Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes...
-
Upload
andres-coronado -
Category
Technology
-
view
363 -
download
25
Transcript of Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes...
Université Pierre Mendès France
Institut d'Administration des Entreprises (IAE) de Grenoble
Mémoire pour l’obtention du
Master Management Spécialité Recherche en Organisation
Anticipation et gestion du risque numérique :
Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents de
sécurité
Présenté par
Andres PEREZ
Directeurs de recherche :
Moufida SADOK
Institut Supérieur des Etudes Technologiques en Communications de Tunis
Humbert LESCA
Professeur émérite à l’UPMF de Grenoble
2010
2
Dédicace
Les grandes personnes ne comprennent jamais rien toutes seules, et c’est fatigant, pour les
enfants, de toujours et toujours leur donner des explications.
Antoine de Saint-Exupéry « Le petit prince », 1943
Ce mémoire est dédicacé à
ma mère qui m’a motivé à accomplir mes rêves,
mon père avec ses phrases
« les choses faciles ont été déjà faites, celles importantes sont difficiles »,
ma sœur qui est toujours là pour m’aider,
mon petit frère qui va devoir se battre pour ses rêves,
Anne pour son soutien et la continuation de nos rêves en Colombie,
La Police Nationale de Colombie « Tous avec le même cœur »
3
Remerciements
Je remercie tout d’abord mes deux directeurs de recherche: Mme. Moufida SADOK, qui m’a
apporté sa compréhension et qui grâce à sa discipline de travail m’a permis de progresser dans
ma recherche; M. Humbert LESCA pour l’intérêt qu’il a manifesté pour mon sujet et les conseils
qu’il m’a donné dans ma recherche.
Je tiens à remercier M. Christian DEFELIX et M. Daniel LLERENA qui m’ont donné
l’opportunité de faire mon master en France à l’IAE de Grenoble.
Je remercie également M. Ricardo ROMERO pour m’a montré la manière de monter haut et loi.
Mme. Danielle Prevosti, professeur de Français retraitée qui à du faire face à mon écriture.
Enfin, merci aux Policiers de Colombie, l’Université Nationale de Colombie, Mme. Valérie
MARCHAL, M. Hubert DROUVOT et Mme. Hélène CRUZ pour leurs aide dans les procédures
administrative qui m’a permis de venir en France pour d’y effectuer mon master.
A toutes les personnes qui m’ont aidés.
4
Table des matières
Listes des figures ................................................................................................................... 7
Liste des tableaux ................................................................................................................. 8
Introduction Générale .......................................................................................................... 9
Chapitre 1 : Sécurité de l’information : Enjeux et état des pratiques........................... 12
Introduction ........................................................................................................................ 12
1.1 Ampleur du Risque Numérique ....................................................................................... 12
1.1.1 Dépendance de l’Entreprise par Rapport aux TI ............................................ 14
1.1.2 Les enjeux du risque numérique ..................................................................... 16
1.1.3 Caractéristiques du risque numérique ............................................................ 17
1.2 Gestion et organisation de la sécurité de l’information ................................................... 20
1.2.1 La politique de sécurité .................................................................................. 21
1.2.2 L’analyse du risque ........................................................................................ 23
1.2.3 Le responsable Sécurité des Systèmes d’Information .................................... 24
1.3 Intérêt et pertinence de la recherche ................................................................................ 26
1.3.1 Rôles et activités des ERI ............................................................................... 27
1.3.2 Intérêt managérial .......................................................................................... 29
1.3.3 Intérêt académique ........................................................................................ 29
Conclusion ........................................................................................................................... 31
Chapitre 2 : L’analyse du risque ...................................................................................... 32
Introduction ........................................................................................................................ 32
2.1 Identification des flux informationnels ............................................................................ 32
2.1.1 Classification de l’information ....................................................................... 33
2.1.2 Identification des conditions d’exploitation, de traitement et de production des informations dans la chaîne de valeur de l’entreprise ................................................... 34
2.1.3 Détermination des niveaux de barrière d’information liés à l’échange, à l’accès et
ou au stockage ............................................................................................................... 36
2.2 Identification des vulnérabilités et menaces .................................................................... 37
2.2.1 Identification des vulnérabilités liées à l’organisation, à l’opération et à L’échange
des flux informationnels ............................................................................................... 38
2.2.2 Identification des menaces qui peuvent affecter les ressources critiques ...... 39
2.2.3 Estimation de la probabilité de l’occurrence des menaces ............................. 41
5
2.2.4 Estimation de la perte potentielle relative à chaque ressource en cas de réalisation
de la menace .................................................................................................................. 42
2.2.5 Estimation du coût des actions d’audit et de surveillance des systèmes afin de
réduire le risque ............................................................................................................. 42
2.3 Définition des mesures de protection .............................................................................. 43
2.3.1 Contrôles d’information et chiffrement d'information ................................... 44
2.3.2 Temps de destruction et de diminution de niveau .......................................... 46
2.3.3 Identification de l’émetteur et du récepteur d'information ............................. 47
2.3.4 Sécurité physique ........................................................................................... 49
2.3.5 Mesures de sécurité spéciales ......................................................................... 49
Conclusion ........................................................................................................................... 50
Chapitre 3 : Techniques de monitoring et vérification de l’efficacité des mesures de
protection ............................................................................................................................ 51
Introduction ........................................................................................................................ 51
3.1 Identification des points de contrôle ................................................................................ 51
3.1.1 Identification des ressources informatiques et des réseaux de communication53
3.1.1 Temps d'utilisation des applications et temps de manipulation des informations
54
3.1.3 Contrôle de limites des utilisateurs ................................................................ 55
3.2 Définition des métriques .................................................................................................. 56
3.2.1 Typologie des métriques ................................................................................ 56
3.2.2 Test d’opérabilité et du fonctionnement du système qui gère la métrique ..... 59
3.2.3 Coût du système d’alarme .............................................................................. 59
3.3 Détermination des moyens de protection ........................................................................ 60
3.3.1 Vérification de l’efficacité des mesures de protection ................................... 60
3.3.2 Activation de l’alarme .................................................................................... 60
Conclusion ........................................................................................................................... 61
Chapitre 4 : Amplification des alarmes et réponse aux incidents de sécurité .............. 62
Introduction ........................................................................................................................ 62
4.1 Processus d’amplification ................................................................................................ 62
4.1.1 Détection signaux faibles ............................................................................... 63
4.1.2 Amplification et création des liens ................................................................ 64
4.1.3 Représentation Figure du modèle conceptuel ................................................ 65
4.2 Rôle de la médiation ........................................................................................................ 67
4.2.1 Médiation et création collective de sens......................................................... 68
6
4.2.2 Rôles du médiateur ......................................................................................... 69
4.2.3 Heuristiques pour assister l’activité du médiateur ....................................... 70
4.3 Scenarios d’attaque ......................................................................................................... 71
Conclusion ........................................................................................................................... 72
Chapitre 5 : Réparation et mise à jour du système de protection ................................. 73
