Scurit Informatique

CHAPITRE I Les principes de la scurit

Le systme dinformation est le patrimoine essentiel de lentreprise

Pourquoi la scurit ?

Linformation est une ressource stratgique.

Budget dpens dans la gestion de linformation est lev

Ncessit de la protection du SI (Scurit du SI).

Inscurit des technologies de communication

Diffrents objectifs de scurit

3

I.

Principaux critres de la scurit

I. Principaux critres de la scurit

Confidentialit

Disponibilit

Authenticit Critres de la Scurit

Intgrit

traabilit

Non-Rpudiation
5

I. Critres de la scurit
La scurit informatique implique qu'il faut assurer les proprits suivantes: la confidentialit (aucun accs illicite): maintien du secret de l'information et accs aux seules entits autorises; l'intgrit (aucune falsification): maintien intgral et sans altration des donnes; la disponibilit (aucun retard): maintien de l'accessibilit en continu sans interruption ni dgradation; l'authentification (aucun doute sur l'identification )
6

I. Critres de la scurit
la non-rpudiation (aucune contestation): vise interdire une entit de pouvoir nier ou rejeter qu'un vnement (action, transaction) a eu lieu. A cette notion sont associes: L'imputabilit: une action a eu lieu et automatiquement un enregistrement, preuve de l'action, est effectu La traabilit: mmorisation de l'origine du message, dun vnement,.. L'auditabilit: capacit d'un systme garantir la prsence d'informations ncessaires une analyse ultrieure d'un vnement.
7

II. Champs dapplications

de la Scurit

II. CHAMPS D'APPLICATIONS DE LA SCURIT

Les objectifs de la scurit s'appliquent dans diffrents domaines ou champs d'application:

o Scurit physique; o Scurit de l'exploitation o Scurit logique; o Scurit applicative; o Scurit des tlcommunications.

II.1 Scurit Physique

Traite les diffrents aspects de l'environnement dans lequel les systmes oprent. Elle se repose principalement:
Protection de l'environnement (incendie, temprature, humidit, etc ) Protection des accs Redondance physique Protection des sources nergtiques Plans de maintenance prventive et corrective Reprage des quipements La protection physique des quipements, locaux de rpartition, tableaux de connexion, infrastructure cble, etc.),

10

II.2 Scurit de l'exploitation

Elle comprends la mise en place d'outils et de procdures relatifs aux mthodologies d'exploitation, de maintenance, de test, de diagnostic et de mise jour. plan de sauvegarde; plan de secours; plan de continuit; inventaires rguliers et si possible dynamiques; gestion des configurations et des mises jour; gestion des incidents et suivi jusqu' leur rsolution; analyse des fichiers de journalisation ; gestion des contrats de maintenance; sparation des environnements de dveloppement et de production des applicatifs.
11

II.3 Scurit logique

Fait rfrence la ralisation de mcanismes de scurit par logiciel, elle repose sur :
la mise en uvre d'un systme de contrle d'accs logique s'appuyant sur un service d'authentification, d'identification et d'autorisation une gestion efficace des mots de passe et des procdures d'authentification Des mesures antivirales et de sauvegarde des informations sensibles

La classification des donnes semble ncessaire afin de qualifier leur degr de sensibilit (normale, top secrte, top secrte, ... ) et dterminer ainsi le niveau de protection ncessaire aux donnes manipules
12

II.4 Scurit applicative

Repose essentiellement sur :
une mthodologie de dveloppement (respect des normes de dveloppement , ); la robustesse des applications; des contrles programms; des jeux de tests; l'intgration de mcanismes de scurit, d'outils d'administration et de contrle de qualit dans les applications; la scurit des progiciels (choix des diteurs, interface scurit, etc.); l'laboration et la gestion des contrats (clauses d'engagement de responsabilit avec les sous-traitants) ; un plan de migration des applications critiques; la validation et l'audit des programmes; 13

II.5 Scurit des tlcommunications

Garantir une connectivit fiable de bout en bout et ce quels que soient le nombre et la nature des lments intermdiaires ncessaires l'acheminement des donnes. Assurer une infrastructure rseau scurise au niveau des accs, des protocoles de communication, des systmes d'exploitation et des quipements.

14

III. Les Facettes de la scurit

15

III.1 Diriger la scurit

La scurit informatique passe par une gestion rigoureuse de la logistique, des ressources humaines, des systmes informatiques, des rseaux, des locaux et de l'infrastructure environnementale. Elle est en constante volution et se traduit par un problme de gestion de la qualit li l'volution des systmes, des enjeux et des risques. Une gestion rigoureuse des ressources informatiques et tlcoms peut rduire lindisponibilit rsultant dun dysfonctionnement de loutil informatique
16

III.1 Diriger la scurit

La scurit informatique d'une organisation doit s'apprhender d'une manire globale. La scurit informatique passe par la dfinition d'une politique de scurit, la formation du personnel, la mise en place de mesures ainsi que par l'optimisation des solutions. L'utilisation d'outils ou de technologies de scurit ne peut pas rsoudre les problmes de scurit. En aucun cas, ils ne se substituent une gestion cohrente de l'ensemble des problmes de scurit.
17

III.2 Le juridique dans la scurit des S.I

Sassurer de la conformit juridique des systmes dinformation La responsabilit des acteurs (responsable scurit, ...) est de plus en plus invoque lors de sinistre o les ressources informatiques qu'ils grent sont l'objet ou le moyen d'une fraude Pouvoir prouver que des mesures suffisantes sont pourtant prise pour scuriser le systme afin de se protger contre un dlit de manquement la scurit A dfaut d'une obligation de rsultat, les responsables de systmes informatiques ou scurit ont une obligation de moyens Les responsables d'entreprises doivent tre extrmement attentifs l'gard du droit des nouvelles technologies
18

II.3 thique et formation

Une thique scuritaire doit tre dveloppe au sein de l'entreprise. Elle doit se traduire par: une charte reconnue par tous les acteurs du systme d'information un engagement personnel la respecter. Des sessions de sensibilisation et de formation sur les enjeux, les risques et les mesures prventives et correctives de la scurit sont ncessaires pour duquer l'ensemble du personnel adopter une dmarche scurit.
19

Les clauses de la charte dontologique

La charte dontologique d'utilisation des ressources informatiques et des services Internet doit comprendre des clauses relatives:
son domaine d'application; la dfinition des moyens et procdures d'accs aux ressources informatiques et services Internet; aux rgles d'utilisation professionnelle, rationnelle des ressources; aux procdures de scurit; au bon usage des ressources aux conditions de confidentialit; au respect de la lgislation concernant les logiciels; au respect de l'intgrit des systmes informatiques; au rappel des principales lois en vigueur respecter. 20

III.4 Architecture de scurit

Permet didentifier toutes les dimensions de la scurit informatique. Dimension technique et oprationnelle
Scurit matrielle, Scurit environnementale, Scurit des tlcommunications ... Scurit de lexploitation, Scurit logique, Scurit applicative

Dimension organisationnelle et conomique

Gestion, Responsabilit, Organisation Budget Evaluation, contrle

Dimension humaine
Surveillance Ethique Formation ...

Dimension juridique et rglementaire.

Normes, Conformit lgale, Procdures
21

IV. Attaques via Internet

22

IV. 1 Attaque de la Scurit

Les attaques sont divises en deux classes :
Attaques passives Attaques Actives

Interception Ecoute

Modification Interruption Fabrication Dni de service

Disponibilit Confidentialit Intgrit

Authenticit

23

IV.1.1 Attaques passives

Difficiles dtecter puisquelles nentranent aucune altration de donnes. Interception: interception des donnes et extraction de linformation (ex: email contenant des informations confidentielles, communication tlphonique) partir du trafic chang. Analyse de trafic: mme en prsence de mcanismes de cryptage des donnes transmises, lintrus peut extraire des informations utiles.(motif des messages, origine, etc)
24

IV.1.2 Attaques actives

Modification, ajout ou destruction dune partie des donnes ou de linformation transmise Dni de service: Perturbation de lutilisation normale des ressources (rseau ou systme) en les surchargeant de trafic inutile pour dgrader leurs performances. Fabrication: Cration et injection de messages afin de produire un effet non autoris. Modification: Altration, destruction, ou reclassement dune partie des messages changs en vue de produire un effet non autoris.
25

IV.2 tapes de ralisation d'une attaque

Collecte d'information et recherche de vulnrabilit Exploitation des informations recueillies et des failles de scurit connues et non encore rpares Cration de l'attaque : dbouche sur l'intrusion Exfiltration: lattaquant veille ne pas laisser de traces pouvant servir son identification (rester anonyme, utiliser des alias (pseudonymes), usurper l'identit d'utilisateurs , etc).

26

IV. 3 Typologie des attaques

Les attaques sont le plus souvent fondes sur l'usurpation de paramtres de connexion, de mots de passe d'ayants droit ainsi que sur le leurre et l'exploitation de failles et de vulnrabilits.

