Livre Blanc. Que signifie "Sécurité de l'information"? 2. Pourquoi dois-je protéger mes informations? 3. Pourquoi procéder à un audit de sécurité?

Transcription

1 Livre Blanc Sécurité des systèmes d Infrmatins : La qualité, les méthdes et leurs prcess à mettre en œuvre pur atteindre un niveau de sécurité ptimal. Smmaire : Que signifie "Sécurité de l'infrmatin"? 2 Purqui dis-je prtéger mes infrmatins? 3 Purqui prcéder à un audit de sécurité? 4 La Qualité La Méthde Le Prcess La nrme ISO : Le cde de bnne cnduite pur la gestin de la sécurité de l Infrmatin 6 Principe de base 7 Avantages du référentiel 7 Rappel : la certificatin ISO 7 Descriptin des 10 chapitres de la nrme 9 Cnclusins 12 La Méthde Mehari. Et ses 3 phases 13 La Méthde Marin. Et ses 3 phases 14 Intrductin à ITIL «Infrmatin Technlgy Infrastructure Library» 19 Cncept 20 Bénéfices d ITIL pur les entreprises 21 Les 2 piliers d ITIL : le service supprt et le service delivery 22 Cnclusins générales 26

2 Que signifie "Sécurité de l'infrmatin"? Pur des sucis d'efficacité et de rentabilité, une entreprise cmmunique aujurd'hui avec ses filiales, ses partenaires et va jusqu'à ffrir des services aux particuliers, ce qui induit une uverture massive à l'infrmatin. Par l'uverture des réseaux, la sécurité devient un facteur décisif du bn fnctinnement de l'entreprise u de l'rganisme. Il reste qu'une entreprise u un rganisme pssède certaines infrmatins qui ne divent être divulguées qu'à un certain nmbre de persnnes u qui ne divent pas être mdifiées u encre qui divent être dispnibles de manière transparente à l'utilisateur. Ces infrmatins fernt l'bjet d'une attaque si et seulement si des menaces existent et si le système abritant ces infrmatins est vulnérable. Par cnséquent n appelle sécurité de l'infrmatin, l'état de prtectin, face aux risques identifiés, qui résulte de l'ensemble des mesures générales et particulières prises pur assurer la cnfidentialité, l'intégrité et la dispnibilité de l'infrmatin traitée, ù : - la cnfidentialité est le caractère réservé d'une infrmatin dnt l'accès est limité aux seules persnnes admises à la cnnaître pur les besins du service. - l'intégrité de l'infrmatin traitée garantit que celle-ci n'est mdifiée que par un acte vlntaire et légitime. - la dispnibilité est l'aptitude d'un système d'accéder à l'infrmatin dans des cnditins définies d'hraires, de délais et de perfrmances. Purqui dis-je prtéger mes infrmatins? Parce que j'estime que si je perds ces infrmatins, cela prvquerait : - Une perte financière (exemple : destructin de fichiers client, récupératin de cntrats par un cncurrent,...) - Une perte de l'image de marque (exemple : piratage d'une banque, divulgatin d'un numér de téléphne sur liste ruge,...) - Une perte d'efficacité u de prductin (exemple : rendre indispnible un serveur de fichiers sur lequel travaillent les cllabrateurs) BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 2 BlasCm@BlasCm.cm