Introduction ........................................................................................................................ 73
5.1 Réparation des dégâts occasionnés par les incidents de sécurité ..................................... 73
5.1.1 Dégâts directs et indirects............................................................................... 73
5.1.2 Dégâts matériels et immatériels ..................................................................... 73
5.2 Anticipation des protections nécessaires pour réduire le risque d’être attaqué de nouveau
dans le futur ................................................................................................................................ 74
5.2.1 Solutions techniques ..................................................................................... 74
5.2.2 Solutions managériales .................................................................................. 74
5.2.3 Solutions humaines ....................................................................................... 75
5.3 Constitution d’une base de données et de connaissances ................................................ 75
5.3.1 Mémorisation des événements ...................................................................... 75
5.3.2 Base des connaissances pour le stockage des scenarios d’attaques .............. 75
5.4 Changements opérés au niveau de l’organisation et le traitement des flux informationnels 76
5.4.1 Les processus d’exploitation et de manipulation de l’information ............... 76
5.4.2 L’analyse du risque ....................................................................................... 76
5.4.3 Le processus de monitoring .......................................................................... 76
5.4.4 Le processus d’amplification........................................................................ 77
5.5.5 Communication aux employés et aux partenaires ......................................... 77
Conclusion ........................................................................................................................... 77
Conclusion générale ........................................................................................................... 78
Bibliographie ....................................................................................................................... 79
Annexe ................................................................................................................................. 82
7
Listes des figures
Figure 1. Démarche générale de la recherche ................................................................................ 10
Figure 2. Dépendance des entreprises à l'informatique .................................................................. 14
Figure 3. Connexion à distance aux réseaux d’entreprises ............................................................ 16
Figure 4. Pertes financières des incidents de sécurité par année .................................................... 18
Figure 5. Pourcentage des incidents ............................................................................................... 19
Figure 6. Malveillants et Non-malveillants .................................................................................... 20
Figure 8. Appui de la PSI entreprise sur une « norme » de sécurité .............................................. 22
Figure 9. Budget informatique pour la sécurité de l'information ................................................... 23
Figure 10. Part du budget informatique consacrée à la SSI ........................................................... 23
Figure 11. Méthode d'analyse des risques utilisée ......................................................................... 24
Figure 12. Attribution de la fonction RSSI .................................................................................... 25
Figure 13. Prise en charge de la fonction RSSI, lorsqu’il n’existe pas de RSSI ............................ 25
Figure 14. Répartition des missions du RSSI ................................................................................. 26
Figure 15. Trois flux d’information de l’entreprise ....................................................................... 33
Figure 16. Phases du guide proposé ............................................................................................... 43
Figure 17. Cycle de vie de l'information ........................................................................................ 46
Figure 18. Classification de barrière .............................................................................................. 46
Figure 19. Composants des Anneaux de sécurité ........................................................................... 52
Figure 20. Cycle du monitoring des Ressources informatiques, réseaux, trafic d'information...... 53
Figure 21. Cycle de monitoring des applications et des manipulations ......................................... 55
Figure 22. Cycle de monitoring des limites des utilisateurs .......................................................... 55
Figure 23. Cycle des métriques quantitatives ................................................................................. 57
Figure 24. Zones des analyses ........................................................................................................ 58
Figure 25. Cycle des métriques qualitatives ................................................................................... 58
Figure 26. Les phases de MARRAN .............................................................................................. 62
Figure 27. Chemin de raisonnement .............................................................................................. 65
Figure 28. Exemple raisonnement conceptuel pour les ERI .......................................................... 66
8
Liste des tableaux
Tableau 1. Budgets informatiques des hôpitaux ............................................................................ 15
Tableau 2. Le coût global du pire incident d'une organisation ....................................................... 18
Tableau 3. Le nombre médian de violations subies ....................................................................... 19
Tableau 4. Orientation de l'information ......................................................................................... 33
Tableau 5. Matrice d’identification type et raison ......................................................................... 39
Tableau 6. Analyses de probabilité ................................................................................................ 41
Tableau 7. Contrôle d'identification de l’émetteur et du récepteur ................................................ 47
9
Introduction Générale
Domaine et Objet de la recherche
Chaque jour les entreprises deviennent plus dépendantes des Nouvelles Technologies de
l’Information et de la Communication (NTIC), notamment l’Internet afin de réduire les coûts,
améliorer la qualité, fournir de meilleurs services aux clients et ainsi développer et maintenir un
avantage concurrentiel.
Cependant, cette dépendance expose l’entreprise aux agressions ou attaques numériques contre
ses ressources informationnelles. Ces actions sont de plus en plus complexes et dangereuses. La
visibilité des agressions numériques n’est clairement possible que lorsqu’elles sont terminées, de
plus une entreprise peut être victime d’une agression sans en avoir conscience. La complexité
s’accroît dans la mesure où les pirates sont de plus en plus inventifs. Les enjeux stratégiques des
agressions numériques pour une entreprise ne se limitent pas à des pertes financières. Ils peuvent
concerner également son image de marque ou son capital client ainsi que son efficacité et la
continuité de son activité.
Ainsi, l’entreprise devrait développer un ensemble de mesures techniques et managériales afin de
gérer et réduire le risque numérique. Notre recherche concerne un aspect particulier de la fonction
sécurité à travers le travail des équipes de réponse aux incidents (ERI) de sécurité. Nous
proposons un guide de travail pour planifier, organiser et contrôler l’intervention de ces équipes
afin de maintenir un niveau de sécurité acceptable.
Intérêt et objectifs de la Recherche
D’un point de vue managérial, ce travail soulève un problème important lié à la gestion de la
sécurité au sein de l’entreprise. En effet, l’insuffisance des solutions techniques de sécurité face à
la complexité et l’imprévisibilité croissantes des attaques numériques obligent les entreprises à
valoriser le rôle des ERI. L’analyse de l’état des pratiques des entreprises montre un manque de
méthodes appropriées afin de soutenir leur travail ainsi que de capitaliser leurs expériences et
connaissances.
Comme apport académique, ce travail intègre différents concepts dans un domaine
principalement dominé par les informaticiens et les ingénieurs réseaux en proposant un guide de
10
travail pour l’efficacité de l’activité des ERI et en mettant l’accent sur les aspects d’organisation
et de management liés à la sécurité des informations au sein de l’entreprise. De plus, le présent
travail prend la suite d’un travail de recherche élaboré au sein de l’équipe de Professeur Lesca
(CERAG, CNRS UMR 5820 UPMF) dans le domaine de la veille anticipative stratégique pour
réduire le risque des agressions numériques (Sadok, 2004).
Ainsi, les objectifs à travers ce travail peuvent être articulés autour des axes suivants :
1. Analyse des états pratiques des entreprises en matière de gestion de la sécurité
2. Identification et définition des activités nécessaires dans le travail des ERI
3. Elaboration d’un guide de travail pour assister le travail des ERI de sécurité.
Méthodologie
Ce travail est de nature exploratoire où le chercheur peut intégrer des connaissances théoriques à
travers des articulations de connaissances disponibles dans une étude bibliographique en
permettant la création de nouvelles connaissances actionnables pour des organisations pour
modéliser un guide de travail pour l’anticipation et la gestion du risque numérique.