27

IV.3.1 Appropriation de mots de passe

Par l'utilisateur qui lui rvle son mot de passe mot de passe vident Leurrer les utilisateurs, par tlphone ou email, en se faisant passer pour l'administrateur du rseau (domaine du social engineering) Par coute passive du rseau, d'o l'utilit de chiffrer les mots de passe pendant les transferts ou de ne pas les transmettre

28

IV.3.1 Appropriation de mots de passe

En cas de dcouverte de mots de passe crypts, le pirate va tenter de les dcouvrir par

brute force ou par dictionnaire utilisation de cheval de Troie activation d'un priphrique comme un micro ou une webcam l'insu de l'utilisateur les tests de niveau d'efficacit des mots de passe des utilisateurs est une des mesures de contrle et de validation de la scurit que lon doit effectuer rgulirement
29

IV.3.2 Attaques fondes sur le leurre

Bas sur les vulnrabilits des environnements Internet Les leurres permettent: d'usurper les identits des utilisateurs ou des adresses IP de voler des sessions TCP

30

IV.3.2 Attaques fondes sur le leurre

Elles exploitent les possibilits intrinsques des divers protocoles de communication d'Internet. L'utilisateur doit tre vigilant: il doit dsactiver les priphriques lorsqu'il n'en a pas explicitement l'usage

31

IV.3.4 Attaques fondes sur la manipulation d'information

Modification de la page d'accueil d'un site web (defacement attack) Redirection de l'utilisateur vers un faux site, ressemblant exactement celui auquel il s'est initialement connect, afin de lui soustraire par exemple son numro de carte bancaire. Modification du contenu d'un article de presse sur un site d'information les actions de dsinformation relvent de l'infoguerre (infowar)
32

IV.3.3 Attaques fondes sur le dtournement des technologies

Une attaque conduisant un dni ou refus de service peut tre ralise en sollicitant excessivement des
ressources. (surchargs par un trop grand nombre de requtes, les systmes cibls ne possdant pas la capacit de traiter un tel afflux de demandes, s'effondrent et deviennent indisponibles). Ex: e-mail bombing.

33

CHAPITRE II La criminalit informatique

34

I.

Crime Informatique

35

I. 1 Crime informatique
Prolongement naturel de la criminalit classique. Dlit pour lequel un systme informatique est l'objet du dlit et/ou le moyen de le raliser. Fait appel aux technologies internet pour sa ralisation. Le monde virtuel:
confre au crime la capacit tre automatis, Autorise une ralisation grande chelle (cyberpidmie), Permet au crime d'tre commis distance via les rseaux (ubiquit du criminel, dans le temps et dans l'espace) et avec des effets retardement .
36

Dlits commis distance via des rseaux Ddoublement du criminel dans lespace et dans le temps

lattaquant

Savoir faire criminel embarqu dans les logiciels Automatisation des dlits grande chelle

Cible de lattaque

Caractristique du crime Informatique

37

I.2 Technologies et risques

Associ aux vulnrabilits, une matrise insuffisante des technologies, notre dpendance aux technologies et l'interdpendance des infrastructures, le risque informatique ne peut plus tre ignore. Le risque informatique est souvent sous-estim par les organisations. Transfrer le risque via des mcanismes d'assurance ne satisfait pas le besoin d'utilisation efficace des technologies du numrique matriser le risque.
38

facteurs dinscurit li aux infrastructures numriques

Pannes, dysfonctionnements, erreurs, incomptences, incohrences ou encore aux catastrophes naturelles;

La dmatrialisation des acteurs, les accs distance; les problmes de conception; de mise en uvre, de gestion

confrent

Niveau d'inscurit aux infrastructures numriques.

39

I.2 Technologies et risques

Chaque technologie possde un risque intrinsque et est porteuse de potentialits criminelles. Elle offre des opportunits de compromission, de fraudes, de supercherie, de corruption, d'escroquerie .. Le risque et l'inscurit technologiques sont des menaces invisibles mais redoutables, susceptibles de frapper n'importe o et n'importe quand. Internet propose un terrain favorable l'expression de la criminalit.
40

I.3 . Internet et le monde criminel Les possibilits d'exploitation des vulnrabilits et de malveillances sont nombreuses

Usurpation d'identit, leurre, accs indus, exploitation frauduleuse de ressources, infection, dtrioration, destruction, modification, divulgation, dni de service, vol.

Met en vidence une matrise insuffisante du risque informatique d'origine criminelle par les organisations et les limites des approches scuritaires actuelles.

41

I.3.1 Dmatrialisation La dmatrialisation des transactions, les facilits de communication associes aux solutions de chiffrement et d'anonymat, autorisent des liaisons entre criminels de diffrents pays sans contact physique, de manire flexible et scurise en toute impunit. La couverture internationale du rseau Internet permet aux criminels d'agir au niveau mondial, rapidement et grande chelle.

42

I.3.1 Dmatrialisation La vulnrabilit fondamentale du monde numrique provient de la sparation de l'information et de son support physique. En devenant immatrielle, l'information numrique devient indpendante de son support et vulnrable. Elle peut tre dtruite, modifie, copie, vole et la notion de donne d'origine n'a plus de sens puisque les copies l'identique et l'infinie sont possibles.
43

I.3.2 Disponibilit d'outils

La disponibilit d'outils d'exploitation des failles des systmes, de bibliothques d'attaques et de logiciels capitalisant le savoir-faire criminel dans un programme, offre des opportunits sans prcdent. Associe la dmatrialisation des actions, la disponibilit doutils facilite les comportements malveillants. Le cyberespace, o les actions se ralisent distance facilite, le passage l'illgalit sans prise de conscience relle de la dimension criminelle des actes raliss.
44

I.2.3. Universalisation et dpendance

L'uniformisation du monde de l'informatique et des tlcommunications, l'adoption universelle des technologies Internet, la dpendance des organisations et des Etats ces mmes technologies, l'interdpendance des infrastructures

introduisent un degr de vulnrabilit non ngligeable dans le fonctionnement normal des institutions.

Met en pril la prennit des organisations et mme la souverainet des tats

45

II.

Cyberterrorisme

46

II.1. Cyberterrorisme
Terrorisme appliqu au cyberespace. Il fait rfrence l'emploi systmatique de la violence pour atteindre un but politique. Pour s'organiser, communiquer, changer, rechercher des fonds, prparer des actions, les terroristes adoptent les facilits offertes par Internet

47

II.2 Dimension des cyberterrorismes

Concerne les attaques portant sur des systmes impliqus dans des infrastructures critiques et essentielles au bon fonctionnement des activits d'un pays: Energie, eau, transports, logistique alimentaire, tlcommunications, banques et finances, services mdicaux, fonctions gouvernementales, etc Importance des systmes de production et de distribution d'lectricit qui conditionnent le fonctionnement de la plupart des infrastructures.
48

II.3 Motivation des cybercriminels

Les professionnels Concurrents, Employs Fonctionnaires, Dlinquants Terroristes Les amateurs Rebelles, Curieux Mystiques, ..

Motivation Sociale, technique, Economique, idologique, Religieuse, Personnelles

49

II.4 Nouvelles menaces

La scurit intrieure d'un pays est aujourdhui

confronte des formes de menaces criminelles lies lexistence des technologies de l'information. Les technologies d'Internet sont au cur de la guerre de l'information (infoguerre, infowar). Internet permet non seulement la manipulation de l'information mais cest aussi un outil privilgi pour rpondre des rumeurs Les activits d'espionnage et de renseignement sont facilites puisqu'il est devenu ais d'intercepter des informations transfres via Internet
50

III. Poursuivre un crime

informatique

51

III.1. Caractristiques dun crime informatique Crime sophistiqu, ralis le plus souvent au niveau international avec parfois un effet retardement. Les traces laisses par les malfaiteurs sont immatrielles. Les traces ncessitent des moyens importants mettre en uvre pour les interprter, les collecter et les sauvegarder (dlais de rtentions).

52

III.2. Trace numrique

Informations numriques mmorises sur toute sorte de supports et qui permettent de savoir ce quil sest pass. Plusieurs problmes se posent: identification et localisation des donnes pouvant constituer une preuve; rcupration dans divers supports informatiques ; effacement de fichiers, de donnes, origine des messages, difficults dobtention des traces, si elles sont laisses dans des systmes de diffrents pays. (entraide judiciaire, internationale, dlais dintervention, dure de traitement de la requte d'obtention,..)
53

III.2. valeur juridique de la trace numrique

Valeur de la trace numrique en tant que preuve

contribuant tablir la vrit auprs d'un tribunal:

les supports de mmorisation sont faillibles. Ils peuvent

introduire un taux d'erreur et un degr d'incertitude dont il faut tenir compte dans ltablissement d'une preuve numrique; les notions de date et d'heure sont variables d'un systme informatique lautre et aisment modifiables . difficult de remonter jusqu l'identit d'une personne sur la base uniquement d'une trace numrique du fait de l'usurpation didentit, 54

III.3 Difficults pour les Instances de justice et de police

Problme dharmonisation des cadres lgaux et de coopration internationale. Divergences dans lapprhension des problmes de scurit et des moyens ncessaires mettre en uvre pour les rsoudre. La criminalit informatique tire parti des difficults rguler dans le cyberspace ( dimensions politiques, lgales et conomiques, dans lesquelles les questions de scurit sinscrivent).
55

