VERSION FRANÇAISE LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION
LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION 1 PRÉAMBULE La sécurité des systèmes d information (SSI) correspond à l état de protection, face aux risques identifiés, qui résulte de l ensemble des mesures générales et particulières prises pour assurer, notamment, les services de sécurité suivants (Confidentialité Intégrité Disponibilité, ou CID): La confidentialité : le caractère réservé d une information dont l accès est limité aux seules personnes admises à la connaître pour les besoins du service; L intégrité du système et de l information : garantir que ceux-ci ne sont modifiés que par une action volontaire et légitime; La disponibilité : aptitude du système à remplir une fonction dans des conditions définies d horaires, de délais et de performances. Notre audit sécurité n est pas destiné à définir ou à redéfinir votre politique de sécurité 1 des systèmes d information, mais à vérifier la conformité de vos mesures de sécurité avec les exigences du certificat qualité «Luxembourg e-commerce Certified». C est dans l optique du contrôle qualité de votre SSI que nous avons mis au point ce mini-guide. 1 Une politique de sécurité vise à définir le «quoi» de votre sécurité en réduisant les vulnérabilités identifiées ou considérées comme telles, à évaluer les risques, à se poser les bonnes questions pour déterminer les contre-mesures, et enfin à choisir et utiliser les bons outils.
2 LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION La sécurité de votre système d information (physique, organisationnelle et technique) fera l objet d un audit simplifié sur la base du questionnaire du mini-guide. Un indice de qualité sera affecté pour chacune des réponses selon les critères suivants: 4 : validation excellente 3 : validation bonne 2 : validation passable 1 : validation insuffisante 0 : pas de validation Notre démarche vise, en priorité, à vérifier au sein de votre organisation le respect des règles de protection des données nominatives et personnelles. Ces données doivent requérir toute votre attention afin de respecter leur confidentialité (information limitée aux seules personnes admises à la connaître pour les besoins du service). Ces règles de protection sont considérées comme «critères KO» et doivent donc toutes être impérativement respectées. On les distingue dans le questionnaire par un fond rosé. Une validation inférieure à l indice 3 pour l une de ces questions vous empêchera d obtenir le certificat qualité.
LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION 3 Les autres points de la SSI, abordés dans le questionnaire, sont également importants mais ne constituent pas des «critères KO». Ils doivent, malgré tout, avoir été au centre de vos préoccupations sécurité et avoir été pris en considération. En effet, un manquement à une de ces exigences peut potentiellement engendrer un préjudice conséquent et par le fait affecter votre survie économique. De fait, le non-respect d un nombre important de ces exigences, au sein de votre entreprise, vous empêcherait d obtenir le certificat qualité. Il vous faudrait alors repenser votre SSI en fonction des non-conformités relevées. Pour accéder à la certification vous devez avoir préalablement identifié vos ressources (état des lieux exhaustif architectural) ainsi que vos exigences en termes de sécurité. Cette identification préalable vous permettra de procéder à la phase d analyse des risques pesant sur votre système d information. Cette analyse répond à l équation: R (Risque) = V (vulnérabilité) * M (Menace) * I (Impact) R (Risque) V (Vulnérabilité) M (Menace) I (Impact)
4 LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION Une vulnérabilité 2 est une faille de sécurité pouvant être potentiellement exploitée par une menace. Les menaces sont de deux catégories: (impact) Accidentelles (pannes, accidents naturels ou erreurs humaines); Intentionnelles: - Passives lorsqu elles ne modifient pas le comportement du système ou qu elles sont indétectables (p. ex. «cheval de Troie», programme espion invisible pour la victime); - Actives lorsqu il y a modification du contenu de l information (p. ex. «defacement», transformation de la page de garde d un site web). L impact correspond à une conséquence préjudiciable pour l organisation victime de l exploitation d une vulnérabilité par une menace. 2 Intrinsèquement, les systèmes d information et de communication sont vulnérables, notamment s ils ne sont pas développés dès l origine dans une sphère de sécurité générale et adaptée.
LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION 5 QUESTIONNAIRE...
6 LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION ÉVALUATION DE LA DÉMARCHE SÉCURITÉ 1 2 3 4 5 6 Avez-vous procédé à l identification des ressources (l existant) et des exigences de sécurité (CID )? Avez-vous procédé à une analyse des risques? Connaissez-vous l équation du risque? L avez-vous comprise? Les risques ont-ils été acceptés/gérés/externalisés? Les risques gérés ont-ils fait l objet de contre-mesures précises? A partir de l identification des ressources et de l analyse des risques, avez-vous défini votre politique de sécurité? Est-elle écrite/identifiée/comprise/ relayée au sein de l entreprise?
LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION 7 Les Procédures de sécurité sontelles définies à partir de la Politique de sécurité? Au sein de l entreprise, sont-elles comprises/suivies? Procédez-vous à des contrôles de sécurité récurrents? Quel est le type de données stockées au sein de votre organisation? Connaissez-vous le type de données essentielles à protéger au sein de votre organisation? 7 8 9 10 Notes (réservé à l auditeur) :
8 LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION AUDIT DES MESURES GÉNÉRALES DE SECURITÉ : 1. MESURES DE SÉCURITE PHYSIQUES : Effectuez-vous des sauvegardes régulières de vos données? 1 A quel rythme? Cette procédure est-elle externalisée? Existe-t-il des sauvegardes régulières des données sensibles? 2 Sont-elles stockées dans un coffre-fort ignifugé? Sont-elles externalisées? Dans ce cas, via quelle société? Les serveurs sont-ils protégés physiquement? 3 Existe-t-il une salle informatique? Non identifiable facilement?
LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION 9 Existe-t-il un contrôle d accès général au sein de l entreprise? De quelle forme (codes, cartes magnétiques, sas)? Pour chaque point d accès sensible? Les identités des visiteurs sontelles vérifiées (papiers officiels, badges)? Alarme en place après les heures de bureau? 24h/24 et 7j/7? Des tests sont-ils effectués? 4 5 6 Existe-t-il un contrôle d accès à la salle informatique? De quelle forme? Qui détient les codes d accès? 7 Redondance des codes? Les locaux contenant les matériels informatiques sont-ils régulièrement nettoyés? 8
10 LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION 9 10 11 12 13 14 15 Les mesures de sécurité incendie sont-elles prises en compte? Existe-t-il des systèmes de détection pour la protection antiincendie, anti-inondation, détecteurs de fumée? L alimentation électrique de la salle machines est-elle indépendante du reste de l alimentation électrique du bâtiment? Existe-t-il des matériels de sécurité de type onduleurs et surtenseurs pour la protection électrique? Existe-t-il une gestion des affectations du matériel? Des systèmes de verrouillage ou de marquage antivol des machines pour la protection contre le vol et/ou le vandalisme sont-ils mis en place? La climatisation est-elle correctement maintenue? Est-elle assortie d un contrat de maintenance?
LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION 11 AUDIT DES MESURES GÉNÉRALES DE SECURITÉ : 2. MESURES DE SÉCURITÉ ORGANISATIONNELLES : Existe-t-il une gestion sérieuse et à jour des mots de passe au sein de l entreprise? Des systèmes de vérification de «crack» sont-ils systématiques? 1 Des mesures sont-elles prises en fonction des résultats? Une charte de sécurité des systèmes d information est-elle en place au sein de l entreprise? Signatures obligatoires et sanctions prévues en cas de manquement? 2 Couvre-t-elle les accès Internet, l utilisation du courrier électronique, l accès au web et le rapatriement des données? Une charte de confidentialité des données est-elle prévue? 3
12 LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION 4 5 Comment est organisé le recrutement de personnel (demande de casier judiciaire, enquête de moralité)? Un RSSI 3 est-il en place au sein de votre entreprise? Son rôle estil compris de tous? Comment les informations sous format papier sont-elles gérées? 6 Les données confidentielles sont-elles gérées sous format papier et de quelle sorte? Existe-t-il une échelle de la valeur de l information traitée? Existe-t-il un processus de destruction systématique de toute donnée nominative? 7 Comment les comptes électroniques sont-ils gérés? Sont-ils toujours à jour? 3 RSSI : Responsable de la Sécurité des Systèmes d Information
LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION 13 Existe-t-il un plan de sensibilisation et de formation des utilisateurs? La société fait-elle appel à des stagiaires? 8 Comment sont-ils gérés? Suivi constant (signatures des chartes)?
14 LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION AUDIT DES MESURES GÉNÉRALES DE SECURITÉ : 3. MESURES DE SÉCURITÉ TECHNIQUES : 1 2 3 4 Existe-t-il un plan du réseau informatique à jour (diagramme)? La structure I.P. est-elle à jour et disponible sur plan? Quelle est votre type de connexion Internet? Quel est votre point d accès (dial-up, L.S.)? Existe-t-il une politique de sécurisation systématique sur chaque poste utilisateur et chaque serveur? Existe-t-il des logiciels Antivirus et Antitroyens sur les postes clients et sur les serveurs de mails (gestion du contenu) ainsi que pour les mails (entrantssortants)? Comment la mise à jour estelle gérée?
LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION 15 Le serveur web (commerce électronique) est-il sur une machine comprenant d autres serveurs? 5 Un Firewall est-il en place en frontal du réseau informatique de votre entreprise? Les règles du Firewall ont-elles été correctement configurées? L OS est-il mis à jour régulièrement? 6 Une veille des failles est-elle effectuée? Comment la journalisation du Firewall s effectue-t-elle? Comment la gestion des alertes est-elle gérée? Qui est alerté? L existence de modems sauvages est-elle vérifiée? L ensemble des O.S. (P.C. utilisateurs et serveurs) sont-ils à jour (patchs de sécurité) au sein de l entreprise? 7 8 9 10
16 LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION Quid de la maintenance des P.C.? 11 12 13 14 15 16 En cas de panne, les P.C. sortent-ils à l extérieur avec des données? Quid des P.C. qui ne sont plus utilisés? Existe-t-il une procédure de destruction logique des données? Quelles sont les solutions de cryptage en place? SSH? PGP? SSL? VPN? Comment l authentification des utilisateurs est-elle gérée? Existe-t-il des connexions à distance? Sous quelle forme? Comment les réponses sur incidents sont-elles gérées?
LE MINI-GUIDE DE SÉCURITÉ DES SYSTÈMES D INFORMATION 17
WWW.E-CERTIFICATION.LU