3 D'ù l'intérêt pur une entreprise u un rganisme d'avir une classificatin de ses infrmatins. Par exemple, n peut citer les infrmatins dites : - stratégiques pur l'entreprise cmme les ffres de rachat en général ce snt des infrmatins manipulées au niveau de la Directin de l'entreprise u de l'rganisme - critiques cmme le plan d'adressage de l'entreprise, la cnfiguratin des utils de sécurité, les plans de securs,... - internes cmme l'ensemble des infrmatins prpres à l'entreprise et qui ne dit pas être frcément de ntriété publique - publiques cmme les infrmatins faisant l'bjet de cmmuniqué de presse u les infrmatins figurant que le site Web de l'entreprise u de l'rganisme Mais tut ce travail de classificatin demande une réflexin qui dit être menée au sein de l'entreprise et de l'rganisme. Le mnde de la Défense pssède sn prpre système de classificatin de l'infrmatin : le Cnfidentiel Défense (CD), le Secret Défense (SD) et le Très Secret Défense (TS). Purqui ai je perdu mes infrmatins? Parce qu'une menace (une actin u un événement qui peut prter préjudice à la sécurité) s'est réalisée. Purqui cette menace s'est réalisée? Parce que mn système est vulnérable. Le système d'infrmatin cmprend aussi bien le système infrmatique, le téléphne, la télécpie, la vidé mais aussi l'hmme. Purqui mn système est vulnérable? Parce que : - Il n'existe pas de cntrôle d'accès individuel aux applicatins - Il n'existe pas de système de sauvegarde BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 3 BlasCm@BlasCm.cm

4 - L'accès à mes lcaux est uvert à tut public - Le persnnel n'est pas sensibilisé à ce qu'il peut faire u ne pas faire, dire u ne pas dire. En effet, infrmer le persnnel sur les règles mises en place pur prtéger les infrmatins qu'il manipule participe à la sécurité de l'infrmatin. Tut membre du persnnel, qui met en péril l'entreprise u l'rganisme, parce qu'il n'a pas été tenu infrmé des règles de prtectin de l'infrmatin, ne purra pas être pursuivi pénalement, cntrairement au cas inverse seln les articles et du nuveau cde pénal. L'audit de sécurité Audit, cnfrmité et référentiel En infrmatique, le terme " d'audit " apparu dans les années 70 a été et est utilisé de manière relativement aléatire. Nus cnsidérns par la suite un "audit de sécurité infrmatique" cmme une missin d'évaluatin de cnfrmité par rapprt à une plitique de sécurité u à défaut par rapprt à un ensemble de règles de sécurité. Une missin d'audit ne peut ainsi être réalisée que si l'n a défini auparavant un référentiel, c'est-à-dire en l'ccurrence, un ensemble de règles rganisatinnelles, prcédurales u/et techniques de référence. Ce référentiel permet au curs de l'audit d'évaluer le niveau de sécurité réel de " terrain " par rapprt à une cible. Pur évaluer le niveau de cnfrmité, ce référentiel dit être : - cmplet (mesurer l'ensemble des caractéristiques : il ne dit pas s'arrêter au niveau système, réseau, télécms u applicatif, de manière exclusive, de même, il dit cuvrir des pints techniques et rganisatinnels) ; - hmgène : chaque caractéristique mesurée dit présenter un pids chérent avec le tut ; - pragmatique : c'est-à-dire, aisé à quantifier (qualifier) et à cntrôler. Ce dernier pint est suvent négligé. BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 4 BlasCm@BlasCm.cm

