Sécurité informatique : règles et pratiques

Transcription

1 Sécurité informatique : règles et pratiques Dominique PRESENT I.U.T. de Marne la Vallée Construire une politique de sécurité : 12 thèmes Règles et pratiques : premières procédures à mettre en place basées sur la norme ISO 17799:2005, Thème 1 - Organiser la sécurité de l'information : préciser les rôles et responsabilités des gestionnaires, utilisateurs et 1-Organiser la fournisseurs de services. Détailler les mécanismes de sécurité sécurité de à mettre en place pour assurer la sécurisation de l'accès des l information tiers aux informations et ressources de l entreprise. Thème 4 - Gérer les actifs informationnels : procéder à 4-Gérer les l'inventaire des données; leur déterminer un propriétaire; les actifs catégoriser; déterminer leur niveau de protection et établir les informationnels mesures de sécurité à mettre en place. Thème 2 - Bâtir une politique de sécurité de l information : indiquer les éléments à considérer et le contenu de la 3-Gérer les risques de sécurité 1-Organiser la sécurité de l information 12-prévoir la continuité des activités politique de sécurité de l'information. Thème 3 - Gérer les risques de sécurité : analyser et évaluer les menaces, impacts et vulnérabilités auxquels les données sont exposées et la probabilité de leur survenance. Déterminer les mesures de sécurité pouvant être implantées pour réduire les risques et leur impact à un coût acceptable. Thème 12 - Prévoir la continuité des activités : décrire les façons de faire pour élaborer un plan de continuité et de relève des services, de même qu'un plan de sauvegarde des données et des applications de votre entreprise. 2-bâtir une politique de sécurité 1

2 La politique de sécurité : gérer les incidents Thème 10 - Gérer l'acquisition, le développement et l'entretien des systèmes : indiquer les règles de sécurité à observer dans l'acquisition, le développement, l'implantation d'applications et de logiciels. Thème 11 - Gérer les incidents de sécurité : indiquer les comportements à adopter lors de la détection d'un incident de sécurité; mettre en place un processus de gestion des incidents de sécurité. Thème 7 - Assurer la sécurité physique et environnementale : préciser les mesures à mettre en place pour sécuriser le matériel et éviter les accès non autorisés dans les locaux. Thème 5 - Assurer la sécurité des ressources humaines : indiquer au personnel les bonnes pratiques à utiliser pour protéger les renseignements confidentiels et nominatifs, faire un bon usage de leur équipement informatique. 10-Gérer l acquisition, le développement et l entretien des systèmes 7-Assurer la sécurité physique et environnemental 1-Organiser la sécurité de l information 9-Gérer les communications et les opérations 12-prévoir la continuité des activités 6-Vérifier la conformité 11-Gérer les incidents de sécurité 5-Assurer la sécurité des ressources humaines 8-Contrôler les accès Organiser la sécurité de l information Thème 1 Règles et pratiques Rôles et responsabilités : implanter des règles de conduite et partager les responsabilités entre les différents intervenants de votre entreprise. définir les rôles et les responsabilités des personnes impliquées dans la sécurité des actifs informationnels. Les responsabilités à l'égard de la sécurité des actifs informationnels de votre entreprise reposent sur : les gestionnaires qui en assurent la gestion ; les utilisateurs des actifs informationnels; les tiers, fournisseurs de services et contractuels. Le dirigeant de votre entreprise a comme responsabilités de : désigner un responsable de la sécurité des systèmes d'information (RSSI); valider la politique globale de sécurité, les orientations et les directives. Le comité de la sécurité de l'information doit : recommander les orientations et les directives au dirigeant de l entreprise; approuver les standards, les pratiques et le plan d'action de la sécurité de l'entreprise; assurer le suivi du plan d'action de sécurité. 2

3 Organiser la sécurité de l information Le responsable de la sécurité coordonne la sécurité de l'information. À cet effet, il doit : élaborer et assurer le suivi et la mise à jour périodique du plan d'action; communiquer au personnel, aux clients et partenaires de l'entreprise les orientations de sécurité de l'information; veiller au respect de la politique de sécurité de l'information ainsi qu'à la protection des renseignements personnels et sensibles; informer périodiquement le comité de l'état d'avancement des dossiers. Le propriétaire d'un actif informationnel doit : assurer la gestion de la sécurité de son actif informationnel; autoriser et répondre de l'utilisation, par les utilisateurs, clients et partenaires, des données ou informations dont il est propriétaire; veiller à ce que les mesures de sécurité appropriées soient élaborées, mises en places et appliquées. Gestion des accès des utilisateurs externes Le responsable de la sécurité doit contrôler les accès par des tiers aux infrastructures de traitement de l'information de l entreprise, évaluer les risques, valider les mesures à appliquer et les définir sous forme de contrat avec le tiers en question. Dans le cas de sous-traitance le contrat établit les clauses sur les mesures et procédures de sécurité pour les systèmes d'information, réseaux, infrastructures technologiques, informations ou données sensibles. Il inclut également les règles d habilitation pour le personnel devant avoit accès à de l'information sensible ou confidentielle. Gérer les actifs informationnels Thème 4 Les actifs informationnels sont l ensemble des données numériques La gestion des actifs informationnels consiste à faire leur inventaire, déterminer un propriétaire, les catégoriser, déterminer leur niveau de protection et établir les mesures de sécurité à mettre en place selon leur contexte d'utilisation. Principe Maintenir une protection adéquate des actifs informationnels de votre entreprise. Vous devez vous assurer, selon une démarche d'amélioration continue, que les mécanismes de sécurité appropriés sont élaborés, mis en place et appliqués. 3

