par exemple, les tech-
niques répandues de défacement.
• Évaluer la vraisemblance
Il s’agit de remettre le bien d’information dans son
contexte environnemental et donc de prendre en compte
les mesures qui sont déjà mises en place. (Ex : si un fi-
chier client est déjà chiffré, alors la vraisemblance de voir
sa confidentialité compromise est limitée.) . Il est possible
d’évaluer la notion de vraisemblance par une note sur une
échelle de 1 à 5.
• Estimer les niveaux de risque
L’attribution d’une note finale reflètera le niveau de risque
réel tout en tenant compte des éléments ci-dessus. La
norme ISO 27001 n’impose aucune formule c’est donc
à l’implémenteur de la choisir. Il peut s’agir d’une note
allant de 0 à 100 ou bien d’un code couleur.
4.3 Étape 3 : Traiter le risque et identifier
le risque résiduel
L’entreprise peut traiter les risques identifiés de 4 façons :
• Accepter le risque : solution ponctuelle lorsque la
survenance du risque entraîne de faibles répercus-
sions pour l’entreprise.
• Éviter le risque : solution lorsque les conséquences
d’une attaque sont jugées trop périlleuses pour
l’entreprise.
• Transférer le risque : solution quand l’entreprise
ne peut pas faire face au risque par ses propres
moyens (souscription d’une assurance ou contrat de
sous-traitances).
• Réduire le risque : solution pour rendre le risque
acceptable.
Enfin, il ne faut pas oublier de prendre en compte les
Risques résiduels qui persistent après la mise en place
de l’ensemble des mesures de sécurité. Il faut prendre des
mesures complémentaires de protection pour rendre ces
risques acceptables.
4.4 Étape 4 : Sélectionner les mesures
à mettre en place (Annexe A à
ISO27001)
L'implémentation de la norme ISO27001 se déroule gé-
néralement en cinq phases complémentaires :
• Phase 1 Réunion de lancement : cette réunion sert
à cadrer la prestation et à présenter la démarche des
consultants.
• Phase 2 Entretiens : rencontres avec les différents
responsables des services clé de l'entreprise dans le
but de faire le point sur leur niveau de conformité
avec la norme ISO 27001.
• Phase 3 Prise de connaissance de la documenta-
tion : documents de la politique générale (politique
de sécurité, charte utilisateurs, etc), documents de
politique spécifiques (mots de passe, accès distant
et procédure.
• Phase 4 Rédaction du rapport : rapport tenant
compte de tous les éléments obtenus lors des phases
précédentes.
• Phase 5 Présentation des résultats réunion au
cours de laquelle les points suivants sont traités ; rap-
pel synthétique des points clé, présentation du plan
de mise en conformité ISO 27001 et discussion.
5 Phase DO : Mise en place des ob-
jectifs
• Plan de traitement des risques :
L’étape de planification identifie les mesures à prendre
dans l’organisation, mais ne permet pas de les mettre en
place concrètement. Il faut les organiser, sélectionner les
moyens nécessaires et définir le responsabilités en établis-
sant un plan de traitement des risques. Cette étape relève
de la gestion de projet.
• Déployer les mesures de sécurité :
De nombreux moyens techniques peuvent être mis
en œuvre pour assurer une sécurité du système
d'information. Il convient de choisir les moyens né-
cessaires, suffisants, et justes. Voici une liste non
exhaustive de moyens techniques pouvant répondre
à certains besoins en matière de sécurité du système
d'information :
1. Contrôle des accès au système d'information
2. Surveillance du réseau : sniffer, système de détection
d'intrusion
5
3. Sécurité applicative : séparation des privilèges, audit
de code, rétro-ingénierie
4. Emploi de technologies ad hoc : pare-feu, UTM,
anti-logiciels malveillants (antivirus, anti-spam,
anti-logiciel espion)
5. Cryptographie : authentification forte, infrastructure
à clés publiques, chiffrement.
• Générer des indicateurs :
Une des nouveautés de la norme ISO 27001 est d’exiger
une vérification régulière de la sécurité. Le responsable
doit choisir des indicateurs qui permettent de mesurer sa
fiabilité. Ils peuvent être de deux sortes :
1. Indicateurs de performances : ils mesurent l’effica-
cité des mesures
2. Indicateurs de conformité : ils mesurent l’adéquation
des mesures aux normes.
• Former et sensibiliser le personnel :
L’information du personnel est primordiale dans la réus-
site d’un projet de sécurisation du SI, pour qu’il en com-
prenne l’utilité et sache l’appliquer. Une bonne pratique
est donc de sensibiliser l’ensemble du personnel aux en-
jeux de la sécurité informatique pour leur organisation,
de manière généraliste. Cette explication doit rappeler
les engagements de l’organisation, et donner des exemples
très pratiques pour éviter les incidents les plus habituels.
Les employés directement concernés par la sécurité in-
formatique doivent être formés pour qu’ils sachent utiliser
correctement les outils.