5 La missin d'audit cnsiste à mesurer le niveau d'applicatin de ces règles sur le système d'infrmatin par rapprt aux règles qui devraient être effectivement appliquées seln les prcessus édictés. L'audit est avant tut un cnstat. Un audit peut être mené en suivant deux apprches (nn exclusives) : - une apprche " bîte blanche " : l'audit est alrs dérulé in situ, les auditeurs nt accès à l'rganisatin, aux dnnées et traitements réalisés, aux dcuments et prcessus appliqués. Ils fnt appels aux interlcuteurs autant que de besin. - une apprche " bîte nire " : l'audit est alrs mené en partant d'une cnnaissance limitée du système d'infrmatin cible. Les auditeurs pèrent sans accès a priri aux systèmes et dnnées. Les " tests d'intrusin " u " tests intrusifs " fnt partie de cette catégrie d'audit. Les deux apprches précédentes snt cmplémentaires, en effet : - Une apprche " bîte blanche " est en général un audit plus hmgène, l'évaluatin pssède une caractéristique d'analyse " en cmplétude " et les aspects techniques et rganisatinnels snt traités de manière unifrme ; - Une apprche " bîte nire " est en général un audit avec une vue plus parcellaire, révélant plutôt des lacunes ciblées à frte rientatin technique. Il est plus délicat de cerner la "cmplétude " de cette apprche mais cela permet de simuler des incidents u attaques lgiques sur le système d'infrmatin. Les "tests d'intrusin " fnt partie de cette secnde catégrie. Dans les deux cas, il est nécessaire de préserver l'pératinnel pendant les tests et validatin technique de sécurité (qualité de service, perfrmances, cntraintes d'administratin et de supervisin). Les bjectifs d'un audit snt multiples : Purqui réaliser un audit? - Une validatin des mesures de sécurité mises en œuvre (cntrôle, suivi qualité) ; - Une validatin des prcessus d'alertes, de réactin face à des sinistres u des incidents : en déclenchant une simulatin d'attaque lgique par exemple, n analyse la cnfrmité de la réactin des acteurs avec les prcédures en vigueur ; - Une détectin d'enjeux u de lacunes "ubliées "; - Une sensibilisatin des utilisateurs, de la hiérarchie, des subrdnnés aux risques encurus. BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 5 BlasCm@BlasCm.cm

6 Limites d'un audit Signalns d'abrd les limites dues aux démarches de certains audits, en particulier : - Les audits "déclaratifs ", c'est-à-dire dnt les résultats repsent uniquement u en grande majrité sur les déclaratins lrs d'entretiens avec les acteurs du système audité : cela intrduit un biais du au cntrôle vlntaire/invlntaire des audités sur les infrmatins délivrées ; - Les audits "techniques", c'est-à-dire dnt la prise en cmpte des prcédures et de l'rganisatin snt inexistantes (et parfis même sans adaptatin au cntexte) ; - Les audits "nn techniques", c'est-à-dire dnt la prise en cmpte directe (tests in situ) des cnfiguratins effectives des équipements systèmes, réseaux et applicatives n'est pas réalisée. Les limites inhérentes des audits snt par ailleurs les suivantes : - Le temps imparti est restreint (la prbabilité qu'une cause pssible de futur incident de sécurité ne sit pas détectée n'est pas nulle) ; - L'appréciatin du cntexte de l'entreprise (fnctinnelle, métier) est parfis délicate (un audit dit cmprter ainsi une analyse minimale des enjeux et de la sensibilité des dnnées et traitements) ; - Le niveau de sécurité appliquée sur le système d'infrmatin est dynamique : il peut évluer frtement en fnctin d'une simple mise à jur de système d'explitatin u d'applicatif par exemple. Il en ressrt qu'un résultat d'audit peut être cntredit par le mindre changement sur le système d'infrmatin (rganisatinnel u technique). BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 6 BlasCm@BlasCm.cm

7 La Qualité La nrme ISO : Le cde de bnnes pratiques pur la gestin de la sécurité de l Infrmatin La nrme ISO est issue de la nrme anglaise BS7799 créée en 1995 et révisée en Cette nrme cnstitue un cde de bnnes pratiques pur la gestin de la sécurité de l'infrmatin. La sécurité de l'infrmatin cnstitue l'un des dmaines majeurs au sein des entreprises. Quelque sit le secteur cncerné, Banque, Assurance, Recherche, Cnseil, Infrmatique, etc.., L'mniprésence de l'infrmatique transfrme la gestin de l'infrmatin en un prcessus stratégique. Afin de garantir la dispnibilité, la cnfidentialité ainsi que l'intégrité des dnnées, l'entreprise dit réfléchir sur l'architecture de sn système d'infrmatin, et mettre en place les myens de surveillance et de parade adaptée. La pérennité de l'entreprise dépend du succès de la stratégie de sécurité définie. (Surce : Etude Risk Management 2005, TNS Sfres) BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 7 BlasCm@BlasCm.cm