Pour répondre aux objectifs de la recherche, un entretien a été réalisé avec à un experte dans le
domaine de la sécurité des réseaux afin de comprendre et de définir le rôle et les activités
accomplis par les ERI. De même, nous avons étudié et analysé les résultats empiriques des
rapports spécialisés dans la sécurité de l’information et publiés récemment par le comme
Computer Security Institute aux Etats Unis (CSI), Information Security Breaches Survey au
Royaume Uni et le Club de la Sécurité de l’Information Français (CLUSIF).
Figure 1. Démarche générale de la recherche
•Connaissances Théoriques
• Rapports Spécialisés
•Entretien avec un Expert
Conception du Guide de Travail
•Identification des activités du guide
• Identification des tâches liées à chaque activité
•Elaboration du guide
Articulation des connaissances
•Limites
•Futures Recherches
Proposition du Guide
11
Plan du Master
Cette recherche est divisée en cinq chapitres. Le premier chapitre présente les aspects
organisationnels et de management de la fonction la sécurité de l’information à travers l’étude
des rapports officiels publiés par des organismes internationaux spécialisés. Les quatre chapitres
décrivent les activités du guide de travail des ERI. Ainsi, le deuxième chapitre traite l’analyse du
risque. Le troisième chapitre sera consacré aux techniques de monitoring et de vérification de
l’efficacité des mesures de sécurité implémentées. Le quatrième chapitre fait la relation entre la
méthode MARRAN (Sadok, 2004) et le guide de travail proposé lors de l’activité d’amplification
des alarmes et de réponse aux incidents de sécurité. Le cinquième chapitre présentera les mesures
de réparation des dégâts occasionnés par les incidents de sécurité et de mise à jour du système de
protection.
12
Chapitre 1 : Sécurité de l’information : Enjeux et état des pratiques
Introduction
Les objectifs de ce chapitre sont, premièrement, mettre l’accent sur l’importance de la sécurité de
l’information pour l’entreprise à l’ère numérique, deuxièmement, présenter les résultats des
études réalisées dans ce domaine (Club de la Sécurité de l'Information Français CLUSIF, 2010 ;
Computer Security Institute CSI, 2009 ; Europe & PricewaterhouseCoopers, 2010 ; Department
for Business, Enterprise & Regulatory Reform (BERR), 2008) ;troisièmement, mettre l’accent sur
la nécessité de l’intervention humaine (à travers le travail de l’ERI1) dans le processus de réponse
et d’anticipation du risque numérique. Ainsi, nous montrons d’une part comment les entreprises
deviennent plus dépendantes des TI et la situation actuelle des risques numériques selon les
pertes financières, ainsi que l’importance qu’elles acquièrent dans les agendas de la haute
direction. D’autre part, nous décrivons l’état des pratiques des entreprises en matière de gestion
de la sécurité de l’information, notamment la politique de sécurité, l’analyse du risque et la
définition du rôle du RSSI2.
1.1 Ampleur du Risque Numérique
Comme définition du risque numérique, nous avons cette éventualité qui empêche les
organisations d’arriver au but, également le risque de la probabilité qu’une menace se matérialise,
une menace qui utilise des vulnérabilités qui existent d’une manière active, générant pertes et
dommages.
Au Royaume Uni, pendant l’année 2008, les grandes entreprises ont eu 96% d’incidents de
sécurité, nombre moyen d’incidents >400 (>1,300) et ses coûts du pire incident de l'année de
£1m à £2m ; également 13% ont détecté des étrangers non autorisés au sein de leur réseau, 9%
de faux (phishing) e-mails envoyés à leurs clients pour demander des données, 9% avaient fait
1 Equipe de Réponse aux Incidents de Sécurité
2Responsable de la Sécurité des Systèmes d’Information
13
passer pour des clients (par exemple après le vol d'identité) et 6% ont subi une violation de
confidentialité (Department for Business, Enterprise & Regulatory Reform (BERR), 2008).
Selon l’étude de Computer Crime and Security Survey faite par Computer Security Institute CSI
en décembre 2009, parmi 443 entreprises dans plusieurs secteurs industriels des Etats-Unis, 102
entreprises ont eu des pertes par $234.000. En 2009, il y a eu une réduction par rapport à 2008
qui a eu $289.000 ; la troisième part des organisations interrogées ont été représentées de façon
frauduleuse : l'expéditeur d'un message de phishing (Computer Security Institute CSI, 2009).
Dans cette enquête, les principaux types d’attaques ont été de 64,3% avec malware infection,
42,2% avec Ordinateur portable ou vol ou perte de matériel mobile, 34% représentés de façon
frauduleuse par l'expéditeur d'un message de phishing, 30% avec des abus d'accès Internet ou e-
mail, 29% avec service déni, 23% avec Bots / zombies au sein de l'organisation, 20% avec
fraude financière.
Les dernières entreprises ont eu en moyenne $450.000 de pertes par organisation ; après un
incident de sécurité, 22% des réponses d’envoi de notification aux personnes infectées et 17%
acquièrent de nouveaux services de sécurité.
Ce rapport montre que 25% des répondants estiment que plus de 60% de leurs pertes financières
sont dues à des actions malveillantes; La plupart des répondants estiment que leur investissement
dans la formation et les mesures de sécurité était adéquate mais la sensibilisation des utilisateurs à
la sécurité était inadéquate.
Les entreprises montraient une diminution de la sous-traitance des services de sécurité, 71% des
entreprises ne le faisaient pas en comparaison avec l’année 2008 où 59% ne le faisait pas. Les
répondants ne sont pas tout à fait contents des solutions techniques, mais les ont expérimentées,
aussi ils demandent une solution depuis le management.
67,8% a expérimenté l’usage du Retour Sur investissement (ROI), outre la Valeur Présent Net
(VPN) ou Taux de Rendement Interne (IRR), ceux-ci comme métrique pour la sécurité. En
général, les organisations considéraient les efforts de sécurité comme ayant un effet positif dans
l’organisation.
Alors, le risque numérique est à l'ordre du jour des entreprises pour les dommages financiers qu’il
cause et pour la croissante dépendance en IT. Aussi ces rapports montrent chaque fois davantage
que les entreprises ont des faiblesses au niveau de la sécurisation des systèmes d’information.
14
1.1.1 Dépendance de l’Entreprise par Rapport aux TI
Les TI sont indispensables aux entreprises pour avoir un avantage concurrentiel ou rester dans un
marché compétitif. Les organisations sont de plus en plus interconnectés à Internet, ainsi en
Angleterre durant l’année 2008, 97% des entreprises ont eu une connexion haut débit à Internet,
93% ont eu un site Web corporatif, 54% permettent au personnel d'accéder à leurs systèmes à
distance et 84% sont fortement dépendants de leurs systèmes de TI (Department for Business,
Enterprise & Regulatory Reform (BERR), 2008).
D'ailleurs, cette enquête montre qu’en 2008 les services financiers, les télécommunications et les
sociétés d'énergie sont les plus préoccupées par la corruption des documents alors que leur chiffre
d'affaires dépend en grande partie de documents électroniques.