• Gérer le SMSI au quotidien :
La norme ISO 27001 n’impose pas seulement de mettre
en place un système de sécurité, mais aussi de prouver
son efficacité. Les entreprises doivent donc gérer correc-
tement leurs ressources et développer la traçabilité.
• Détection et réaction rapide des incidents :
Cette phase repose sur la théorie de time-based security.
Le principe est de prendre en compte le délai nécessaire
pour qu’une attaque contre la sécurité réussisse. Pendant
ce laps de temps, l’entreprise doit être capable de détecter
la menace et de la contrer, avec une marge de sécurité
supplémentaire.
6 Phase CHECK : Mise en place de
moyens de contrôle
Il doit y avoir des moyens de contrôle pour surveiller l’ef-
ficacité du SMSI ainsi que sa conformité.
Il existe des outils pour vérifier cela comme :
Les audits internes : Audit planifié longtemps en avance
et faisant appel à des auditeurs.
Le contrôle interne : Contrôle en permanence au sein
de l’organisation, pour vérifier que chacun appliquent les
procédures aux quotidiens.
Les réexamens : Prendre du recul pour mettre en adéqua-
tion le SMSI et son environnement.
On peut s’aider de :
• COBIT : permet l’analyse des risques et le contrôle
des investissements
• ITIL : l’objectif est de favoriser l’efficacité des af-
faires dans l’utilisation du SI dans le but de satisfaire
les demandes d’organisation pour réduire les coûts
tous en maintenant ou améliorant les services infor-
matiques
• ISO 27007 : lignes directrices pour aider les audi-
teurs internes ou externes à contrôler si le SMSI est
correctement développé.
7 Phase ACT : Mise en place
d'actions
Après la mise en lumière de dysfonctionnement grâce à la
phase Check, il est important de les analyser et de mettre
en place des :
• Actions correctives : Il faut agir sur le dysfonction-
nement et en supprimer son effet
• Actions préventives : On agit avant que le dysfonc-
tionnement ne se produise
• Actions d'amélioration : On améliore les perfor-
mances d’un processus.
8 Voir aussi
8.1 Articles connexes
• Agence nationale de la sécurité des systèmes
d'information ou ANSSI
• CERTA, (Centre d'expertise gouvernemental de ré-
ponse et de traitement des attaques informatiques)
• CIGREF,(Club Informatique des grandes entre-
prises françaises)
• CLUSIF, (Club de la sécurité de l'information fran-
çais)
6 9 NOTES ET RÉFÉRENCES
• Computer Security Incident Response Team ou
CERT, coordination européenne sur la sécurité in-
formatique
• EBIOS, la méthode de gestion des risques de
l'ANSSI
• Forum international de la cybersécurité (FIC)
• Fuite d'information
• Insécurité du système d'information
• ITSEC (standard pour la sécurité des systèmes
d'information)
• MEHARI, méthode de gestion des risques du
CLUSIF[2]
• Plausibilité
• Politique de sécurité du système d'information
• Politique de sécurité informatique
• Sécurité de l'information
• Sécurité des systèmes téléphoniques
• Souveraineté numérique
• (en) logiciel PROMIS Prosecutor’s Management In-
formation System (en)
• (de) logiciel PROMIS Prosecutor’s Management In-
formation System (de)
• (en) Société Inslaw Institute for Law and Social Re-
search (en)
8.2 Liens externes
• (fr) Catégorie Informatique/Sécurité de l’annuaire
DMOZ
• (en) Catégorie Computers/Security de l’annuaire
DMOZ
• (fr) Normes de sécurité : les méthodes d'analyse des
risques
• (en) Site de l'European Union Agency for Network
and Information Security
• Site institutionnel de l'ANSSI] et la note
d'information N° CERTA-2006-INF-002
• Site de l'ANSSI sur la sécurité informatique pour le
grand public
• Site d'information de l'État français sur la sécurité
informatique pour le grand public
• Les obligations de sécurité informatique qui existent
en droit français, en particulier dans la réglementa-
tion des données personnelles
8.3 Bibliographie
• Daniel Guinier, Sécurité et qualité des systèmes
d'information - Approche systémique, Masson,
1992
• Laurent Bloch et Christophe Wolfhugel, Sécurité in-
formatique - Principes et méthode, Eyrolles, 2011
• Fernandez-Toro, Management de la sécurité de
l'information.Implémentation ISO 27001 et audit de
certification, Eyrolles, 2012
9 Notes et références
[1] JF Pillou, Tout sur les systèmes d'information, Paris Du-
nod 2006, Collect° Commentcamarche.net
[2] clusif.asso.fr
• Portail de la sécurité de l’information
• Portail de la sécurité informatique
7
10 Sources, contributeurs et licences du texte et de l’image
10.1 Texte
• Sécurité des systèmes d'information Source : http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d'
information?oldid=115120100 Contributeurs : Mm, David Latapie, Orthogaffe, Jon~frwiki, Céréales Killer, Oz, ( :Julien :), Alno, Greu-
din, Tieno, Anakin, Archeos, Spooky, Nicolas STAMPF, Nguyenld, Archibald, Sanao, Phe, Scullder, Marc Mongenet, MedBot, Iznogoud,
Wishmaster, Sam Hocevar, Iznogood, Phe-bot, FabienSchwob, Vev, Lachaume, Gwalarn, Bradipus, Dake, Acidben, Poleta33, T~frwiki,
