Escolar Documentos
Profissional Documentos
Cultura Documentos
Pourquoi la scurit ?
I.
Disponibilit
Intgrit
traabilit
Non-Rpudiation
5
I. Critres de la scurit
La scurit informatique implique qu'il faut assurer les proprits suivantes: la confidentialit (aucun accs illicite): maintien du secret de l'information et accs aux seules entits autorises; l'intgrit (aucune falsification): maintien intgral et sans altration des donnes; la disponibilit (aucun retard): maintien de l'accessibilit en continu sans interruption ni dgradation; l'authentification (aucun doute sur l'identification )
6
I. Critres de la scurit
la non-rpudiation (aucune contestation): vise interdire une entit de pouvoir nier ou rejeter qu'un vnement (action, transaction) a eu lieu. A cette notion sont associes: L'imputabilit: une action a eu lieu et automatiquement un enregistrement, preuve de l'action, est effectu La traabilit: mmorisation de l'origine du message, dun vnement,.. L'auditabilit: capacit d'un systme garantir la prsence d'informations ncessaires une analyse ultrieure d'un vnement.
7
de la Scurit
10
La classification des donnes semble ncessaire afin de qualifier leur degr de sensibilit (normale, top secrte, top secrte, ... ) et dterminer ainsi le niveau de protection ncessaire aux donnes manipules
12
14
15
Dimension humaine
Surveillance Ethique Formation ...
22
Interception Ecoute
Authenticit
23
26
27
28
brute force ou par dictionnaire utilisation de cheval de Troie activation d'un priphrique comme un micro ou une webcam l'insu de l'utilisateur les tests de niveau d'efficacit des mots de passe des utilisateurs est une des mesures de contrle et de validation de la scurit que lon doit effectuer rgulirement
29
30
31
33
34
I.
Crime Informatique
35
I. 1 Crime informatique
Prolongement naturel de la criminalit classique. Dlit pour lequel un systme informatique est l'objet du dlit et/ou le moyen de le raliser. Fait appel aux technologies internet pour sa ralisation. Le monde virtuel:
confre au crime la capacit tre automatis, Autorise une ralisation grande chelle (cyberpidmie), Permet au crime d'tre commis distance via les rseaux (ubiquit du criminel, dans le temps et dans l'espace) et avec des effets retardement .
36
Dlits commis distance via des rseaux Ddoublement du criminel dans lespace et dans le temps
lattaquant
Savoir faire criminel embarqu dans les logiciels Automatisation des dlits grande chelle
Cible de lattaque
37
La dmatrialisation des acteurs, les accs distance; les problmes de conception; de mise en uvre, de gestion
confrent
I.3 . Internet et le monde criminel Les possibilits d'exploitation des vulnrabilits et de malveillances sont nombreuses
Usurpation d'identit, leurre, accs indus, exploitation frauduleuse de ressources, infection, dtrioration, destruction, modification, divulgation, dni de service, vol.
Met en vidence une matrise insuffisante du risque informatique d'origine criminelle par les organisations et les limites des approches scuritaires actuelles.
41
I.3.1 Dmatrialisation La dmatrialisation des transactions, les facilits de communication associes aux solutions de chiffrement et d'anonymat, autorisent des liaisons entre criminels de diffrents pays sans contact physique, de manire flexible et scurise en toute impunit. La couverture internationale du rseau Internet permet aux criminels d'agir au niveau mondial, rapidement et grande chelle.
42
I.3.1 Dmatrialisation La vulnrabilit fondamentale du monde numrique provient de la sparation de l'information et de son support physique. En devenant immatrielle, l'information numrique devient indpendante de son support et vulnrable. Elle peut tre dtruite, modifie, copie, vole et la notion de donne d'origine n'a plus de sens puisque les copies l'identique et l'infinie sont possibles.
43
introduisent un degr de vulnrabilit non ngligeable dans le fonctionnement normal des institutions.
45
II.