4 Gérer les actifs informationnels : règles Gestion des actifs informationnels : Elaborer un inventaire des ressources informationnelles de votre entreprise (actifs informationnels, ressources humaines et matérielles affectées à la gestion, acquisition, traitement, accès, utilisation, protection, conservation des actifs). Cet inventaire doit s'appliquer aux trois catégories d'actifs informationnels suivantes : actifs appartenant à votre entreprise et exploités par elle-même; actifs appartenant à votre entreprise et exploités ou détenus par un fournisseur de services ou un tiers; actifs appartenant à un fournisseur de services ou un tiers et exploités par lui au profit de votre entreprise. Gestion des actifs informationnels (suite) : Vous devez élaborer un registre d'autorité de la sécurité de l'information. Ce registre contient : la description des actifs informationnels qui doivent être protégés; la désignation et les attributions des propriétaires d'actifs; la désignation et les attributions du responsable de la sécurité; les attributions de tout autre intervenant en sécurité. Vous devez : déterminer le niveau de risque et de vulnérabilité des informations et des ressources auquel votre entreprise est exposée (voir Thème 3 : Gérer les risques de sécurité). préciser les priorités d'action pour sécuriser les actifs informationnels. Protéger les actifs informationnels : les 3 étapes Étape 1 : Déterminer les actifs informationnels à catégoriser Faire un inventaire des actifs informationnels regroupés par : système d information; élément de l'infrastructure technologique (serveur, réseau de télécommunication, réseau téléphonique, etc.); type de document (contrat, procédure, plan, etc.) ; environnement physique (immeuble, local ). Attribuer un propriétaire, une catégorie et une valeur à chaque actif informationnel (les actifs informationnels à catégoriser sont ceux pour lesquels une atteinte à la sécurité peut avoir des conséquences négatives pour votre entreprise). Étape 2 : Catégoriser les actifs informationnels Donner des valeurs (élevée, moyenne ou basse) aux attributs disponibilité (D), intégrité (I) et confidentialité (C) selon le contexte d'utilisation des actifs informationnels de l'entreprise. Les contextes d'utilisation retenus sont : les postes autonomes ou mobiles, le réseau fermé et le réseau ouvert. Il est recommandé d'effectuer après cette étape une évaluation et une analyse des risques. Étape 3 : Déterminer les mesures de sécurité à appliquer pour protéger les actifs informationnels Indiquer les mesures de sécurité qui à appliquer, à partir du contexte d utilisation de chaque actif. Cette étape est répétée autant de fois qu i l y a d'actifs à catégoriser. 4

5 Bâtir une politique de sécurité implique l entreprise Thème 2 Une politique de sécurité de l'information est un ensemble de documents émanant de la direction de votre entreprise et indiquant les directives, procédures, lignes de conduite et règles organisationnelles et techniques à suivre relativement à la sécurité de l'information et à sa gestion. Une telle politique constitue un engagement et une prise de position claire et ferme de la direction de protéger ses actifs informationnels. Principe Pour vous aider à bâtir une politique de sécurité de l'information, la norme ISO 17799:2005 peut vous servir de guide et de référence. Règles et politiques identifier le type de clientèle à laquelle vous vous adressez et de catégoriser les actifs informationnels de votre entreprise selon leur degré de sensibilité. protéger les informations et ressources considérées comme vitales ou importantes pour votre entreprise, soit des : systèmes d'information (application, logiciel, etc.); éléments de l'infrastructure technologique (serveur, réseau de télécommunications, réseau téléphonique, etc.); types de documents (contrat, procédure, plan, procédé de fabrication, etc.); installations (immeuble, local, etc.). Une politique de sécurité conduit à des procédures La politique de sécurité de l'information devra contenir les éléments suivants : confirmer l'engagement de la direction; désigner une personne responsable de la sécurité de l'information; identifier ce qui doit être protégé; identifier contre qui et quoi vous devez être protégé; inclure des considérations de protection de l'information; encadrer l'utilisation des actifs informationnels; tenir compte de la conservation, de l'archivage et de la destruction de l'information; tenir compte de la propriété intellectuelle; prévoir la réponse aux incidents et préparer une enquête, s'il y a lieu; informer vos utilisateurs que les actes illégaux sur les informations et ressources de l'entreprise sont interdits. La pratique recommandée pour l'élaboration d'une politique de sécurité repose sur les éléments suivants : une politique globale; des directives; des procédures, standards et bonnes pratiques. 5

