I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E

Dimension: px

Commencer à balayer dès la page:

Download "I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E"

Clementine Laviolette
il y a 8 ans
Total affichages :

1 Résumé Le présent rapport de recherche décrit les composantes d une infrastructure TI sécurisée pour le commerce électronique. L objectif est de fournir une description exhaustive des enjeux liés à la sécurité afin d aider les professionnels du monde des affaires à mieux comprendre ce secteur critique. Le commerce électronique est un sous-ensemble des affaires électroniques, qui se compose d un large éventail d activités visant l échange de valeur au moyen de voies électroniques, la plus importante étant Internet 1. Ce dernier est une importante source de préoccupation car il est devenu une cible de choix pour les auteurs de virus, les pirates informatiques et d autres individus mal intentionnés, y compris les propres employés d une entité. La moitié des personnes qui ont répondu à différents sondages sur ce sujet ont indiqué avoir été victimes d attaques perpétrées avec succès sur leurs systèmes informatiques, les systèmes de commerce électronique ayant été particulièrement ciblés. Une importante proportion des attaques provenait de l intérieur des entités, constatation pour le moins étonnante. Non seulement les bris de sécurité entraînent des pertes de l ordre de 6 % des produits, en moyenne, mais les marchés financiers pénalisent aussi sévèrement les entreprises victimes de pannes et d atteintes à la sécurité donnant lieu à des accès à des données confidentielles. Ces observations montrent que la sécurité est une condition préalable importante pour la création d un environnement de commerce électronique de confiance. 1 L expression «affaires électroniques» est un générique qui englobe toutes les activités commerciales exécutées à l aide de TI, comme le cybermarketing, ou la gestion des ressources humaines et l exploitation en ligne. C est sur le commerce électronique que porte cette publication, mais comme l infrastructure TI ne se limite naturellement pas aux besoins des applications de commerce électronique, une grande partie du contenu de ce document s applique aussi bien aux affaires électroniques qu au commerce électronique. xi

Le commerce électronique est un sous-ensemble des affaires électroniques, qui se compose d un large éventail d activités visant l échange de valeur au moyen de voies électroniques, la plus importante

2 I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E Une infrastructure TI sécurisée est un élément essentiel de cet environnement de confiance. L infrastructure TI est à la base des activités d affaires électroniques d une entité et elle représente une part importante de ses dépenses en TI. Elle va au-delà de l infrastructure de communication ou même des composantes TI physiques. Elle comprend sept éléments clés qui constituent la plateforme TI pour les modèles de commerce électronique, comme les modèles de commerce interentreprises ou de commerce électronique de détail. Tous ces éléments doivent être pris en compte pour que les activités de commerce électronique d une entité inspirent confiance : 1. Architecture et normes TI 2. Infrastructure TI humaine 3. Infrastructure de communications 4. Composantes TI 5. Actif incorporel fondé sur les TI 6. Applications partagées et standard 7. Services TI partagés (incluant la sécurité) xii

Elle va au-delà de l infrastructure de communication ou même des composantes TI physiques.

3 RÉSUMÉ En raison de la complexité des systèmes et des vulnérabilités qui en résultent, l architecture des systèmes figure en tête de cette liste, en termes d importance. Du fait que les employés sont à l origine d un nombre considérable d incidents liés à la sécurité, qu ils soient dus à des erreurs et des omissions ou qu ils soient au contraire délibérés, ils viennent en deuxième place. Les réseaux de communications et les composantes TI sont la cible d un grand nombre de menaces pour la sécurité. L actif incorporel fondé sur les TI, comme la culture d une entité en matière de sécurité, se classe au même rang, en importance, du point de vue de la sécurité, que l infrastructure TI physique. Les applications et les services partagés viennent compléter l infrastructure TI. La sécurité compte parmi les services TI partagés essentiels faisant partie d une infrastructure TI efficace. On la décrit souvent en termes de contrôles d accès physiques et logiques. Pour être efficace, cependant, la stratégie d une entité en matière de sécurité doit aller au delà de ces deux aspects et fournir un cadre global permettant la création de systèmes de commerce électronique fiables intégrant les éléments suivants, dont la liste est tirée d une étude détaillée des cadres de sécurité publiés : 1. Cadre de sécurité Définition des frontières du système et de l environnement Politiques et normes en matière de sécurité 2. Évaluation des risques Classification et gestion des biens Évaluation des risques et analyse coûts-avantages 3. Gestion des ressources humaines Responsabilité et obligation de rendre compte Compétences et loyauté du personnel Information et communication (ou sensibilisation) 4. Contrôles d accès Analyse des besoins d accès des utilisateurs et gestion des privilèges Contrôles d accès physiques Contrôles d accès logiques 5. Gestion des opérations et des vulnérabilités Gestion des vulnérabilités Détection des intrusions et réaction aux incidents 6. Acquisition et développement de systèmes, maintenance et changements Maturité et qualité du cycle de développement de systèmes (SDLC) Maintenance et gestion des changements xiii