Cyberterrorisme
46
II.1. Cyberterrorisme
Terrorisme appliqu au cyberespace. Il fait rfrence l'emploi systmatique de la violence pour atteindre un but politique. Pour s'organiser, communiquer, changer, rechercher des fonds, prparer des actions, les terroristes adoptent les facilits offertes par Internet
47
confronte des formes de menaces criminelles lies lexistence des technologies de l'information. Les technologies d'Internet sont au cur de la guerre de l'information (infoguerre, infowar). Internet permet non seulement la manipulation de l'information mais cest aussi un outil privilgi pour rpondre des rumeurs Les activits d'espionnage et de renseignement sont facilites puisqu'il est devenu ais d'intercepter des informations transfres via Internet
50
informatique
51
III.1. Caractristiques dun crime informatique Crime sophistiqu, ralis le plus souvent au niveau international avec parfois un effet retardement. Les traces laisses par les malfaiteurs sont immatrielles. Les traces ncessitent des moyens importants mettre en uvre pour les interprter, les collecter et les sauvegarder (dlais de rtentions).
52
introduire un taux d'erreur et un degr d'incertitude dont il faut tenir compte dans ltablissement d'une preuve numrique; les notions de date et d'heure sont variables d'un systme informatique lautre et aisment modifiables . difficult de remonter jusqu l'identit d'une personne sur la base uniquement d'une trace numrique du fait de l'usurpation didentit, 54
Problme dharmonisation des cadres lgaux et de coopration internationale. Divergences dans lapprhension des problmes de scurit et des moyens ncessaires mettre en uvre pour les rsoudre. La criminalit informatique tire parti des difficults rguler dans le cyberspace ( dimensions politiques, lgales et conomiques, dans lesquelles les questions de scurit sinscrivent).
55
criminelle
56
Les vecteurs d'introduction des logiciels malveillants peuvent tre, des logiciels gratuits ou en dmonstration, des sites de jeux par exemple, mais aussi le courrier lectronique, les forums de discussions. les maliciels collectent et transfrent des donnes l'insu de l'utilisateur et peuvent servir d'intermdiaires des activits illgales.
59
60
62
d'attaques; le nombre d'attaques est en perptuelle augmentation; matrise relative de la complexit induite par les nouvelles technologies; des produits vulnrables qui continuent toujours tre commercialiss.
64
65
V. Approche Scuritaire
66
Rappel
La cybercrirninalit tire parti des caractristiques suivantes: dmatrialisation des actions, services, transactions; erreurs de conception, gestion, utilisation; pannes et dysfonctionnements des systmes; disponibilit d'outils d'attaque; dpendance vis-a-vis de la technologie; l'interdpendance des systmes et infrastructures; l'universalit des technologies; l'accessibilit et de l'ouverture des systmes,
67
Rappel (suite)
la non-matrise totale des technologies et des infrastructures informatiques et tlcoms et des solutions de scurit commercialises, les donnes d'une organisation ne lui appartiennent plus, elles appartiennent aux systmes informatiques qui les traitent, les sauvegardent, les communiquent, les restituent! (dpendance excessive vis--vis d'un fournisseur ou d'un administrateur systme).
68
IV.1 Exigences
bien considrer la relation aux nouvelles technologies avant de mettre en place des mesures classiques de scurit et ce par une dmarche de prventionprotection-dfense-raction, choisir et mettre en place des produits dont le niveau de scurit puisse tre contrlable, vrifiable et garanti; la scurit ne doit pas tre ralise dans l'obscurit; la scurit relve de la responsabilit des utilisateurs, des intermdiaires techniques et de l'ensemble des acteurs; un minimum de scurit doit tre intgr en mode natif dans les solutions technologiques,
69
71
V. 4 Intimit numrique
Protections des donnes Les outils de lutte contre la criminalit informatique peuvent potentiellement mettre mal les droits de l'Homme et aller l'encontre de la confidentialit des donnes personnelles. En effet, la scurit passe par la surveillance, le contrle et le filtrage. Il faut garantir le respect des droits fondamentaux, notamment celui du respect de l'intimit (numrique) et de la confidentialit des donnes caractre personnel.
72
V. 4 Intimit numrique
Protections des donnes Diverses lgislations nationales existent depuis dj longtemps concernant la protection des donnes personnelles : (Allemagne: Loi du 21 janvier 77, Argentine: Loi sur la protection des donnes personnelles (1996), Autriche: Loi du 18 octobre 1978, Australie: Loi sur la vie prive (1978), Belgique: Loi du 8 dcembre 92, .). l'approche scuritaire doit galement rpondre aux besoins de scurit des individus, notamment pour ce qui concerne la protection de leur vie prive et le respect de leurs droits fondamentaux.
73
74
75
de politiques d'assurance et d'un cadre lgal adapts; d'outils efficaces de gestion du risque informationnel; de procdures et moyens pour dvelopper la confiance dans les applications et services offerts par les nouvelles technologies (transactions commerciales et financires, e-gouvernement,
e-vote. ..).