6 Gérer les risques de sécurité Thème 3 La gestion des risques (accidents, erreurs, défaillances, malveillances) de sécurité consiste à protéger les biens de votre entreprise contre les menaces pouvant survenir. PRINCIPE L'évaluation des risques est la première étape à réaliser lors d'une démarche de sécurité. RÈGLES ET PRATIQUES déterminer les actifs informationnels vitaux et importants de votre entreprise. Ils sont évalueés lors de la démarche de catégorisation (voir Thème 4 : Gérer les actifs informationnels) selon des critères de disponibilité, d'intégrité et de confidentialité, afin de déterminer lesquels sont essentiels à votre entreprise pour atteindre ses objectifs. évaluer les risques : probabilité de la menace, degré de vulnérabilité et niveau de gravité de son impact. établir une liste exhaustive des vulnérabilités pouvant être exploitées (écoute clandestine, destruction de fichiers, inondation, erreur d acheminement, virus, incendie, manque de contrôle de l'accès aux locaux, mauvaise gestion des supports de sauvegarde, complexité des règles d'accès sur les coupe-feux et les routeurs, manque d'information des utilisateurs sur les procédures de sécurité, mots de passe inadéquats, etc. Évaluer l'impact de ces menaces. Les conséquences peuvent être la destruction ou des dommages à certains actifs informationnels et une perte de confidentialité, d'intégrité et de disponibilité. Les conséquences indirectes comprennent les pertes financières, de parts de marché, de bénéfices ou d image. L'évaluation des impacts permet de comparer les conséquences d'une menace et l'investissement requis pour se protéger de cette menace potentielle. un équilibre entre prévention et réparation Pour gérer le risque, il est important d'assurer un bon équilibre entre le temps et les moyens requis pour identifier et mettre en place des mesures de sécurité et le temps et les moyens engendrés par un incident de sécurité. Habituellement, les risques ne sont que partiellement atténués par les mesures de sécurité. Une réduction totale d un risque peut amener des coûts importants. Donc, il faut définir le niveau de risque qu'on juge intolérable. À partir des résultats obtenus de l'analyse des risques, la direction de l'entreprise doit indiquer la limite des risques acceptables. La mise en place d'une mesure de sécurité consiste à utiliser des bonnes pratiques, des procédures ou des mécanismes qui peuvent protéger contre une menace, réduire une vulnérabilité, limiter l impact d'une menace et faciliter le retour à la normale des activités de votre entreprise. Une sécurité efficace requiert généralement la combinaison de plusieurs mesures de sécurité pour protéger adéquatement les actifs informationnels. Les mesures de sécurité à considérer peuvent comporter une ou plusieurs des fonctions suivantes : intégrité, irrévocabilité, identification/authentification, habilitation/contrôle d accès, confidentialité, disponibilité, surveillance et administration (logicielle, matérielle et réseau). L'analyse des exigences de sécurité et de contrôle vous permet de déterminer les fonctions de sécurité requises. Par la suite, pour mitiger les risques, vous sélectionnez des mesures de sécurité appropriées, correspondant aux fonctions de sécurité retenues pour protéger vos actifs informationnels. Finalement, vous rédigez un plan d'action de sécurité et vous l'implantez selon l'ordre de priorité établi pour les mesures de sécurité à mettre en place. Le cycle de la gestion de la sécurité de l'information se poursuit en vérifiant l'efficacité du plan d'action, en mettant en place des mesures correctives et de prévention appropriées, et en apportant les améliorations identifiées lors de vérifications et contrôles. 6

