SlideShare une entreprise Scribd logo
1  sur  15
Télécharger pour lire hors ligne
Sécurisation d’un patrimoine
                           d’entreprise :
                     Méthodologie et bonnes
                             pratiques

                                            Elodie Heitz
                       E Marketing / Management des TIC




                            Cours :
             Sécurité des Systèmes d’Information

                   Responsable du cours ;
                    Jean-Claude Héritier
Dû le
15/01/2012




                                                      1
TABLE DES MATIERES




I.   La politique de Sécurité des Systèmes d’Information (PSSI) ......................................4
A.    L'étude préalable des risques SSI + Elaboration de la politique SSI ................................... 4
B.    Mise en place de la politique SSI .......................................................................................... 5
C. Evolutivité de la politique SSI ........................................................................................................ 6
II. La sécurité physique de l’entreprise : protéger les infrastructures .............................7
A. Contrôles des accès et intrusions ................................................................................................ 7
B. Risques naturels .............................................................................................................................. 8
C.     Gestion de la sécurité physique ............................................................................................ 9
III. La sécurité logique ; La méthode de défense en profondeur .................................10
A. Défense en profondeur : origines et fondements de la méthode ........................................ 10
B. Principes d’application de la défense en profondeur ............................................................ 11
   a.    Etape 1 : Objectifs de sécurité ......................................................................................... 12
   b.     Etape 2 : Organisation architecture générale ............................................................... 12
   c.    Etape 3 : Politique de défense ......................................................................................... 13
   d.     Etape 4 + 5: Qualification & homologation .................................................................... 13
   e.    exemple pratique .............................................................................................................. 13
CONCLUSION .................................................................................................................................... 14
SOURCES ............................................................................................................................................ 15




                                                                                                                                                     2
Introduction : Les bonnes
                                                    INTRODUCTION




                                      Depuis quelques décennies, le modèle de l’entreprise
                                      s’est complexifié, ainsi que la chaîne de valeur. Enjeux
                                      politiques, sociaux, environnementaux mais surtout
                                      technologiques et informationnels amènent les
                                      Managers, Directeurs des Systèmes d’Informations et
                                      responsables à s’interroger voire se remettre en
                                      question sur les moyens les plus adéquats pour
                                      assurer la sécurité du patrimoine de l’entreprise.




       Toutes les organisations ne sont pas égales en termes de moyens, de taille ou de
personnel compétent lorsqu’il s’agit de veiller à la sécurité physique et/ou logique de leur
patrimoine. Pourtant, il existe aujourd’hui diverses ressources permettant d’assurer la
pérennité de son activité.

Seulement, avant de mandater un consultant ou de se risquer à l’abstention, des bonnes
pratiques, souvent simples, sont à adopter. Ces mesures et comportements sont
applicables quelque soit la taille de l’organisation, et sont souvent obligatoires car
encadrées juridiquement.

L’objet de notre étude est précisément d’établir une méthodologie et un tour d’horizon des
bonnes pratiques. A mesure de notre analyse, nous verrons que le bon sens est souvent de
mise, et que dans la plupart des cas, il existe un référentiel ou ressources documentaires
(sinon un organisme compétent) répondant au besoin de l’entreprise, que ce soit en terme
de réflexion, de mise en place d’une politique de sécurité ou de validation & test de celle-ci.

Nous déroulerons également des procédés de mise en œuvre de protection physique du
patrimoine de l’entreprise, puis de protection logique à travers la défense en profondeur.

                                                                                                  3
I.      La politique de Sécurité des Systèmes d’Information (PSSI)



   La sécurisation du patrimoine de l’entreprise relève de la vision stratégique de
l’entreprise. Il est en effet capital que les procédures et mesures de sécurité soient
clairement définies et alignées avec l’activité de l’entreprise, sa taille et ses objectifs.
De plus, la sécurité concerne chaque partie prenante, l’information doit être diffusée
et accessible à tous. Pour celà, toute organisation est tenue d’établir, d’appliquer et
de faire évaluer régulièrement une politique de sécurité des systèmes d’information.




             A. L'étude préalable des risques SSI + Elaboration de la politique SSI



       Depuis 2002, l’OCDE met un point d’orgue à encadrer la sécurité des
systèmes d’information dans les entreprises. Cette normalisation permet aux
entreprises de s’adapter aux nouveaux enjeux et challenges qui modifient
constamment l’écosystème des SI. Ainsi, l’instauration d’une « culture des SI »
répond non seulement au besoin d’encadrement, mais aussi d’actualisation
permanente des processus.

Il est alors nécessaire pour toute entreprise de mettre en place une politique de
sécurité des systèmes d’information. La mise en place de cette politique aboutira à
un document, qui détaillera les règles de sécurité, suivant ce qu’on appelle les
principes de sécurité et constituera la référence relative à toute question en la
matière, et ce pour tout son périmètre d’application.

