Université Paris-Est Créteil Val de Marne. Faculté Administration et échanges internationaux. Master 2 - AEI Spécialité Commerce Electronique

Transcription

1 Université Paris-Est Créteil Val de Marne Faculté Administration et échanges internationaux Master 2 - AEI Spécialité Commerce Electronique Sécurisation des réseaux & télécoms Polycopie 2013/2014 Page 1

2 Contenu du chapitre 1. Approche du gestionnaire 2. Méthodes et normes contribuant à la définition d'une politique de sécurité 3. Politique et mesures de sécurité 4. Certification des produits de sécurité 5. Organiser et diriger Page 2

3 Approche du gestionnaire Notion de gouvernance de la sécurité Depuis le début des années 2000, la prise en compte par les organisations des problèmes liés à la sécurité informatique s'est généralisée du moins dans les grandes structures. La sécurité est de moins en moins une juxtaposition de technologies hétérogènes de sécurité. Elle est dorénavant appréhendée et traitée, comme un processus continu. Cette vision «processus» met en avant la dimension managériale de la sécurité qui vise à l'optimisation et à la rationalisation des investissements, tout en assurant la pérennité et l efficacité des solutions de sécurité dans le temps. L'importance d'une gestion rigoureuse de la sécurité des systèmes d'information, et de son appréhension globale et intégrée dans les cycles de décision de l'entreprise, est reflétée par l'adoption par les organisations de la notion de gouvernance de la sécurité. Cette dernière traduit la volonté de diriger, de conduire, d'influencer de manière déterminante la sécurité, voire de dominer les risques liés à l'insécurité technologique. Elle possède également une connotation de pouvoir politique qui positionne le problème de la sécurité au niveau stratégique et opérationnel. Page 3

4 Approche du gestionnaire L'apparition de nouvelles fonctions, comme celles de responsable sécurité, intégrées ou non à la direction générale, à la direction des systèmes d'information, ou encore au sein d'une direction métier ou audit, concrétise cette notion liée au «gouvernement» de la sécurité. Ainsi, la gouvernance vise à s'assurer que les mesures de sécurité adoptées, sont optimales dans le temps et dans l'espace. Elle vérifie, entre autres, qu'elle est en mesure de répondre de manière précise aux questions bien connues en organisation: qui fait quoi? comment et quand? Qui se déclinent, en particulier, par l'identification des acteurs qui élaborent, qui définissent, qui valident, qui mettent en œuvre et qui contrôlent les règles. Notion de politique de sécurité Compte tenu de la nouvelle importance accordée à la sécurité et à la manière stratégique et globale de l'appréhender, une politique de sécurité, devient l'expression de la stratégie sécuritaire des organisations. Elle constitue pour les organisations, un outil indispensable non seulement à la gouvernance de la sécurité mais aussi à la réalisation du plan stratégique de sécurité (figure 4.1). Page 4

5 Approche du gestionnaire Une politique de sécurité exprime la volonté managériale de protéger les valeurs informationnelles et les ressources technologiques de l'organisation. Elle spécifie les moyens (ressources, procédures, outils...) qui répondent de façon complète et cohérente aux objectifs stratégiques de sécurité. Elle découle des grands principes de sécurité qui permettent de protéger le système d'information en évitant qu'il ne devienne une cible et en faisant en sorte qu'il ne se transforme pas lui-même en acteur d'attaques par une prise de contrôle à distance. Page 5

6 Approche du gestionnaire Cette protection sera assurée par exemple par:» des règles: classification de l'information;» des outils: chiffrement, des firewalls ;» des contrats: clauses et obligations;» l'enregistrement, la preuve, l'authentification, l'identification, le marquage ou le tatouage;» le dépôt de marques, de brevets, et la protection de droit d'auteur. En complément, elle pourra prévoir:» de dissuader par des règles et des contrôles;» de réagir par l'existence de plans de secours, de continuité et de reprise;» de gérer les incidents majeurs par un plan de gestion de crise;» de poursuivre en justice et de demander des réparations en prévoyant un plan d'intervention et de report des incidents et des mesures d'assurance, par exemple;» de gérer les performances et les attentes des utilisateurs. Projet d'entreprise orienté gestion des risques La démarche sécurité est un projet d'entreprise dans la mesure où chacun en général est concerné par sa réalisation. Sa validité sera renforcée si l'organisation développe une éthique d'entreprise et si elle stipule également ses exigences de sécurité envers ses acteurs internes et ses partenaires externes. Page 6

7 Approche du gestionnaire La prise en compte de l'analyse des risques liés au système d'information dans un processus de gestion de risques (risk management), guide toute la démarche de sécurité d'une organisation. Le risque informatique, informationnel ou technologique, quel que soit le nom retenu, doit être identifié, au même titre que tous les autres risques de l'organisation (risque métier, social, environnemental, etc.) auxquels doit, faire face une entreprise. Le risque informatique est un risque opérationnel qui doit être maîtrisé. Au-delà de l'analyse des risques opérationnels, les organisations doivent également s'assurer qu'elles respectent les réglementations, satisfont aux exigences sécuritaires de leurs divers partenaires et qu'elles maîtrisent les risques réglementaires, organisationnels et stratégiques. Logiquement, la gestion des risques constitue le point de départ de l'analyse des besoins sécuritaires qui permet la définition de la stratégie de sécurité (figure 4.2). Plusieurs questions se posent aux organisations, entre autres:» Qui doit être responsable de l'analyse des risques, de la gestion des risques?» Comment effectuer une telle analyse?» Quels sont les outils et méthodologies disponibles? Page 7