7 Gérer les incidents Thème 11 Un incident de sécurité est une atteinte à la sécurité qui menace la confidentialité, l'intégrité ou la disponibilité des actifs informationnels et met en péril, selon sa gravité, le déroulement des activités de votre entreprise. Principe Chaque gestionnaire doit communiquer à ses employés la marche à suivre et les comportements à adopter lors de la détection d'un incident ou d un dysfonctionnement de sécurité. Lorsqu'un événement est détecté, il faut : détailler les faits (date, heure, description de l'incident, nom des personnes impliquées, identification du poste de travail s'il y a lieu, etc.); informer rapidement son supérieur immédiat et le responsable de la sécurité de l'information en transmettant les détails de l'événement. La déclaration rapide des incidents limite les dégâts. Gérer les incidents : types d incidents de sécurité Utilisation illégale d'un mot de passe, usurpation d'identité courriels lus à votre insu, utilisation de vos codes d'accès, etc.; Intrusion ou tentative d'intrusion dans une application, un fichier, etc. Des applications informatiques se mettent en marche automatiquement ou des tâches dans votre micro-ordinateur s'exécutent hors de votre contrôle (prise de contrôle à distance de votre poste de travail, cheval de Troie); Incident causé par un virus, un ver, un logiciel espion, un cheval de Troie Vous avez détecté la disparition de fichiers, votre micro-ordinateur est très lent, des messages inappropriés ou des animations apparaissent subitement à l'écran, etc.; Indiscrétion dans un micro-ordinateur pendant une absence Vous êtes témoin qu'un individu utilise le micro-ordinateur d'un collègue; vous devez lui poser des questions pour qu'il s'identifie et vous indique ce qu'il est en train de faire; Vol d'un bien, sabotage d'un équipement informatique, etc. Votre micro-ordinateur a été volé pendant votre absence; Divulgation de renseignements personnels ou confidentiels Vous devez aviser votre supérieur immédiat ou le responsable de la sécurité de l'information si vous détectez une fuite de renseignements personnels ou confidentiels; Etc. 7

8 Gérer les incidents : règles et pratiques En présence d incidents de sécurité, il faut : identifier et catégoriser les incidents; choisir les procédures à appliquer (intervention, escalade et rétablissement); élaborer une procédure de communication (quoi dire et à qui). Le processus de gestion des incidents est constitué de cinq activités : la prévention des incidents, tests d'intrusion, sensibilisation et formation des utilisateurs, et réalisation d une analyse de risques; la détection, mise en place des moyens de détection (antivirus, système de prévention et de détection d'intrusions, serveurs pièges) et de déclaration de surveillance; la réaction aux incidents, mise en place des mécanismes appropriés permettant de réduire les impacts; l'activation de mesures de rétablissement ou de retour à la normale dans les meilleurs délais; la rétroaction, analyse de l'incident pouvant conduire à des modifications des processus de gestion et de traitement des incidents ou la mise en place de nouvelles mesures de sécurité. Assurer la sécurité des ressources humaines Thème 5 RÈGLES ET PRATIQUES Formation et sensibilisation informer chaque utilisateur que son micro-ordinateur doit être utilisé uniquement dans le cadre de son travail et que tous les accès à Internet sont journalisés (s il y a lieu). communiquer à chaque utilisateur les procédures de sécurité qui le concernent et l'informer qu'il doit les respecter dans l'exercice de ses fonctions. Vous devez également l'informer qu il s'expose à des sanctions (mêmes légales) dans le cas contraire. informer le personnel des consignes suivantes : Chaque nouvel employé ou contractuel doit lire et signer un engagement de respect de la sécurité (ou lors de l'implantation de la politique de sécurité). Les employés et les contractuels qui traitent de l'information sensible doivent être soumis à une habilitation sécuritaire et signer une entente de confidentialité. Chaque utilisateur ne peut : télécharger et/ou installer des jeux ou des logiciels non autorisés et sans droit de licence, de même que des films et des pièces musicales; empêcher le fonctionnement des outils de protection (antivirus, écran de veille, etc.); accéder par Internet à des sites interdits; installer des programmes ou fichiers reçus par courriel et ne concernant pas son travail. 8

9 Assurer la sécurité des ressources humaines Chaque utilisateur doit, pour assurer la protection de la vie privée des personnes : utiliser des données fictives lors des tests de systèmes; assurer l intégrité de l'information lors de sa collecte, de son traitement et de sa conservation; assurer la conservation de l'information à l'abri des indiscrétions; surveiller l'impression ou la photocopie d'informations confidentielles; assurer la destruction sécuritaire des supports informatiques. Chaque utilisateur doit informer son supérieur immédiat et le responsable de la sécurité de l'information de tout incident ou disfonctionnement de sécurité qu'il constate. Procédure d accueil La séance d'accueil doit inclure, pour le volet sécurité, les éléments suivants : les politiques et procédures; L organigramme des responsabilités des intervenants en sécurité (qui fait quoi); l'identifiant et le mot de passe: composition et longueur minimale du mot de passe, période de validité; confidentialité du mot de passe; responsabilités des actions effectuées avec son identifiant; l'usage judicieux des équipements et logiciels incluant Internet. Procédure de départ Une procédure doit mettre fin aux droits d'accès de tout employé contractuel ou tiers aux actifs informationnels de votre entreprise prennent fin immédiatement dès son départ. Gérer les systèmes : sécuriser l information Thème 10 L'acquisition, le développement et l'entretien de systèmes impliquent la mise en œuvre de moyens de protection et l'observation de règles, normes et standards. La sécurité des systèmes comprend : les systèmes d'exploitation, les infrastructures technologiques, les applications d affaires, les progiciels et les applications développés par les utilisateurs. Principe Le responsable de la sécurité identifie et valide les exigences de sécurité avant le développement de tout système d'information. Lors de l'analyse préliminaire du projet de développement d'un système, tous les besoins de sécurité doivent être définis, approuvés et documentés. Règles et pratiques La sécurité de l'information doit être une préoccupation constante dans les développements de systèmes, leur implantation, leur entretien de même que lors des évolutions logicielles et matérielles. Pour ce faire, le responsable de la sécurité doit prendre en considération les éléments suivants : l'identification des exigences de sécurité des systèmes; les contrôles dans le traitement de l'information; les mesures de chiffrement de l'information; la sécurité des fichiers des systèmes d'information; la sécurité des environnements de développement et de soutien; la gestion des vulnérabilités techniques. 9