76
dfinir des lois; favoriser et encourager la recherche et le dveloppement en matire de scurit; Promouvoir une culture de la scurit et du respect de l'intimit numrique; Imposer le respect d'un minimum de normes de scurit en exigeant par exemple que la scurit soit intgre dans les produits.
77
l'tat doit contribuer : assurer la prvention; assurer le renseignement; assurer le partage d'information; faire connatre les meilleures pratiques de gestion du risque et de la scurit; mettre en place des systmes de gestion des alertes dfinir des cooprations ventuelles
78
79
83
86
des organisations
87
89
Le manque de statistiques officielles trouve ses origines par le fait que les organisations:
ne souhaitent communiquer sur le fait qu'elles sont ou ont t victimes d'un acte cybercriminel; ce qui montrerait leur dfaillance scuritaire; ignorent qu'elles sont victimes d'une malveillance, notamment pour toutes attaques passives en prennent conscience qu'a posteriori lorsque toute action de raction devient obsolte; ne savent pas grer une situation de crise; prfrent faire justice elles-mmes en piratant leur tour, le ou les systmes impliqus dans l'attaque dont elles sont victimes; n'ont pas une confiance suffisante dans les instances de justice et de police et dans leur comptence pour traiter ce type de 90 problme.
VI .3 Obstacles l'analyse
VI.4 Typologie des comportements des organisations Les comportements des organisations tiennent compte:
des situations matriser du degr de comptence d'exprience des entreprises en matire de scurit.
Les stratgies de scurit sont dfinies en fonction des valeurs et des besoins des entreprises. Les mesures de scurit peuvent se dcliner en :
mesures prventives; mesures palliatives; mesures correctives; mesures de protection; mesures de raction.
91
93
Prise en compte effective au sein des organisations, de la propagation des virus par la messagerie lectronique. Progression de l'usage et de la gestion des antivirus sur les serveurs de messagerie et sur les postes de travail des utilisateurs. Adoption par les organisations, dun plan de sensibilisation des utilisateurs .
94
Utilisation des mesures technologiques telles que l'usage de logiciels antispam. Si les mesures prventives sont inefficaces, les entreprises nhsitent pas arrter leur service de messagerie pour limiter la propagation d'un virus. Concernant les escroqueries ralisables partir du phishing, des actions de sensibilisation du personnel sont ncessaire.
95
La rponse une intrusion variera en fonction du processus d'attaque, de la phase de ralisation, de l'importance, de la cible de l'attaque, et des moyens et comptences disposition pour ragir. Le responsable de la scurit informatique s'attachera : limiter la propagation d'une attaque, rduire les impacts de l'attaque rparer les atteintes ou dgts engendrs. comprendre l'incident et en identifier l'origine.
96
Lors de procdures de chantage aux technologies avec des demandes de ranons, les entreprises peuvent: Ignorer la demande signifier l'attaquant que l'entreprise possde des moyens d'identifier le malveillant, ce qui peut tre vrai ou relever d'un processus d'intimidation; payer la ranon demande; dnoncer aux autorits comptentes la tentative de racket; ajuster les mesures de scurit afin de protger au mieux l'environnement menac ou de rduire les impacts de l'attaque annonce;
97
98
I.
99
I . 1 Finalit De La Scurit
Scurit Prvention-Protection-Raction
Prennit de lorganisation
100
101
102
105
106
II.1 Fondamentaux
Les proprits de la scurit (confidentialit ; intgrit; disponibilit; prennit; non-rpudiation) doivent tre : ralises et garanties par des mesures de scurit; mises en uvre au travers d'outils , de procdures et de personnes (utilisateurs, administrateurs, etc.); dtermines, gres et valides par des procdures de gestion. Rduire la scurit sa dimension technologique revient assurer son chec.
107
les solutions de scurit ne sont jamais ni absolues, ni dfinitives problme de la prennit des solutions mises en place.
la technologie ne suffit pas, elle doit tre intgre dans une dmarche de gestion.