Comme il s’agit d’un document référent, le rapport de politique de sécurité des SI doit
être élaboré en cohérence avec la stratégie de l’entreprise, et être le fruit d’une
concertation entre les acteurs clés (direction, management, responsables & salariés).

De plus, aucun élément ne doit être négligé ni omis ; périmètre d’application, enjeux,
objectifs, normes, menaces et besoins en disponibilité / Intégrité / confidentialité.

       Dans la pratique, l’élaboration d’une PSSI débute par une évaluation des
risques et des besoins puis la définition des règles cohérentes avec la stratégie et les




                                                                                               4
besoins précédemment définis. Cette phase se déroule la plupart du temps sous
forme d’audit et à l’aide de méthodes (EBIOS par exemple, disponible en_ligne ).




   plan d’élaboration d’une PSSI – les encadrés gris représentent les livrables issus de chaque phase de
                                                 réflexion-




                                B. Mise en place de la politique SSI



   Une fois la politique de SSI établie, vient l’étape de la mise en œuvre. Il s’agit d’une
étape puisque plusieurs politiques SSI peuvent coexister au sein d’une organisation,
chacune pouvant avoir un périmètre restreint (fonctionnel par exemple). A l’inverse, il peut
n’y avoir qu’une politique globale et déclinable.


Quel que soit la stratégie choisie, il est primordial d’assurer la communication tout au long
du projet de déploiement de la politique de sécurité, afin de minimiser les résistances et
surtout que chaque partie prenante adhère et s’approprie la démarche ainsi que ses
bénéfices.



                                                                                                           5
A noter que la PSSI peut être intégrée au système d’informations de manière modulaire et
échelonnée, comme elle peut faire l’objet d’une date d’application dans son ensemble.
Tout dépend de la vision stratégique de l’entreprise, de son secteur d’activité et surtout
des ressources (humaines, notamment) disponibles à chaque étape du projet de PSSI.




                               C. Evolutivité de la politique SSI




La politique de Sécurité des Systèmes d’Information n’a de raison d’être que si elle possède
un volet relatif à sa vérification, son amélioration et sa révision.

L’efficacité d’une PSSI dépend majoritairement de sa capacité à prendre en compte les
évolutions de plusieurs natures :

   -   évolution de l’entreprise
   -   évolutions/mises à jour/ modifications voire changement complet du SI
   -   évolutions des risques et des menaces

Mais une Politique SSI doit aussi pouvoir être rectifiée en fonction des observations et
retours des membres de l’organisation (suggestions, dysfonctionnements, difficultés
constatées etc.)

       Une Politique de Sécurité des Systèmes d’Information est donc un projet dynamique
et mené à long terme, de manière cohérente avec la stratégie de l’organisation. Les
référentiels et méthodes assurent une structure à la démarche et des experts et organismes
gouvernementaux contribuent à l’encadrement de l’acquisition d’une culture de la sécurité
des SI. De plus, des référentiels d’aide et de vérification permettent d’évaluer les risques et
les mesures prises.


                                                                                                  6
II. La sécurité physique de l’entreprise : protéger les infrastructures


         La sécurité physique de l’entreprise concerne principalement ses locaux et les
moyens d’y accéder et d’y pénétrer. Evaluer la sécurité physique d’une organisation
consiste à juger de la difficulté d’accès aux informations qu’elle génère et stocke, et plus
généralement aux risques pouvant compromettre la disponibilité, l’intégrité et la
confidentialité des données. Ainsi, une entreprise bâtie telle une forteresse pourra paraître
infaillible au vu des contrôles d’accès draconiens et de l’architecture dédiée. Pourtant, si
l’entreprise se situe dans une forte zone sismique, le risque de disponibilité demeurera
élevé.



                              A. Contrôles des accès et intrusions



         Procéder à l’évaluation des contrôles d’accès au site physique de l’organisation et de
ses vulnérabilités en terme d’intrusions revient à vérifier de manière stricte chaque point
d’accès et ses moyens de contrôles, puis de les noter selon une gradation stricte. Cette
gradation est déterminée par le référentiel utilisé par l’auditeur, mais aussi par le degré
d’importance et de menace que représente la vulnérabilité physique en question.