Criric, Leag, Bob08, Sportet, Julien06200, Koko90, Salsamontreal, Ripounet, L'amateur d'aéroplanes, Michel.hoffmann, Kalimsshar, Doc-
teurCosmos, Jmfrance, Aris~frwiki, Outs, Merlin8282, Zetud, Vazkor, Romanc19s, David Berardan, Lmaltier, Pok148, Gzen92, Robot-
Quistnix, Gpvosbot, YurikBot, Gene.arboit, Medium69, Jerome66, Bortzmeyer, Askywhale, Litlok, Toutoune25, ChevalierOrange, Gui-
mard, Serge.philippe, Klipper, Rolphin~frwiki, BasEI, Noel.guillet, Papagrieng, Heureux qui comme ulysse, Alain.Darles, Thireus, Pau-
tard, Moloko~frwiki, DainDwarf, Esprit Fugace, Wmarcmc, Karl1263, Manu1400, MetalGearLiquid, Kilianours, Lamiot, Liquid-aim-bot,
Fatiha Benali, GaMip, Genium, Vintotal, Mrambil, Elimerl, NicoV, FGacquer, Chaoborus, JnRouvignac, En passant, PCcliniqueNet,
Ecid, Laurent Nguyen, Clintm, Rémih, Pierre Coustillas, Le Pied-bot, Dauphiné, JAnDbot, Gui82, Rhizome, Pejman~frwiki, Nono64,
Sebleouf, J-L Cavey, TranceFusion, Ticho, Zouavman Le Zouave, Eybot, Yool~frwiki, ISDecisions~frwiki, Alterte, Irønie, Salebot, Kari-
makov, ADELKIKI, Rolyz, Speculos, Velero, Sebf, Smaret, TXiKiBoT, Karl3i, Localhost, VolkovBot, Cdiot, Awk, Chicobot, PHO3N !X,
A1b2c, Alphonzoano, R3f3, SecurInfos, Galoric, Jpjp507, Bergom, Octo-bvi, Moreseed, Vlaam, Dhatier, Hercule, PipepBot, Windharp,
Typhon07, Clearpowers, DragonBot, Web33, Balougador, Expertom, Chrono1084, Rinaku, Superjuju10, Mro, BodhisattvaBot, WikiClea-
nerBot, Maurilbert, ZetudBot, Jazzzz, Jerome234, JackPotte, Luckas-bot, GrouchoBot, Loi219, Billinghurst, Copyleft, ArthurBot, Marii-
wakura, T.vanderkluft, Ebesanco, Coyote du 57, Lomita, Xiglofre, RedBot, Ramboutan, Jlrwiki, Kilith, Savh, EBIOS, Célestin Moreau,
Karima Rafes, ChuispastonBot, Jules78120, Jramio, Lotje, Daehan, Pols12, MerlIwBot, OrlodrimBot, Le pro du 94 :), Thales Communi-
cations & Security, Lydie Noria, Ecosoq, Makecat-bot, Claude1980, LectriceDuSoir, Hamrttp, Addbot, AméliorationsModestes, SGlad,
Mr47, Tibo747, Symeof, Chaudeau, Altadil, Do not follow, MCCA SSI et Anonyme : 182
10.2 Images
• Fichier:Logo_securite_informatique.png Source : http://upload.wikimedia.org/wikipedia/commons/b/b4/Logo_securite_
informatique.png Licence : Public domain Contributeurs : travail personnel (discussion sur la création) Artiste d’origine : Romainhk
• Fichier:Nuvola_apps_kgpg.png Source : http://upload.wikimedia.org/wikipedia/commons/a/a2/Nuvola_apps_kgpg.png Licence : LGPL
Contributeurs : http://icon-king.com Artiste d’origine : David Vignoni / ICON KING
10.3 Licence du contenu
• Creative Commons Attribution-Share Alike 3.0

Contenu connexe

Tendances

Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - BrochureMaster en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - BrochureCRP Henri Tudor
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015polenumerique33
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersSara SI-MOUSSI
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationDimassi Khoulouda
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...Eric DUPUIS
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesElodie Heitz
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 

Tendances (18)

Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - BrochureMaster en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliers
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Mehari
MehariMehari
Mehari
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 

Similaire à Sã©curitã© des systã¨mes d'information

guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...Walter Michael TACKA
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfFootballLovers9
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 polenumerique33
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
LAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdfLAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdfAssociationAF
 

Similaire à Sã©curitã© des systã¨mes d'information (20)

Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
EBIOS
EBIOSEBIOS
EBIOS
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Mehari
MehariMehari
Mehari
 
LAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdfLAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdf
 

Sã©curitã© des systã¨mes d'information