109
114
Principe financier Principe de simplicit et d'universalit Principe de dynamicit Principe de continuum Principe d'valuation, de contrle et d'adaptation
116
119
II.9. Bnfices
Bien apprhende, la scurit peut devenir un facteur d'amlioration des processus, d'accroissement des performances et d'accroissement de la productivit globale d'une organisation. La scurit doit tre considre comme un facteur de succs et non plus comme un frein la ralisation des mtiers. La scurit doit tre apprhende comme un outil au service de la gestion d'entreprise. La scurit est un facteur de comptitivit contribuant une meilleure rentabilit
120
dpendent de la possibilit de pouvoir quantifier les impacts et prjudices conscutifs la survenue d'un sinistre.
Evaluer correctement l'exposition de l'organisation aux risques. Estimer correctement les cots indirects comme ceux rsultant par exemple d'une perte d'image ou de l'espionnage.
Quelle est la valeur conomique de la scurit? Quel est le retour sur investissement de la scurit?
121
Pertes, baisses de productivit rsultantes aux dysfonctionnements et l'indisponibilit, pertes de parts de march, pnalits de retard, etc.; Cots induits par des pertes d'image, impacts au niveau des clients, partenaires, sous-traitants, fournisseurs, etc Cots de gestion, d'assurance, d'investigation, salaires des experts, Cots conscutifs des actions pnales, responsabilit civile, dommage et intrts, Cots de la gestion de crise, de reprise aprs incidents, de restitution, de reconstitution des donnes, remise en tat, de remplacement des systmes, etc.
122
124
125
III.2 Raisons de non Matrise du cybercriminalit Caractristiques du cybercrime et possibilit offerte au cybercriminel (, savoir-faire embarqu dans les logiciels, capacit tre automatis, ralisation distance) ; Pnurie de ressources humaines et matrielles au sein des services chargs de la rpression des dlits informatiques; Caractre transnational de la cybercriminalit qui ncessite des recours frquents la coopration et l'entraide judiciaire internationale. difficult qualifier les faits au regard de certaines lgislations pnales; volatilit de la plupart des preuves informatiques.
126
Les responsables scurit des organisations doivent tre sensibiliss aux contraintes d'une enqute policire (documentation minimale relative l'incident, documentation, conservation des traces, etc.). L'tat doit favoriser le signalement des agressions lies au cybercrime et instaurer la confiance entre les diffrents acteurs du monde conomiques et les services de justice et de police. l'organisation doit tre vigilante au respect de la protection des donnes prives de ses employs, de ses clients, fournisseurs ou partenaires.
127
Cyber surveillance
Usage abusif dinternet hors du cadre professionnel
Matriser lusage non professionnel des outils mis disposition utilisation doutils de surveillance pour contrler l'usage des ressources informatiques et tlcoms (cybersurveillance des employs).
128
Cyber surveillance
Lors de la mise en place de procdures et des outils de cybersurveillance, les organisations doivent tre attentives respecter le droit la vie prive de ses employs et viter les abus de contrle excessif. Il est recommand que la mise en uvre de la cybersurveillance soit pralablement accompagne d'une charte d'utilisation des moyens informatiques et tlcoms. la prrogative patronale du pouvoir de contrle de l'employeur, aussi lgitime soit-elle, ne doit pas s'exercer en violation des droits et liberts des employs.
129
131
I.
Gestion de la scurit
132
I. 1 Gouvernance de la scurit
L'adoption par les organisations de la notion de gouvernance de la scurit reflte l'importance de la gestion de la scurit des SI. La gouvernance de la scurit traduit la volont de diriger, de conduire, d'influencer de manire dterminante la scurit . L'apparition de nouvelles fonctions, comme celles de responsable scurit, intgres ou non la direction gnrale, concrtise cette notion de la gouvernance de la scurit
133
I. 1 Gouvernance de la scurit
La gouvernance vise s'assurer que les mesures de scurit sont adoptes et sont optimales. Elle vise l'identification des acteurs qui laborent, qui dfinissent, qui valident, qui mettent en uvre et qui contrlent les rgles.
134
135
136
Spcifie les moyens qui rpondent de faon complte et cohrente aux objectifs stratgiques de la scurit. La protection sera assure par : des rgles: classification de
l'information ; des outils: chiffrement, des firewalls; des contrats: clauses et obligations; l'enregistrement, la preuve, l'authentification; l'identification, le marquage
137
constitue le point de dpart de l'analyse des besoins scuritaires. doit tre value avec prcision car elle guide toutes les dcisions de scurit. permet de transcrire le travail effectu pour comprendre les risques et leurs impacts, en des mesures concrtes de scurit. sa spcification facilite le choix et la mise en uvre des mesures de scurit.
141
143
145
Mthode MEHARI.