Au cours de l’année 2010, en Angleterre, le taux d'adoption de nouvelles technologies s'est
accéléré les deux dernières années. En conséquence, la plupart des répondants utilisent
maintenant des réseaux sans fil, 85% utilisent le réseau Wireless (42% en 2008), accès à distance
et 47% (17% en 2008) utilise la téléphonie Voix sur IP (VoIP), 32% envisagent l'utilisation de
sites de réseaux sociaux comme important pour leurs affaires, et les logiciels en tant que service
ont déplacé l'utilisation d'Internet au-delà des sites Web et e-mail. L’enquête sur les résultats de
l'exercice montre que l'environnement des entreprises est en pleine mutation, 34% des
entreprises dépendent essentiellement de l'extérieur des services hébergés de logiciels accessibles
sur Internet (Europe & PricewaterhouseCoopers, 2010).
Quant à la France, la dépendance à l’informatique peut s’observer dans le schéma suivant
illustration du CLUSIF:
Figure 2. Dépendance des entreprises à l'informatique
15
Les TI sont considérées comme stratégiques pour la grande majorité des entreprises, tous secteurs
confondus et quelle que soit leur taille, 73% d'entre elles jugent lourde de conséquences une
indisponibilité de moins de 24 h de leurs outils informatiques (avec un maximum de 83% pour le
secteur du commerce) (Club de la Sécurité de l'Information Français CLUSIF, 2010).
Ce rapport montre un budget informatique moyen à €1,45 million, lorsqu'on les interroge sur leur
budget informatique, 51% des entreprises répondent (soit 2 fois plus qu’en 2008). Ainsi, 58% ont
un budget inférieur à 1 million d'euros, 20% compris entre 1 et 2 millions d'euros et 15% entre 2
et 5 millions d'euros. Enfin, 7% des budgets sont supérieurs à 5 millions d'euros pour un
maximum de 20 millions d'euros.
CLUSIF a étudié le budget informatique dans les hôpitaux français, Il doit être noté que, dans le
domaine hospitalier, une partie non négligeable des investissements informatiques est réalisée
directement dans les services qui sont représentés dans le tableau :
Tableau 1. Budgets informatiques des hôpitaux
Dans le cas des internautes, CLUSIF montre que les foyers ont augmentés de 5% les deux
dernières années, leurs budget informatique. La connexion à Internet est permanente (dès que
l’ordinateur est allumé) pour 80% des internautes, ce qui est stable, 58% déclarent établir des
connexions en déplacement hors de leur domicile (23% souvent et 35% plus rarement) par
exemple 3G/EDGE, iPhone, Blackberry ; souvent, ils sont en train de changer les connexions
familières par wifi.
Les usages de l’internaute sont : 96% stockent et manipulent des photos ou des vidéos, 90%
traitent des documents personnels (courriers, comptabilité, etc.), seuls 42% traitent des
documents professionnels (ce chiffre est en baisse par rapport aux 49% de l’enquête 2008).
L’enquête confirme bien que l’ordinateur familial est utilisé uniquement pour un usage privé par
70% des personnes, 23% faisant un usage mixte et 2% un usage strictement professionnel. Les
jeunes (15-24 ans) étant deux fois plus nombreux (46%) à déclarer panacher un usage privé et «
professionnel ».
16
Pour la connexion à distance du réseau des entreprises en comparant 2008 et 2010 :
Figure 3. Connexion à distance aux réseaux d’entreprises
Egalement 42% utilisent l’ordinateur familial pour stocker et manipuler des documents
professionnels ou de travail. Les TI sont présentes dans toutes les activités sociales, culturelles,
de travail, pour les organisations ou les internautes. Ces outils sont en train de changer la vie
sociale de l’humanité et ils créent une dépendance pour faciliter l’accès à l’information, aux
achats ou simplement l’interaction avec les autres.
1.1.2 Les enjeux du risque numérique
L’environnement des risques numériques est en constant évolution, les pirates informatiques
créent de nouvelles façon d’attaquer les systèmes d’information, les risques cohabitent
constamment dans le travail quotidien. Ils sont tout le temps latents, même lorsqu’ils ne sont pas
possibles ou qu’on ne peut pas les identifier donc l’unique manière d’éviter un risque est de
détruire l’activité qu’elle a générée (Sena & Tenzer, 2004).
L’évolution des menaces de sécurité est rapide, par exemple CSI a ajouté en 2007 dans ses
rapports quatre types d’attaques et le pourcentage des entreprises touchées selon le rapport 2009,
qui ont eu l’expérience des entreprises Bots / zombies au sein de l'organisation avec 23%, l’Être
représentée frauduleusement comme expéditeur de messages de Phishing avec 34%, Mot de
passe reniflant avec 17%, Exploit du serveur DNS avec 7%, abus de messagerie instant avec 8%.
Pour l’année 2008, il a ajouté le vol ou l'accès non autorisé à des informations personnelles
identifiables (PII sigle Anglais) ou de vol d'informations personnelles de santé (PHI sigle
Anglais) en raison du vol dispositif mobile ou pertes avec 6%, le vol ou l'accès non autorisé à la
propriété intellectuelle suite à un vol d’ appareil mobile ou de pertes avec 6%, le vol ou l'accès
non autorisé à PII ou causes PHI en raison de tous les autres 10%, le vol ou l'accès non autorisé à
la propriété intellectuelle en raison de toutes les autres causes avec 8%.
17
Dans l’année 2009, l’enquête a ajouté l’extorsion ou le chantage liés à la menace d'attaque ou de
diffusion des données de vol avec 3%, l'exploitation d'autres des partenariats public-face site Web
avec 6%, l’exploitation du profil de l'utilisateur du réseau social avec 7%, l'accès non autorisé ou
élévation de privilèges par un initié avec 15%, la pénétration du système par outsider avec 8%.
Ci-dessus s’explique le dynamisme des pirates pour profiter de chaque avance technologique et
faire le mal ; cette tendance semble constituer chaque année l’occurrence de nouvelles menaces,
qui génèrent des coûts financiers pour les entreprises. C’est pour cette raison que les entreprises
améliorent ses systèmes de sécurité d’information afin de les adapter à l’environnement en
mutation.
Les enjeux du risque numérique poussent les entreprises au développement de politiques et de
stratégies de sécurité, l’augmentation de la capacité d’anticipation et la réponse aux attaques à
travers des solutions plus sophistiquées : des techniques, une méthodologie et des processus de
travail.