  • 1. Sécurité des systèmes d'information La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information. Assurer la sécurité du système d'information est une activité du management du système d'information. Aujourd’hui, la sécurité est un enjeu majeur pour les en- treprises ainsi que pour l’ensemble des acteurs qui l’en- tourent. Elle n'est plus confinée uniquement au rôle de l’informaticien. Sa finalité sur le long terme est de main- tenir la confiance des utilisateurs et des clients. La finali- té sur le moyen terme est la cohérence de l’ensemble du système d’information. Sur le court terme, l’objectif est que chacun ait accès aux informations dont il a besoin. La norme traitant des SMSI est l’ISO 27001 qui insiste sur Confidentiality – Integrity – Availability, c'est-à-dire en français Disponibilité – Intégrité - Confidentialité. 1 Historique Les responsables de systèmes d'information se préoc- cupent depuis longtemps de sécuriser les données. Le cas le plus répandu, et sans aucun doute précurseur en ma- tière de sécurité de l'information, reste la sécurisation de l'information stratégique et militaire. Le Department of Defense (DoD) des États-Unis est à l'origine du TCSEC, ouvrage de référence en la matière. De même, le prin- cipe de sécurité multi-niveau trouve ses origines dans les recherches de résolution des problèmes de sécurité de l'information militaire. La défense en profondeur, tout droit sorti d'une pratique militaire ancienne, et toujours d'actualité aujourd'hui. Cette pratique consiste à sécuriser chaque sous-ensemble d'un système. Les conséquences d'une mauvaise sécurisation peuvent concerner les organisations, mais aussi la vie privée d'une ou plusieurs personnes, notamment par la diffusion d'informations confidentielles comme leurs coordonnées bancaires, leur situation patrimoniale, leurs codes confi- dentiels, etc. De manière générale, la préservation des données relatives aux personnes fait l'objet d'obligations légales régies par la Loi Informatique et Libertés. Aujourd'hui, il est généralement admis que la sécurité ne peut être garantie à 100 % et requiert donc le plus souvent la mobilisation d'une panoplie de mesures pour réduire les chances de pénétration des systèmes d'information. 2 Objectifs « Le système d'information représente un patrimoine es- sentiel de l'organisation, qu'il convient de protéger. La sé- curité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont unique- ment utilisées dans le cadre prévu » [1] . La sécurité des systèmes d'information vise les objectifs suivants : 1. La disponibilité : Le système doit fonctionner sans faille durant les plages d'utilisation prévues et garan- tir l'accès aux services et ressources installées avec le temps de réponse attendu. 2. L'intégrité : Les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon for- tuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. 3. La confidentialité : Seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché. D'autres aspects peuvent aussi être considérés comme des objectifs de la sécurité des systèmes l'information, tels que : 1. La traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et ex- ploitables. 2. L'authentification : L'identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d'échange. 3. La non-répudiation et l'imputation : Aucun utili- sateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s’attribuer les actions d'un autre utilisateur. Une fois les objectifs de la sécurisation déterminés, les risques pesant sur chacun de ces éléments peuvent être estimés en fonction des menaces. Le niveau global de sécurité des systèmes d'information est défini par le ni- veau de sécurité du maillon le plus faible. Les précau- tions et contre-mesures doivent être envisagées en fonc- tion des vulnérabilités propres au contexte auquel le sys- tème d'information est censé apporter service et appui. 1
  • 2. 24 PHASE PLAN : PLANIFICATION DE LA DÉMARCHE DE SÉCURISATION DES SYSTÈMES D'INFORMATION Il faut pour cela estimer : • la gravité des impacts au cas où les risques se réali- seraient, • la vraisemblance des risques (ou leur potentialité, ou encore leur probabilité d'occurrence). 3 Démarche générale Pour sécuriser les systèmes d'information, la démarche consiste à : • évaluer les risques et leur criticité : quels risques et quelles menaces, sur quelles données et quelles ac- tivités, avec quelles conséquences ? On parle de « cartographie des risques ». De la qualité de cette cartographie dépend la qualité de la sécurité qui va être mise en œuvre. • rechercher et sélectionner les parades : que va-t- on sécuriser, quand et comment ? Étape difficile des choix de sécurité : dans un contexte de ressources limitées (en temps, en compétences et en argent), seules certaines solutions pourront être mises en œuvre. • mettre en œuvre les protections, et vérifier leur ef- ficacité. C'est l'aboutissement de la phase d'analyse et là que com- mence la protection du système d'information. Une fai- blesse fréquente de cette phase est d'omettre de vérifier que les protections sont bien efficaces (tests de fonction- nement en mode dégradé, tests de reprise de données, tests d'attaque malveillante, etc.) 4 Phase PLAN : Planification de la démarche de sécurisation des systèmes d'information 4.1 Étape 1 : Périmètre et Politique Il est important de prendre en compte les actifs ayant de la valeur en définissant un périmètre du système de management du système d’information. Il peut être orien- té sur l’ensemble de l’entreprise, sur un site précis, sur un service en fonction de la stratégie de l’entreprise. Le ca- pital intellectuel des entreprises intègre des informations sensibles, ce patrimoine informationnel doit être protégé. L’entreprise doit donc mettre en place une politique de sécurité des systèmes d’information, de sécurité des don- nées, et des mécanismes d’identification. De plus il faut définir une politique du SMSI, qui est l’engagement de l’entreprise sur un certain nombre de points en matière de sécurité. Ces deux points forment la pierre angulaire du SMSI, dans le but d’établir la norme ISO 27001 et ainsi d’apporter la confiance aux parties prenantes. 