10 Gérer les systèmes : contrôler la validité des données Identification des exigences de sécurité des systèmes Lors de la définition des besoins, les contrôles et mesures de sécurité doivent être spécifiés et décrits. Dans le cas où un progiciel est acquis, des tests spécifiques reliés aux besoins de sécurité doivent être réalisés pour vérifier les fonctionnalités de sécurité du produit. Contrôles dans le traitement de l information Les données d'entrée des systèmes d information doivent être validées : vérification des éléments (valeurs acceptées, limites inférieures et supérieures, etc.); examen des fichiers afin de vérifier leur intégrité et validité; définition des responsabilités du personnel affecté au traitement des données; création d'un journal des changements apportés aux données d entrée. Des tests de validation et de contrôle doivent être incorporés dans les applications pour détecter les données pouvant être corrompues lors du traitement de l information. La validation des données de sortie des systèmes d'information implique : La vérification permettant d'assurer la validité des données; La mise en place d'une procédure de contrôle permettant de vérifier le traitement complet de tous les enregistrements d'un fichier; La définition des responsabilités du personnel affecté au traitement des données de sortie; La création d'un journal de transactions enregistrant tous les changements apportés aux données de sortie. Gérer les systèmes : contrôler l accès aux archives Contrôles par des mesures de chiffrement de l'information Pour protéger la confidentialité, l'authenticité et l'intégrité de l'information, des mesures de chiffrement peuvent être implantées. Sécurité des fichiers des systèmes d information L'accès aux fichiers et aux bibliothèques de programmes sources des systèmes d'information doit être contrôlé. Des mesures de sécurité doivent être prises pour protéger les données sensibles dans les environnements de tests. Sécurité des environnements de développement et de soutien L'environnement de développement et de soutien doit être sécurisé et des procédures de sécurité doivent décrire leur accès. Les activités de développement doivent être réalisées sur des environnements différents de la production. La sécurité des environnements de développement de systèmes implique : la mise en place de procédures de contrôle des changements apportés aux systèmes; une révision technique de toutes les modifications apportées à un système d exploitation; des restrictions sur les modifications à apporter aux progiciels (limiter à l'essentiel les modifications à ces produits); la sous-traitance du développement de logiciels doit être supervisée par le personnel de l'entreprise (droits de licence, propriété du code source, droits d'accès pour vérifier la qualité et la sécurité au niveau des fonctionnalités, etc.). Gestion des vulnérabilités techniques Pour diminuer les risques liés à l'exploitation des vulnérabilités connues, une procédure doit être mise en place pour appliquer rapidement les correctifs identifiés et en assurer l'efficacité. 10