8 Principes de base de la nrme Le mdèle ISO : 2005, par sa recnnaissance internatinale et sn exhaustivité de bnnes pratiques permettent à tut dirigeant d'amélirer le système de management de la sécurité de l'infrmatin de l'entreprise. Par une analyse de risques apprfndie et le chix d'actins ciblées, la sciété s'engage dans une démarche practive visant à réduire les vulnérabilités et les risques majeurs détectés. Ce référentiel s'inscrit dans une philsphie de cntinuité d'activité et dnc de service aux clients et aux partenaires. L'ISO : 2006 est très riche et furnit au Respnsable du Système de Sécurité de l'infrmatin (RSSI) la matière nécessaire à la bnne gestin de la sécurité au sein de l'entreprise. Quelques chapitres tels que l'analyse de risques, la définitin de la PSI (Plitique de Sécurité de l'infrmatin) cnstituent les fndements essentiels à tute applicatin. Les avantages de ce référentiel snt multiples : - Gérer les cûts de la sécurité (un management efficace assure un retur sur investissement rapide), - Minimiser les risques écnmiques et civils encurus par l'entreprise, - Dévelpper une culture sécurité à l'ensemble des cllabrateurs. - Amélirer vtre niveau de sécurité, - Se mettre en cnfrmité avec la réglementatin. Rappel : la certificatin ISO La certificatin est le myen d'attester, par l'intermédiaire d'un tiers certificateur, de l'aptitude d'un rganisme à furnir un service, un prduit u un système cnfrmes aux exigences des clients et aux exigences réglementaires. L'ISO/CEI dnne la définitin suivante : Prcédure par laquelle une tierce partie dnne une assurance écrite qu'un prduit, un prcessus, u un service, est cnfrme aux exigences spécifiées dans un référentiel. La famille des nrmes ISO 9000 crrespnd à un ensemble de référentiels de bnnes pratiques de management en matière de qualité, prtés par l'rganisme internatinal de standardisatin (ISO, Internatinal Organisatin fr Standardizatin). Les nrmes ISO 9000 nt été riginalement écrites en 1987, puis elles nt été révisées en 1994 et à nuveau en Ainsi, la nrme ISO 9001 versin 2000, faisant partie de la famille ISO 9000, s'écrit ISO 9001:2000. La nrme ISO 9001:2000 prte essentiellement sur les prcessus permettant de réaliser un service u un prduit alrs que la nrme ISO 9001:1994 était essentiellement centrée sur le BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 8 BlasCm@BlasCm.cm

9 prduit lui-même. Vici une présentatin synthétique des différentes nrmes de la famille ISO 9000 : - ISO 9000 : "Systèmes de management de la qualité - Principes essentiels et vcabulaire". La nrme ISO 9000 décrit les principes d'un système de management de la qualité et en définit la terminlgie. - ISO 9001 : "Systèmes de management de la qualité - Exigences". La nrme ISO 9001 décrit les exigences relatives à un système de management de la qualité pur une utilisatin sit interne, sit à des fins cntractuelles u de certificatin. Il s'agit ainsi d'un ensemble d'bligatins que l'entreprise dit suivre. - ISO 9004 : "Systèmes de management de la qualité - Lignes directrices pur l'améliratin des perfrmances". Cette nrme, prévue pur un usage en interne et nn à des fins cntractuelles, prte ntamment sur l'améliratin cntinue des perfrmances. - ISO : "Lignes directrices pur l'audit des systèmes de management de la qualité et/u de management envirnnemental". L'ISO n'a pas vcatin à délivrer elle-même les certificatins. Cette tâche est laissée à la charge d'un rganisme certificateur tiers, lui-même accrédité par le COFRAC (en France). La certificatin ainsi btenue est valable 3 ans et renuvelable suite à un audit. Il est essentiel de garder en tête que la certificatin est basée sur les prcessus permettant d'btenir un prduit u un service et nn sur le prduit/service luimême. BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 9 BlasCm@BlasCm.cm