4.2 Étape 2 : Évaluation des risques Tenter de sécuriser un système d'information revient à es- sayer de se protéger contre les menaces intentionnelles (voir | Guide des menaces intentionnelles) et d'une ma- nière plus générale contre tous les risques pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite. • Méthode d'analyse des risques : Différentes méthodes d'analyse des risques sur le système d'information existent. Voici les méthodes d’appréciation des risques les plus courantes : En France, la première méthode développée a été MARION. Aujourd’hui elle a été remplacée, même si certaines entreprises ont conservé ce modèle initial, par la méthode MEHARI (Méthode harmonisée d'analyse des risques) développée par le CLUSIF, et par la méthode EBIOS (Expression des besoins et identification des ob- jectifs de sécurité) développée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). En Angleterre, CRAMM est une méthode d'analyse des risques développée par l'organisation du gouvernement britannique ACTC (Agence centrale de communication et des télécommunications). C’est la méthode d'analyse des risques préférée par le gouvernement britannique, mais elle est également utilisée par beaucoup d’autre pays. Les États-Unis utilisent OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), développée par l'Université de Carnegie Mellon. À l'international, on utilise ISO 27005, qui est une mé- thode internationale répondant point par point aux exi- gences de l’ISO 27001. C’est la norme la plus récente, de plus elle est facilement applicable car pragmatique. Voici les autres méthodes les plus utilisées à l'international : Même si le but de ces méthodes est identique, les termes et les expressions utilisés peuvent varier. Ceux utilisés ci- dessous sont globalement inspirés de la méthode Feros. Paradoxalement, dans les entreprises, la définition d'indicateurs « sécurité du SI » mesurables, pertinents et permettant de définir ensuite des objectifs dans le temps raisonnables à atteindre, s’avère délicate. Pour mesurer la performance on peut désigner comme indicateurs les états d'installation d'outils ou de procédures, mais les in- dicateurs de résultats sont plus complexes à définir et à
  • 3. 4.2 Étape 2 : Évaluation des risques 3 apprécier, par exemple ceux concernant les « alertes vi- rales »[évasif] . • Identifier les actifs : Cela consiste à faire une liste de tous les éléments im- portants en matière d’information au sein du périmètre SMSI. Il existe différent types d'actifs : 1. Matériel 2. Physique 3. Logiciel 4. Humain 5. Documents 6. Immatériels Pour l’identification des actifs, trois problèmes se posent : 1. Le niveau de granularité : plus la notion de granula- rité est élevée plus la notion d’actif est large. 2. Lister le plus important : le but n’est pas de faire une liste exhaustive d’actifs mais de recenser les plus importants d’entre eux. 3. Ne pas confondre les actifs avec les actifs d’infor- mation : un actif est un élément qui possède de la valeur pour l’entreprise, alors qu'un actif d’informa- tion est ce qui possède de l’importance en matière d’information. Il est aujourd'hui indispensable de disposer de plans de sécurisation de l'activité pour en assurer la continuité et la reprise si un sinistre survient. Ces plans tentent de minimiser les pertes de données et d’accroître la réac- tivité en cas de sinistre majeur. Un Plan de Continuité d'Activité efficace est quasi-transparent pour les utilisa- teurs, et garantie l'intégrité des données sans aucune perte d'information Articles détaillés : Plan de continuité d'activité (informa- tique) et Plan de reprise d'activité. • Identifier les personnes responsables : C’est la personne responsable d’un bien est celle qui en répond. Il s’agit en général de celle qui connaît le mieux la valeur et les conséquences de disponibilité, d’intégrité et de confidentialité de l’actif. Dans une entreprise c’est généralement le responsable de la sécurité des systèmes d’information qui connait le mieux les actifs de l’informa- tion. • Identifier les vulnérabilités : Chaque actif recensé présente des vulnérabilités, c’est une propriété intrinsèque du bien qui l’expose à des menaces. • Identifier les menaces : Les