         Les points de contrôles extérieurs peuvent comprendre ;

   -     le dispositif de sécurité (éclairage, alarmes, vigiles, portail sécurisé…)
   -     l’environnement extérieur (végétation, présence de cours d’eau, altitude…)
   -     la nature des installations (type de construction, voies d’accès, configuration)



De plus, il faut s’assurer que les bonnes personnes aient accès aux bonnes ressources. Le
système de badges magnétiques aujourd’hui adopté dans de nombreuses entreprises
répond plutôt bien au besoin de segmenter les accès et de protéger les informations
sensibles des personnes dont les besoins métiers ne nécessitent pas la consultation ni la
modification de telles données. Bien entendu, la principale limite à ce procédé est la perte
ou le vol d’un tel badge mais à ce jour, il n’existe aucun système parfait.




                                                                                             7
B. Risques naturels




       Les risques naturels sont a priori, les plus imprévisibles de par leur nature souvent
météorologique et donc inévitable. Pourtant, qu’il s’agisse d’une tempête, d’un orage ou
d’un tremblement de terre, l’organisation doit pouvoir se prémunir des conséquences que
ces intempéries pourraient avoir sur leur activité. Une fois encore, le degré de mesures en
matières de prévention, recouvrement et mesures de continuité dépendra des risques
avérés, croisés avec les besoins de disponibilité, intégrité et/ou confidentialité de chaque
ressource de l’entreprise.

Lors d’un audit, il ne s’agit pas seulement d’évaluer les risques, mais de mettre en rapport
les menaces extérieures potentielles avec les mesures préventives afin de déterminer le
degré de risques.




Les principaux points pouvant être vérifiés peuvent comprendre ;

   -   l’état des locaux
   -   Le mode de stockage des produits inflammables & mesures anti-incendie
   -   Procédures liées aux dégâts des eaux
   -   Lieux et modes de stockage des données sensibles (archives, serveurs …)
   -   Plan d’évacuation du personnel et formations liées
   -   Etc.




                                                                                               8
C. Gestion de la sécurité physique



   La sécurité physique est évolutive et fait partie intégrante de la politique de sécurité des
systèmes d’information.

A ce titre, la gestion de la sécurité physique doit être dynamique et évolutive en fonction des
changements     pouvant    intervenir   dans   la     vie   de   l’entreprise,   mais   également
l’environnement extérieur et les évolutions technologiques.

Outre les installations, l’accent doit être mis sur la communication des processus de
sécurité et les bonnes pratiques à adopter. En effet, il est souvent estimé qu’un
collaborateur constitue la plus grande vulnérabilité au sein d’une entreprise. Cette assertion
peut être comprise comme un manque de circulation de l’information de la part de la
direction, ou d’un manque de formation.

Le collaborateur formé et informé sera plus sensibles au respect des règles de sécurité
qu’un salarié ayant uniquement reçu un document (ou un email) détaillant les nouveaux
comportement à adopter suite à la modification du système d’alarme ou suite à
l’instauration d’une norme qu’il ne maîtrisera pas.

L’organisation doit en conséquence prévoir un budget important pour assurer sa sécurité
physique afin d’entretenir les locaux, de rénover ou réparer des éléments ayant subi
d’éventuels dommages. Tout cela afin de réduire les risques et de ne pas compromettre la
sécurité du système d’informations, ni des collaborateurs.




                                                                                                9
III. La sécurité logique ; La méthode de défense en profondeur


La sécurité logique a vu son importance croître avec l’adoption de l’informatique, puis des
bases de données et enfin des systèmes d’information complexes. L’information et les
données sensibles sont aujourd’hui au cœur de la valeur de l’entreprise. La gestion de
l’information en entreprise est d’ailleurs un des secteurs les plus importants sur les marchés
business to business et business to government .

De plus en plus, l’entreprise s’ouvre vers l’extérieur, échange des informations avec une
rapidité croissante. En conséquence, les réseaux de l’entreprise s’ouvrent à leur tour et
deviennent plus vulnérables.




          A. Défense en profondeur : origines et fondements de la méthode



Le concept de défense en profondeur provient du domaine militaire, avec l’apparition du
boulet métallique remettant en cause la protection du fort Vauban. Ses fortifications ont
donc été construites afin d’anticiper la menace (le boulet métallique), en utilisant la
profondeur du terrain. Outre la profondeur, les lignes de défenses étaient autonomes de
manière à ce que la destruction d’une ligne défensive ne compromette pas les deux
suivantes.

Dans l’industrie énergétique, le même procédé des 3 barrières indépendantes a été mis en
œuvre, comme ci-dessous dans le cas d’un réacteur nucléaire :




                                                                                           10
L’évolution du nucléaire par rapport au fort Vauban, a été la gradation des risques et la mise
en place des protections, en fonction de l’échelle de vulnérabilité (échelle INES).




Cette gradation des vulnérabilités appliquée à l’industrie a longtemps été manquante dans
le domaine de l’informatique.