10 Descriptin des chapitres de l'iso La nrme prpse plus d'une centaine de mesures pssibles réparties en 10 chapitres: 1. Plitique de sécurité Ce chapitre mentinne ntamment la nécessité pur l'entreprise de dispser d'une plitique de sécurité et d'un prcessus de validatin et de révisin de cette plitique. Nta : l'existence même de cette mesure (nn technique!) mntre que l'iso est avant tut, un immense catalgue de "bnne pratique" pur gérer de manière sécurisée ses infrmatins. 2. Organisatin de la sécurité Ce chapitre cmprte 3 parties. Une partie traite de la nécessite de dispser au sein de l'entreprise d'une rganisatin dédiée à la mise en place et au cntrôle des mesures de sécurité en insistant sur : L'implicatin de la hiérarchie et sur la cpératin qui devrait exister entre les différentes entités de l'entreprise, La désignatin de prpriétaires de l'infrmatin, qui sernt respnsables de leur classificatin, L'existence d'un prcessus pur la mise en place de tut nuveau myen de traitement de l'infrmatin. Une deuxième partie traite des accès aux infrmatins de l'entreprise par une tierce partie. Ces accès divent être encadrés par un cntrat qui stipule les cnditins d'accès et les recurs en cas de prblèmes. Une trisième partie indique cmment traiter du cas ù la gestin de la sécurité est externalisée (Outsurcing). 3. Classificatin des infrmatins Ce chapitre traite de la nécessité de répertrier l'ensemble des infrmatins (u types d'infrmatin) de l'entreprise et de déterminer leur classificatin. La mise en place d'une classificatin de l'infrmatin dit s'accmpagner de la rédactin de guides pur la définitin des prcédures de traitement de chaque niveau de classificatin. BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 10 BlasCm@BlasCm.cm

11 4. Sécurité du persnnel Ce chapitre mentinne tris types de mesures : Lrs du recrutement de persnnel, il est tut aussi imprtant d'enquêter sur le niveau de cnfiance que l'n peut accrder aux persnnes qui aurnt accès à des infrmatins sensibles que de mentinner dans les cntrats d'embauche des clauses spécifiques à la sécurité cmme une clause de cnfidentialité. Une sensibilisatin à la sécurité dit être prpsée à tute persnne accédant à des infrmatins sensibles (nuvel arrivant, tierce partie) L'ensemble du persnnel dit être infrmé de l'existence et du mde d'empli d'un prcessus de remntée d'incidents. 5. Sécurité de l'envirnnement et des biens physiques Ce chapitre traite de tutes les mesures classiques pur prtéger les bâtiments et les équipements : délimitatin de zne de sécurité pur l'accès aux bâtiments (attentin aux accès par les livreurs) mise en place de sécurité physique cmme la lutte cntre l'incendie u le dégât des eaux mise en place de lcaux de sécurité avec cntrôle d'accès et alarmes, ntamment pur les salles machines mise en place de prcédures de cntrôle pur limiter les vls u les cmprmissins mise en place de prcédures pur la gestin des dcuments dans les bureaux 6. Administratin Ce chapitre traite des pints suivants : rédiger et mettre à jur l'ensemble des prcédures d'explitatin de l'entreprise (que ce sit pur de l'explitatin réseau, système u sécurité) rédiger et mettre à jur les critères d'acceptatin de tut nuveau système BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 11 BlasCm@BlasCm.cm