Mthode Harmonise d'Analyse de Risques Conue par le CLUSIF depuis 1995 Plusieurs "Bases de Connaissances" (payantes) sont disponibles La mthode contient des guides accompagns par des exemples d'utilisation de la mthode et des liens d'assistance, disponibles gratuitement sur le site du CLUSIF Accompagne dun logiciel (RISICARE), qui permet la gestion des scnarios, la planification dactions, l'valuation du niveau de gravit des risques.
146
Mthode MEHARI.
147
Mthode EBIOS
La mthode EBIOS (Expression des Besoins et Identification des Objectifs de Scurit). cre en 1995 par la DCSSI largement documente et prsente tlchargeable sur le site de la DCSSI Offre un outil logiciel daccompagnement Le guide EBIOS comprend la description de la dmarche, les techniques, la base de connaissance,(menaces gnriques, vulnrabilits spcifiques, classes de fonctionnalit)
148
Mthode EBIOS
tude des origines des menaces, tude des vulnrabilits, formalisation des menaces
Confrontation des menaces aux besoins, Formalisation des objectifs de scurit, Dtermination des minimums de scurit
Dtermination des exigences de scurit fonctionnelles, Dtermination des exigences de scurit d'assurance
149
150
Norme internationale ISO/IEC 17799. Rfrentiel adopte par l'ISO la fin de l'anne 2000 Prend son origine de la norme BS 7799 labore en 1995. Contribue la dfinition d'une politique de scurit, (liste de points de risques analyser (check list), Aide l'audit de scurit Base sur la gestion des risques, Propose un code de pratique pour la gestion de la scurit Identifie des exigences de scurit sans spcifier la manire de les raliser. 151
5 - Politique de la scurit
9 - Scurit Physique et
Environnementale
11 Contrle daccs
14 - Continuit dactivit
Qu'est-ce que la scurit de l'information? Pourquoi la scurit de l'information estelle ncessaire? Comment tablir les besoins de scurit valuer les risques de scurit Slectionner les contrles Point de dpart en scurit de l'information Facteurs de succs critiques Dvelopper vos propres directives
Traitement du risque. Accepter le risque Rduire le risque. Supprimer le risque Externaliser le risque (assurance, sous-traitants..)
5 - Politique de la scurit
6 - Organisation de la scurit
Gestion des biens et des valeurs aux actifs - Inventaire - Propritaire - Rgles dutilisations Classification des informations - Directives de classification - Marquage
Gestion des accs utilisateurs - Inscription de l'utilisateur - Gestion des privilges - Gestion des mots de passe - Rexamination des droits daccs des utilisateurs Contrle de l'accs au rseau Contrle d'accs aux systmes d'exploitation Contrle d'accs aux applications et aux informations
11 Contrle daccs
Rapporter les vnements et les failles lis la scurit de linformation Gestion des amliorations et incidents lis la scurit de linformation
15 - Conformit -
Aspects scuritaires de la gestion de la continuit des affaires Inclure la scurit Continuit des affaires et valuation des risques Dvelopper et implmenter des plans de continuit Cadre de planification de la continuit des activits
14 - Continuit dactivit
161
. Publi
Avantages
Inconvnients
Permet de conduire un audit qui value un niveau de scurit, ce n'est pas un outil de spcification d'une politique de scurit. CobiT aborde le systme d'information sous l'angle des processus. Il n'offre donc pas un chapitre exclusivement ddi la scurit informatique dans son ensemble (mme si certains processus sont exclusivement ddis la scurit informatique, ils ne couvrent pas eux seuls toute la problmatique). CobiT ne propose pas de mesures 163 concrtes de scurit
Avantages
Gain en terme d'efficacit en rutilisant le savoir faire transmis par la mthode. Capitalisation des expriences, langage commun, rfrentiel d'actions, structuration de la dmarche, approche exhaustive. Association des groupes d'intrts, partage d'exprience, de documentation.
164
Inconvnients
Bien qu'elles peuvent faire l'objet de rvision les normes ou mthodes n'voluent pas au mme rythme que les besoins ou les technologies. Une norme ou une mthode est gnrale. Il Faut s'avoir la spcifier en fonction de besoins particuliers de l'organisation.). prolifration des mthodes: difficult de choix. disposer des comptences ncessaires. ncessit des comptences externes (recourt des consultants spcialiss). 165 .