vulnérabilités précédemment identifié exposent les biens a des menaces. La norme ISO 27001 impose l’iden- tification des menaces pour tous les biens recensés. Article détaillé : Insécurité du système d'information. Les principales menaces auxquelles un système d’infor- mation peut être confronté sont : 1. un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité d'un système d'information a pour origine un utilisateur, générale- ment insouciant. Il n'a pas le désir de porter atteinte à l'intégrité du système sur lequel il travaille, mais son comportement favorise le danger ; 2. une personne malveillante : une personne parvient à s’introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes auxquels elle n'est pas censée avoir accès. Le cas fré- quent est de passer par des logiciels utilisés au sein du système, mais mal sécurisés ; 3. un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du système est ins- tallé (par mégarde ou par malveillance) sur le sys- tème, ouvrant la porte à des intrusions ou modifiant les données ; des données confidentielles peuvent être collectées à l'insu de l'utilisateur et être réuti- lisées à des fins malveillantes ; 4. un sinistre (vol, incendie, dégât des eaux) : une mau- vaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données. • Identifier les impacts : La norme ISO 27001 oblige l’évaluation de consé- quences ; tel que : la perte de confidentialité, de disponibi- lité ou d’intégrité. Cela revient à donner une note en trois dimensions (confidentialité ; disponibilité et intégrité), se- lon des critères définis, pour chaque actif. • Identifier les dommages : Deux types de dommages peuvent affecter le système d'information d'une organisation : 1. Les dommages financiers : (a) Sous forme de dommages directs, c'est l'action de reconstituer des bases de données qui ont disparu, de reconfigurer un parc de postes in- formatiques ou de réécrire une application ;
  • 4. 4 5 PHASE DO : MISE EN PLACE DES OBJECTIFS (b) Sous la forme de dommages indirects, c'est le dédommagement des victimes d'un piratage, le vol d'un secret de fabrication ou la perte de marchés commerciaux. 2. La perte de l'image de marque : (a) Perte directe par la publicité négative faite autour d'une sécurité insuffisante tel que l'hameçonnage ; (b) Perte indirecte par la baisse de confiance du public dans une société, par exemple, les tech- niques répandues de défacement. • Évaluer la vraisemblance Il s’agit de remettre le bien d’information dans son contexte environnemental et donc de prendre en compte les mesures qui sont déjà mises en place. (Ex : si un fi- chier client est déjà chiffré, alors la vraisemblance de voir sa confidentialité compromise est limitée.) . Il est possible d’évaluer la notion de vraisemblance par une note sur une échelle de 1 à 5. • Estimer les niveaux de risque L’attribution d’une note finale reflètera le niveau de risque réel tout en tenant compte des éléments ci-dessus. La norme ISO 27001 n’impose aucune formule c’est donc à l’implémenteur de la choisir. Il peut s’agir d’une note allant de 0 à 100 ou bien d’un code couleur. 4.3 Étape 3 : Traiter le risque et identifier le risque résiduel L’entreprise peut traiter les risques identifiés de 4 façons : • Accepter le risque : solution ponctuelle lorsque la survenance du risque entraîne de faibles répercus- sions pour l’entreprise. • Éviter le risque : solution lorsque les conséquences d’une attaque sont jugées trop périlleuses pour l’entreprise. • Transférer le risque : solution quand l’entreprise ne peut pas faire face au risque par ses propres moyens (souscription d’une assurance ou contrat de sous-traitances). • Réduire le risque : solution pour rendre le risque acceptable. Enfin, il ne faut pas oublier de prendre en compte les Risques résiduels qui persistent après la mise en place de l’ensemble des mesures de sécurité. Il faut prendre des mesures complémentaires de protection pour rendre ces risques acceptables. 4.4 Étape 4 : Sélectionner les mesures à mettre en place (Annexe A à ISO27001) L'implémentation de la norme ISO27001 se déroule gé- néralement en cinq phases complémentaires : • Phase 1 Réunion de lancement : cette réunion sert à cadrer la prestation et à présenter la démarche des consultants. • Phase 2 Entretiens : rencontres avec les différents responsables des services clé de l'entreprise dans le but de faire le point sur leur niveau de conformité avec la norme ISO 27001. • Phase 3 Prise de connaissance de la documenta- tion : documents de la politique générale (politique de sécurité, charte utilisateurs, etc), documents de politique spécifiques (mots de passe, accès distant et procédure. • Phase 4 Rédaction du rapport : rapport tenant compte de tous les éléments obtenus lors des phases précédentes. • Phase 5 Présentation des résultats réunion au cours de laquelle les points suivants sont traités ; rap- pel synthétique des points clé, présentation du plan de mise en conformité ISO 27001 et discussion. 