IV. Risque dorigine

criminelle

56

IV.1 Programmes malveillants

Un logiciel malveillant (malware) est un logiciel dvelopp dans le but de nuire un systme informatique et/ou lutilisateur . Les principales classes des logiciels malveillants sont : virus,
vers (worms), chevaux de Troie (Trojan horses), portes drobs (backdoors), Les logiciels-espions (spywares), keylogger, rootkits, composeurs, publiciels (adwares), phraming , hameonnage (phishing ). Les plus dangereux permettent de diffuser et de piloter des outils d'attaques en dni de service distribu (DDoS) Plusieurs milliers de malwaires sont actuellement en circulation avec comme finalit le profit financier en portant atteinte par exemple des concurrents.
57

IV.1. Programmes malveillants

La tendance des auteurs des programmes malveillants est de plus en plus crire des logiciels malveillants des fins lucratives Aujourdhui, les logiciels malveillants font profiter leurs auteurs de plusieurs faons diffrentes. Lune des mthodes les plus courantes est de voler des renseignements dlicats pour les vendre ensuite des organisations criminelles sur le march noir (numros de carte de crdit et dassurance sociale, des noms dutilisateur et des mots de passe, et dautres fichiers de nature dlicate sauvegards sur des disques durs, sont vols et monnays facilement) .
58

IV.1 Programmes malveillants

Vecteurs d'introduction des logiciels malveillants

Les vecteurs d'introduction des logiciels malveillants peuvent tre, des logiciels gratuits ou en dmonstration, des sites de jeux par exemple, mais aussi le courrier lectronique, les forums de discussions. les maliciels collectent et transfrent des donnes l'insu de l'utilisateur et peuvent servir d'intermdiaires des activits illgales.
59

IV. 2 Dlits divers

Les nouvelles technologies facilitent toute sorte de vol, de modification, de sabotage d'informations ou de fraudes. Les phnomnes de chantage, de demandes de ranons existent dsormais sur Internet. Les ressources informatiques deviennent les otages potentiels des cybercriminels. Tout le monde peut tre la cible de tentatives de chantage de dsinformation ou de cyberpropagande.

60

IV. 3 Blanchiment d'argent

Internet offre un potentiel exceptionnel tant par la dmatrialisation que par la non-territorialit pour les acteurs traditionnels du blanchiment. Les placements boursiers en ligne, les casinos en ligne, le e-commerce, ventes de produits et de services fictifs,.. sont des activits incontrlables; le ebanking, les transactions du foncier et de l'immobilier via le Net, la cration de socits virtuelles, les porte-monnaie lectroniques... permettent aisment la rinsertion de l'argent sale dans les circuits conomiques.
61

IV. 4 Limites des solutions de scurit

La multiplicit des lments matriels, logiciels, rseaux et des acteurs impliqus favorisent la criminalit informatique. Les solutions de scurit ne rpondent le plus souvent qu' un problme particulier dans une situation donne. Le plus souvent, les solutions de scurit rpondent mal la dynamicit du contexte dans lequel elles doivent s'intgrer Les solutions de scurit sont des rponses d'ordre technologique des problmes humains, managriaux et lgaux.

62

IV. 4 limites des solutions de scurit

La scurit informatique doit contribuer rduire le risque technologique encouru par l'entreprise. Elle doit d'une part s'adapter aux paradigmes mouvants de l'informatique et d'autre part celui de la criminalit, tout en s'inscrivant dans une logique de rentabilit pour l'organisation qui la met en uvre. La multiplicit des lments matriels, logiciels, rseaux et des acteurs impliqus (l'inexprience et l'inconscience de certains utilisateurs), favorisent l'expression de la criminalit informatique.
63

IV. 5 Complexit du problme

l'expertise des attaquants; la sophistication et l'efficacit des botes outils

d'attaques; le nombre d'attaques est en perptuelle augmentation; matrise relative de la complexit induite par les nouvelles technologies; des produits vulnrables qui continuent toujours tre commercialiss.
64

IV. 5 Complexit du problme

Sans une volont et une responsabilit de tous les acteurs et un partenariat efficace des secteurs privs et publics, toute mesure de scurit qu'elle soit d'ordre technologique ou lgislative, ne constituera qu'une approche partielle (donc insuffisante) et de peu d'efficacit la matrise de la criminalit informatique

65

V. Approche Scuritaire

66

Rappel
La cybercrirninalit tire parti des caractristiques suivantes: dmatrialisation des actions, services, transactions; erreurs de conception, gestion, utilisation; pannes et dysfonctionnements des systmes; disponibilit d'outils d'attaque; dpendance vis-a-vis de la technologie; l'interdpendance des systmes et infrastructures; l'universalit des technologies; l'accessibilit et de l'ouverture des systmes,
67

Rappel (suite)
la non-matrise totale des technologies et des infrastructures informatiques et tlcoms et des solutions de scurit commercialises, les donnes d'une organisation ne lui appartiennent plus, elles appartiennent aux systmes informatiques qui les traitent, les sauvegardent, les communiquent, les restituent! (dpendance excessive vis--vis d'un fournisseur ou d'un administrateur systme).

68

IV.1 Exigences
bien considrer la relation aux nouvelles technologies avant de mettre en place des mesures classiques de scurit et ce par une dmarche de prventionprotection-dfense-raction, choisir et mettre en place des produits dont le niveau de scurit puisse tre contrlable, vrifiable et garanti; la scurit ne doit pas tre ralise dans l'obscurit; la scurit relve de la responsabilit des utilisateurs, des intermdiaires techniques et de l'ensemble des acteurs; un minimum de scurit doit tre intgr en mode natif dans les solutions technologiques,

69

IV. 2 Dmarche de prvention

La dmarche de prvention scuritaire est proactive. Touche aux dimensions organisationnelle humaine, juridique, conomique (ratio cot de mise en uvre /dlais de mise en uvre/ services offerts) et technologique. Assurer lquilibre revient trouver le compromis ente: besoins et solutions de scurit; facilit dutilisation et efficacit des solutions de scurit; dlais de disponibilit de solutions efficaces et cots de dveloppement et dintgration de ces solutions; niveaux de scurit et cots de solutions. Seule une matrise des risques et des mesures de scurit et une prise de responsabilit de l'ensemble des intervenants qui pourraient contribuer offrir le niveau de scurit attendu 70

IV. 3 Dmarche de raction

L'apprhension de la criminalit informatique s'inscrit, le plus souvent dans une dmarche de raction et de poursuite, Celle-ci s'effectue a posteriori, c'est--dire aprs la survenue d'un sinistre qui traduit ainsi la dfaillance des mesures de protection

71

V. 4 Intimit numrique
Protections des donnes Les outils de lutte contre la criminalit informatique peuvent potentiellement mettre mal les droits de l'Homme et aller l'encontre de la confidentialit des donnes personnelles. En effet, la scurit passe par la surveillance, le contrle et le filtrage. Il faut garantir le respect des droits fondamentaux, notamment celui du respect de l'intimit (numrique) et de la confidentialit des donnes caractre personnel.
72

V. 4 Intimit numrique
Protections des donnes Diverses lgislations nationales existent depuis dj longtemps concernant la protection des donnes personnelles : (Allemagne: Loi du 21 janvier 77, Argentine: Loi sur la protection des donnes personnelles (1996), Autriche: Loi du 18 octobre 1978, Australie: Loi sur la vie prive (1978), Belgique: Loi du 8 dcembre 92, .). l'approche scuritaire doit galement rpondre aux besoins de scurit des individus, notamment pour ce qui concerne la protection de leur vie prive et le respect de leurs droits fondamentaux.
73

VI. SCURIT ET SOCIT DE L'INFORMATION

74

VI.1 Responsabilit de l'tat

Dfinir une vritable politique de dveloppement de la socit de l'information Mettre disposition les ressources ncessaires cette ralisation de la socit de linformation (comprend galement les moyens de protection et de lutte contre la cybercriminalit).

75

VI.1 Rle de l'tat

La ralisation de la socit de l'information ncessite de disposer: dinfrastructures informationnelles fiables et scurises
(accessibilit, disponibilit, continuit des services);

de politiques d'assurance et d'un cadre lgal adapts; d'outils efficaces de gestion du risque informationnel; de procdures et moyens pour dvelopper la confiance dans les applications et services offerts par les nouvelles technologies (transactions commerciales et financires, e-gouvernement,
e-vote. ..).
76

VI.1 Rle de l'tat

Cadre lgal

dfinir des lois; favoriser et encourager la recherche et le dveloppement en matire de scurit; Promouvoir une culture de la scurit et du respect de l'intimit numrique; Imposer le respect d'un minimum de normes de scurit en exigeant par exemple que la scurit soit intgre dans les produits.

77

VI.1 Rle de l'tat

Cadre stratgique

l'tat doit contribuer : assurer la prvention; assurer le renseignement; assurer le partage d'information; faire connatre les meilleures pratiques de gestion du risque et de la scurit; mettre en place des systmes de gestion des alertes dfinir des cooprations ventuelles
78

VI.1 Rle de l'tat

En matire de prvention, l'tat est un acteur important pour tout ce qui touche aux besoins d'duquer, d'informer et de former aux technologies de traitement de l'information et des communications, de la scurit et aux mesures de dissuasion.