1.1.3 Caractéristiques du risque numérique
Pour le cas de notre étude, nous allons identifier les caractéristiques principales des risques
numériques (Ghernaouti-Hélie, 2002) :
Ils pourraient causer des dégâts pouvant être importants
Son occurrence est plus ou moins probable
Son origine peut être accidentelle ou volontaire
La possibilité des dégâts par exemple financiers, les attaques affectent les pays : les répondants
ont subi aux Etats Unis, en moyenne, $234,000 dans les pertes dues à des incidents de sécurité
entre Juillet 2009 à Juin 2008. Il s'agit d'une baisse de 19 pour cent de la moyenne de l'an dernier
de $289,000;qui était une baisse de 16 pour cent à partir de 2007 la moyenne de $345.000
(Computer Security Institute CSI, 2009, p. 11) :
18
Figure 4. Pertes financières des incidents de sécurité par année
En Angleterre, le coût global du pire incident d'une organisation de l'année 2009, Le coût total
moyen vari entre £ 27,500 et £ 55.000. Une tendance similaire est observée parmi les répondants
des grandes entreprises, avec le coût total moyen du pire incident se maintenant entre £ 280 000
et £ 690 000 (Europe & PricewaterhouseCoopers, 2010) :
Grande organisation Petite organisation
L'interruption des activités £15,000 - £30,000
sur 2-4 jours
£200,000 - £380,000
sur 2-5 jours
Le temps passé à répondre aux incidents £600 - £1,500
2-5 jours-homme
£6,000 - £12,000
15-30 jours-homme
Trésorerie directe consacrée à répondre à
l'incident £4,000 £7,000 £25,000
Pertes financières directes (par exemple la
perte d'actifs, amendes, etc.) £3,000 £5,000 £25,000
Perte indirecte financière (par exemple le vol
de la propriété intellectuelle) £5,000 £10,000 £15,000
Atteinte à la réputation £100 £1,000 £15,000
Coût total du pire incident en moyenne £27,500 £55,000 £280,000
comparative 2008 £10,000 £20,000 £90,000
Tableau 2. Le coût global du pire incident d'une organisation
Dans le cas, son occurrence pour l’année 2010 : 92% des grands entreprises >250 employés et
des petit entreprises <50 employés 83%. Ils ont eu des incidents de sécurité la dernière année ;
46% des répondants avaient de grandes attaques personnelles pertes ou fuites de données
confidentielles, 45% des violations de la confidentialité ont été très graves ou extrêmement
graves (contre seulement 15% d'autres types d'infractions), Le nombre moyen des violations
subies par les organisations concernées dans l’année 2009 en Angleterre, statistiques équivalentes
comparées à 2008, elles sont indiquées entre parenthèses (Europe & PricewaterhouseCoopers,
2010):
19
Grande organisation Petite organisation
la défaillance de systèmes ou de corruption des
données
4
(3)
2
(1)
Infection par des virus ou autres logiciels
malveillants
2
(3)
1
(2)
Vol ou fraude impliquant des ordinateurs 4
(2)
8
(1)
D'autres incidents causés par le personnel 20
(9)
7
(6)
Attaques par un étranger non autorisé (y compris
les tentatives de piratage)
28
(11)
13
(6)
Tout incident de sécurité 45
(15)
14
(6) Tableau 3. Le nombre médian de violations subies
Figure 5. Pourcentage des incidents
Selon ces données, plus de 80% des organisations par année ont au moins un incident de sécurité
et les pourcentages hauts sont graves, c’est-à-dire que les risques numériques sont d’une
probabilité forte et des organisations ont besoin de plusieurs outils pour combattre, réduire et
anticiper.
Pour sa caractéristique d’origine peut-être accidentelle ou volontaire, aux Etats Unis le
pourcentage de pertes dues à des incidents selon CSI dans son rapport 2009, malveillants et non
malveillants, deux types différents de menaces sont posés par l'employé malveillant qui tire parti
d’ informations à l'intérieur pour mener une attaque ciblée avec un effet très grand et ceux qui
sont posés par le bien intentionné utilisateur moyen qui divulgue des données à un ingénieur
social simplement parce qu'ils ne savent pas mieux :
Tout incident de sécurité
Un incident de sécurité accidentelle
Un incident de sécurité malveillant
Un incident grave
ISBS 2010 Grande organisation
ISBS 2010 Petite organisation
ISBS 2008 Global
20
Figure 6. Malveillants et Non-malveillants
Ceux-ci créent un risque accidentel ou involontaire qui pourrait générer des dégâts avec une
haute probabilité. Il est intéressant de noter que 43.2% des répondants ont déclaré qu'au moins
une partie de leurs pertes étaient imputables à des initiés malveillants ; mais les initiés clairement
non-malveillants sont les plus grands problèmes.
1.2 Gestion et organisation de la sécurité de l’information
L’anticipation du risque numérique a besoin d’une très bonne gestion de la fonction sécurité de
l’information au sein de l’entreprise. Dans notre proposition de guide, il y a trois phases de
gestion de l’information qui sont l’identification des flux organisationnels, l’analyse du risque,
l’initialisation du monitoring et la vérification de l’efficacité, ceux-ci nous les considérons
comme les principales techniques de gestion d’informations sans oublier d’autres phases qui
gèrent aussi l’information, ce sont des phases d’ Amplification des alertes et de réponse aux
incidents, mitigation et mise à jour du système de protection.
Les organisations devraient mettre en place un processus de gouvernance de la sécurité de
l'information, notamment pour protéger l'organisation de l'information des actifs (Humphreys,
2008) ; c’est la raison pour laquelle, dans l'enquête de l’année 2010, l’ISBS en Angleterre
montre que l’information de sécurité pour la haute direction des grandes entreprises a 28% de très
haute priorité, 41 % de hautes priorités et seulement 6% de faibles priorités, 1% sans priorité.
Pour le cas des petites entreprises. 41% considèrent l’information de sécurité de très haute
priorité, 36% de haute priorité et seulement 7% de faible priorité et 1% sans priorité.
Pas de pertes
(56.8%)
1-20% des pertes (24.1%)
21-40% des pertes (9.3%)
61-80% des pertes
(4.3%)
81-100% of Losses (0.7%)
Pas de pertes (34.2%)
1-20% des pertes
(26.6%)
21-40% des pertes (8.9%)
61-80% des pertes (8.9%)
81-100% of Losses
(16.1%)
21
Ils ont besoin pour assurer une gouvernance correcte de l'organisation de déployer un processus
de gestion des risques et un système efficace de contrôles internes, en place pour soutenir ce
processus de gestion des risques. L'histoire de l'information de la sécurité est une série de défauts
(parfois profondément viciés) et de succès. La communauté déplore que les attaquants possèdent
un avantage tactique ; on ne peut nier que les pare-feu partout et une couverture de logiciels anti-
virus ont réduit un certain nombre d'attaques dévastatrices, une fois largement hors de propos
(Humphreys, 2008)
Le guide proposé est un outil de gestion qui permet la gestion de l’information de toute
l’organisation, la gestion de l’information de sécurité et l’anticipation aux attaques numériques,
comme il est écrit plus loin dans le document. Nous expliquons chaque phase de la gestion de
l’information.
1.2.1 La politique de sécurité
La politique de sécurité détermine d’une façon claire, précise les règles, les limites et les
autorisations assignées aux utilisateurs du système d’information ; la détection et la réponse sont
très difficiles à cause de l’ambiguïté des informations, pour réduire le risque à un niveau
acceptable par l’utilisation des solutions de sécurité adaptées à leurs besoins et en fonction des
caractéristiques de leurs services offerts pour assurer la confidentialité, l’intégrité et la
disponibilité des informations. La politique de sécurité tient compte de la taille de l’entreprise, de
sa nature et de ses besoins d’activité, du degré d’ouverture du réseau de l’entreprise et de
l’organisation de ses services (Sadok, Impact des lois de la sécurité financière sur la gestion du
système d'information). Elle comprend des documents et des guides décrivant de manière
formelle les principes ou les règles auxquelles se conforment les personnes qui ont le droit
d’accès au système d’information de l’entreprise (Sadok, Veille anticipative stratégique pour
réduire le risque des agressions numériques, 2004).