8 Approche du gestionnaire» Quels sont leurs niveaux de fiabilité?» Quelle est l'importance à accorder aux résultats?» Combien cela coûte?» Faut-il externaliser cette fonction?.. La politique de sécurité fait le lien entre la stratégie de sécurité de l'entreprise et la réalisation opérationnelle de la sécurité. Elle permet de transcrire le travail effectué pour comprendre les risques et leurs impacts, en des mesures concrètes de sécurité. Sa spécification facilite le choix et la mise en œuvre des mesures de sécurité. Page 8

9 Approche du gestionnaire Elle donne de la cohérence à la gestion et contribue à adopter vis-à-vis des risques et menaces une attitude préventive et proactive, et pas seulement réactive, contribuant ainsi à une meilleure efficacité des mesures. Une bonne définition et une bonne réalisation d'une politique de sécurité autorisent une certaine maîtrise des risques informatiques, tout en réduisant leur probabilité d'apparition. Toutefois, il ne faut pas perdre de vue que même un bon gestionnaire de la sécurité, tout en anticipant et prévenant certains accidents volontaires ou non, n'est pas devin. On évoque couramment l'intégrité des données, moins souvent celle des hommes. Or, nul service de sécurité, aussi perfectionné soitil, ne tient si l'intégrité des administrateurs, responsables réseau, hommes systèmes ou utilisateur se trouve mise en cause. Ne perdons pas de vue que le maillon faible de la sécurité est toujours l'humain.» Ne pouvant anticiper toutes les nouvelles menaces, mais sachant qu'elles exploiteront les vulnérabilités et les failles des systèmes en place, le gestionnaire s'emploiera essentiellement à réduire les vulnérabilités de l'environnement à protéger afin de minimiser la probabilité de perdre les ressources critiques, quelles que soient la menace potentielle et son origine. Page 9

10 Approche du gestionnaire Propriétés d'une politique de sécurité De manière générale, une bonne politique de sécurité résulte d'une analyse des risques et est définie de manière complète et cohérente, afin de répondre précisément aux besoins de sécurité de l'organisation dans un contexte donné (figure 4.3). La définition de la politique de sécurité doit être:» simple et compréhensible;» adoptable par un personnel préalablement sensibilisé voire formé;» aisément réalisable;» de maintenance facile; Page 10

11 Approche du gestionnaire» vérifiable et contrôlable. Une politique de sécurité ne doit pas être statique mais périodiquement évaluée, optimisée et adaptée à la dynamique du contexte dans lequel elle s'inscrit. Elle doit être évolutive, pour correspondre au développement des systèmes, de l'environnement et des risques. Elle doit être configurable et personnalisable selon des profils d'utilisateurs, selon les flux, en fonction du contexte et de la localisation des acteurs en Jeu. Une politique de sécurité doit prendre en compte la dimension temporelle des besoins. Pour ce qui concerne les droits d'accès par exemple, les autorisations peuvent être délivrées pour les jours ouvrés, entre 7 heures et 20 heures, mais exclusivement sur demande pour la nuit ou les weekends ou encore en fonction de certains événements. De plus, une politique de sécurité peut également prendre en considération la dimension spatiale et tenir compte, par exemple, du nomadisme de certains employés qui travaillent à leur domicile, au bureau, en déplacement à l'étranger ou à l'extérieur chez un client. Ceci constitue autant de variantes à prendre en considération lors de la définition de la politique de sécurité qui rend celle-ci complexe à spécifier et à mettre en œuvre. Page 11

12 Approche du gestionnaire Puisqu'une politique de sécurité varie en fonction de l'espace et du temps, cela veut dire qu'il faut pouvoir authentifier et autoriser un utilisateur en fonction de sa position, de sa situation, de la date et de l'heure de sa demande de service. Quel que soit le contexte, une politique de sécurité doit protéger les données privées et l'intimité numérique. Son adéquation aux besoins de protection résultera d'un bon compromis entre le respect de la liberté de l'individu, tel que définit par la CNIL (Commission Nationale de l'informatique et des Libertés) et la satisfaction des besoins de sécurité du reste de la société. Une politique de sécurité peut être structurée en sousthèmes. La figure 4.4 propose un exemple de décomposition de la politique de sécurité. Page 12

13 Approche du gestionnaire Page 13

14 Méthodes et normes contribuant à la définition d une politique de sécurité Principales méthodes françaises Une démarche de sécurité traite de l'organisation de la sécurité, de l'inventaire des risques relatifs aux actifs informationnels, de la définition d'une architecture de sécurité; de l'établissement d'un plan de continuité. Pour débuter une démarche de sécurité, on s'appuie sur une méthode qui facilite l'identification des points principaux à sécuriser (notion de check list). Dans un premier temps, il faut pouvoir identifier les risques afin d'identifier les parades à mettre en place et gérer le risque résiduel. Jusqu'à présent, la sécurité repose plus sur un ensemble reconnu de bonnes pratiques (best practices) que sur une méthodologie unique. Diverses méthodes propriétaires comme des normes internationales existent et peuvent servir de guide à l'élaboration d'une politique de sécurité. Elles sont utilisées plus ou moins complètement et le plus souvent adaptées à un contexte d'analyse. Les méthodes préconisées par le Clusif sont Marion (Méthode d'analyse des Risques Informatiques et Optimisation par Niveau) et Méhari (MÉthode Harmonisée d'analyse des Risques) (figure 4.5). Il est recommandé de consulter le site du Clusif qui présente et rend accessibles ces méthodes. Page 14

15 Méthodes et normes contribuant à la définition d une politique de sécurité Au-delà de l'aide à l'analyse des vulnérabilités et des risques, Méhari permet d'avoir une vision globale et stratégique de la problématique de la sécurité des entreprises, par la définition d'un plan stratégique de sécurité à partir duquel des plans opérationnels pourront être définis. Les différents niveaux de la sécurité sont ainsi appréhendés. Les vues stratégiques, tactiques et opérationnelles ainsi que les mesures spécifiques à leurs réalisations sont distinguées. La méthode d'analyse des risques Méhari se veut adaptable, évolutive et compatible avec la norme ISO Page 15