166
Degr de sensibilit
Consiste identifier des classes gnriques de donnes auxquelles on associe des valeurs entires dfinissant leur degr de sensibilit. Permet de disposer d'une mtrique, dont lchelle des valeurs est dtermine par l'organisation et qui reflte le degr d'importance de la donne.
168
Pour chaque ressources, il faut identifier les risques et leurs scnarios possibles (erreur d'utilisation, de paramtrage, accidents, malveillance, sabotage, attaque logique, etc.);
169
Champ dapplication Systme, Rseaux, Environnement physique, Environnement nergtiques, Logiciels, Services, Donnes, Ressources humaines
170
Avant le sinistre
Mesures de protection
Mesures prventives Mesures structurelles Mesures de dissuasion
A prs le sinistre
Mesures palliatives et correctives Mesures de rcupration
Ragir un sinistre
172
Directives de scurit
Des directives claires, prcises et comprhensibles spcifiant au responsable de scurit, l'administrateur systme, ou tout autre acteur intervenant dans la supervision de la scurit ce qu'ils doivent faire face une situation d'urgence sont primordiales. facilitent la prise de dcision dans une situation critique permettent d'viter un tat de panique prjudiciable au maintien de la scurit.
173
Plan daction
mesures structurelles (organisation et responsabilit); mesures de protection (procdures de contrle d'accs, certification, chiffrement, preuve de l'origine, filtrage, cloisonnement des environnements, etc.); mesures de constat et de notification (enregistrement des actions malveillantes, constat et preuve de l'infraction, information aux dirigeants et aux acteurs touchs par l'infraction, etc.); mesures de rcupration (secours, sauvegardes, restitution, retour au contexte initial, etc.); mesures judiciaires ( porter plainte et poursuivre les fraudeurs). 174
la stratgie de reprise en identifiant le temps minimal coul entre un dommage et la reprise (notion de dure critique) les vnements et les actions pour mener bien la reprise (rpartition des actions, dclaration du sinistre auprs des assurances, identification des dpenses exceptionnelles).
Lutilisation dune mthodologie de conception de plan de secours est fortement recommand pour mieux matriser les diffrentes tapes de la mise en place d'un tel projet .
175
Analyse Stratgique
Choix des solutions
Dfinition des modes de fonctionnement normal et minimal de chaque application critique: dlai maximal
d'inactivit tolr; consignes oprationnelles, priorits de restauration, des applications critiques; procdures de reprise
Audit
Laudit dun plan de secours a pour objet de dterminer la qualit du plan tabli. On identifie les domaines sensibles de lentreprise pour lesquels le plan de secours doit sappliquer et on value les dispositions, procdures, tches et actions prvues par le plan en cas de sinistre puis on labore des recommandations.
181
182
183
b) Mission scurit
La mission de la scurit consiste en : la conception dun plan de scurit en fonction d'une analyse pralable des risques; la proposition dun niveau de protection adapt aux risques encourus ; la mise en uvre et la validation de l'organisation, des mesures, des outils et des procdures de scurit; Le suivi, laudit, le contrler, lvolution du SI et sa scurit;
185
b) Mission scurit
aligner les objectifs de la mission elle-mme avec la politique de scurit de lorganisation, identifier les cibles de la scurit et s'assurer qu'elles font l'objet d'un suivi oprationnel; laborer la politique de scurit; crer et maintenir le plan de formation et de sensibilisation des collaborateurs valuer et slectionner les composants externes (produits ou solutions) ddis la scurit
186
b) Mission scurit
demander une tude d'impact sur la scurit au service concern lors de l'installation d'un nouvel lment informatique; organiser et maintenir, avec le comit de direction gnrale, une cellule de gestion de crise dans le but de prendre des dcisions pertinentes lors de sinistres majeurs; suivre l'volution des risques, des vulnrabilits, des normes de scurit, des besoins, des mesures (notion de veille technologique en matire de scurit) tablir en collaboration avec les organes de rvision les plans d'audit. 187
c) Audit et Rvision
Afin d'valuer le niveau de scurit de l'existant, les diffrentes cibles de scurit font l'objet d'un audit spcifique qui sera confi l'organe de rvision. Ce dernier doit tre externe. Selon la cible, et sur la base d'un rfrentiel pralablement tabli et valid par les commanditaires, on distinguera :
a) Audit financier et organisationnel Contrler l'alignement de la stratgie de la scurit avec le plan informatique et le budget; contrler l'organisation et l'adquation de l'organisation; vrifier la conformit lgale
188
c) Audit et Rvision
b) Audit de la scurit: Il sagit de contrler: le niveau de la scurit physique; le niveau de la scurit logique la scurit des rseaux; la documentation; le cas chant, la couverture de l'assurance; les dispositif associ au plan de secours (service minimal). c) Audit des centres d'exploitation analyser leur fonctionnement, (procdures, documentation, l'organisation, configurations des systmes, performances, les priorits des traitements, plans de continuit d'activit et de secours, procdures de sauvegarde et de reprise).