                B. Principes d’application de la défense en profondeur



Lorsqu’il s’agit de sécurité des systèmes d’information, le principe de défense en profondeur
est évoqué pour répondre à quatre objectifs principaux :

   -   Evaluation des biens à protéger
   -   Evaluation du niveau de sécurité de l’entreprise
   -   Estimation des menaces possibles
   -   Mise en place de barrières de défenses indépendantes




                                                                                           11
Les étapes d’un processus de défense en profondeur dans le cadre d’un projet SI se
déroulent généralement selon le schéma suivant, que nous allons détailler :




   a. Etape 1 : Objectifs de sécurité


Lors de cette étape, il s’agit d’évaluer les biens et les objectifs de sécurité de l’entreprise
afin de s’assurer que les objectifs SI soient alignés avec la stratégie de l’entreprise.

Outils / méthode : classification des informations, criticité des applications, échelle de
gravité SSI



   b. Etape 2 : Organisation architecture générale


Cette phase d’analyse a pour but d’évaluer le niveau de maturité de l’entreprise. En
d’autre termes, de mesurer son degré de sécurisation et d’exposition au risque.

On détermine ensuite les barrières nécessaires.

Outils / méthode : diagrammes en radar croisant plusieurs paramètres de sécurité &
aspects organisationnels de l’entreprise.
c. Etape 3 : Politique de défense


Cette phase consiste à déterminer la défense globale (détection des attaques, remontée
des informations, déclenchement des alertes) et la planification (reconfigurations possibles,
plan de secours)



   d. Etape 4 + 5: Qualification & homologation


Durant ces étapes, l’organisation et l’architecture proposée sont validées. L’homologation
par la direction est suivie par l’exécution du plan de défense en profondeur, puis de son
suivi par les parties désignées.




   e. exemple pratique




Dans le schéma ci-dessus, nous retrouvons les trois niveaux de barrières indépendantes
que préconise la méthode de défense en profondeur.




                                                                                             13
CONCLUSION


       La sécurisation du patrimoine de l’entreprise est un projet qui mobilise les dirigeants
et les collaborateurs à long terme, car elle est inhérente à la stratégie de l’entreprise. De
plus, les normes légales imposées sont de plus en plus strictes.

Il est donc indispensable de choisir son/ses référentiels avec précaution afin que les
décisions et actions qui en découlent soient en adéquation avec l’activité et le niveau de
maturité de l’entreprise.

La politique de sécurité des systèmes d’information est le point de départ déterminant pour
assurer une bonne sécurité physique et logique du patrimoine d’une organisation car elle en
fixe les bases.

Toutefois, suivre un projet de sécurité des systèmes d’information ne doit en aucun cas se
limiter à l’application d’un référentiel ou d’une stratégie figée.

Les tendances évoluent : marché, outils, menaces, enjeux des entreprises. A titre
d’exemple, la tendance aujourd’hui n’est plus le filtrage blacklist / whitelist, mais selon un
filtrage protocolaire, effectué selon la réputation des sites.

Autre élément capital, la communication et la prévention. 90% des attaques proviennent du
réseau interne de l’entreprise.

Enfin, les nouvelles pratiques tendent à redessiner le patrimoine de l’entreprise et à en
rendre plus floues les frontières : télétravail, BYOB (bring your own device). Tant
d’opportunités business qui posent aujourd’hui de nouvelles problématiques en terme de
sécurité SI.




                                                                                           14
SOURCES




Web :
   -    http://www.clusif.asso.fr/
   -    http://www.cases.public.lu/fr/index.html
   -    http://www.securite-informatique.gouv.fr/
   -    http://www.ssi.gouv.fr/




Entretien :
- Julien Dross ; spécialiste IT , Orange Business Services




                                                             15

Contenu connexe

Tendances

Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5ISACA Chapitre de Québec
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationMiguel Iriart
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Ammar Sassi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsPRONETIS
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisPECB
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Acquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SIAcquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SIArsène Ngato
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 

Tendances (20)

Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’information
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Audit des si
Audit des siAudit des si
Audit des si
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
La gestion des actifs, ISACA Québec Multiforce
La gestion des actifs, ISACA Québec MultiforceLa gestion des actifs, ISACA Québec Multiforce
La gestion des actifs, ISACA Québec Multiforce
 
Auditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défisAuditer les infrastructures cloud : risques et défis
Auditer les infrastructures cloud : risques et défis
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Schéma directeur informatique
Schéma directeur informatiqueSchéma directeur informatique
Schéma directeur informatique
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Acquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SIAcquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SI
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 

Similaire à Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques

Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Mielabelo
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - BrochureMaster en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - BrochureCRP Henri Tudor
 