16 Méthodes et normes contribuant à la définition d une politique de sécurité Par ailleurs, la DCSSI (Direction Centrale de la Sécurité des Systèmes d'information) propose une méthode largement documentée, présentée et téléchargeable sur son site. Dénommée Ebios (Expression des Besoins et Identification des Objectifs de Sécurité), cette méthode adoptée par les administrations françaises, permet de spécifier les objectifs de la sécurité des organisations, pour répondre à des besoins déterminés. Elle facilite largement l'appréhension du contexte de sécurité et constitue une véritable aide à la définition des objectifs et des politiques de sécurité. Cela peut conduire à remplir le document «Fiche d'expression Rationnelle des Objectifs de Sécurité (Feros) pour ce qui concerne toutes les ressources classées «Défense», afin de déterminer au mieux les mesures de sécurité nécessaires à leur protection. Par ailleurs, il existe également diverses directives nationales: allemandes issu du Bundesamt für Sicherheit Informationstechnik, canadiennes du CST (Centre de la Sécurité des Télécommunications), américaines issues du NSI (National Standards Institute) des États-Unis, par exemple, qui traitent des politiques de sécurité. Page 16

17 Méthodes et normes contribuant à la définition d une politique de sécurité Norme internationale ISO/IEC L'origine de la norme ISO adoptée par l'iso à la fin de l'année 2000 est la norme BS 7799 élaborée par l'association de normalisation britannique en Avant d'être reconnue comme une méthode de référence, la norme internationale ISO a tout d'abord été contestée du fait de sa procédure accélérée de normalisation: elle n'avait pas été révisée par les états membres avant d'être publiée et n'avait donc pas tenu compte des savoir-faire et autres méthodes existants dans d'autres pays. L'adoption par le marché de la norme ISO a été favorisée par le fait que certaines compagnies d'assurance demandent l'application de cette norme afin de couvrir les cyber-risques. Basée sur la gestion des risques, la norme propose un code de pratique pour la gestion de la sécurité et identifie des exigences de sécurité sans toutefois spécifier la manière de les réaliser. On peut ainsi considérer cette norme tour à tour comme un référentiel contribuant à la définition d'une politique de sécurité, comme une liste de points de risques à analyser (check List), comme une aide à l'audit de sécurité en vue ou non d'une procédure de certification ou encore, comme un point de communication sur la sécurité. Diverses interprétations et réalisations de cette norme sont possibles. Page 17

18 Méthodes et normes contribuant à la définition d une politique de sécurité Son intérêt réside dans le fait que la norme aborde les aspects organisationnels, humains, juridiques et technologiques de la sécurité en rapport aux différentes étapes de conception, mise en œuvre et maintien de la sécurité. Elle traite de dix domaines de sécurité (figure 4.6), de 36 objectifs de sécurité et de 127 points de contrôle. Une nouvelle version de cette norme (ISO/IEC 17799: 2005) a été éditée en juillet 2005, elle adjoint aux dix domaines de sécurité préalablement identifiés de nouveaux paragraphes qui concernent l'évaluation et l'analyse des risques, la gestion des valeurs et des biens ainsi que la gestion des incidents. On remarque toute l'importance accordée à la dimension managériale de la sécurité dans la nouvelle version. Page 18

19 Méthodes et normes contribuant à la définition d une politique de sécurité La structure et les thèmes abordés dans la version 2005 de la norme ISO sont les suivants:» Introduction 0.1 Qu'est-ce que la sécurité de l'information? 0.2 Pourquoi la sécurité de l'information est-elle nécessaire? 0.3 Comment établir les besoins de sécurité 0.4 Évaluer les risques de sécurité 0.5 Sélectionner les contrôles 0.6 Point de départ en sécurité de l'information 0.7 Facteurs de succès critiques 0.8 Développer vos propres directives» 1 Portée» 2 Terminologie et définitions» 3 Structure de la présente norme 3.1 Clauses 3.2 Principales catégories de sécurité» 4 Évaluation des risques et traitements 4.1 Évaluation des risques de sécurité 4.2 Traitement des risques de sécurité» 5 Politique de sécurité 5.1 Politique de sécurité de l'information Document de politique de sécurité de l'information Examen de la politique de sécurité de l'information» 6 Organisation de la sécurité de l'information 6.1 Organisation interne Page 19

20 Méthodes et normes contribuant à la définition d une politique de sécurité Engagement de la direction dans la sécurité de l'information Coordination de la sécurité de l'information Attribution des responsabilités pour la sécurité de l'information Processus d'autorisations pour les équipements de traitement de l'information Accords de confidentialité Contact avec les autorités Contact avec des groupements d'intérêt spécifique Examen indépendant de la sécurité de l'information 6.2 Parties externes Identification des risques liés aux parties externes La sécurité en ayant affaire avec des clients La sécurité dans les accords avec des tiers» 7 Gestion des biens et des valeurs 7.1 Responsabilités des valeurs Inventaire des valeurs Propriété des valeurs Utilisation acceptable des valeurs 7.2 Classification de l'information Directives de classification Marquage (étiquetage) et manipulation de l'information» 8 Sécurité des ressources humaines 8.1 Avant l'emploi Rôles et responsabilités Analyse Modalités et conditions d'embauche Page 20

21 Méthodes et normes contribuant à la définition d une politique de sécurité 8.2 Durant l'emploi Responsabilités de la direction Prise de conscience, sensibilisation, éducation, et formation à la sécurité de l'information Mesures disciplinaires 8.3 Arrêt ou changement d'emploi Responsabilités de l'arrêt Restitution des valeurs Élimination des droits d'accès» 9 Sécurité physique et environnementale 9.1 Zones de sécurité Périmètre de sécurité Contrôles d'accès physique Sécuriser les bureaux, les salles et les équipements Protection contre les menaces externes et environnementales Travailler dans des zones sécurisées Secteurs d'accès public de livraison et de chargement 9.2 Sécurité des équipements Situation et protection des équipements Support des utilités Sécurité du câblage Maintenance des équipements Sécurité des équipements en dehors des frontières de l'organisation Sécurité des équipements abandonnés ou réutilisés Suppression des équipements Page 21