5 Phase DO : Mise en place des ob- jectifs • Plan de traitement des risques : L’étape de planification identifie les mesures à prendre dans l’organisation, mais ne permet pas de les mettre en place concrètement. Il faut les organiser, sélectionner les moyens nécessaires et définir le responsabilités en établis- sant un plan de traitement des risques. Cette étape relève de la gestion de projet. • Déployer les mesures de sécurité : De nombreux moyens techniques peuvent être mis en œuvre pour assurer une sécurité du système d'information. Il convient de choisir les moyens né- cessaires, suffisants, et justes. Voici une liste non exhaustive de moyens techniques pouvant répondre à certains besoins en matière de sécurité du système d'information : 1. Contrôle des accès au système d'information 2. Surveillance du réseau : sniffer, système de détection d'intrusion
  • 5. 5 3. Sécurité applicative : séparation des privilèges, audit de code, rétro-ingénierie 4. Emploi de technologies ad hoc : pare-feu, UTM, anti-logiciels malveillants (antivirus, anti-spam, anti-logiciel espion) 5. Cryptographie : authentification forte, infrastructure à clés publiques, chiffrement. • Générer des indicateurs : Une des nouveautés de la norme ISO 27001 est d’exiger une vérification régulière de la sécurité. Le responsable doit choisir des indicateurs qui permettent de mesurer sa fiabilité. Ils peuvent être de deux sortes : 1. Indicateurs de performances : ils mesurent l’effica- cité des mesures 2. Indicateurs de conformité : ils mesurent l’adéquation des mesures aux normes. • Former et sensibiliser le personnel : L’information du personnel est primordiale dans la réus- site d’un projet de sécurisation du SI, pour qu’il en com- prenne l’utilité et sache l’appliquer. Une bonne pratique est donc de sensibiliser l’ensemble du personnel aux en- jeux de la sécurité informatique pour leur organisation, de manière généraliste. Cette explication doit rappeler les engagements de l’organisation, et donner des exemples très pratiques pour éviter les incidents les plus habituels. Les employés directement concernés par la sécurité in- formatique doivent être formés pour qu’ils sachent utiliser correctement les outils. • Gérer le SMSI au quotidien : La norme ISO 27001 n’impose pas seulement de mettre en place un système de sécurité, mais aussi de prouver son efficacité. Les entreprises doivent donc gérer correc- tement leurs ressources et développer la traçabilité. • Détection et réaction rapide des incidents : Cette phase repose sur la théorie de time-based security. Le principe est de prendre en compte le délai nécessaire pour qu’une attaque contre la sécurité réussisse. Pendant ce laps de temps, l’entreprise doit être capable de détecter la menace et de la contrer, avec une marge de sécurité supplémentaire. 6 Phase CHECK : Mise en place de moyens de contrôle Il doit y avoir des moyens de contrôle pour surveiller l’ef- ficacité du SMSI ainsi que sa conformité. Il existe des outils pour vérifier cela comme : Les audits internes : Audit planifié longtemps en avance et faisant appel à des auditeurs. Le contrôle interne : Contrôle en permanence au sein de l’organisation, pour vérifier que chacun appliquent les procédures aux quotidiens. Les réexamens : Prendre du recul pour mettre en adéqua- tion le SMSI et son environnement. On peut s’aider de : • COBIT : permet l’analyse des risques et le contrôle des investissements • ITIL : l’objectif est de favoriser l’efficacité des af- faires dans l’utilisation du SI dans le but de satisfaire les demandes d’organisation pour réduire les coûts tous en maintenant ou améliorant les services infor- matiques • ISO 27007 : lignes directrices pour aider les audi- teurs internes ou externes à contrôler si le SMSI est correctement développé. 7 Phase ACT : Mise en place d'actions Après la mise en lumière de dysfonctionnement grâce à la phase Check, il est important de les analyser et de mettre en place des : • Actions correctives : Il faut agir sur le dysfonction- nement et en supprimer son effet • Actions préventives : On agit avant que le dysfonc- tionnement ne se produise • Actions d'amélioration : On améliore les perfor- mances d’un processus. 8 Voir aussi 8.1 Articles connexes • Agence nationale de la sécurité des systèmes d'information ou ANSSI • CERTA, (Centre d'expertise gouvernemental de ré- ponse et de traitement des attaques informatiques) • CIGREF,(Club Informatique des grandes entre- prises françaises) • CLUSIF, (Club de la sécurité de l'information fran- çais)