viennent en deuxième place. Les réseaux de communications et les composantes TI sont la cible d un grand nombre de menaces pour la sécurité.

4 I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E 7. Disponibilité et continuité Poursuite des activités Assurance 8. Contrôle de conformité Vérification de la conformité aux procédures et auditabilité Contrôle et apprentissage Ce rapport de recherche aborde systématiquement tous ces enjeux et est fondé sur une analyse complète de la documentation professionnelle et didactique pertinente, ainsi que sur les commentaires des membres d un groupe de discussion formé d experts qui ont revu l ensemble du contenu de ce document. En adoptant des mesures d intervention fondées sur la compréhension de l ensemble des composantes d une infrastructure TI sécurisée, on peut réduire considérablement les risques d attaques réussies à l encontre des plateformes et des activités de commerce électronique d une entité. Le diagramme de la page suivante illustre les liens entre les modèles de commerce électronique, les composantes d infrastructure TI connexes et les éléments pertinents en matière de sécurité. Le message clé de ce diagramme est que l infrastructure TI est exposée à différentes sources de risques et de vulnérabilités qu on doit gérer au moyen d un cadre de sécurité complet. Pour créer une infrastructure TI sécurisée, on doit tenir compte d un certain nombre de composantes clés et veiller sans relâche à l exécution efficiente et efficace de certaines tâches clés. Toutes les entités qui désirent avoir l assurance que leurs biens, notamment leurs systèmes et leur information, sont à l abri des risques d utilisation abusive et de destruction doivent consacrer suffisamment de ressources à la protection de leurs systèmes de commerce électronique et des avantages financiers que peuvent procurer ces derniers. xiv

analyse complète de la documentation professionnelle et didactique pertinente, ainsi que sur les commentaires des membres d un groupe de discussion formé d experts qui ont revu l ensemble du contenu

5 RÉSUMÉ Degré de présence publique/réputation Conception/architecture des systèmes/vulnérabilité technologique Ouverture/accessibilité Compétence/fiabilité du personnel Volume d information personnelle/sensible Niveau de commerce électronique Composantes de l infrastructure TI Éléments de sécurité Architecture/normes TI Infrastructure TI humaine Infrastructure de communications Composantes TI Actif incorporel Applications partagées/standard Services TI partagés Définition des frontières du système et de l environnement Politiques, normes et directives en matière de sécurité Classification et gestion des biens Évaluation des risques et analyse coûts-avantages Responsabilité et obligation de rendre compte Compétences et loyauté du personnel Information et communication/sensibilisation Analyse des besoins d accès des utilisateurs et gestion des privilèges Accès physiques Accès logiques Opérations Gestion des vulnérabilités Détection des intrusions et réaction aux incidents Maturité et qualité du cycle de développement de systèmes (SDLC) Maintenance et gestion des changements Poursuite des activités Assurance Vérification et auditabilité de la conformité aux procédures Contrôle et apprentissage xv

Composantes TI Actif incorporel Applications partagées/standard Services TI partagés Définition des frontières du système et de l environnement Politiques, normes et directives en matière de sécurité

Documents pareils

Politique de sécurité de l information

5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des