189
c) Audit et Rvision
d) Audit des centres de dveloppement: contrler le niveau de prise en compte de la scurit dans la gestion de projets (coordination, mthodes de dveloppement, jeux de tests) ; analyser le niveau de scurit intgr dans le contrle qualit. e) Audit de la rception des applications s'applique tant aux dveloppements qu' l'exploitation analyse des procdures de rception et de la maintenance des applications. f) Audit de l'ensemble des acteurs du systme d'information fiabilit des quipements, disponibilit des ressources,
190
IV.2. Formation
Les personnes en charge de la scurit peuvent faire valuer et reconnatre leurs comptences en passant des tests de certification professionnelle. Trois options de spcialisation de certification sont possibles. Il s'agit respectivement des certifications:
ISSAP: Information Systems Security Architecture Professional. ISSEP: Information Systems Security Engineering Professional. ISSMP: Information Systems Security Management Professional.
l'ISACA (Information Systems Audit and Control Association) propose la certification CISM (Certified Information Security Manager).
191
IV.3. Acteurs
Responsable scurit Responsable du maintien de la scurit en condition d'exploitation. Sa fonction est plus organisationnelle que technique. Il peut effectuer les tches suivantes:
contrler la gestion et l'administration des moyens et des mesures de scurit mises en uvre sur les diffrentes cibles de la scurit; dfinir les privilges d'accs aux ressources; rvaluer rgulirement les privilges d'accs; laborer et maintenir la documentation; s'assurer que les cibles de scurit sont sous surveillance, participer l'analyse d'incidents ventuels et dcider, avec les acteurs concerns des actions ncessaires pour remdier aux 192 dfaillances constates.
IV.3. Acteurs
Responsable des ressources humaines Dans un contexte de gestion de la scurit, le responsable des ressources humaines, est charg notamment: d'effectuer les contrles ncessaires avant l'engagement de nouveaux collaborateurs; de sensibiliser les nouveaux collaborateurs (NC) face leur responsabilit en matire de scurit: transmettre aux
NC les directives de scurit; inciter les NC adopter un comportement thique vis--vis de l'usage des nouvelles technologies; faire signer une charte d'utilisation des ressources par les NC et les engager la respecter;
de coordonner les activits avec le responsable de scurit lors d'une rupture de contrat d'un collaborateur
IV.3. Acteurs
Managers Les managers doivent notamment: Veiller ce que leurs collaborateurs ou consultants soient informs de la politique de scurit afin quils en respectent les directives ; Analyser, valider et prendre position par rapport aux demandes daccs aux ressources manant de leurs collaborateurs. Recenser et rcuprer les informations sensibles dtenues par un collaborateur qui quitte sa position.
194
IV.3. Acteurs
Utilisateurs Ils doivent exclusivement utiliser des fins professionnelles les ressources informatiques de lentreprise mises leurs disposition dans le cadre de leur fonction. Ils ont lobligation dinformer le responsable scurit de tout lment ayant un impact potentiel sur la scurit.
195
Ressources 1. Solange Ghernaouti-Hli Scurit Informatique et rseaux DUNOD, Paris 2006 2. Terry Bernstein, Anish B.Bhimani & Eugene Shultz et Carol A.Siegel Scurit Internet pour lentreprise THOMSON, Paris 1997 3. ANSI Initiation aux 10 domaines fondamentaux de lexpertise en scurit (CBK) 4. Serge Mani Introduction la scurit informatique Universit de Montral 5. Rapport de scurit des TI : Logiciels malveillants : les tendances qui se dessinent Publication de lorganisme-conseil R2-002 6. F. Nolot Les principes de la scurit (cours) Universit de REIMS Champagne-Ardenne 7. Ghernaoati-hli. S Stratgie et protection des systmes d'information: http://dit-archives.epfl.ch/FI00/fi-sp-00/sp-00-page20.html
196