Aux Etats Unis, selon le rapport ISBS 2010, 90% des grandes organisations ont une politique de
sécurité de l'information documentée officiellement et les petites organisations, 67%, en France
selon le CLUSIF 63% formalisent sa Politique de Sécurité de l'Information (PSI).
Les objectifs de la politique de sécurité sont constitués d’une suite de règles et de principes
répondant aux besoins de sécurité de l’entreprise et sont explicités dans un document écrit.
22
La mise en place suppose l’utilisation de méthodes et de techniques pour réaliser une détection et
une analyse du risque afin de choisir par conséquent des solutions. Des pratiques appropriées en
matière de sécurité visent tout à la fois à définir les besoins de l’entreprise, à élaborer des
stratégies de sécurité afin de protéger les biens les plus critiques et à définir le référentiel des
contrôles de sécurité. Cela fait partie intégrante de la stratégie globale de l’entreprise dans la
mesure où la stratégie de l'entreprise existe.
Par exemple, en Angleterre, la politique de sécurité de l’information des entreprises s’appuie sur
des normes de sécurité, pour le cas de l’implémentation en 2010. ’ISO/CEI 27001 est une norme
internationale de Système de Management de la sécurité de l’Information ; en pourcentage
d’implémentation, les grandes entreprises 26% complètement, 42% partialement et 13% Plan au
cours des 12 prochains mois ; les petites entreprises 20% complètement, 31% partiellement et
13% dans le plan au cours des 12 prochains mois.
En France CLUSIF spécifique : différentes normes pour les années 2010 et 2008 dans le suivi de
l’illustration:
Figure 7. Appui de la PSI entreprise sur une « norme » de sécurité
Elle est également décrite selon un certain nombre de procédures à caractère opérationnel et
technique et explicitant d’une manière concise les étapes à suivre pour atteindre un objectif de
sécurité donné. Efficace et appropriée, elle nécessite l’étude préalable du risque afin d’optimiser
les investissements en matière de solutions et de mesures de sécurité.
Le rapport de CSI aux Etat Unis, selon un pourcentage du budget de sécurité consacré à
l'utilisateur final : formation à la sûreté de sensibilisation et de l'investissement, a considéré
54,9% comme trop peu, 44,4% adéquate et 0,4% comme trop.
23
L’Angleterre entre 2% et 5% du budget des entreprises, le pourcentage du budget informatique a
été consacré à la sécurité de l'information pour l’année 2010.
Figure 8. Budget informatique pour la sécurité de l'information
En France, pour l’année 2010, le pourcentage représente le budget sécurité par rapport au budget
informatique total, qui est aussi de 26% la dépense est de plus de 3% à 6% du budget
d’informatique à la sécurité.
Figure 9. Part du budget informatique consacrée à la SSI
C’est dans ce cadre que la composition d'une ERI apparaît comme étant une solution
complémentaire et adoptée de plus en plus par les entreprises. Elle comprend trois bases : la
prévention, la détection et la réponse doivent évoluer au fur et à mesure de la croissance de
l’entreprise (son implantation géographique) ou de ses choix stratégiques (son développement à
l’international) ou technologiques (extension de son réseau local, interconnexion de sites distants
par VPN).
1.2.2 L’analyse du risque
Dans la gestion et l’organisation de la sécurité de l’information, l’analyse du risque indiqué dans
notre recherche a des éléments communs avec la norme BS ISO / IEC 27001:2005(Technologies
Grands Organisations-2010
Petit Organisations
2%
2%
17%
13%
41%
29%
24%
22%
13%
26%
3%
8%
Plus que 25% Entre 11% et 25% Entre 6% et 10%
Entre 2% et 5% 1% ou moins Aucun
24
de l'information - Techniques de sécurité - Systèmes de gestion de sécurité de l'information –
Exigences) lors de l’étape 2 :
Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité Identifier
les personnes responsables,
Identifier les vulnérabilités, Identifier les menaces,
Identifier les impacts,
Evaluer la vraisemblance, Estimer les niveaux de risque; mais comme notre guide est là pour
anticiper des attaques plus ses conséquences possibles, c’est-à-dire pas seulement comme ISO
/ IEC 27001:2005 , qui pour ce contrôle, supprime, partage ou accepte des risques sans
anticiper comment les attaques pourraient profiter de ces risques à travers la méthode
MARRAN.
Ceci est très important car selon le rapport du CLUSIF 2010 seulement 38% des entreprises
réalisent des analyses de risques avec une méthode formelle, 20% le font sur une partie du
Système d’Information et 3% sur des activités qui ne dépendent pas uniquement du Système
d’Information. L’illustration suivante montre les méthodes que les entreprises en France utilisent
pour l’analyse du risque :
Figure 10. Méthode d'analyse des risques utilisée
Le guide proposé comprend la mise en place d’un ensemble de mesures de protection avec ses
éléments : le contrôles et le chiffrement des informations, le temps de destruction, le temps de
diminution de niveau, l’identification de la source d'information et l'identification du récepteur
d’information.
1.2.3 Le responsable Sécurité des Systèmes d’Information
Le responsable Sécurité des Systèmes d’Information (RSSI) n’a pas une fonction clairement
identifié et définie au sein de la structure organisationnelle. Dans le rapport CLUSIF 2010, 51%
des entreprises interrogées répondent à cette observation.
25
Figure 11. Attribution de la fonction RSSI
Figure 12. Prise en charge de la fonction RSSI, lorsqu’il n’existe pas de RSSI
Cette fonction est de plus en plus clairement identifiée et attribuée au sein des entreprises, ce qui
marque un net progrès par rapport aux années précédentes comme l’indique CLUSIF dans son
rapport 2010 : l’évolution du nombre de Responsables de la SSI (RSSI) (49%, + 12% vs 2008) ;
avec toutefois une baisse quant à son rattachement à la Direction Générale (34%, - 11% vs 2008),
certainement liée au fait que les RSSI « récents » proviennent souvent de la Direction des
Systèmes d’Information (DSI). L’utilisation des « normes » est également en hausse. Celui-ci a
répondu pour 29% (21% en 2008) des entreprises interrogées, mais plus de 40% dans les plus de
1 000 salariés. Toutes tailles et secteurs confondus, les personnes sondées sont à 72% des DSI
(Directeur des Systèmes d’Information), des Directeurs ou Responsables informatiques ou des
RSSI (Club de la Sécurité de l'Information Français CLUSIF, 2010)
Aux Etats-Unis, selon le rapport CSI 2009 sur l'enquête, classe les répondants également par titre
d'emploi : 31,5 % sont des hauts-chef de la direction des cadres (8,8 %) directeur de l'information
(6,6 %), chef de la sécurité (3,2 %) et chef de la sécurité de l'information (12,9 %). Ces chiffres
sont conformes à ceux de ces dernières années. Un répondant seul lui-même identifié comme
chef de la protection, qui est également conforme au fil du temps. Il est clair qu’au moins 39%
des répondants (OSC, RSSI, et les agents de sécurité combinés) ont le temps plein de
responsabilités de sécurité. En outre, comme indiqué précédemment, la piscine enquête est tirée
de la communauté CSI, et ils sont donc censés être plus avisés de sécurité » que serait un bassin
26
d'enquête choisi au hasard de professionnels des technologies de l'information (Computer
Security Institute CSI, 2009).