12 prévir un planning pur l'achat de cmpsants u matériels pur éviter tute interruptin de service mettre en place un certain nmbre de plitique rganisatinnelle et technique (anti-virus, messagerie, diffusin de dcument électrnique en interne u vers l'extérieur, sauvegarde et restauratin, etc) 7. Cntrôle d'accès Ce chapitre cmprend beaucup de prpsitins de mesures par rapprt aux autres chapitres. Sans être exhaustif, n peut cependant retenir : la nécessité pur l'entreprise de dispser d'une plitique de cntrôle d'accès (qui a drit à qui et cmment il peut y accéder) la mise en place d'une gestin des utilisateurs et de leurs drits d'accès sans ublier la révisin de ces drits (gestin de drits, gestin de mt de passe u plus généralement d'authentifiants) la respnsabilité des utilisateurs face à l'accès aux infrmatins (ne pas divulguer sn mt de passe, verruiller sn écran quand n est absent par exemple) des prpsitins de mesures pur mettre en euvre la plitique de cntrôle d'accès cmme l'utilisatin de la cmpartimentatin de réseaux, de firewalls, de prxis,..., la limitatin hraire d'accès, un nmbre d'accès simultanés limité, etc. la mise en place d'un système de cntrôle de la sécurité et de tableaux de brd l'existence et la mise en place de prcédures cncernant le télétravail 8. Dévelppement et maintenance Ce chapitre, de la même manière que précédemment, prpse des mesures incnturnables cmme des exemples de mise en euvre. Sans être exhaustif, n peut retenir : la nécessité d'intégrer les besins de sécurité dans les spécificatins fnctinnelles d'un système des cnseils de dévelppement cmme la mise en place d'un cntrôle systématique des entrées srties au sein d'un prgramme BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 12 BlasCm@BlasCm.cm

13 des prpsitins d'intégratin de services de sécurité cmme le chiffrement, la signature électrnique, la nn-répudiatin, ce qui nécessiterait pur l'entreprise la définitin d'une plitique d'usage et de cntrôle d'utils à base de cryptgraphie ainsi qu'une plitique de gestin des clés assciées la mise en place de prcédures pur l'intégratin de nuveaux lgiciels dans un système déjà pératinnel la mise en place d'une gestin de cnfiguratin 9. Plan de cntinuité Ce chapitre traite de la nécessité pur l'entreprise de dispser de plans de cntinuité ainsi que de tut le prcessus de rédactin, de tests réguliers et de mise à jur de ces plans. 10. Cnfrmité légale et audit de cntrôle Ce chapitre traite pur l'essentiel de deux pints : la nécessité pur l'entreprise de dispser de l'ensemble des lis et règlements qui s'appliquent aux infrmatins qu'elle manipule et des prcédures assciées la mise en place de prcédures pur le dérulement d'audit de cntrôle BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 13 BlasCm@BlasCm.cm

14 Cnclusin On peut dnc nter que le cntenu de l'iso est à la fis un ensemble de mesures techniques et rganisatinnelles que l'entreprise devrait mettre en place pur gérer de manière sécurisée ses infrmatins mais aussi un ensemble de prpsitins de slutins cmme l'utilisatin de firewall u la cmpsitin des mts de passe (8 caractères, des caractères alphanumériques,...). Par cnséquent il est très intéressant de s'inspirer de cette nrme pur s'infrmer sur les mesures qu'une entreprise peut mettre en place pur gérer la sécurité de ses infrmatins. Par cntre cmme il n'existe pas encre de référence qui permette de situer une entreprise sur une échelle de gestin allant d'une mauvaise gestin à la gestin idéale, il est aujurd'hui très difficile d'apprécier le respect de cette nrme par une entreprise. BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 14 BlasCm@BlasCm.cm

15 Les Méthdes La méthde MEHARI La MEthde Harmnisée d'analyse de RIsques (MEHARI) a été élabrée par la Cmmissin Méthdes du CLUSIF (Club de la Sécurité des Systèmes d'infrmatin Français). Le but de la méthde d'apprche tp-dwn est de mettre à dispsitin des règles, mdes de présentatin et schémas de décisin. L'bjectif de la méthde est de prpser, au niveau d'une activité cmme à celui d'une entreprise, un plan de sécurité qui se traduit par un ensemble chérent de mesures permettant de palier au mieux, les failles cnstatées, et d'atteindre le niveau de sécurité répndant aux exigences des bjectifs fixés. Le mdèle de risque MEHARI se base sur : - Six facteurs de risque indépendants : tris influant sur la ptentialité du risque et tris influant sur sn impact ; - Six types de mesures de sécurité, chacun agissant sur un des facteurs de risque (structurelle, dissuasive, préventive et de prtectin, palliative et de récupératin). Les phases de MEHARI snt les suivantes : - Phase 1 : établissement d'un plan stratégique de sécurité (glbal) qui furnit ntamment : la définitin des métriques des risques et la fixatin des bjectifs de sécurité, la recnnaissance et la déterminatin des valeurs de l'entreprise, l'établissement d'une plitique de sécurité entreprise, l'établissement d'une charte de management. - Phase 2 : établissement de plans pératinnels de sécurité réalisés par les différentes unités de l'entreprise ; - Phase 3 : cnslidatin des plans pératinnels (glbal). BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 15 BlasCm@BlasCm.cm