22 Méthodes et normes contribuant à la définition d une politique de sécurité» 10 Gestion des communications et des opérations 10.1 Procédures opérationnelles et responsabilités l0.1.l Modes opératoires documentés Gestion du changement Ségrégation des fonctions Séparation des facilités liées au développement, aux tests et aux opérations 10.2 Gestion de la livraison des services offerts par des tiers Livraison de services Surveillance et contrôle des services fournis par des tiers Gestion des changements dans les services offerts par des tiers 10.3 Planification et acceptation de systèmes Gestion de la capacité Tolérance des systèmes 10.4 Protection contre les codes malicieux et mobiles Contrôles contre les codes mobiles Contrôles contre le code malicieux 10.5 Backup/secours Backup des informations 10.6 Gestion de la sécurité des réseaux Contrôle du réseau Sécurité des services réseau 10.7 Manipulation de supports Gestion des supports amovibles Destruction des supports Procédures de manipulation de données Sécurité de la documentation des systèmes Page 22

23 Méthodes et normes contribuant à la définition d une politique de sécurité 10.8 Échange d'informations Politiques et procédures d'échange d'information Accords d'échange Supports physiques en transit Messagerie électronique Systèmes d'information 10.9 Services de commerce électronique Commerce électronique Transactions en ligne Information accessible au public Surveillance Audit des journaux (logs) Surveillance de l'utilisation du système Protection des informations journalisées Journaux des administrateurs et opérateurs Journalisation des erreurs et incidents Synchronisation des horloges» 11 Contrôles d'accès 11.1 Impératifs de l'organisation (besoins du business) en matière de contrôle d'accès Politique de contrôle d'accès 11.2 Gestion des accès des utilisateurs Enregistrement des utilisateurs Gestion des privilèges Gestion des mots de passe des utilisateurs Examen des droits d'accès des utilisateurs 11.3 Responsabilités des utilisateurs Utilisation des mots de passe Page 23

24 Méthodes et normes contribuant à la définition d une politique de sécurité Équipements des utilisateurs sans surveillance Politique concernant les bureaux et écrans clairs 11.4 Contrôle de l'accès au réseau Politique sur l'utilisation des services de réseau Authentification des utilisateurs pour les connexions externes Identification des équipements dans les réseaux Protection des ports de télédiagnostique et de téléconfiguration Ségrégation dans les réseaux Contrôle de la connexion réseau Contrôle du routage réseaux 11.5 Contrôle d'accès aux systèmes d'exploitation Procédures de connexion sécurisées Identification et authentification des utilisateurs Système de gestion des mots de passe Utilisation des utilitaires système Délai de session (time-out) Limitation du temps de connexion 11.6 Contrôle d'accès aux applications et aux informations Restriction de l'accès aux informations Isolation des systèmes sensibles 11.7 Mobilité en informatique et télétravail Mobilité et communications Télétravail Page 24

25 Méthodes et normes contribuant à la définition d une politique de sécurité» 12 Acquisition, développement et maintenance des systèmes d'information 12.1 Besoins de sécurité pour les systèmes d'information Analyse et spécification des besoins de sécurité 12.2 Exactitude des traitements applicatifs Validation des données saisies Contrôle du traitement interne Intégrité des messages Validation des résultats 12.3 Contrôles du chiffrement Politique de contrôle de l'usage de la cryptographie Gestion des clés 12.4 Sécurité des fichiers systèmes Contrôle des logiciels opérationnels Protection des données de tests du système Contrôle d'accès au code source des programmes 12.5 Sécurité dans le développement et le support des processus Procédures de contrôle du changement Examen technique des applications après modification du système d'exploitation Restrictions des changements dans les suites logicielles Fuite d'infonnation Développement externalisé des logiciels 12.6 Gestion des vulnérabilités techniques Contrôle des vulnérabilités techniques Page 25

26 Méthodes et normes contribuant à la définition d une politique de sécurité» 13 Gestion des incidents de sécurité de l'information 13.1 Notification des événements et des faiblesses de sécurité de l'information Notification des événements de sécurité de l'infonnation Notification des faiblesses de sécurité 13.2 Gestion des incidents et des améliorations de la sécurité de l'infonnation Responsabilités et procédures Enseignement à tirer des incidents de sécurité Collecte de preuves» 14 Gestion de la continuité des affaires 14.1 Aspects sécuritaires de la gestion de la continuité des affaires Inclure la sécurité de l'information dans le processus de gestion de la continuité des affaires Continuité des affaires et évaluation des risques Développer et implémenter des plans de continuité intégrant la sécurité de l'information Cadre de planification de la continuité des activités Test, maintenance et réévaluation des plans de continuité» 15 Conformité 15.1 Conformité aux exigences légales Identification de la législation applicable Droits de la propriété intellectuelle Protection des enregistrements de l'organisation Page 26

27 Méthodes et normes contribuant à la définition d une politique de sécurité _Protection des données et intimité numérique Prévention du détournement des facilités de traitement de l'information Réglementation des contrôles de cryptographie 15.2 Conformité avec les nonnes et politiques de sécurité et conformité technique Conformité avec les politiques de sécurité Contrôle de la conformité technique 15.3 Considérations sur l'audit des systèmes d'information Contrôle des audits des systèmes d'information Protection des outils d'audit des systèmes d'information» Bibliographie et Index La norme ISO constitue un véritable point de départ à l'élaboration d'une politique de sécurité ainsi qu'à celles de procédures de mise en œuvre, d'exploitation et de contrôle. Elle facilite l'identification et la définition des exigences de sécurité d'un environnement particulier. De plus, en matière de normes de sécurité relevant de la dimension organisationnelle de la sécurité, citons les normes ISO (lignes directrices pour la gestion de la sécurité des technologies de l'information) et ISO Page 27