CLUSIF 2010 dans la question le cadre de ses missions, quel pourcentage de son temps le RSSI
consacre-t-il ? Quelques aspects du travail des RSSI :
Figure 13. Répartition des missions du RSSI
L’importance d’avoir un responsable des systèmes d’information est de plus en nécessaire avec
l’utilisation croissante des technologies de l’information ainsi que les risques associés à cette
utilisation.
1.3 Intérêt et pertinence de la recherche
Dans cette section, nous expliquons comment la recherche, dans le champ des systèmes
d’information, prend plus d'importance puisque, chaque fois, les nouvelles technologies de
l’information et la communication NTIC, jouent un rôle plus important dans le travail des
entreprises quelles que soient leur taille ou leur secteur, les entreprises doivent utiliser ces
technologies pour améliorer leurs processus productifs, la diminution de coût, la relation avec des
clients et fournisseurs, tout cela pour défendre ou augmenter leurs position dans le marche.
Mais les criminels sont chaque fois plus inventifs ou innovateurs pour menacer et attaquer des
entreprises ; des erreurs humaines peuvent, également, causer des pertes financières, des
dégradations d’image. Des résultats opérationnels ne sont atteints que difficilement car ils ne sont
pas quantifiables ou calculables.
Prenant en compte que les NTIC et, principalement internet, sont les systèmes de communication
que les entreprises ne peuvent jamais mettre à l’écart, si elles veulent être dans le marché
compétitif, mais, entrer dans leurs utilisations, entraîne des risques, c’est pourquoi les entreprises
doivent avoir des outils pour sécuriser et protéger leurs secrets industriels, l’information de leurs
clients, les transactions bancaires ou simplement leurs pages web .
27
L’intérêt de cette recherche est de proposer un guide de travail pour les Equipes de Réponse aux
Incidents de sécurité ERI, afin d’anticiper les attaques et de gérer les risques, c’est-à-dire que la
recherche travaille sur le domaine de la sécurité de l’information.
Alors, réduire l’incertitude à travers un guide qui permet aux ERI de sécuriser des informations
des attaques de l’extérieur ou de l’intérieur, qu’ils sont causés par des erreurs humaines.
Généralement, ce modèle donne un outil qui analyse tout le processus de sécurisation des
informations d’une façon pratique.
Cette recherche se tient sur la Méthode d’Analyse et de Réduction du Risque des Agressions
Numériques MARRAN (Sadok, Veille anticipative stratégique pour réduire le risque des
agressions numériques, 2004), celle-ci qui, grâce à la construction collective de connaissances,
qui se base sur Internet pour réduire le risque numérique. Cette méthode constitue une
transposition et une adaptation de la méthode L.E.SCAnning® dans un domaine nouveau, à
savoir la sécurité informationnelle à l’égard des agressions numériques.
Avec tous ces éléments, le guide propose un design de processus et d’activités pour implémenter
dans les organisations et sécuriser des informations qui doivent gérer.
1.3.1 Rôles et activités des ERI
Les ERI font le travail d’anticipation et de réduction du risque numérique, principalement
comme une activité d’interprétation collective pour anticiper, avec, pour but, d’élaborer des
réponses techniques et managériales appropriées d’informations, des signaux faibles et /ou
signes, qui ont été obtenus dans un contexte d’incertitude, en tenant compte d’une variable très
importante comme est le temps (Sadok, Veille anticipative stratégique pour réduire le risque des
agressions numériques, 2004, p. 46).
Mettre en œuvre des ERI est de plus en plus important, dans la mesure où l’évolution de la
cybercriminalité ne semble pas s’arrêter. Malheureusement, chaque fois, l’innovation de ces
actes est plus complexe et dangereuse. Egalement, parce que, dans quelques cas, les entreprises
ne savent qu’elles sont attaquées ou qu’elles courent des risques.
En effet, les solutions contre la cybercriminalité ne sont pas seulement techniques mais aussi
intégrées dans la gestion et la stratégie de sécurité de l’organisation.
28
La détection des signaux faibles ou précoces n’a pas de signification individuellement, si ce
n’est, à travers un processus collectif. Pour les comprendre, il faut tenir compte de toute
l’organisation qu’elle soit interne ou externe, et de toutes les autres équipes. Aussi, les ERI
offrent trois types de services : les réactifs qui sont là pour diffuser l’information sur toutes les
activités de sécurité, les proactifs qui anticipent toute activité contre le système d’information de
l’organisation et les services de gestion qui sont gérés par un département mais intègrent toute
l’organisation pour améliorer les pratiques de sécurité.
Le travail des ERI consiste à analyser les signaux et/ou signes faibles qui sont collectés, pour
anticiper les attaques et réduire les risques numériques de l’organisation ; cette activité est
intégrée dans la stratégie de sécurité. Les activités plus importantes que les ERI, selon Sadok
(2004), sont les suivantes :
1. La notification (mémorisation temporaire): chaque incident doit être identifié à temps et
communiqué aux personnes ou aux départements concernés.
2. L’analyse qui détermine les causes et les conséquences de l’incident de sécurité ainsi que
les éventuels liens avec les précédents incidents.
3. La réaction afin de stopper ou limiter l’impact de l’incident en tenant compte des
spécificités et des contraintes de l’activité de l’entreprise. Cette réaction doit être rapide,
efficace et réalisée collectivement.
4. La documentation et la traçabilité (la mémorisation): chaque incident de sécurité doit être
documenté selon un format spécifique et publié sur des sites Web de façon à être
accessible à tout moment.
5. L’investigation qui vise la détection précoce de problèmes de sécurité ou la détection
précoce des intrusions ou des tentatives d’intrusions.
Pour la réponse à une attaque ou une agression, les ERI ont sept étapes :
1. Préparation 2. Identification 3. Notification
4. Analyses de l’agression 5. Réparation 6. Recouvrement
7. Apprentissage
Les ERI n’ont pas une structure unique, elles s’adaptent selon les problèmes de sécurité, la
situation géographique, la structure organisationnelle. Comme une structure basique, les ERI
peuvent être composées de la façon suivante :
29
Le manager de l’équipe, qui peut être le coordinateur ou le chef technique, coordonne,
supervise et oriente les activités de l’équipe.
Le staff technique fournit un support à la manipulation d’un incident grâce à son
expertise dans le domaine de la sécurité (le staff peut être interne ou externe).
Les assistants au bureau ou le staff en garde sont les premiers à reporter des
informations relatives à une agression.
Les experts en sécurité informatique, spécialistes en plate-forme ou en réseau, peuvent
fournir des conseils ou des orientations lors du traitement de l’incident.