Catalogue formations 2013 / cabinet Sinad Conseil
Catalogue formations 2013 / cabinet Sinad ConseilCatalogue formations 2013 / cabinet Sinad Conseil
Catalogue formations 2013 / cabinet Sinad ConseilSinadConseil
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Intelligence economique et ressources humaines : un duo efficace
Intelligence economique et ressources humaines : un duo efficaceIntelligence economique et ressources humaines : un duo efficace
Intelligence economique et ressources humaines : un duo efficaceAnne-laurence CHOBLI
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
Diemension stratégique si
Diemension stratégique siDiemension stratégique si
Diemension stratégique siYassir Zaaiter
 
Sécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesSécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesProf. Jacques Folon (Ph.D)
 
ANAP-Kit_Accompagner_le_changement.pptx
ANAP-Kit_Accompagner_le_changement.pptxANAP-Kit_Accompagner_le_changement.pptx
ANAP-Kit_Accompagner_le_changement.pptxAmeur BENTOUTA
 
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...ASIP Santé
 

Similaire à Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques (20)

Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
Veille prospective
Veille prospectiveVeille prospective
Veille prospective
 
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - BrochureMaster en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
 
Catalogue formations 2013 / cabinet Sinad Conseil
Catalogue formations 2013 / cabinet Sinad ConseilCatalogue formations 2013 / cabinet Sinad Conseil
Catalogue formations 2013 / cabinet Sinad Conseil
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Intelligence economique et ressources humaines : un duo efficace
Intelligence economique et ressources humaines : un duo efficaceIntelligence economique et ressources humaines : un duo efficace
Intelligence economique et ressources humaines : un duo efficace
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 
Diemension stratégique si
Diemension stratégique siDiemension stratégique si
Diemension stratégique si
 
Sécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesSécurité de l'information et ressources humaines
Sécurité de l'information et ressources humaines
 
ANAP-Kit_Accompagner_le_changement.pptx
ANAP-Kit_Accompagner_le_changement.pptxANAP-Kit_Accompagner_le_changement.pptx
ANAP-Kit_Accompagner_le_changement.pptx
 
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
 
Ulg cours 5 rh et sécurité
 Ulg cours 5 rh et  sécurité  Ulg cours 5 rh et  sécurité
Ulg cours 5 rh et sécurité
 

Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques

  • 1. Sécurisation d’un patrimoine d’entreprise : Méthodologie et bonnes pratiques Elodie Heitz E Marketing / Management des TIC Cours : Sécurité des Systèmes d’Information Responsable du cours ; Jean-Claude Héritier Dû le 15/01/2012 1
  • 2. TABLE DES MATIERES I. La politique de Sécurité des Systèmes d’Information (PSSI) ......................................4 A. L'étude préalable des risques SSI + Elaboration de la politique SSI ................................... 4 B. Mise en place de la politique SSI .......................................................................................... 5 C. Evolutivité de la politique SSI ........................................................................................................ 6 II. La sécurité physique de l’entreprise : protéger les infrastructures .............................7 A. Contrôles des accès et intrusions ................................................................................................ 7 B. Risques naturels .............................................................................................................................. 8 C. Gestion de la sécurité physique ............................................................................................ 9 III. La sécurité logique ; La méthode de défense en profondeur .................................10 A. Défense en profondeur : origines et fondements de la méthode ........................................ 10 B. Principes d’application de la défense en profondeur ............................................................ 11 a. Etape 1 : Objectifs de sécurité ......................................................................................... 12 b. Etape 2 : Organisation architecture générale ............................................................... 12 c. Etape 3 : Politique de défense ......................................................................................... 13 d. Etape 4 + 5: Qualification & homologation .................................................................... 13 e. exemple pratique .............................................................................................................. 13 CONCLUSION .................................................................................................................................... 14 SOURCES ............................................................................................................................................ 15 2
  • 3. Introduction : Les bonnes INTRODUCTION Depuis quelques décennies, le modèle de l’entreprise s’est complexifié, ainsi que la chaîne de valeur. Enjeux politiques, sociaux, environnementaux mais surtout technologiques et informationnels amènent les Managers, Directeurs des Systèmes d’Informations et responsables à s’interroger voire se remettre en question sur les moyens les plus adéquats pour assurer la sécurité du patrimoine de l’entreprise. Toutes les organisations ne sont pas égales en termes de moyens, de taille ou de personnel compétent lorsqu’il s’agit de veiller à la sécurité physique et/ou logique de leur patrimoine. Pourtant, il existe aujourd’hui diverses ressources permettant d’assurer la pérennité de son activité. Seulement, avant de mandater un consultant ou de se risquer à l’abstention, des bonnes pratiques, souvent simples, sont à adopter. Ces mesures et comportements sont applicables quelque soit la taille de l’organisation, et sont souvent obligatoires car encadrées juridiquement. L’objet de notre étude est précisément d’établir une méthodologie et un tour d’horizon des bonnes pratiques. A mesure de notre analyse, nous verrons que le bon sens est souvent de mise, et que dans la plupart des cas, il existe un référentiel ou ressources documentaires (sinon un organisme compétent) répondant au besoin de l’entreprise, que ce soit en terme de réflexion, de mise en place d’une politique de sécurité ou de validation & test de celle-ci. Nous déroulerons également des procédés de mise en œuvre de protection physique du patrimoine de l’entreprise, puis de protection logique à travers la défense en profondeur. 3
  • 4. I. La politique de Sécurité des Systèmes d’Information (PSSI) La sécurisation du patrimoine de l’entreprise relève de la vision stratégique de l’entreprise. Il est en effet capital que les procédures et mesures de sécurité soient clairement définies et alignées avec l’activité de l’entreprise, sa taille et ses objectifs. De plus, la sécurité concerne chaque partie prenante, l’information doit être diffusée et accessible à tous. Pour celà, toute organisation est tenue d’établir, d’appliquer et de faire évaluer régulièrement une politique de sécurité des systèmes d’information. A. L'étude préalable des risques SSI + Elaboration de la politique SSI Depuis 2002, l’OCDE met un point d’orgue à encadrer la sécurité des systèmes d’information dans les entreprises. Cette normalisation permet aux entreprises de s’adapter aux nouveaux enjeux et challenges qui modifient constamment l’écosystème des SI. Ainsi, l’instauration d’une « culture des SI » répond non seulement au besoin d’encadrement, mais aussi d’actualisation permanente des processus. Il est alors nécessaire pour toute entreprise de mettre en place une politique de sécurité des systèmes d’information. La mise en place de cette politique aboutira à un document, qui détaillera les règles de sécurité, suivant ce qu’on appelle les principes de sécurité et constituera la référence relative à toute question en la matière, et ce pour tout son périmètre d’application. Comme il s’agit d’un document référent, le rapport de politique de sécurité des SI doit être élaboré en cohérence avec la stratégie de l’entreprise, et être le fruit d’une concertation entre les acteurs clés (direction, management, responsables & salariés). De plus, aucun élément ne doit être négligé ni omis ; périmètre d’application, enjeux, objectifs, normes, menaces et besoins en disponibilité / Intégrité / confidentialité. Dans la pratique, l’élaboration d’une PSSI débute par une évaluation des risques et des besoins puis la définition des règles cohérentes avec la stratégie et les 4