79

VI.2 Construire la confiance

Sans lintgration dans une approche systmique, de toutes les composantes d'une dmarche scuritaire globale, les technologies de scurit ne pourront pas protger correctement un environnement Internet. les besoins de scurit ne doivent pas faire d'Internet un territoire contrl l'excs, car des drives portant atteintes aux droits fondamentaux de l'Homme sont alors prvisibles. La matrise intelligente des risques technologiques et informationnels passe par une approche globale et cohrente des problmatiques de scurit qui tient compte des facteurs dordre humain, technologique, juridique et conomique
80

VI.2 Construire la confiance

La diffusion d'une certaine culture et approche pluridisciplinaire de la scurit et de la matrise du risque informatique d'origine criminel est obligatoire. Possder une vision stratgique des problmatiques est devenue une ncessit pour les organisations comme pour les Etats. En effet, leur dpendance aux technologies de traitement de l'information associe l'interdpendance des infrastructures vitales ainsi que la vulnrabilit des systmes informatiques, ne peuvent plus tre ignores.
81

VI.2 Construire la confiance

L'augmentation de la dpendance aux technologies du numrique ncessite de doter les individus, les organisations et plus globalement la socit, de mesures, procdures et outils qui autorisent une gestion efficace des risques technologiques et informationnels. Sensibiliser l'ensemble des acteurs du monde Internet, aux enjeux de la matrise de la scurit et aux mesures lmentaires qui si elles sont clairement nonces, dfinies et mise en uvre renforceront la confiance des utilisateurs envers les technologies de traitement de l'information et de la communication ( spcialement linternet).
82

VI.3 Rglementation internationale

De par les caractristiques d Internet qui offre une couche d'isolation protectrice aux criminels, ces derniers tirent parti de l'inexistence dans certains tats de lois rprimant le crime informatique et des juridictions multiples dont relve le rseau des rseaux.

83

VI.3 Rglementation internationale

La premire rglementation internationale, contribuant apprhender la dimension internationale de la cybercriminalit est la Convention sur la cybercriminalit, - Budapest 23 novembre 2001. Adopte sous l'gide du Conseil de l'Europe, et entre en vigueur en juillet 2004 ds sa ratification. Cette convention aborde principalement les points suivants: A) Disposition de droit pnal matriel concernant:
Les infractions contre la confidentialit, l'intgrit et la disponibilit des donnes et systmes informatiques. Les infractions lies aux atteintes la proprit intellectuelle et aux droits connexes.

B) Disposition de droit procdural concernant:

La conservation rapide des donnes informatiques, de donnes relatives au trafic et 84 sa divulgation rapide l'autorit comptente

VI.3 Rglementation internationale

La conservation et la protection de l'intgrit des donnes pendant une dure aussi longue que ncessaire pour permettre aux autorits comptentes d'obtenir leur divulgation. La perquisition et la saisie des donnes stockes. La collecte en temps rel des donnes. La protection adquate des droits de l'Homme et des liberts.

C) Chaque tat doit adopter des mesures lgislatives, et autres, concernant :

L'accs intentionnel et sans droit tout ou partie d'un systme. L'interception intentionnelle et sans droit de donnes lors de transmissions destination, en provenance ou l'intrieur d'un systme. Le fait intentionnel et sans droit d'endommager, d'effacer, de dtriorer, d'altrer ou de supprimer des donnes L'entrave grave intentionnelle et sans droit au fonctionnement d'un systme.
85

VI.3 Rglementation internationale

La production, la vente, l'obtention pour l'utilisation, la diffusion l'importation, ou d'autres formes de mise disposition d'un dispositif conu ou adapt pour raliser une des infractions mentionnes. L'introduction, l'altration, l'effacement ou la suppression intentionnelle et sans droit de donnes, engendrant des donnes non authentiques, dans l'intention qu'elles soient prises en compte ou utilises des fins lgales, comme si elles taient authentiques. Le fait intentionnel et sans droit de causer un prjudice patrimonial autrui par l'introduction, l'altration, l'effacement ou la suppression de donnes, toute forme d'atteinte au fonctionnement d'un systme, dans l'intention frauduleuse ou dlictueuse, d'obtenir sans droit un bnfice conomique pour soi-mme ou pour autrui.

86

VII. Typologie des comportements

des organisations

87

VI.1 Pertes relatifs une attaque informatique

Les pertes engendres par les attaques informatiques reprsentent des sommes non ngligeables pour les organisations on distingue:
Pertes directes conscutives une fraude; Cots engendrs par une interruption de service, entranant:
une non-continuit des oprations; une perte de volume de ventes; la perte d'image de marque, de rputation.

Cots relatifs la restauration des systmes dans leur tat oprationnel.

88

VI .2 chiffre noir de la cybercriminalit

Difficult dobtention des chiffres de la criminalit informatique, ce qui constitue un vritable obstacle l'analyse du phnomne et contribue la mconnaissance de son ampleur.

89

Le manque de statistiques officielles trouve ses origines par le fait que les organisations:
ne souhaitent communiquer sur le fait qu'elles sont ou ont t victimes d'un acte cybercriminel; ce qui montrerait leur dfaillance scuritaire; ignorent qu'elles sont victimes d'une malveillance, notamment pour toutes attaques passives en prennent conscience qu'a posteriori lorsque toute action de raction devient obsolte; ne savent pas grer une situation de crise; prfrent faire justice elles-mmes en piratant leur tour, le ou les systmes impliqus dans l'attaque dont elles sont victimes; n'ont pas une confiance suffisante dans les instances de justice et de police et dans leur comptence pour traiter ce type de 90 problme.

VI .3 Obstacles l'analyse

VI.4 Typologie des comportements des organisations Les comportements des organisations tiennent compte:
des situations matriser du degr de comptence d'exprience des entreprises en matire de scurit.

Les stratgies de scurit sont dfinies en fonction des valeurs et des besoins des entreprises. Les mesures de scurit peuvent se dcliner en :
mesures prventives; mesures palliatives; mesures correctives; mesures de protection; mesures de raction.

91

VI.4 Typologie des comportements des organisations

Aux mesures d'ordre organisationnel technique et juridique, il faut associer la dfinition et la ralisation: des plans de gestion de crise, des plans de continuit de service, des stratgies de contrle, d'valuation, de suivi et d'optimisation des politiques, mesures, solutions et procdures de scurit, La prise en compte des besoins d'assurance du risque et des dmarches de veille technologique est ncessaire. L'intgration dans le management, de la notion de gouvernance de la scurit pour matriser les risques.
92

VI.4 Typologie des comportements des organisations

Trois catgories significatives de cybercrime du point de vue de la raction des entreprises sont considrer : les virus, le spam, le phishing dont le vecteur d'introduction est principalement la messagerie lectronique, l'intrusion de systmes, le chantage

93

VI.3 Typologie des comportements des organisations

Ractions des entreprises face aux Virus, spam, phishing

Prise en compte effective au sein des organisations, de la propagation des virus par la messagerie lectronique. Progression de l'usage et de la gestion des antivirus sur les serveurs de messagerie et sur les postes de travail des utilisateurs. Adoption par les organisations, dun plan de sensibilisation des utilisateurs .

94

VI.4 Typologie des comportements des organisations

Ractions des entreprises face aux Virus, spam, phishing

Utilisation des mesures technologiques telles que l'usage de logiciels antispam. Si les mesures prventives sont inefficaces, les entreprises nhsitent pas arrter leur service de messagerie pour limiter la propagation d'un virus. Concernant les escroqueries ralisables partir du phishing, des actions de sensibilisation du personnel sont ncessaire.
95

VI.4 Typologie des comportements des organisations

Ractions des entreprises face aux intrusions

La rponse une intrusion variera en fonction du processus d'attaque, de la phase de ralisation, de l'importance, de la cible de l'attaque, et des moyens et comptences disposition pour ragir. Le responsable de la scurit informatique s'attachera : limiter la propagation d'une attaque, rduire les impacts de l'attaque rparer les atteintes ou dgts engendrs. comprendre l'incident et en identifier l'origine.
96

VI.4 Typologie des comportements des organisations

Procdure de chantage

Lors de procdures de chantage aux technologies avec des demandes de ranons, les entreprises peuvent: Ignorer la demande signifier l'attaquant que l'entreprise possde des moyens d'identifier le malveillant, ce qui peut tre vrai ou relever d'un processus d'intimidation; payer la ranon demande; dnoncer aux autorits comptentes la tentative de racket; ajuster les mesures de scurit afin de protger au mieux l'environnement menac ou de rduire les impacts de l'attaque annonce;
97

CHAPITRE III La stratgie de scurit

98

I.

Matriser des risques

99

I . 1 Finalit De La Scurit
Scurit Prvention-Protection-Raction

Minimiser les pertes financires, de savoir-faire, dimage de marques

Permettre un usage efficace des technologies

Rduire les risques technologiques et informationnels un niveau acceptable

Prennit de lorganisation
100

I.2 Risque Informatique

La probabilit de ralisation dun vnement considr comme nfaste. Probabilit quun actif soit affect suite lexploitation dune vulnrabilit lie une menace Mesurer le risque informatique revient dterminer: Probabilit de ralisation de la menace Impact et dommages conscutifs la ralisation.

101

I . 3 Matrise Des Risques Informatiques

Diminuer les risques un niveau acceptable pour une organisation afin d'viter de mettre en pril sa productivit et sa prennit. Ceci passe par la conception d'une stratgie, la dfinition d'une politique de scurit La ralisation tactique et oprationnelle .