  • 6. 6 9 NOTES ET RÉFÉRENCES • Computer Security Incident Response Team ou CERT, coordination européenne sur la sécurité in- formatique • EBIOS, la méthode de gestion des risques de l'ANSSI • Forum international de la cybersécurité (FIC) • Fuite d'information • Insécurité du système d'information • ITSEC (standard pour la sécurité des systèmes d'information) • MEHARI, méthode de gestion des risques du CLUSIF[2] • Plausibilité • Politique de sécurité du système d'information • Politique de sécurité informatique • Sécurité de l'information • Sécurité des systèmes téléphoniques • Souveraineté numérique • (en) logiciel PROMIS Prosecutor’s Management In- formation System (en) • (de) logiciel PROMIS Prosecutor’s Management In- formation System (de) • (en) Société Inslaw Institute for Law and Social Re- search (en) 8.2 Liens externes • (fr) Catégorie Informatique/Sécurité de l’annuaire DMOZ • (en) Catégorie Computers/Security de l’annuaire DMOZ • (fr) Normes de sécurité : les méthodes d'analyse des risques • (en) Site de l'European Union Agency for Network and Information Security • Site institutionnel de l'ANSSI] et la note d'information N° CERTA-2006-INF-002 • Site de l'ANSSI sur la sécurité informatique pour le grand public • Site d'information de l'État français sur la sécurité informatique pour le grand public • Les obligations de sécurité informatique qui existent en droit français, en particulier dans la réglementa- tion des données personnelles 8.3 Bibliographie • Daniel Guinier, Sécurité et qualité des systèmes d'information - Approche systémique, Masson, 1992 • Laurent Bloch et Christophe Wolfhugel, Sécurité in- formatique - Principes et méthode, Eyrolles, 2011 • Fernandez-Toro, Management de la sécurité de l'information.Implémentation ISO 27001 et audit de certification, Eyrolles, 2012 9 Notes et références [1] JF Pillou, Tout sur les systèmes d'information, Paris Du- nod 2006, Collect° Commentcamarche.net [2] clusif.asso.fr • Portail de la sécurité de l’information • Portail de la sécurité informatique
  • 7. 7 10 Sources, contributeurs et licences du texte et de l’image 10.1 Texte • Sécurité des systèmes d'information Source : http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d' information?oldid=115120100 Contributeurs : Mm, David Latapie, Orthogaffe, Jon~frwiki, Céréales Killer, Oz, ( :Julien :), Alno, Greu- din, Tieno, Anakin, Archeos, Spooky, Nicolas STAMPF, Nguyenld, Archibald, Sanao, Phe, Scullder, Marc Mongenet, MedBot, Iznogoud, Wishmaster, Sam Hocevar, Iznogood, Phe-bot, FabienSchwob, Vev, Lachaume, Gwalarn, Bradipus, Dake, Acidben, Poleta33, T~frwiki, Criric, Leag, Bob08, Sportet, Julien06200, Koko90, Salsamontreal, Ripounet, L'amateur d'aéroplanes, Michel.hoffmann, Kalimsshar, Doc- teurCosmos, Jmfrance, Aris~frwiki, Outs, Merlin8282, Zetud, Vazkor, Romanc19s, David Berardan, Lmaltier, Pok148, Gzen92, Robot- Quistnix, Gpvosbot, YurikBot, Gene.arboit, Medium69, Jerome66, Bortzmeyer, Askywhale, Litlok, Toutoune25, ChevalierOrange, Gui- mard, Serge.philippe, Klipper, Rolphin~frwiki, BasEI, Noel.guillet, Papagrieng, Heureux qui comme ulysse, Alain.Darles, Thireus, Pau- tard, Moloko~frwiki, DainDwarf, Esprit Fugace, Wmarcmc, Karl1263, Manu1400, MetalGearLiquid, Kilianours, Lamiot, Liquid-aim-bot, Fatiha Benali, GaMip, Genium, Vintotal, Mrambil, Elimerl, NicoV, FGacquer, Chaoborus, JnRouvignac, En passant, PCcliniqueNet, Ecid, Laurent Nguyen, Clintm, Rémih, Pierre Coustillas, Le Pied-bot, Dauphiné, JAnDbot, Gui82, Rhizome, Pejman~frwiki, Nono64, Sebleouf, J-L Cavey, TranceFusion, Ticho, Zouavman Le Zouave, Eybot, Yool~frwiki, ISDecisions~frwiki, Alterte, Irønie, Salebot, Kari- makov, ADELKIKI, Rolyz, Speculos, Velero, Sebf, Smaret, TXiKiBoT, Karl3i, Localhost, VolkovBot, Cdiot, Awk, Chicobot, PHO3N !X, A1b2c, Alphonzoano, R3f3, SecurInfos, Galoric, Jpjp507, Bergom, Octo-bvi, Moreseed, Vlaam, Dhatier, Hercule, PipepBot, Windharp, Typhon07, Clearpowers, DragonBot, Web33, Balougador, Expertom, Chrono1084, Rinaku, Superjuju10, Mro, BodhisattvaBot, WikiClea- nerBot, Maurilbert, ZetudBot, Jazzzz, Jerome234, JackPotte, Luckas-bot, GrouchoBot, Loi219, Billinghurst, Copyleft, ArthurBot, Marii- wakura, T.vanderkluft, Ebesanco, Coyote du 57, Lomita, Xiglofre, RedBot, Ramboutan, Jlrwiki, Kilith, Savh, EBIOS, Célestin Moreau, Karima Rafes, ChuispastonBot, Jules78120, Jramio, Lotje, Daehan, Pols12, MerlIwBot, OrlodrimBot, Le pro du 94 :), Thales Communi- cations & Security, Lydie Noria, Ecosoq, Makecat-bot, Claude1980, LectriceDuSoir, Hamrttp, Addbot, AméliorationsModestes, SGlad, Mr47, Tibo747, Symeof, Chaudeau, Altadil, Do not follow, MCCA SSI et Anonyme : 182 10.2 Images • Fichier:Logo_securite_informatique.png Source : http://upload.wikimedia.org/wikipedia/commons/b/b4/Logo_securite_ informatique.png Licence : Public domain Contributeurs : travail personnel (discussion sur la création) Artiste d’origine : Romainhk • Fichier:Nuvola_apps_kgpg.png Source : http://upload.wikimedia.org/wikipedia/commons/a/a2/Nuvola_apps_kgpg.png Licence : LGPL Contributeurs : http://icon-king.com Artiste d’origine : David Vignoni / ICON KING 10.3 Licence du contenu • Creative Commons Attribution-Share Alike 3.0