  • 5. besoins précédemment définis. Cette phase se déroule la plupart du temps sous forme d’audit et à l’aide de méthodes (EBIOS par exemple, disponible en_ligne ). plan d’élaboration d’une PSSI – les encadrés gris représentent les livrables issus de chaque phase de réflexion- B. Mise en place de la politique SSI Une fois la politique de SSI établie, vient l’étape de la mise en œuvre. Il s’agit d’une étape puisque plusieurs politiques SSI peuvent coexister au sein d’une organisation, chacune pouvant avoir un périmètre restreint (fonctionnel par exemple). A l’inverse, il peut n’y avoir qu’une politique globale et déclinable. Quel que soit la stratégie choisie, il est primordial d’assurer la communication tout au long du projet de déploiement de la politique de sécurité, afin de minimiser les résistances et surtout que chaque partie prenante adhère et s’approprie la démarche ainsi que ses bénéfices. 5
  • 6. A noter que la PSSI peut être intégrée au système d’informations de manière modulaire et échelonnée, comme elle peut faire l’objet d’une date d’application dans son ensemble. Tout dépend de la vision stratégique de l’entreprise, de son secteur d’activité et surtout des ressources (humaines, notamment) disponibles à chaque étape du projet de PSSI. C. Evolutivité de la politique SSI La politique de Sécurité des Systèmes d’Information n’a de raison d’être que si elle possède un volet relatif à sa vérification, son amélioration et sa révision. L’efficacité d’une PSSI dépend majoritairement de sa capacité à prendre en compte les évolutions de plusieurs natures : - évolution de l’entreprise - évolutions/mises à jour/ modifications voire changement complet du SI - évolutions des risques et des menaces Mais une Politique SSI doit aussi pouvoir être rectifiée en fonction des observations et retours des membres de l’organisation (suggestions, dysfonctionnements, difficultés constatées etc.) Une Politique de Sécurité des Systèmes d’Information est donc un projet dynamique et mené à long terme, de manière cohérente avec la stratégie de l’organisation. Les référentiels et méthodes assurent une structure à la démarche et des experts et organismes gouvernementaux contribuent à l’encadrement de l’acquisition d’une culture de la sécurité des SI. De plus, des référentiels d’aide et de vérification permettent d’évaluer les risques et les mesures prises. 6
  • 7. II. La sécurité physique de l’entreprise : protéger les infrastructures La sécurité physique de l’entreprise concerne principalement ses locaux et les moyens d’y accéder et d’y pénétrer. Evaluer la sécurité physique d’une organisation consiste à juger de la difficulté d’accès aux informations qu’elle génère et stocke, et plus généralement aux risques pouvant compromettre la disponibilité, l’intégrité et la confidentialité des données. Ainsi, une entreprise bâtie telle une forteresse pourra paraître infaillible au vu des contrôles d’accès draconiens et de l’architecture dédiée. Pourtant, si l’entreprise se situe dans une forte zone sismique, le risque de disponibilité demeurera élevé. A. Contrôles des accès et intrusions Procéder à l’évaluation des contrôles d’accès au site physique de l’organisation et de ses vulnérabilités en terme d’intrusions revient à vérifier de manière stricte chaque point d’accès et ses moyens de contrôles, puis de les noter selon une gradation stricte. Cette gradation est déterminée par le référentiel utilisé par l’auditeur, mais aussi par le degré d’importance et de menace que représente la vulnérabilité physique en question. Les points de contrôles extérieurs peuvent comprendre ; - le dispositif de sécurité (éclairage, alarmes, vigiles, portail sécurisé…) - l’environnement extérieur (végétation, présence de cours d’eau, altitude…) - la nature des installations (type de construction, voies d’accès, configuration) De plus, il faut s’assurer que les bonnes personnes aient accès aux bonnes ressources. Le système de badges magnétiques aujourd’hui adopté dans de nombreuses entreprises répond plutôt bien au besoin de segmenter les accès et de protéger les informations sensibles des personnes dont les besoins métiers ne nécessitent pas la consultation ni la modification de telles données. Bien entendu, la principale limite à ce procédé est la perte ou le vol d’un tel badge mais à ce jour, il n’existe aucun système parfait. 7
  • 8. B. Risques naturels Les risques naturels sont a priori, les plus imprévisibles de par leur nature souvent météorologique et donc inévitable. Pourtant, qu’il s’agisse d’une tempête, d’un orage ou d’un tremblement de terre, l’organisation doit pouvoir se prémunir des conséquences que ces intempéries pourraient avoir sur leur activité. Une fois encore, le degré de mesures en matières de prévention, recouvrement et mesures de continuité dépendra des risques avérés, croisés avec les besoins de disponibilité, intégrité et/ou confidentialité de chaque ressource de l’entreprise. Lors d’un audit, il ne s’agit pas seulement d’évaluer les risques, mais de mettre en rapport les menaces extérieures potentielles avec les mesures préventives afin de déterminer le degré de risques. Les principaux points pouvant être vérifiés peuvent comprendre ; - l’état des locaux - Le mode de stockage des produits inflammables & mesures anti-incendie - Procédures liées aux dégâts des eaux - Lieux et modes de stockage des données sensibles (archives, serveurs …) - Plan d’évacuation du personnel et formations liées - Etc. 8