28 Méthodes et normes contribuant à la définition d une politique de sécurité Méthodes et meilleures pratiques L'AFAI (Association Française de l'audit et du Conseil Informatique), branche française de l'isaca (Information Systems Audit and Control Association), sous le patronage de l' IT Gouvernance Institute, diffuse une méthode de gouvernance et d'audit des systèmes d'information. Par son approche d'audit, la méthode CobiT (Control objectives for information and Technology) peut contribuer à l'identification des besoins de sécurité et à l'évaluation des niveaux de sécurité (figures 4.7 et 4.8). Page 28

29 Méthodes et normes contribuant à la définition d une politique de sécurité Elle peut être considérée comme un outil contribuant à l'optimisation des politiques, des mesures et des procédures de sécurité. La troisième édition des référentiels CobiT2 décrit la mission de CobiT de la manière suivante: «Mission de CobiT: rechercher, développer, faire connaître et promouvoir un ensemble d'objectifs de contrôles internationaux en technologies de l'information qui soient généralement acceptés, à jour, et fassent autorité, pour l'utilisation, au jour le jour par les managers et les auditeurs.» La méthode Octave élaborée à l'université de Carnegie Mellon, est également adoptée voire adaptée par les consultants en politique de sécurité. Page 29

30 Méthodes et normes contribuant à la définition d une politique de sécurité Pour ce qui concerne les meilleures pratiques qui peuvent également constituer des guides de référence permettant d'élaborer des politiques de sécurité. Les plus connues sont celles éditées par:» le CERT - Guide to System and Network practices (Julia H. Allen 2001).» le NCSA - Guide to Enterprise Security (Michel E. Kabay, 1996) qui concerne la dimension technique de l'implantation d'une politique de sécurité.» l'internet Security Alliance - Common sense guide for senior manager.» l'information Security Forum - The standard of good pratice for information security. Force est de constater que le nombre de méthodes fait légion. En revanche, il est à regretter qu'il existe peu ou pas d'outils dédiés à une gestion efficace des risques technologiques et informationnels ou qui permettent de générer ou de décliner automatiquement, à partir de la spécification d'une politique de sécurité, les mesures de sécurité adaptées. Une norme ou une méthode peut contribuer à définir une politique de sécurité (figure 4.9). Quelle que soit la solution retenue, il est important de pouvoir l'adapter au contexte auquel elle s'applique. En tout état de cause, elle doit être un soutien à l'appréhension et l'appréciation des risques encourus. Page 30

31 Méthodes et normes contribuant à la définition d une politique de sécurité La pertinence d'une politique de sécurité est fonction de la qualité de l'analyse des risques effectués dans le cadre de l'analyse de l'existant. Les grands cabinets de conseils ont défini leur propre méthode en s'inspirant le plus souvent de celles existantes. Modèle formel de politique de sécurité Différents modèles ont été proposés par la communauté scientifique pour spécifier et exprimer de manière formelle des politiques de sécurité. Ils permettent une présentation abstraite des principes de sécurité importants à prendre en compte. Page 31

32 Méthodes et normes contribuant à la définition d une politique de sécurité Les principaux modèles sont:» Le modèle de Bell-LaPadulal: modèle des exigences de contrôle d'accès caractéristique d'une politique de sécurité pour la confidentialité;» Le modèle de Clark et Wilson relatif à l'intégrité des systèmes transactionnels commerciaux;» Le modèle de Brewer-Nash concernant l'exigence de contrôle d'accès visant à assurer la confidentialité pour le client. Les principales définitions associées à ces modèles sont:» Objet O: entité passive qui contient ou reçoit des informations ou encore l'objet de stockage, qui inclut les accès en lecture et en écriture;» Sujet S: entité active (une personne, un processus ou un équipement) associée à un profil;» Opération licite T: l'opération licite T est autorisée pour le sujet S sur l'objet O;» Canal caché: utilisation d'un mécanisme non prévu pour la communication pour transférer des informations d'une manière qui viole la sécurité. Page 32

33 Politique et mesures de sécurité Classification des ressources La réalisation d'un inventaire complet et précis de tous les acteurs et intervenants de la chaîne sécuritaire, contribue à une meilleure connaissance et donc à la maîtrise de l'environnement à protéger. C'est dans les phases d'analyse de l'existant et des risques que ces données d'inventaire prennent toute leur importance. Elles interviennent également dans la phase d'identification des valeurs et de classification des ressources pour déterminer leur degré de sensibilité (ou degré de criticité). Le degré de criticité d'une ressource indique son importance en cas de perte, d'altération ou de divulgation des données. Plus les conséquences sont graves pour l'organisation, plus la ressource est sensible et possède de la valeur. La classification selon le degré d'importance des ressources à protéger, est nécessaire à la gestion de la sécurité. Elle est indispensable à l'élaboration de la politique de sécurité pour définir des mesures et procédures à appliquer. Chaque ressource peut être perçue comme une cible de sécurité pour laquelle, il faut identifier les risques et leurs scénarios possibles (erreur d'utilisation, de paramétrage, accidents, malveillance, sabotage, attaque logique, etc.), les mécanismes de sécurité inhérents et applicables (configuration, paramètres, etc.), ainsi que les contraintes techniques et organisationnelles afin de déterminer la faisabilité technique et organisationnelle de la politique de sécurité pour chaque cible. Page 33