16 La méthde MARION La méthde MARION (Méthdlgie d'analyse de Risques Infrmatiques Orientée par Niveaux) est issue du CLUSIF ( Il s'agit d'une méthdlgie d'audit, qui, cmme sn nm l'indique, permet d'évaluer le niveau de sécurité d'une entreprise (les risques) au travers de questinnaires pndérés dnnant des indicateurs sus la frme de ntes dans différents thèmes cncurrant à la sécurité. Objectif de la méthde L'bjectif est d'btenir une visin de l'entreprise auditée à la fis par rapprt à un niveau jugé " crrect ", et d'autre part par rapprt aux entreprises ayant déjà répndu au même questinnaire. Le niveau de sécurité est évalué suivant 27 indicateurs répartis en 6 grands thèmes, chacun d'eux se vyant attribuer une nte de 0 à 4, le niveau 3 étant le niveau à atteindre pur assurer une sécurité jugée crrecte. À l'issue de cette analyse, une analyse de risque plus détaillée est réalisée afin d'identifier les risques (menaces et vulnérabilités) qui pèsent sur l'entreprise. Fnctinnement de la méthde La méthde est basée sur des questinnaires prtant sur des dmaines précis. Les questinnaires divent permettre d'évaluer les vulnérabilités prpres à l'entreprise dans tus les dmaines de la sécurité. L'ensemble des indicateurs est évalué par le biais de plusieurs centaines de questins dnt les répnses snt pndérées (ces pndératins évluent suivant les mises à jur de la méthde). Les thèmes snt les suivants : - Sécurité rganisatinnelle - Sécurité physique - Cntinuité - Organisatin infrmatique - Sécurité lgique et explitatin - Sécurité des applicatins BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 16 BlasCm@BlasCm.cm

17 Dérulement de la méthde La méthde se dérule en 4 phases distinctes : Phase 0 : Préparatin Durant cette phase, les bjectifs de sécurité snt définis, ainsi que le champ d'actin et le décupage fnctinnel permettant de mieux déruler la méthde par la suite. Phase 1 : Audit des vulnérabilités Cette phase vit le dérulement des questinnaires ainsi que le recensement des cntraintes prpres à l'rganisme. Le résultat des questinnaires permet d'btenir la "rsace" prpre à l'entreprise. Cette rsace, l'aspect le plus cnnu de la méthde, présente les 27 indicateurs sur un cercle, avec le niveau atteint. Cela permet de juger facilement et rapidement des dmaines vulnérables de l'entreprise, la chérence et l'hmgénéité des niveaux de sécurité des différents indicateurs, et dnc d'identifier également rapidement les pints à amélirer. D'autres pssibilités de diagrammes existent, parmi lesquels le diagramme différentiel qui permet de mieux cmprendre l'imprtance des différents facteurs (d'après la méthde) et dnc également de mettre les vulnérabilités de l'entreprise en perspective. Dans ce diagramme, chaque barre est prprtinnelle à la différence entre la ctatin 3 et la ctatin réelle de l'existant, multipliée par le pids du facteur (le différentiel est nul si le facteur est déjà supérieur à 3) BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 17 BlasCm@BlasCm.cm

18 Enfin, il est également pssible d'afficher des diagrammes suivant les types de risques. BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 18 BlasCm@BlasCm.cm