  • 9. C. Gestion de la sécurité physique La sécurité physique est évolutive et fait partie intégrante de la politique de sécurité des systèmes d’information. A ce titre, la gestion de la sécurité physique doit être dynamique et évolutive en fonction des changements pouvant intervenir dans la vie de l’entreprise, mais également l’environnement extérieur et les évolutions technologiques. Outre les installations, l’accent doit être mis sur la communication des processus de sécurité et les bonnes pratiques à adopter. En effet, il est souvent estimé qu’un collaborateur constitue la plus grande vulnérabilité au sein d’une entreprise. Cette assertion peut être comprise comme un manque de circulation de l’information de la part de la direction, ou d’un manque de formation. Le collaborateur formé et informé sera plus sensibles au respect des règles de sécurité qu’un salarié ayant uniquement reçu un document (ou un email) détaillant les nouveaux comportement à adopter suite à la modification du système d’alarme ou suite à l’instauration d’une norme qu’il ne maîtrisera pas. L’organisation doit en conséquence prévoir un budget important pour assurer sa sécurité physique afin d’entretenir les locaux, de rénover ou réparer des éléments ayant subi d’éventuels dommages. Tout cela afin de réduire les risques et de ne pas compromettre la sécurité du système d’informations, ni des collaborateurs. 9
  • 10. III. La sécurité logique ; La méthode de défense en profondeur La sécurité logique a vu son importance croître avec l’adoption de l’informatique, puis des bases de données et enfin des systèmes d’information complexes. L’information et les données sensibles sont aujourd’hui au cœur de la valeur de l’entreprise. La gestion de l’information en entreprise est d’ailleurs un des secteurs les plus importants sur les marchés business to business et business to government . De plus en plus, l’entreprise s’ouvre vers l’extérieur, échange des informations avec une rapidité croissante. En conséquence, les réseaux de l’entreprise s’ouvrent à leur tour et deviennent plus vulnérables. A. Défense en profondeur : origines et fondements de la méthode Le concept de défense en profondeur provient du domaine militaire, avec l’apparition du boulet métallique remettant en cause la protection du fort Vauban. Ses fortifications ont donc été construites afin d’anticiper la menace (le boulet métallique), en utilisant la profondeur du terrain. Outre la profondeur, les lignes de défenses étaient autonomes de manière à ce que la destruction d’une ligne défensive ne compromette pas les deux suivantes. Dans l’industrie énergétique, le même procédé des 3 barrières indépendantes a été mis en œuvre, comme ci-dessous dans le cas d’un réacteur nucléaire : 10
  • 11. L’évolution du nucléaire par rapport au fort Vauban, a été la gradation des risques et la mise en place des protections, en fonction de l’échelle de vulnérabilité (échelle INES). Cette gradation des vulnérabilités appliquée à l’industrie a longtemps été manquante dans le domaine de l’informatique. B. Principes d’application de la défense en profondeur Lorsqu’il s’agit de sécurité des systèmes d’information, le principe de défense en profondeur est évoqué pour répondre à quatre objectifs principaux : - Evaluation des biens à protéger - Evaluation du niveau de sécurité de l’entreprise - Estimation des menaces possibles - Mise en place de barrières de défenses indépendantes 11
  • 12. Les étapes d’un processus de défense en profondeur dans le cadre d’un projet SI se déroulent généralement selon le schéma suivant, que nous allons détailler : a. Etape 1 : Objectifs de sécurité Lors de cette étape, il s’agit d’évaluer les biens et les objectifs de sécurité de l’entreprise afin de s’assurer que les objectifs SI soient alignés avec la stratégie de l’entreprise. Outils / méthode : classification des informations, criticité des applications, échelle de gravité SSI b. Etape 2 : Organisation architecture générale Cette phase d’analyse a pour but d’évaluer le niveau de maturité de l’entreprise. En d’autre termes, de mesurer son degré de sécurisation et d’exposition au risque. On détermine ensuite les barrières nécessaires. Outils / méthode : diagrammes en radar croisant plusieurs paramètres de sécurité & aspects organisationnels de l’entreprise.
  • 13. c. Etape 3 : Politique de défense Cette phase consiste à déterminer la défense globale (détection des attaques, remontée des informations, déclenchement des alertes) et la planification (reconfigurations possibles, plan de secours) d. Etape 4 + 5: Qualification & homologation Durant ces étapes, l’organisation et l’architecture proposée sont validées. L’homologation par la direction est suivie par l’exécution du plan de défense en profondeur, puis de son suivi par les parties désignées. e. exemple pratique Dans le schéma ci-dessus, nous retrouvons les trois niveaux de barrières indépendantes que préconise la méthode de défense en profondeur. 13
  • 14. CONCLUSION La sécurisation du patrimoine de l’entreprise est un projet qui mobilise les dirigeants et les collaborateurs à long terme, car elle est inhérente à la stratégie de l’entreprise. De plus, les normes légales imposées sont de plus en plus strictes. Il est donc indispensable de choisir son/ses référentiels avec précaution afin que les décisions et actions qui en découlent soient en adéquation avec l’activité et le niveau de maturité de l’entreprise. La politique de sécurité des systèmes d’information est le point de départ déterminant pour assurer une bonne sécurité physique et logique du patrimoine d’une organisation car elle en fixe les bases. Toutefois, suivre un projet de sécurité des systèmes d’information ne doit en aucun cas se limiter à l’application d’un référentiel ou d’une stratégie figée. Les tendances évoluent : marché, outils, menaces, enjeux des entreprises. A titre d’exemple, la tendance aujourd’hui n’est plus le filtrage blacklist / whitelist, mais selon un filtrage protocolaire, effectué selon la réputation des sites. Autre élément capital, la communication et la prévention. 90% des attaques proviennent du réseau interne de l’entreprise. Enfin, les nouvelles pratiques tendent à redessiner le patrimoine de l’entreprise et à en rendre plus floues les frontières : télétravail, BYOB (bring your own device). Tant d’opportunités business qui posent aujourd’hui de nouvelles problématiques en terme de sécurité SI. 14
  • 15. SOURCES Web : - http://www.clusif.asso.fr/ - http://www.cases.public.lu/fr/index.html - http://www.securite-informatique.gouv.fr/ - http://www.ssi.gouv.fr/ Entretien : - Julien Dross ; spécialiste IT , Orange Business Services 15