102

I.4 Dmarche scuritaire : 1re Etape

tape 1 : Identification identification des actifs de lorganisation identification des niveaux de vulnrabilits par rapport aux menaces identification les risques de perte totale ou partielle des actifs Lidentification exacte des moyens et des mesures de protection des ressources du systme dinformation dpend fortement de la pertinence de lanalyse des risques.
103

I.4 Dmarche scuritaire : 2me Etape

tape 2 : Mise en uvre de la scurit choix des moyens et mesures de scurit; Mise en place des mesures et procdures de gestion des risques Mise en place des mesures et procdures de scurit des actifs informationnels (systmes, services, donnes, etc.) Au terme de cette tape on aura mis en place des mesures, procdures, outils, etc.
104

I.4 Dmarche scuritaire : 3me Etape

tape 3 : valuation et optimisation Adquation des solutions de scurit et leur cohrence les une, par rapport aux autres. Pertinence de la politique de scurit en fonction des risques et des moyens financiers et la cohrence des outils vis--vis de la politique. Cette tape sexcute continuellement lments cls : valuation,
Contrle, Validation Optimisation..

105

II. Stratgie De Scurit

106

II.1 Fondamentaux
Les proprits de la scurit (confidentialit ; intgrit; disponibilit; prennit; non-rpudiation) doivent tre : ralises et garanties par des mesures de scurit; mises en uvre au travers d'outils , de procdures et de personnes (utilisateurs, administrateurs, etc.); dtermines, gres et valides par des procdures de gestion. Rduire la scurit sa dimension technologique revient assurer son chec.
107

II.2 Stratgie De Scurit

Outre les outils de scurit , l'efficacit de la scurit ne repose galement sur une stratgie, une organisation et des procdures cohrentes. Cela ncessite une structure de gestion adquate Les objectifs de l'entreprise, les mesures et directives scuritaires appropries doivent tre cohrentes par rapport aux plans d'entreprise et informatique. Pour cela, une vision stratgique de la scurit globale de l'entreprise est ncessaire.
108

II.2 Stratgie De Scurit

caractre volutif du contexte (volution des besoins, des risques, des technologies, des savoir-faire des dlinquants, etc.), la diversit et le nombre de solutions

les solutions de scurit ne sont jamais ni absolues, ni dfinitives problme de la prennit des solutions mises en place.

problme de cohrence globale de l'approche scuritaire.

la technologie ne suffit pas, elle doit tre intgre dans une dmarche de gestion.
109

II.2 Stratgie De Scurit

Conduite gnrale dorganisation de la dfense (dmarche proactive) et d'laboration de plans de raction (dmarche ractive). Permet une matrise des risques oprationnels, technologiques et informationnels. Pas de stratgie prdtermine ou gnrale: il nexiste pas de rgles gnrales qui dterminent les stratgies ou solutions de scurit implanter pour matriser un risque donn.
110

II.2 Stratgie De Scurit

La scurit du systme d'information est une composante de la scurit globale de l'organisation; La dimension managriale de la scurit permet de faire face au caractre dynamique du risque. La qualit de la gestion apporte une relle plus-value aux outils de la scurit. Les orientations stratgiques en matire de scurit doivent tre dtermines au niveau de la Direction Gnrale de lorganisation ou de lentreprise concerne.
111

II.2 Stratgie De Scurit

La dfinition d'une stratgie scuritaire est spcifique la structure organisationnelle de l'entreprise. La direction gnrale de l'entreprise est responsable de l'valuation des risques, de l'tablissement de la politique de scurit et de la mise en place de la structure organisationnelle qui la mettra en uvre. Risques et politique doivent faire l'objet d'une valuation et d'une actualisation permanentes
112

II.3 Compromis et bon sens

Le choix des mesures de scurit mettre en place au sein des organisations, rsulte gnralement d'un compromis entre le cot du risque et celui de sa rduction. Il drive de l'analyse long, moyen et court termes des besoins et des moyens scuritaires. la dfinition dune stratgie scuritaire revient prendre en considration les lments suivants: les valeurs de l'organisation,
leur niveau de sensibilit ou de criticit, De qui et de quoi doit-on se protger, les risques rellement encourus, lacceptabilt des risques, le niveau actuel de scurit, le niveau de scurit que l'on dsire atteindre, comment passer du niveau actuel au niveau dsir, les contraintes effectives, les moyens disponibles
113

II.4. Structure de gestion

Outre les outils de scurit et le budget investi, les mesures de scurit dun systme d'information repose sur la qualit de la stratgie dfinie, ainsi que sur la structure de gestion mise en place pour la raliser, l'valuer, la faire voluer,

114

II.4.1. Rle de la Structure de gestion

concevoir la stratgie, dfinir une politique de scurit, grer, spcifier , mettre en place, valider et contrler des procdures et des mesures de scurits, dfinir les privilges et les responsabilits de chacun. participer la sensibilisation de l'ensemble des acteurs de l'organisation l'importance de la scurit et au respect des rgles de scurit. spcifier les mesures et les directives scuritaires appropries.
115

II.5. Principes de base

Les principes de base sont ncessaires pour faciliter la mise en place et la gestion de la scurit:
Principe de vocabulaire. Principe de cohrence Principe de volont directoriale

Principe financier Principe de simplicit et d'universalit Principe de dynamicit Principe de continuum Principe d'valuation, de contrle et d'adaptation
116

II.6. Conditions de succs.

Les conditions de succs de la ralisation d'une stratgie scuritaire sont: volont directoriale ; politique de scurit simple, prcise, comprhensible et applicable; publication de la politique de scurit; gestion centralise de la scurit automatisation des processus de scurit; choix adquat des personnes, des systmes, des outils impliqus;
117

II.7. Conditions de succs.

personnel sensibilis et form la scurit, possdant des procdures d'enregistrement, de surveillance et d'audit; volont d'viter de mettre les systmes et les donnes en situation dangereuse; Expression, contrle et respect des clauses de scurit dans les diffrents contrats; une certaine thique des acteurs et respect des contraintes lgales.
118

II.8. Approche pragmatique

partir des directives gnrales de la stratgie de scurit spcifies par une politique de scurit (axe stratgique), on dcline les mesures (axe tactique) et on identifie les solutions (axe oprationnel) mettre en uvre en fonction du contexte d'utilisation des technologies et de leur nature. Une approche pragmatique, inscrite dans une dmarche qualit dfinit prcisment des objectifs de scurit cohrents ainsi que des moyens concrets pour les atteindre

119

II.9. Bnfices
Bien apprhende, la scurit peut devenir un facteur d'amlioration des processus, d'accroissement des performances et d'accroissement de la productivit globale d'une organisation. La scurit doit tre considre comme un facteur de succs et non plus comme un frein la ralisation des mtiers. La scurit doit tre apprhende comme un outil au service de la gestion d'entreprise. La scurit est un facteur de comptitivit contribuant une meilleure rentabilit
120

II.10. Aspects conomiques

Aspects Economiques
Questions Les rponses

Que peut rapporter la scurit pour l'organisation qui la met en uvre ?

dpendent de la possibilit de pouvoir quantifier les impacts et prjudices conscutifs la survenue d'un sinistre.
Evaluer correctement l'exposition de l'organisation aux risques. Estimer correctement les cots indirects comme ceux rsultant par exemple d'une perte d'image ou de l'espionnage.

Quelle est la valeur conomique de la scurit? Quel est le retour sur investissement de la scurit?
121

Facteur contribuant lestimation du Retour sur Investissement

Pertes, baisses de productivit rsultantes aux dysfonctionnements et l'indisponibilit, pertes de parts de march, pnalits de retard, etc.; Cots induits par des pertes d'image, impacts au niveau des clients, partenaires, sous-traitants, fournisseurs, etc Cots de gestion, d'assurance, d'investigation, salaires des experts, Cots conscutifs des actions pnales, responsabilit civile, dommage et intrts, Cots de la gestion de crise, de reprise aprs incidents, de restitution, de reconstitution des donnes, remise en tat, de remplacement des systmes, etc.
122

II.10. Aspects conomiques

lvaluation de la rentabilit de la scurit est trs dlicate. Le cot de la scurit est dtermin en regard des cots engendrs par les consquences rsultant de la perte de valeurs suite des accidents, des erreurs ou de la malveillance La scurit ne permet pas directement de gagner de l'argent mais vite d'en perdre. Le rapport cot/bnfice est difficile tablir
123

III ASPECTS JURIDIQUES ET RGLEMENTAIRES

124

III.1. Obligations de moyens

Renforcer la lgislation n'est pas forcment suffisant, si les moyens de l'appliquer manquent. Une loi est de peu d'utilit, si la justice n'est pas en mesure de traiter les preuves immatrielles et de sanctionner les auteurs de comportements criminels. Une loi n'est pas efficace si les malveillants ont le sentiment d'agir en toute impunit.