11 Assurer la sécurité physique Thème 7 empêcher l'accès non autorisé ainsi que les dommages et perturbations pouvant affecter les activités quotidiennes et les actifs informationnels installés dans les locaux de l entreprise. PRINCIPE installés les actifs informationnels identifiés comme vitaux ou importants dans des locaux sûrs qui constituent le périmètre de sécurité. Des procédures de supervision des actifs à protéger et des contrôles d'accès physiques au périmètre de sécurité doivent être mises en place. RÈGLES ET PRATIQUES protéger les actifs informationnels contre les menaces d'atteinte à la sécurité et les dangers reliés à l'environnement : menaces d'incendie, d'inondation, de survoltage, de coupure de courant, de panne d'air climatisé ou de chauffage, d'accès illégal au périmètre de sécurité, etc. Protection des équipements et des locaux réduire les risques d'accès non autorisés aux informations et ressources de l entreprise. Sécuriser dans un local dédié (muni de carte d accès, clé, système de détection et d'extinction en cas d'incendie etc.) les équipements réseau (serveurs, routeurs,etc.). Ce local ne doit pas être utilisé à d'autres usages (stockage de papiers et de cartons, rangement de matériaux divers, etc.). Il peut être équipé de caméras de surveillance, d'un système d'alarme et, idéalement, ne doit pas être situé au rez-de-chaussée d'un immeuble. inciter les utilisateurs de votre entreprise à la prudence et à la vigilance lorsqu'ils utilisent leur micro-ordinateur portable à l'extérieur des locaux de votre entreprise. Ils doivent se prémunir contre le vol : en ne laissant pas leur micro-ordinateur à la vue dans un véhicule; en cryptant leur disque dur afin de protéger les logiciels et données. Assurer la sécurité physique porter attention à l'emplacement et à la mise au rebut du matériel et des documents Les alimentations électriques des équipements considérés comme vitaux ou importants doivent être sécurisées par : une unité non interruptible qui garantit l'alimentation (UPS); une génératrice de secours. La détection d'incendie doit prévoir la coupure automatique de l'alimentation électrique du périmètre de sécurité. Ces dispositifs doivent être testés et vérifiés périodiquement. Vous devez faire respecter les consignes suivantes : reformater les disques de tout équipement mis au rebut ou réutilisé. Si des données sensibles avaient été emmagasinées, la destruction physique des disques est à faire. stocker sous clé les supports et documents importants identifiés comme vitaux. Une déchiqueteuse doit être utilisée pour les documents confidentiels ou sensibles. Les équipements informatiques utilisés en dehors des locaux de l'entreprise (chez un client, à la maison, etc.) sont soumis aux mêmes procédures de sécurité. Protection reliée à l environnement prévoir ou ajouter des mesures spécifiques de protection contre les inondations, les explosifs, la fumée, la poussière, les vibrations, les tremblements de terre, les produits chimiques et les interférences avec l'alimentation électrique. Prévoir si nécessaire un système d'alarme (idéalement, il ne doit pas être situé au rez-dechaussée d'un immeuble). 11

12 Contrôler les accès : les règles Thème 8 Le contrôle des accès consiste à gérer et contrôler les accès logiques et physiques aux informations et ressources de l'entreprise; détecter les activités non autorisées et préciser les règles à observer concernant l'identifiant et le mot de passe, de même que les autorisations d'accès. PRINCIPE L'accès aux actifs informationnels catégorisés comme vitaux ou importants est réservé aux seules personnes autorisées. Le droit d'accès et le type d'accès (lecture seule, modification, droit d'effacement ou d'écriture) sont accordés par le propriétaire de chaque actif. RÈGLES ET PRATIQUES Rôle du responsable de la sécurité veiller à mettre en place une directive pour contrôler l'attribution des droits d'accès aux informations et ressources de l'entreprise. Cette directive doit couvrir tous les stades du cycle de vie des accès d'un utilisateur, de son enregistrement initial (arrivée) à son annulation (départ). limiter les droits d'accès privilégiés (par exemple : administrateur d'un système d'exploitation) qui permettent d'outrepasser des mesures de contrôle. attribuer un identifiant et un mot de passe, de même que les autorisations reliées au profil d'accès de chaque utilisateur. assurer le soutien des propriétaires d'actifs informationnels qui ont la responsabilité d'accorder, faire modifier ou supprimer tout droit d'accès à un actif dont ils ont la responsabilité. Contrôler les accès : rôle du responsable sécurité s'assurer que les systèmes d'applications peuvent : contrôler l'accès des utilisateurs à l'information et aux fonctions des systèmes d'applications, conformément à une procédure définie de contrôle des accès; fournir une protection contre l'accès non autorisé à tout programme utilitaire et à tout logiciel de système d'exploitation capable d'outrepasser les commandes du système ou des applications; ne pas porter atteinte à la sécurité des autres systèmes avec lesquels les ressources d'information sont partagées; être capables de fournir l'accès aux informations uniquement au propriétaire, à d'autres individus autorisés ou à des groupes définis d'utilisateurs. recourir à des dispositifs de sécurité pour chaque système d'exploitation utilisé afin de limiter l'accès aux ressources contrôlées ou exploitées par ce système. Ces dispositifs doivent remplir les fonctions suivantes : identification et vérification de l'identité, poste de travail de chaque utilisateur ; enregistrement des accès au système, qu'ils soient réussis ou non; prévision d'un moyen d'authentification approprié; si un système de gestion des mots de passe est utilisé, il doit assurer la qualité des mots de passe; restriction des heures de connexion des utilisateurs, si le besoin est requis. surveiller les systèmes afin de détecter tout écart de la procédure de contrôle des accès et d'enregistrer les événements pouvant être surveillés, afin d avoir des éléments de preuve en cas d'incidents de sécurité. 12