34 Politique et mesures de sécurité Déterminer le degré de sensibilité des données consiste tout d'abord à identifier des classes génériques de données auxquelles on associe des valeurs entières définissant leur degré de sensibilité. Cela permet de disposer d'une métrique, dont l'échelle des valeurs est déterminée par l'organisation et qui reflète le degré d'importance de la donnée pour celle-ci. Ainsi par exemple, pour une entreprise les données peuvent être classées:» - Publiques: degré de sensibilité 0;» - Financières: degré de sensibilité 1 ;» - Privées: degré de sensibilité 2 ;» - Secrètes: degré de sensibilité 3. Cette classification doit être affinée voire adaptée en fonction des besoins. De plus, c'est en fonction du degré de sensibilité des données et du profil des utilisateurs que l'on attribuera à ces derniers, des permissions et droits d'accès. Mesures de sécurité Lorsque les risques encourus par un système d'information ont été compris et évalués, en particulier l'identification des cibles, des facteurs de risques internes et externes, les niveaux de probabilité de concrétisation des risques (niveau faible à très fort) et leurs niveaux d'impact ont été déterminés, une politique de sécurité peut être spécifiée. Page 34

35 Politique et mesures de sécurité Elle comprend, l'identification des objectifs de la sécurité et des mesures concrètes mises en œuvre pour les atteindre afin de garantir la sûreté de fonctionnement du système d'information. Les mesures de sécurité se distinguent (figure 4.10) et se classifient selon leur niveau d'intervention. Elles contribuent toutes à protéger les ressources critiques de menaces particulières. Plusieurs types génériques de mesures de sécurité sont identifiés (figures 4.11). Page 35

36 Politique et mesures de sécurité Les mesures structurelles, comme l'occultation des ressources, les redondances, la fragmentation de l'information, par exemple, qui réduisent la vulnérabilité des ressources en agissant sur la structure et l'architecture du système d'information. Les mesures de dissuasion qui autorisent une prévention en décourageant les agresseurs de mettre à exécution une menace potentielle.» Il peut s'agir de procédures juridiques et administratives touchant à la sensibilisation et à la gestion des ressources humaines, aux conditions de travail ou aux moyens de détection et de traçage. Les mesures préventives qui servent de barrière afin d'empêcher l'aboutissement d'une agression (incident, malveillance, erreur, etc.) et font en sorte qu'une menace n'atteigne pas sa cible.» Les procédures de contrôles d'accès physique et logique, les détecteurs de virus, entre autres, peuvent jouer ce rôle. Les mesures de protection qui ont pour objectifs de réduire les détériorations consécutives à la réalisation d'une menace.» En particulier, les contrôles de cohérence, les détecteurs d'intrusion, d'incendie, d'humidité, d'erreurs de transmission, et les structures coupefeu permettent de se protéger des agressions ou d'en limiter l'ampleur. Page 36

37 Politique et mesures de sécurité Les mesures palliatives ou correctives, telles que les sauvegardes, les plans de continuité, les redondances, les réparations ou corrections par exemple, qui pallient ou réparent les dégâts engendrés. Les mesures de récupération qui limitent les pertes consécutives à un sinistre et réduisent le préjudice subi par un transfert des pertes sur des tiers (assurance) ou par attribution de dommages et intérêts consécutifs à des actions en justice. Quelles que soient la finalité d'un système d'information et l'entreprise qui le met en œuvre, les éléments de ce dernier sont susceptibles d'être la cible d'une malveillance ou d'être utilisés pour perpétrer une fraude sur un système d'une autre organisation (malveillance indirecte). Page 37

38 Politique et mesures de sécurité Cela se traduit toujours par des intrusions non autorisées dans un système informatique. Il est donc impératif de pouvoir prévenir ces intrusions par des mesures de protection adéquates (contrôle d'accès, cloisonnement des environnements, filtrage, etc.) ou à défaut de pouvoir limiter les dégâts grâce à leur détection rapide par des dispositifs de surveillance et une réaction appropriée pour les arrêter, et préserver les chances d'identification des fraudeurs. Ainsi, des directives claires, précises et compréhensibles spécifiant au responsable sécurité, à l'administrateur système, ou à tout autre acteur intervenant dans la supervision de la sécurité ce qu'ils doivent faire face à une situation d'urgence sont primordiales. Elles contribueront à faciliter la prise de décision dans une situation critique et permettront d'éviter un état de panique préjudiciable au maintien de la sécurité. Un plan d'action pro-actif et réactif aux intrusions doit donc être défini par la politique de sécurité afin de se préparer au pire. Il s'appuie le plus souvent sur la mise en œuvre du plan de secours. Ce plan d'action-réaction se décline en:» mesures préventives (mesures de sauvegarde des données vitales, de surveillance, de contrôle, d'audit actif, etc.); Page 38

39 Politique et mesures de sécurité» mesures de dissuasion (notification de l'enregistrement des actions et événements, des poursuites encourues, des plaintes déposées auprès de la police, etc.);» mesures structurelles (organisation et responsabilité);» mesures de protection (procédures de contrôle d'accès, certification, chiffrement, preuve de l'origine, filtrage, cloisonnement des environnements, etc.);» mesures de constat et de notification (enregistrement des actions malveillantes, constat et preuve de l'infraction, information aux dirigeants et aux acteurs touchés par l'infraction, etc.);» mesures de récupération (secours, sauvegardes, restitution, retour au contexte initial, etc.);» mesures judiciaires (marche à suivre pour porter plainte et poursuivre les fraudeurs). Continuité des services et plan de secours Un plan de secours est un dispositif organisationnel et technique qui permet d'assurer un fonctionnement minimal des applications critiques après la survenue d'un sinistre. Il doit définir une stratégie de reprise en identifiant le temps minimal écoulé entre un dommage et la reprise (notion de durée critique) ainsi que les événements et actions pour mener à bien la reprise (synchronisation, répartition des actions, déclaration du sinistre auprès des assurances, identification des dépenses exceptionnelles) (figure 4.12). Page 39