125

III.2 Raisons de non Matrise du cybercriminalit Caractristiques du cybercrime et possibilit offerte au cybercriminel (, savoir-faire embarqu dans les logiciels, capacit tre automatis, ralisation distance) ; Pnurie de ressources humaines et matrielles au sein des services chargs de la rpression des dlits informatiques; Caractre transnational de la cybercriminalit qui ncessite des recours frquents la coopration et l'entraide judiciaire internationale. difficult qualifier les faits au regard de certaines lgislations pnales; volatilit de la plupart des preuves informatiques.
126

III.3. Prendre en compte la scurit au regard de la lgislation

Les responsables scurit des organisations doivent tre sensibiliss aux contraintes d'une enqute policire (documentation minimale relative l'incident, documentation, conservation des traces, etc.). L'tat doit favoriser le signalement des agressions lies au cybercrime et instaurer la confiance entre les diffrents acteurs du monde conomiques et les services de justice et de police. l'organisation doit tre vigilante au respect de la protection des donnes prives de ses employs, de ses clients, fournisseurs ou partenaires.
127

Cyber surveillance
Usage abusif dinternet hors du cadre professionnel

nouvelles menaces pour lorganisation

problme de productivit problme de scurit responsabilit civile ou pnale de l'entreprise

Matriser lusage non professionnel des outils mis disposition utilisation doutils de surveillance pour contrler l'usage des ressources informatiques et tlcoms (cybersurveillance des employs).
128

Cyber surveillance
Lors de la mise en place de procdures et des outils de cybersurveillance, les organisations doivent tre attentives respecter le droit la vie prive de ses employs et viter les abus de contrle excessif. Il est recommand que la mise en uvre de la cybersurveillance soit pralablement accompagne d'une charte d'utilisation des moyens informatiques et tlcoms. la prrogative patronale du pouvoir de contrle de l'employeur, aussi lgitime soit-elle, ne doit pas s'exercer en violation des droits et liberts des employs.
129

III.4 Responsabilits des acteurs

La responsabilit des acteurs (responsable scurit, ...) est de plus en plus invoque lors de sinistre o les ressources informatiques qu'ils grent sont l'objet ou le moyen d'une fraude Il est ncessaire de pouvoir prouver que des mesures sont pourtant prise pour scuriser le systme afin de se protger contre un dlit de manquement la scurit (A dfaut d'une obligation de rsultat, les responsables de systmes informatiques ou scurit ont une obligation de moyens) Les responsables d'entreprises doivent galement tre extrmement attentifs l'gard du droit des nouvelles technologies
130

CHAPITRE I V La politique de scurit

131

I.

Gestion de la scurit

132

I. 1 Gouvernance de la scurit
L'adoption par les organisations de la notion de gouvernance de la scurit reflte l'importance de la gestion de la scurit des SI. La gouvernance de la scurit traduit la volont de diriger, de conduire, d'influencer de manire dterminante la scurit . L'apparition de nouvelles fonctions, comme celles de responsable scurit, intgres ou non la direction gnrale, concrtise cette notion de la gouvernance de la scurit
133

I. 1 Gouvernance de la scurit
La gouvernance vise s'assurer que les mesures de scurit sont adoptes et sont optimales. Elle vise l'identification des acteurs qui laborent, qui dfinissent, qui valident, qui mettent en uvre et qui contrlent les rgles.

134

II.2. Notion de politique de scurit

Une politique de scurit est l'expression de la stratgie scuritaire des organisations. Elle constitue pour les organisations, un outil indispensable non seulement la gouvernance de la scurit mais aussi la ralisation du plan stratgique de scurit.

135

Stratgie dentreprise Stratgie du systme dinformation Stratgie de scurit Politique de scurit

Stratgie et politique de scurit.

136

II.2. Politique de scurit

Exprime la volont managriale de protger les valeurs informationnelles et les ressources technologiques de l'organisation.

Spcifie les moyens qui rpondent de faon complte et cohrente aux objectifs stratgiques de la scurit. La protection sera assure par : des rgles: classification de
l'information ; des outils: chiffrement, des firewalls; des contrats: clauses et obligations; l'enregistrement, la preuve, l'authentification; l'identification, le marquage
137

II.2. Politique de scurit

La PSSI constitue le principal document de rfrence en matire de SSI de l'organisme. Dcoule des grands principes de scurit qui permettent de protger le systme d'information La dmarche de ralisation de cette politique est base sur une analyse des risques. Une fois valide, la PSSI doit tre diffuse l'ensemble des acteurs du systme d'information (utilisateurs, exploitants, sous-traitants, prestataires ).
138

II.2. Politique de scurit

Elle pourra aussi prvoir de : dissuader par des rgles et des contrles; ragir par l'existence de plans de secours, de continuit et de reprise; grer les incidents majeurs par un plan de gestion de crise; poursuivre en justice et de demander des rparations.
139

I.3 Projet d'entreprise orient gestion des risques

La dmarche scurit est un projet d'entreprise (chacun est concern par sa ralisation). La validit dune dmarche de scurit sera renforce si l'organisation dveloppe une thique d'entreprise et si elle stipule galement ses exigences de scurit envers ses acteurs internes et ses partenaires externes. La Prise en compte de l'analyse des risques lis au SI dans un processus de gestion de risques (risk management) guide toute la dmarche de scurit d'une organisation.
Au-del de lanalyse des risques, les organisations doivent galement s'assurer quelles respectent les rglementations, satisfont aux exigences scuritaires de leurs divers partenaires. 140

I.3 Projet d'entreprise orient gestion des risques

Identification du risque informatique, au mme titre que tous les autres risques de lorganisation (mtier, social, environnemental, etc.) auxquels lentreprise doit faire face. La gestion des risques :

constitue le point de dpart de l'analyse des besoins scuritaires. doit tre value avec prcision car elle guide toutes les dcisions de scurit. permet de transcrire le travail effectu pour comprendre les risques et leurs impacts, en des mesures concrtes de scurit. sa spcification facilite le choix et la mise en uvre des mesures de scurit.
141

I.4 Proprits d'une politique de scurit

Rsultant d'une analyse des risques et dfinie de manire complte et cohrente, la politique de de scurit doit tre:
simple et comprhensible; adoptable par un personnel pralablement sensibilis et form ralisable; maintenable; vrifiable et contrlable; dynamique: priodiquement value, optimise et adapte configurable et personnalisable; doit prendre en compte la dimension temporelle doit prendre en considration la dimension spatiale (nomadisme de certains employs)
142

II. MTHODES ET NORMES CONTRIBUANT A LA DFINITION D'UNE POLITIQUE DE SCURIT

143

II.1. Principales mthodes franaises.

On dbute par une check list des points scuriser Politique de contrle d'accs: gestion des identits, des profils, ... Politique de protection: prvention des intrusions, vulnrabilits, ... Politique de raction: gestion des crises, des sinistres, ... Politique de suivi: audit, valuation, optimisation Politique d'assurance

II.1. Principales mthodes franaises

Diverses mthodes propritaires et peuvent servir pour l'laboration d'une politique de scurit. Les mthodes prconises par le Clusif sont Marion (Mthode d'Analyse des Risques Informatiques et Optimisation par Niveau) et Mhari (Mthode Harmonise d'Analyse des Risques).

145

Mthode MEHARI.
Mthode Harmonise d'Analyse de Risques Conue par le CLUSIF depuis 1995 Plusieurs "Bases de Connaissances" (payantes) sont disponibles La mthode contient des guides accompagns par des exemples d'utilisation de la mthode et des liens d'assistance, disponibles gratuitement sur le site du CLUSIF Accompagne dun logiciel (RISICARE), qui permet la gestion des scnarios, la planification dactions, l'valuation du niveau de gravit des risques.
146

Mthode MEHARI.

147

Mthode EBIOS
La mthode EBIOS (Expression des Besoins et Identification des Objectifs de Scurit). cre en 1995 par la DCSSI largement documente et prsente tlchargeable sur le site de la DCSSI Offre un outil logiciel daccompagnement Le guide EBIOS comprend la description de la dmarche, les techniques, la base de connaissance,(menaces gnriques, vulnrabilits spcifiques, classes de fonctionnalit)
148

Mthode EBIOS

tude de lorganisme, tude du systme cible, Dtermination du primtre de l'tude scurit

Ralisation des fiches de besoins, Synthse des besoins de scurit

tude des origines des menaces, tude des vulnrabilits, formalisation des menaces

Confrontation des menaces aux besoins, Formalisation des objectifs de scurit, Dtermination des minimums de scurit

Dtermination des exigences de scurit fonctionnelles, Dtermination des exigences de scurit d'assurance

149

150

Norme internationale ISO/IEC 17799. Rfrentiel adopte par l'ISO la fin de l'anne 2000 Prend son origine de la norme BS 7799 labore en 1995. Contribue la dfinition d'une politique de scurit, (liste de points de risques analyser (check list), Aide l'audit de scurit Base sur la gestion des risques, Propose un code de pratique pour la gestion de la scurit Identifie des exigences de scurit sans spcifier la manire de les raliser. 151

Norme internationale ISO/IEC 17799.

Son intrt rside dans le fait quil aborde les aspects organisationnels, humains, juridiques et technologiques de la scurit en rapport aux diffrentes tapes de conception, mise en uvre et maintien de la scurit. Traite dix domaines de scurit, 36 objectifs de scurit et 127 points de contrle. La version 2005 adjoint aux dix domaines de scurit de nouveaux paragraphes qui concernent l'valuation et l'analyse des risques, la gestion des valeurs et des biens ainsi que la gestion des incidents. Renommage en Avril 2007 de l'ISO 17799-2005: ISO 27002
152

Norme internationale ISO/IEC 17799.