19 Phase 2 : Analyse des risques Cette phase vit l'explitatin des résultats précédents et permet d'effectuer une ségrégatin des risques en Risques Majeurs (RM) et Risques Simples (RS). Le Système d'infrmatin est alrs décupé en fnctins qui sernt apprfndies en grupes fnctinnels spécifiques, et hiérarchisés seln l'impact et la ptentialité des risques les cncernant. En ce qui cncerne l'analyse de risque, MARION définit 17 types de menaces : - Accidents physiques - Malveillance physique - Panne du SI - Carence de persnnel - Carence de prestataire - Interruptin de fnctinnement du réseau - Erreur de saisie - Erreur de transmissin - Erreur d'explitatin - Erreur de cnceptin / dévelppement - Vice caché d'un prgiciel - Déturnement de fnds - Déturnement de biens - Cpie illicite de lgiciels - Indiscrétin / déturnement d'infrmatin - Sabtage immatériel - Attaque lgique du réseau Pur chaque grupe fnctinnel de l'entreprise, chaque fnctin est revue en détail afin d'évaluer les scénarii d'attaque pssible, avec leur impact et leur ptentialité. BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 19 BlasCm@BlasCm.cm

20 Phase 3 : Plan d'actin Durant cette ultime phase de la méthde, une analyse des myens à mettre en euvre est réalisée afin d'atteindre la nte " 3 ", bjectif de sécurité de la méthde, suite aux questinnaires. Les tâches snt rdnnancées, n indique le degré d'améliratin à apprter et l'n effectue un chiffrage du cût de la mise en cnfrmité. Autres méthdes On purra cmparer MARION avec d'autres méthdes du CLUSIF, principalement MEHARI, la dernière en date, prbablement vuée à remplacer MARION à terme. D'autres apprches existent, parmi laquelle la méthde EBIOS (publique) de la DCSSI. L'ISF pssède également un ensemble de méthdlgies de philsphies similaires mais d'apprches suvent plus pragmatiques. PMI (Prject management Institute) est une méthdlgie rientée gestin de prjets dnt la ppularité tends à s accrître, et fait l bjet d une certificatin. La sciété BlasCm IT l utilise au sein de ses différents prjets. BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 20 BlasCm@BlasCm.cm

21 Prcess Intrductin à ITIL «Infrmatin Technlgy Infrastructure Library» : ITIL a été dévelppé avec les entreprises de plus en plus dépendantes de leur service infrmatique pur atteindre leurs bjectifs et satisfaire leurs besins. Ce qui cnduit à la nécessité d'améliratin de la qualité et de l'évlutivité des services IT délivrés. Le référentiel ITIL prône une démarche d'améliratin itérative des prcessus cmpsant les services IT. Cette démarche est fndée sur : - la définitin des prcessus et de leurs interactins - l améliratin de la cmmunicatin au niveau pératinnel, tactique et stratégique entre le SI et l'entreprise - le rôle central du " service desk ", unique cntact entre le SI et les utilisateurs - le cntrôle précis des résultats btenus (rapprts de gestins, KPIs, respect des SLAs) - la définitin des rôles et respnsabilités Le premier bjectif de ITIL est de cnstituer un référentiel des meilleures pratiques pur la furniture de services infrmatiques, afin d aider les directins infrmatiques à atteindre dans ce dmaine, leurs bjectifs de qualité de service, et de maîtrise des cûts. ITIL représente aujurd'hui l'apprche la plus cmplète, et la plus structurée dispnible sur le marché pur le management des services infrmatiques. Tris idées imprtantes sus-tendent la philsphie ITIL: - Custmer fcus : l'utilisateur - le client - dit être au centre des préccupatins de la directin infrmatique, - Cycle de vie : la gestin des services dit être prise en cnsidératin en amnt des prjets infrmatiques, dès la phase d'étude et de cnceptin, - Prcessus : la qualité de service repse sur une apprche par les prcessus. BlasCm IT Cnseil & Ingénierie en Technlgies de l Infrmatin et de la Cmmunicatin 21 BlasCm@BlasCm.cm