13 Contrôler les accès aux réseaux externes de l entreprise vérifier l'efficacité des mesures adoptées ainsi que leur conformité à un modèle de politique d'accès par la surveillance des systèmes. contrôler l'accès aux services internes et externes sur le réseau. Il doit assurer : la présence d'interfaces appropriées entre le réseau de l'entreprise et les réseaux appartenant à d'autres organisations; la présence de mécanismes d'authentification appropriés pour les utilisateurs et le matériel à distance; le contrôle de l'accès utilisateur aux services d'information. La connexion à Internet ou à des réseaux externes peut se faire selon certaines balises : La connexion se fait à partir de postes de travail spécifiques, qui ne sont pas connectés au réseau de l'entreprise et qui ne contiennent aucune donnée critique. Les postes sont protégés par un coupe-feu personnel et un antivirus. Des postes de travail spécifiques sont autorisés à se connecter directement. Ils sont protégés par un coupe-feu personnel et par un antivirus. Des postes de travail spécifiques sont autorisés à se connecter via la passerelle de sécurité où passent toutes les connexions sortantes. Toute autre façon de se connecter est interdite. limiter et mettre sous surveillance les connexions de postes de travail en accès distant : limiter les services offerts aux besoins identifiés et interdire tout accès à une information sensible. Ces accès à distance sont authentifiés et chiffrés. Ils utilisent une classe d'adresse IP bien déterminée interdire la connexion au réseau de l'entreprise d un micro-ordinateur fixe ou portable n'appartenant pas à celle-ci. Contrôler les accès : un utilisateur responsable L'utilisateur détient un droit d'accès personnel et unique à son environnement de travail qui comprend : des outils de communication (courrier électronique, Internet, intranet); des systèmes d'exploitation, logiciels, applications, progiciels et de l'information personnelle ou partagée. Il est interdit à l'utilisateur de : divulguer de l'information confidentielle; chercher à obtenir de l'information non reliée à sa tâche; abuser de son droit d'accès par curiosité ou pour autre motif. Le mot de passe est l'une des principales façons de garantir la sécurité d'accès aux systèmes et à l'information de l'entreprise. En conséquence, l'utilisateur doit : garder secret son mot de passe (ne pas l'afficher ou l'écrire sur un papier à la vue de tiers); changer le mot de passe lorsque le système le demande; utiliser un mot de passe d'au moins 8 caractères, composé de lettres, chiffres, caractères spéciaux, minuscules et majuscules et facile à retenir; utiliser, s'il y a lieu, l'écran de veille avec mot de passe imposé par l'entreprise qui permet de verrouiller le poste de travail lorsqu'il est hors d'usage pendant une période déterminée; être responsable des actions effectuées avec son identifiant et son mot de passe (ne pas permettre à un tiers d utiliser son identifiant). 13

14 Contrôler les accès de l informatique mobile La directive concernant l'utilisation de l'informatique mobile doit inclure des spécifications concernant : la sécurité physique; le contrôle des accès; les mesures de chiffrement; les procédures de sauvegarde; la protection contre les virus. Dans le cas du télétravail, il convient que l entreprise applique une protection sur le site de télétravail et veille à ce que des dispositions appropriées soient prises pour ce type de travail. Les facteurs à considérer sont : la sécurité physique du lieu de télétravail; les heures de travail, la catégorisation des informations à rendre disponibles, les services et applications accessibles; la sécurité des moyens de télécommunication utilisés; l'accès à l information par des personnes non autorisées; les procédures de sauvegarde; la disponibilité d'une assurance; le soutien technique et la maintenance; l'audit et la surveillance. sécurité : atouts des VPN, risques du Wi-Fi La sécurisation par les réseaux virtuels (Virtual Private Network) : Le VPN (Virtual Private Network) peut être utilisé pour sécuriser les connexions à distance des utilisateurs mobiles et des télétravailleurs. Le VPN permet d'établir une connexion sécurisée privée à travers l'internet grâce à des techniques de cryptage et d'authentification. Les réseaux sans fil accentuent les risques : Les réseaux sans fil causent un sérieux problème de sécurité. Avant d'aller de l'avant avec cette technologie, vous devez réaliser une analyse des risques et décider, si vous poursuivez dans cette démarche, comment vous allez l'implanter et quelles mesures de sécurité vous allez adopter. Les réseaux sans fil ont des connexions semblables aux autres types de réseau, mais ils comportent des différences importantes quant aux contrôles à mettre en place. Ces différences sont : la technologie des réseaux sans fil utilise les ondes pour la transmission des données. Les ondes sont accessible à tout ordinateur à portée. Ne pouvant empêcher leur réception, il faut empêcher leur utilisation (mot de passe, cryptage, certificat, ) ; la difficulté de faire des sauvegardes au moment approprié à cause d'une bande passante insuffisante et/ou de l'impossibilité de communiquer avec le réseau de l'entreprise au moment de la prise de sauvegarde ; Les informations importantes et vitales de votre entreprise ne doivent pas être disponibles via un réseau sans fil. 14