4 Identification et traitement de risques

5 - Politique de la scurit

6 - Organisation de la scurit 15 - Conformit -

7 Classification et matrise des avoirs

8 Scurit Lie aux ressources humaines

9 - Scurit Physique et
Environnementale

10 Gestion de la communication Et des oprations

11 Contrle daccs

12 Acquisition dveloppement et maintenance des systmes

13 Gestion Des vnements

14 - Continuit dactivit

Structures et thmes abords dans la norme ISO 17799

Qu'est-ce que la scurit de l'information? Pourquoi la scurit de l'information estelle ncessaire? Comment tablir les besoins de scurit valuer les risques de scurit Slectionner les contrles Point de dpart en scurit de l'information Facteurs de succs critiques Dvelopper vos propres directives

1. Port 2. Terminologies et dfinitions 3. Structure de la prsente norme

Structures et thmes abords dans la norme ISO 17799

4 Identification et traitement de risques
Evaluation du risque. Identifier le risque Le quantifier Lui accorder une priorit
Niveau dacceptation du risque et objectifs de scurit

Politique de scurit Document de la politique de scurit Examen de la politique de scurit

Traitement du risque. Accepter le risque Rduire le risque. Supprimer le risque Externaliser le risque (assurance, sous-traitants..)

5 - Politique de la scurit

Structures et thmes abords dans la norme ISO 17799

Organisation Interne - Engagement de confidentialit - Attribution des responsabilits, .. Organisation Externe -Identification des risques - scurit dans les accords avec des tiers

6 - Organisation de la scurit
Gestion des biens et des valeurs aux actifs - Inventaire - Propritaire - Rgles dutilisations Classification des informations - Directives de classification - Marquage

7 Classification et matrise des avoirs

Structures et thmes abords dans la norme ISO 17799

8 Scurit lie aux ressources humaines
Avant le recrutement - Slection - Termes et conditions dembauche Pendant la dure de contrat - Processus disciplinaire Fin ou modification de contrat - Restitution des biens - Retrait des droits daccs Zone scurise -Primtre de scurit physique - Contrle daccs - Zone daccs public, de livraison et de chargement Scurit du matriel - Maintenance - Sortie des actifs

9 - Scurit Physique et environnementale

Structures et thmes abords dans la norme ISO 17799

10 Gestion de la communication Et des oprations
Procdures oprationnelles et responsabilits Protection contre les logiciels Pernicieux change d'informations Back-up Gestion de la scurit des rseaux Manipulation des media

Gestion des accs utilisateurs - Inscription de l'utilisateur - Gestion des privilges - Gestion des mots de passe - Rexamination des droits daccs des utilisateurs Contrle de l'accs au rseau Contrle d'accs aux systmes d'exploitation Contrle d'accs aux applications et aux informations

11 Contrle daccs

Structures et thmes abords dans la norme ISO 17799

Besoins de scurit pour les systmes d'information Exactitude des traitements applicatifs Contrles du chiffrement , Scurit des fichiers systmes Scurit dans le dveloppement Gestion des vulnrabilits techniques

12 Acquisition dveloppement et maintenance des systmes

13 Gestion Des Incidents

Rapporter les vnements et les failles lis la scurit de linformation Gestion des amliorations et incidents lis la scurit de linformation

Structures et thmes abords dans la norme ISO 17799

Conformit aux exigences lgales Conformit avec les normes et politiques de scurit et conformit technique Considrations sur l'audit des SI

15 - Conformit -

Aspects scuritaires de la gestion de la continuit des affaires Inclure la scurit Continuit des affaires et valuation des risques Dvelopper et implmenter des plans de continuit Cadre de planification de la continuit des activits

14 - Continuit dactivit

II.3 Mthodes et meilleures pratiques.

Par son approche d'audit, la mthode CobiT peut contribuer l'identification des besoins de scurit et l'valuation des niveaux de scurit. Elle permet de rechercher, dvelopper, faire connatre et promouvoir un ensemble d'objectifs de contrle en technologies de l'information qui soient gnralement accepts pour l'utilisation, par les managers et les auditeurs.

161

II.3 Mthodes et meilleures pratiques.

Control OBjectives for Information and Technology (Parue en 1996 , rvise en 1998 et en 2000). un guide de bonnes pratiques de la gouvernance conu partir de lexprience dauditeurs
7 facteurs clefs pour rpondre aux exigences mtiers : Efficacit des processus Efficience de la mise en disposition de linformation Confidentialit des donnes Intgrit des donnes Disponibilit des donnes Conformit aux lois et rglementations Fiabilit de linformation 162

Quelques aspects de la mthode d'audit CobiT.

par l'ISACA, avec un fort rayonnement international Outil trs complet dpassant le cadre strict politique de scurit de la scurit informatique Excellent outil pour la ralisation d'audit Faible dpendance la technologie

. Publi

Avantages

Inconvnients

Permet de conduire un audit qui value un niveau de scurit, ce n'est pas un outil de spcification d'une politique de scurit. CobiT aborde le systme d'information sous l'angle des processus. Il n'offre donc pas un chapitre exclusivement ddi la scurit informatique dans son ensemble (mme si certains processus sont exclusivement ddis la scurit informatique, ils ne couvrent pas eux seuls toute la problmatique). CobiT ne propose pas de mesures 163 concrtes de scurit

Avantages
Gain en terme d'efficacit en rutilisant le savoir faire transmis par la mthode. Capitalisation des expriences, langage commun, rfrentiel d'actions, structuration de la dmarche, approche exhaustive. Association des groupes d'intrts, partage d'exprience, de documentation.

164

Inconvnients
Bien qu'elles peuvent faire l'objet de rvision les normes ou mthodes n'voluent pas au mme rythme que les besoins ou les technologies. Une norme ou une mthode est gnrale. Il Faut s'avoir la spcifier en fonction de besoins particuliers de l'organisation.). prolifration des mthodes: difficult de choix. disposer des comptences ncessaires. ncessit des comptences externes (recourt des consultants spcialiss). 165 .

III. POLITIQUE ET MESURES DE SCURIT

166

III.1 Classification des ressources.

Plus les consquences dindisponibilit dune ressource sont graves pour l'organisation, plus la ressource est sensible et possde de la valeur. La classification est fonction du degr d'importance des ressources protger. La classification doit tre affine voire adapte en fonction des besoins. La classification des ressources est indispensable llaboration dune politique de scurit pour dfinir des mesures et procdures appliquer.
167

Degr de sensibilit
Consiste identifier des classes gnriques de donnes auxquelles on associe des valeurs entires dfinissant leur degr de sensibilit. Permet de disposer d'une mtrique, dont lchelle des valeurs est dtermine par l'organisation et qui reflte le degr d'importance de la donne.

168

III.1 Classification des ressources.

Inventaire complet et prcis de tous les acteurs et intervenants de la chane scuritaire: permet une matrise de l'environnement protger. Les donnes d'inventaire : prennent toute leur importance dans les phases d'analyse de l'existant et
des risques interviennent dans la phase d'identification des valeurs et de classification des ressources pour dterminer leur degr de sensibilit ou de criticit.

Pour chaque ressources, il faut identifier les risques et leurs scnarios possibles (erreur d'utilisation, de paramtrage, accidents, malveillance, sabotage, attaque logique, etc.);
169

III.2 Mesures de scurit

Mesures de scurit Moyens
Outils Chiffrement filtrage Contrle daccs Personnes Sensibilisation Contrle Formation Surveillance Procdures Gestion, Contrle Surveillance, Evaluation, suivi, mise jour, sauvegarde, restauration secours, exploitation, etc

Champ dapplication Systme, Rseaux, Environnement physique, Environnement nergtiques, Logiciels, Services, Donnes, Ressources humaines

170

III.2 Mesures de scurit

Protgent les ressources critiques de menaces particulires Se distinguent et se classifient selon leur niveau d'intervention.
Les mesures structurelles: rduisent la vulnrabilit des ressources. Les mesures de dissuasion: Procdures juridiques et administratives. Les mesures prventives: Servent de barrire afin d'empcher l'aboutissement d'une agression (incident, malveillance, erreur, etc.) Les mesures de protection: permettent de se protger contre la ralisation des menaces ou d'en limiter lampleur.
171

Typologie des mesures de scurit

Avant le sinistre

Mesures de protection
Mesures prventives Mesures structurelles Mesures de dissuasion

Empcher la survenue dun sinistre

A prs le sinistre
Mesures palliatives et correctives Mesures de rcupration
Ragir un sinistre
172

Directives de scurit
Des directives claires, prcises et comprhensibles spcifiant au responsable de scurit, l'administrateur systme, ou tout autre acteur intervenant dans la supervision de la scurit ce qu'ils doivent faire face une situation d'urgence sont primordiales. facilitent la prise de dcision dans une situation critique permettent d'viter un tat de panique prjudiciable au maintien de la scurit.
173

Plan daction
mesures structurelles (organisation et responsabilit); mesures de protection (procdures de contrle d'accs, certification, chiffrement, preuve de l'origine, filtrage, cloisonnement des environnements, etc.); mesures de constat et de notification (enregistrement des actions malveillantes, constat et preuve de l'infraction, information aux dirigeants et aux acteurs touchs par l'infraction, etc.); mesures de rcupration (secours, sauvegardes, restitution, retour au contexte initial, etc.); mesures judiciaires ( porter plainte et poursuivre les fraudeurs). 174

III.3. Plan de secours

Dispositif organisationnel et technique qui permet d'assurer un fonctionnement minimal des applications critiques aprs la survenue d'un sinistre. Il dfinit:

la stratgie de reprise en identifiant le temps minimal coul entre un dommage et la reprise (notion de dure critique) les vnements et les actions pour mener bien la reprise (rpartition des actions, dclaration du sinistre auprs des assurances, identification des dpenses exceptionnelles).