40 Politique et mesures de sécurité L'établissement d'un plan de secours doit être géré comme un projet à part entière de gestion de projet. Il est recommandé en outre de suivre une méthodologie de conception de plan de secours afin de systématiser et de mieux maîtriser les différentes étapes de la mise en place d'un tel projet (figure 4.13). Phase 1 : analyse stratégique» La première phase, qui constitue l'analyse stratégique, se structure autour de quatre tâches principales: Organisation et conduite de projet: identification d'une équipe et d'une structure organisationnelle: le chef de projet doit avoir une responsabilité centralisée, une visibilité élargie, ainsi que l'autorité appropriée; il rend compte à la direction; Page 40

41 Politique et mesures de sécurité planification: coordination, organisation de la mise en œuvre, de la mise à jour du plan de secours; formation et assistance des personnes chargées du plan de secours. Analyse des risques: évaluation des risques; définition des sinistres potentiels. Analyse d'impact: identification des critères de fragilité et de sensibilité aux risques des applications; analyse des conséquences des différentes pannes, erreurs, dysfonctionnements sur les activités de l'entreprise; évaluation des impacts stratégiques et tactiques. Page 41

42 Politique et mesures de sécurité Définition des modes de fonctionnement normal et minimal de chaque application critique: définition du délai maximal d'inactivité toléré; définition des consignes opérationnelles; définition des priorités de restauration des applications critiques; définition des procédures de reprise; identification des exigences de planification. Phase 2: analyse des solutions» La phase deux qui est l'étape méthodologique d'analyse des solutions a pour objet d'identifier et d'évaluer les solutions de reprises possibles et de choisir la meilleure en fonction des critères stratégiques de l'entreprise.» C'est à ce stade que l'on procède à la rédaction des documents définitifs. Phase 3: mise en œuvre opérationnelle» La phase trois de mise en œuvre opérationnelle de la stratégie de secours passe par une attribution des responsabilités, la sensibilisation et la formation des personnes responsables de l'exécution des procédures de reprise.» Une documentation complète du plan de secours doit être également établie. Page 42

43 Politique et mesures de sécurité Phase 4: validation et suivi Audit» La phase quatre de validation et de suivi permet de tester le plan, son "efficacité par des simulations d'alertes et la réalisation de tests de bascule programmés du site de production vers le site de secours, de documenter et d'analyser les résultats de ces tests afin d'obtenir un certain niveau de fiabilité et de sûreté de fonctionnement du plan de secours.» Il doit également être mis à jour en fonction des événements, du changement de personnel, des modifications des applications et fait partie ainsi de la gestion opérationnelle quotidienne du site de production.» L'audit d'un plan de secours qui peut ou non faire partie de la phase précédente, a pour objet de déterminer la qualité du plan établi.» Pour cela, on identifie les domaines sensibles de l'entreprise pour lesquels le plan de secours doit s'appliquer et on évalue les dispositions, procédures, tâches et actions prévues par le plan en cas de sinistre puis on élabore des recommandations. Page 43

44 Certification des produits de sécurité Critères communs pour la certification En 1985, le département de la Défense américain définissait, dans un livre de couverture orange (d'où son nom orange book) des critères d'évaluation de la sécurité des systèmes informatiques (TCSEC, Trusted Computer System Evaluation Criteria). Associés à des jeux de tests effectués par le NCSC (National Computer Security Center), ces critères permettent de vérifier le niveau de sécurité des produits, ce qui contribue à définir le degré de confiance que l'on peut avoir en eux. Deux ans plus tard, un livre complémentaire intégrant la dimension «réseau» des systèmes informatiques, étendant les critères initiaux, fut édité: le TNI (Trusted Network Interpretation) ou livre rouge. En 1991, les critères de sécurité ont été repris au niveau européen pour disposer d'un référentiel de classification du niveau de sécurité des systèmes d'information, il s'agit des ITSEC (Information Technology Security Evaluation Criteria). Les critères TCSEC et leurs équivalents européens ITSEC et canadiens ont donné naissance à des critères communs à l'europe et aux États-Unis: les critères communs (CC, Common Criteria for Information Technology Security Evaluation). Ils constituent une typologie des niveaux de sécurité (ou classes) reconnue par l'ensemble des acteurs du marché de la sécurité et pas seulement par ceux préoccupés par la sécurité nationale. Page 44

45 Certification des produits de sécurité La première version des critères communs est apparue en 1996 (v1.0) puis il y a eu une deuxième version en 1998 (CC, v2.0). C'est la version 2 (la version 3.0 a été publiée en juillet 2005) qui a servi de base à l'élaboration de la norme multipartie ISO/IEC /3 «Information technology. Security techniques. Evaluation criteriafor IT security»! (figure 4.14). Les trois parties de la norme critères communs ISO définissent le modèle général de la certification en guise d'introduction (partie 1), les exigences fonctionnelles de sécurité (partie 2) et les exigences d'assurance de sécurité (partie 3). Page 45

46 Certification des produits de sécurité Acteurs concernés par les critères communs Il Y a trois groupes de population visés par les critères communs: les simples utilisateurs, les développeurs des produits et systèmes et les évaluateurs de sécurité des systèmes d'information. Les critères communs ont été élaborés pour:» Assister les développeurs de produits de sécurité dans l'identification des exigences de sécurité afin que ces derniers soient en conformité avec la norme et les préparer à l'évaluation de leurs produits.» Pour que les utilisateurs puissent aisément comprendre quel est le niveau de sécurité offert par un produit et ainsi choisir le produit qui satisfait au mieux ses besoins de sécurité. Un produit certifié critère commun présente son niveau de sécurité et atteste un certain seuil de sécurité garantie. La figure 4.15 identifie les sept niveaux de sécurité définis par la norme ISO L'utilisateur peut également comparer différents produits à partir d'un même référentiel de comparaison dont les critères sont connus et homogènes.» Pour que les personnes en charge de l'évaluation puissent effectuer des tests de conformité des produits et leur attribuer un label de sécurité tel que spécifié dans la norme ISO Page 46