15 Contrôler les communications : gérer les opérations Thème 9 Le réseau de télécommunications étant une composante critique du système d'information, il doit faire l'objet de mesures de sécurité et de contrôle qui tiennent compte de tous les besoins d'accès des clients, des partenaires et du personnel de l'entreprise (accès à distance, communication avec des tiers, commerce et transactions électroniques, etc.). Principe s'assurer de la fiabilité, de l'intégrité et de la disponibilité du réseau de télécommunications : mettre en place des procédures de contrôle et des mécanismes de sécurité; installer des outils de protection adaptés pour sécuriser systèmes d'exploitation et applications. Règles et pratiques Gestion des opérations Toutes les opérations concernant le traitement des informations doivent être documentées. Dans ce contexte, il faut établir les responsabilités et les procédures de gestion et d'utilisation de toutes les infrastructures technologiques. Les activités de développement d'applications et de tests ne doivent pas être réalisées sur les mêmes environnements que ceux en cours de production. Cette séparation vise à éliminer la possibilité de confondre les données de tests avec les données réelles. Les contrats encadrant les actifs informationnels gérés par des tiers doivent prévoir des mesures de gestion indiquant les éléments de sécurité sensibles et les procédures de sécurité à mettre en place. Contrôler les communications : implanter les outils Gestion des communications Les risques d'altération et de divulgation d'informations confidentielles et sensibles sont maintenant de plus en plus élevés. Les causes de ces risques sont : les logiciels pernicieux (vers, usurpation d'identité, logiciels espions, etc.); les intrusions et les écoutes à travers les réseaux; la disponibilité de réseaux sans fil; les nouvelles technologies de stockage (clé USB, disque amovible, etc.); les erreurs humaines et actes malveillants effectués par le personnel de l entreprise. Pour se protéger d actes malveillants ou des attaques de pirates informatiques, plusieurs moyens de protection sont disponibles : Le coupe-feu : protége le réseau contre les intrusions et empêche le trafic non autorisé de l'intérieur vers l'extérieur ; Le coupe-feu personnel protége le poste des attaques provenant du réseau; Le logiciel antivirus : permet de rechercher et d'éliminer les virus informatiques et autres logiciels pernicieux. L'antivirus doit être installé sur différents points névralgiques : sur chaque micro-ordinateur du parc informatique de l'entreprise; sur le serveur de messagerie; sur la passerelle d'accès Internet. Il est recommandé, pour chaque point névralgique retenu, d'utiliser des fournisseurs distincts afin d'augmenter les chances de détection. 15

16 Contrôler les communications : analyser, prévenir La mise à jour des logiciels : permet d'éliminer les vulnérabilités connues et de profiter des améliorations apportées à la sécurité. L'analyse de l'infrastructure technologique (serveurs, routeurs, pare-feux ): permet de vérifier les vulnérabilités exploitables par des personnes malveillantes. Le scanner de vulnérabilités est un logiciel automatisé conçu pour détecter les vulnérabilités et les faiblesses du réseau de communication. Un rapport indique les vulnérabilités identifiées et les éléments sur lesquels il faudra apporter des correctifs. Le responsable de la sécurité doit faire respecter les consignes suivantes, en informant les intervenants concernés : La sauvegarde des données, des applications et des logiciels d exploitation représente une activité essentielle et primordiale pour l entreprise. En cas de sinistre (incendie, inondation) ou de problème matériel (disque défectueux, serveur endommagé), il faut récupérer les informations et ressources dans des délais raisonnables ; le transport de supports contenant de l'information de l'entreprise (CD, Bandes, ), doit être soumis à des procédures sécuritaires (emballage spécial, mallette à ouverture par code, livraison selon un processus sécuritaire, cryptage de l'information) ; La transmission d informations confidentielles ou sensibles par messagerie électronique, doit utiliser un mécanisme de chiffrement convenu avec son correspondant. Vérifier la conformité Thème 6 La vérification de la conformité consiste à s'assurer : du respect des lois et des réglementations; de la conformité des procédures de sécurité en place; de l'efficacité des dispositifs de suivi (journaux, enregistrements de transactions,..). RÈGLES ET PRATIQUES Le non-respect de la législation en vigueur peut avoir des conséquences financières ou pénales : vérifier la conformité de la protection des informations opérationnelles confidentielles et des informations sur les individus (renseignements personnels ou nominatifs). vérifier la conformité de la sécurité des actifs informationnels avec la politique de sécurité de votre entreprise, afin d'identifier et d'évaluer les insuffisances. Un audit, interne ou externe, doit être fait périodiquement pour assurer : la vérification de la conformité des mécanismes de sécurité physique et logique; la vérification des contrôles de sécurité effectués sur les actifs informationnels vitaux et importants de l'entreprise; la validation de l'efficacité des mesures de sécurité mises en place; la validation des processus d'alertes et de réaction aux incidents de sécurité; la vérification des mécanismes de contrôle d'accès par des tests d'intrusion; l'évaluation du plan de continuité et de relève; la conformité aux lois et règlements; la sensibilisation de la direction et des utilisateurs aux risques potentiels. 16