Lutilisation dune mthodologie de conception de plan de secours est fortement recommand pour mieux matriser les diffrentes tapes de la mise en place d'un tel projet .
175

Structure dun plan de secours

Stratgie de reprise
Plan de gestion de crise Plan de notification durgence Plan de reprise aprs sinistre Plan du systme applicatif Procdure de reprise Responsabilit de maintenance Consigne de scurit Consigne de sauvegarde

Plan matriel et logiciel Redmarrage/Restauration Responsabilit de maintenance

Plan de test et daudit de plan de secours

176

Phases de ralisation d'un plan de secours

Analyse Stratgique
Choix des solutions

Ralisation Suivi- validation

177

Phase 1: analyse stratgique.

Lanalyse stratgique se structure comme suit: Organisation et conduite de projet: identification de l'quipe;
planification du plan de secours; formation et assistance Analyse des risques: valuation des risques et dfinition des sinistres potentiels Analyse d'impact : identification des critres de fragilit et de sensibilit aux risques des applications et analyse des consquences des diffrentes pannes, erreurs, dysfonctionnements sur les activits de l'entreprise;

Dfinition des modes de fonctionnement normal et minimal de chaque application critique: dlai maximal

d'inactivit tolr; consignes oprationnelles, priorits de restauration, des applications critiques; procdures de reprise

Phase 2: choix des solutions

Cette tape mthodologique d'analyse des solutions a pour objet d'identifier et d'valuer les solutions de reprises possibles et de choisir la meilleure en fonction des critres stratgiques de l'entreprise.

Phase 3: mise en uvre oprationnelle

Attribution des responsabilits, la sensibilisation et la formation des personnes responsables de l'excution des procdures de reprise Documentation complte du plan de secours
179

Phase 4: validation et suivi

La phase de validation et de suivi permet de: tester le plan, son efficacit par des simulations d'alertes raliser de tests de bascule programms du site de production vers le site de secours, documenter et d'analyser les rsultats de ces tests afin d'obtenir un certain niveau de fiabilit et de sret de fonctionnement du plan de secours. Le plan de secours doit tre mis jour en fonction des vnements, du changement de personnel, des modifications des applications
180

Audit
Laudit dun plan de secours a pour objet de dterminer la qualit du plan tabli. On identifie les domaines sensibles de lentreprise pour lesquels le plan de secours doit sappliquer et on value les dispositions, procdures, tches et actions prvues par le plan en cas de sinistre puis on labore des recommandations.

181

IV. ORGANISER ET DIRIGER

182

IV.1 Organisation structurelle

La mise en place d'une structure ddie la mise en uvre et la maintenance dune politique de scurit dpend de l'organisation de l'entreprise. On distinguera souvent: le comit de direction gnrale, la mission scurit l'organe de rvision.

183

a) Rle du Comit de direction gnrale

Le comit de direction gnrale est charg du pilotage et du management de la scurit. ce titre, il doit: dfinir la stratgie; valider la politique de scurit dsigner les acteurs de la scurit et leur assigner leur responsabilit; s'impliquer la sensibilisation des cadres et collaborateurs; dfendre le budget scurit au conseil d'administration.
184

b) Mission scurit
La mission de la scurit consiste en : la conception dun plan de scurit en fonction d'une analyse pralable des risques; la proposition dun niveau de protection adapt aux risques encourus ; la mise en uvre et la validation de l'organisation, des mesures, des outils et des procdures de scurit; Le suivi, laudit, le contrler, lvolution du SI et sa scurit;
185

b) Mission scurit
aligner les objectifs de la mission elle-mme avec la politique de scurit de lorganisation, identifier les cibles de la scurit et s'assurer qu'elles font l'objet d'un suivi oprationnel; laborer la politique de scurit; crer et maintenir le plan de formation et de sensibilisation des collaborateurs valuer et slectionner les composants externes (produits ou solutions) ddis la scurit
186

b) Mission scurit
demander une tude d'impact sur la scurit au service concern lors de l'installation d'un nouvel lment informatique; organiser et maintenir, avec le comit de direction gnrale, une cellule de gestion de crise dans le but de prendre des dcisions pertinentes lors de sinistres majeurs; suivre l'volution des risques, des vulnrabilits, des normes de scurit, des besoins, des mesures (notion de veille technologique en matire de scurit) tablir en collaboration avec les organes de rvision les plans d'audit. 187

c) Audit et Rvision
Afin d'valuer le niveau de scurit de l'existant, les diffrentes cibles de scurit font l'objet d'un audit spcifique qui sera confi l'organe de rvision. Ce dernier doit tre externe. Selon la cible, et sur la base d'un rfrentiel pralablement tabli et valid par les commanditaires, on distinguera :

a) Audit financier et organisationnel Contrler l'alignement de la stratgie de la scurit avec le plan informatique et le budget; contrler l'organisation et l'adquation de l'organisation; vrifier la conformit lgale
188

c) Audit et Rvision
b) Audit de la scurit: Il sagit de contrler: le niveau de la scurit physique; le niveau de la scurit logique la scurit des rseaux; la documentation; le cas chant, la couverture de l'assurance; les dispositif associ au plan de secours (service minimal). c) Audit des centres d'exploitation analyser leur fonctionnement, (procdures, documentation, l'organisation, configurations des systmes, performances, les priorits des traitements, plans de continuit d'activit et de secours, procdures de sauvegarde et de reprise).
189

c) Audit et Rvision
d) Audit des centres de dveloppement: contrler le niveau de prise en compte de la scurit dans la gestion de projets (coordination, mthodes de dveloppement, jeux de tests) ; analyser le niveau de scurit intgr dans le contrle qualit. e) Audit de la rception des applications s'applique tant aux dveloppements qu' l'exploitation analyse des procdures de rception et de la maintenance des applications. f) Audit de l'ensemble des acteurs du systme d'information fiabilit des quipements, disponibilit des ressources,
190

IV.2. Formation
Les personnes en charge de la scurit peuvent faire valuer et reconnatre leurs comptences en passant des tests de certification professionnelle. Trois options de spcialisation de certification sont possibles. Il s'agit respectivement des certifications:
ISSAP: Information Systems Security Architecture Professional. ISSEP: Information Systems Security Engineering Professional. ISSMP: Information Systems Security Management Professional.

l'ISACA (Information Systems Audit and Control Association) propose la certification CISM (Certified Information Security Manager).
191

IV.3. Acteurs
Responsable scurit Responsable du maintien de la scurit en condition d'exploitation. Sa fonction est plus organisationnelle que technique. Il peut effectuer les tches suivantes:
contrler la gestion et l'administration des moyens et des mesures de scurit mises en uvre sur les diffrentes cibles de la scurit; dfinir les privilges d'accs aux ressources; rvaluer rgulirement les privilges d'accs; laborer et maintenir la documentation; s'assurer que les cibles de scurit sont sous surveillance, participer l'analyse d'incidents ventuels et dcider, avec les acteurs concerns des actions ncessaires pour remdier aux 192 dfaillances constates.

IV.3. Acteurs
Responsable des ressources humaines Dans un contexte de gestion de la scurit, le responsable des ressources humaines, est charg notamment: d'effectuer les contrles ncessaires avant l'engagement de nouveaux collaborateurs; de sensibiliser les nouveaux collaborateurs (NC) face leur responsabilit en matire de scurit: transmettre aux
NC les directives de scurit; inciter les NC adopter un comportement thique vis--vis de l'usage des nouvelles technologies; faire signer une charte d'utilisation des ressources par les NC et les engager la respecter;

de coordonner les activits avec le responsable de scurit lors d'une rupture de contrat d'un collaborateur

IV.3. Acteurs
Managers Les managers doivent notamment: Veiller ce que leurs collaborateurs ou consultants soient informs de la politique de scurit afin quils en respectent les directives ; Analyser, valider et prendre position par rapport aux demandes daccs aux ressources manant de leurs collaborateurs. Recenser et rcuprer les informations sensibles dtenues par un collaborateur qui quitte sa position.
194

IV.3. Acteurs
Utilisateurs Ils doivent exclusivement utiliser des fins professionnelles les ressources informatiques de lentreprise mises leurs disposition dans le cadre de leur fonction. Ils ont lobligation dinformer le responsable scurit de tout lment ayant un impact potentiel sur la scurit.

195

Ressources 1. Solange Ghernaouti-Hli Scurit Informatique et rseaux DUNOD, Paris 2006 2. Terry Bernstein, Anish B.Bhimani & Eugene Shultz et Carol A.Siegel Scurit Internet pour lentreprise THOMSON, Paris 1997 3. ANSI Initiation aux 10 domaines fondamentaux de lexpertise en scurit (CBK) 4. Serge Mani Introduction la scurit informatique Universit de Montral 5. Rapport de scurit des TI : Logiciels malveillants : les tendances qui se dessinent Publication de lorganisme-conseil R2-002 6. F. Nolot Les principes de la scurit (cours) Universit de REIMS Champagne-Ardenne 7. Ghernaoati-hli. S Stratgie et protection des systmes d'information: http://dit-archives.epfl.ch/FI00/fi-sp-00/sp-00-page20.html
196