47 Certification des produits de sécurité En France, la DCSSI (Direction Centrale de la Sécurité des Systèmes d'information) qui dépend du secrétariat général de la Défense nationale propose une liste des CESTI (Centres agréés d'évaluation de la Sécurité des Technologies de l'information) qui réalisent des évaluations «... ils (ces centres) agissent en tant que tierce partie indépendante des développeurs de produits et de commanditaires». Page 47

48 Certification des produits de sécurité Pour tout ce qui concerne la certification critères communs (démarche, procédure, produits certifiés, dossier d'évaluation, conditions, portée de la certification, pilotage de l'évaluation, etc.), il est recommandé de se rapporter au serveur thématique sur la sécurité des systèmes d'information de la DCSSI. Toutes sortes de documents, conseils, réglementation, adresses utiles en matière de sécurité des systèmes d'information y sont accessibles. Principales limites des critères communs Les critères communs permettent d'obtenir une vue globale du niveau de sécurité des produits. Toutefois le champ d'application et l'intérêt du label «certifié critères communs» restent faibles au regard de la lourdeur de la démarche de certification. Le processus de certification d'un produit débute par la rédaction des documents à déposer en vue d'une accréditation «critères communs», qui dépend de l'organisme de certification agréé. En effet, chaque organisme de certification a sa propre formalisation des rapports. Ces organismes offrent une formation spécifique pour l'équipe en charge du développement d'un produit (environ 2500 euros par personne) afin que cette dernière puisse élaborer les rapports et les documents demandés. Le processus d'évaluation est souvent long et coûteux (environ une année pour un coût de euros). L'effort d'investissement en termes de personnes à mobiliser et le coût lui-même de la certification est souvent rédhibitoire pour certaines sociétés. Page 48

49 Certification des produits de sécurité De plus, du fait qu'il s agisse d'une norme internationale, il peut exister un certain décalage entre les spécifications de la norme, figée jusqu'à une nouvelle révision, et les technologies qui doivent être en conformité avec cette même norme, mais qui eux possèdent un cycle d'évolution beaucoup plus rapide. Ainsi un certain décalage peut s'introduire, comme d'ailleurs un certain biais. En effet, les produits n'ont pas besoin de répondre aux exigences de sécurité de la norme mais aux exigences des tests de conformité! Enfin, il s'agit d'un label statique attribué à un instant donné pour une version spécifique d'un produit. Chaque modification, même mineure, d'un produit, chaque nouvelle version, nécessite de le faire réévaluer et recertifier. En fait, bien souvent le label «certifié critères communs» est avancé à des fins marketing et ne reflète pas l'état de sécurité réel d'un produit. Il concerne fréquemment une version antérieure de celui-ci ou n'est relatif qu'à une sous-partie du produit, généralement de peu d'intérêt du point de vue de l'assurance d'un niveau de sécurité du produit dans son intégralité. Cela peut induire un certain flou ne permettant pas d'établir comme il se devrait, la confiance dans un produit certifié critères communs. Page 49

50 Certification des produits de sécurité Se pose également le problème de la confiance dans l'organisme de certification et de son indépendance vis-à-vis de fournisseurs de solutions et autres acteurs impliqués dans la sécurité. Et enfin, on peut raisonnablement se poser quelques questions telles que: quelle confiance accorder à un organisme de certification implanté sur un autre territoire? quelle confiance accorder à la fiabilité du processus de certification lui-même? Page 50

51 Organiser et diriger Organisation structurelle Une politique de sécurité est définie avec l'organisation spécifique qui la supporte. La mise en place d'une structure dédiée à la mise en œuvre et à la maintenance dépend de l'organisation de l'entreprise. Toutefois, selon une approche fonctionnelle de la mission de sécurité, on distinguera souvent le comité de direction générale, la mission sécurité et l'organe de révision. Le comité de direction générale est chargé du pilotage et du management de la sécurité. À ce titre, il doit:» définir la stratégie, même si pour cela il recourt à la mission sécurité qu'il a mise en place;» valider la politique de sécurité: cela comprend la définition de la mission sécurité, l'ensemble des lois, des règlements et des pratiques qui régissent la façon de «gouverner» la sécurité afin de gérer, de protéger et de diffuser les informations sensibles;» désigner les acteurs de la sécurité et leur assigner leur responsabilité;» s'impliquer activement à la sensibilisation des cadres et collaborateurs;» défendre le budget sécurité au conseil d'administration. Page 51

52 Organiser et diriger Les tâches de la mission sécurité (de nature transverse et pérenne) sont:» aligner les objectifs de la mission elle-même avec la politique de sécurité de l'organisation;» identifier les cibles de la sécurité et s'assurer qu'elles font l'objet d'un suivi opérationnel;» élaborer et documenter la politique de sécurité;» créer et maintenir le plan de formation et de sensibilisation des collaborateurs, conforme au niveau de sécurité requis par la stratégie;» évaluer et sélectionner les composants externes (produits ou solutions) dédiés à la sécurité;» demander une étude d'impact sur la sécurité au service concerné lors de l'installation d'un nouvel élément informatique;» organiser et maintenir, avec le comité de direction générale, une cellule de gestion de crise dans le but de prendre des décisions pertinentes lors de sinistres majeurs;» instruire le budget sécurité;» suivre l'évolution des risques, des vulnérabilités, des normes de sécurité, des besoins, des mesures (notion de veille technologique en matière de sécurité et vulnérabilité) ;» établir en collaboration avec les organes de révision les plans d'audit. Afin d'évaluer le niveau de sécurité de l'existant, les différentes cibles de sécurité font l'objet d'un audit spécifique qui sera confié à l'organe de révision. Page 52