Les autres professionnels peuvent appartenir à plusieurs départements comme le
département informatique, ressources humaines, relations publiques ou des
responsables en management qui assistent l’ERI.
Le personnel administratif de support.
1.3.2 Intérêt managérial
Du point de vue managérial, cette recherche est très importante pour donner de nouveaux outils
qui permettent aux entreprises l’identification des flux informationnels, l’analyse du risque, le
monitoring, l’amplification des alertes et la réponse aux incidents, la mitigation et la mise à jour
du système de protection. Cela permet aux entreprises et aux organisations à travers le guide
proposé d’anticiper des attaques et de gérer des informations.
Le guide proposé est une solution managériale depuis les sciences de gestion contre un problème
qui a été considéré comme technique, de plus, il a intégré la gestion de l’information de sécurité,
l’information des entreprises.
Notre contribution principale est de fournir un outil de gestion pour les entreprises à modifier leur
position réactive, proactive et anticipative contre les risques numériques, avec l'intégration de la
méthodologie MARRAN et la gestion intégrale des informations et des risques.
1.3.3 Intérêt académique
Comme apport académique, cette recherche intègre différents concepts en un domaine nouveau
qui, auparavant, avait été seulement la technique des informaticiens pour la sécurité des
30
informations et, maintenant, est un sujet de gestion habituelle car nous verrons ci-dessous que les
solutions techniques ne sont pas suffisantes pour sécuriser les informations et, aussi, que
beaucoup d’autres problèmes de sécurité sont dus à des erreurs humaines qui, sans doute, sont du
champ de la gestion.
Il y a l’existence de différentes connaissances actionnables pour analyser le risque numérique et
la gestion des informations, mais peu pour anticiper, ce guide a proposé l’ articulation de la
méthode MARRAN qui travaille le lien avec la veille stratégique pour anticiper à travers la
détection de signal et/ou signaux faibles Elle se base sur certains aspects de la méthode
LESCAnning® orientée davantage vers l’anticipation et qui a été conçue, réalisée et validée en
prenant en compte la nature des informations anticipatives et en utilisant l’intelligence collective
pour l’interprétation de ces informations.
Cette recherche utilise des rapports spécialisés sur la sécurité informatique d’études en trois pays
en France le Club de la Sécurité de l'Information Français CLUSIF, rapport 2010, aux Etats- Unis
le Computer Security Institute CSI, rapport 2009 et en Angleterre le Department for Business,
Enterprise & Regulatory Reform (BERR), rapport 2008 et Europe & PricewaterhouseCoopers,
rapport 2010.
Egalement cette recherche prend en compte la variable du temps, donc le temps limite des
réponses aux attaques, si cette donnée n’est pas bien gérée elle peut incrémenter des pertes,
dommages et performances des systèmes d’information.
31
Conclusion
Dans ce chapitre, nous avons montré à travers des chiffres de rapports d’organisations
spécialisées sur la sécurité informatique, comment le risque numérique affecte des organisations
et a généré des pertes financières, également comme chaque fois les entreprises ont plus de
dépendance des IT pour avoir une participation dans le marché.
D’une les organisations ont besoin d’outils pour anticiper et gérer des informations de sécurité et
d’autre part de mettre en place d’adopter des mesures de protection pour leurs systèmes
d’information.
Nous avons expliqué l’intérêt et la pertinence de la recherche pour des entreprises et l’académie,
et, comme notre question de recherche a commencé par répondre à la conception de la création
d’un guide de travail pour les Equipes de Réponse aux Incidents de sécurité qui s’appuie sur la
méthode MARRAN et la veille stratégique.
32
Chapitre 2 : L’analyse du risque
Introduction
Ce chapitre présente la première activité du guide de travail à savoir l’analyse du risque. Celle-ci
est d’une importance considérable dans le travail d’une ERI et nécessite une classification et une
organisation des informations au sein de l’entreprise en fonction de leur importance
opérationnelle et stratégique. L’analyse du risque suppose également l’identification des
principales menaces et vulnérabilités, les probabilités d’occurrence des attaques numériques et les
coûts des mesures de sécurité.
2.1 Identification des flux informationnels
Les organisations doivent classifier des informations et identifier les flux d’informations avant
que celles-ci soient sécurisées dans tous les départements et les dépendances du système
informatique. Il convient de noter que les flux informationnels que gère l’entreprise sont
différents des flux que gère le système informatique.
Ce dernier doit représenter un support pour que l'information puisse circuler librement dans
l'organisation selon les nécessités. Le système informatique ne peut pas devenir une contrainte
dans le processus de l’entreprise.
C’est pourquoi quand les organisations qui tiennent organisés leurs informations ont plus facile à
gérer l’information dans le système informatique et donc à les sécuriser.
La classification ci-dessous présente les pré-requis afin de pouvoir sécuriser l’information.
Comme l’explique Lesca & Lesca (1995), les organisations doivent identifier trois types
d’informations :
Information de fonctionnement : Indispensable au fonctionnement, c’est l’information liée
à l’activité opérationnelle de l’entreprise et elle est liée à des tâches répétitives.
Information d’influence : sa finalité est d’influer sur le comportement des acteurs internes
et externes.
33
Information d’anticipation : qui permet de voir venir à l’avance certains changements de
son environnement, dans le but d’en tirer un avantage ou bien d’éviter un risque.
Egalement, identifier des flux d’information de l’entreprise :
Pour finir la classification des informations organisationnelles se trouvent dans le tableau ci-
dessous :
Tableau 4. Orientation de l'information
Les neuf cases de ce tableau nous permettent de situer l’information dont nous parlons à un
moment donné. Cette grille est un peu la carte qui va nous permettre de nous orienter dans le
monde de l’information de l’entreprise (Lesca & Lesca, Gestion de l'information, 1995).
Quand l’entreprise a ses informations organisées, on peut l’entrer dans la classification selon le
système de sécurité que le guide a proposé, on identifie plus facilement le flux d’informations sur
sa chaîne de valeur.
2.1.1 Classification de l’information
Après l’identification des flux de l’information, nous procédons à la classification des
informations pour les sécuriser en fonction de leur importance, priorité et urgence.
Informations de
l’intérieur vers
l’intérieur
Informations
de l’intérieur
vers l’extérieur
Informations
de l’extérieur
vers l’intérieur
Figure 14. Trois flux d’information de l’entreprise
34
Importance : soutenir la prise de décision stratégique et les opérations au sein de l’entreprise, par
exemple, codes d'accès pour les voûtes d'une banque (système de clé de rotation); ou des
transactions bancaires internationales, autre caractéristique c’est qu’ils n’ ont pas de traitement
constant.
Les tâches mise en place sont d’identifier des informations en relation avec l'activité
opérationnelle et stratégique de l'entreprise, d’importance vitale pour l’entreprise, selon la
classification des types et flux d’informations, dont un catalogue d’informations permet la
classification.
Priorité : certaines informations sont prioritaires pour l’activité opérationnelle de l’entreprise, ce
ne sont pas les plus importantes mais les problèmes pourraient affecter les activités normales des
processus tels que la paie ou le retard d'une ordonnance.
Les tâches d’implémentation doivent identifier la fréquence de traitement/utilisation des
informations, par exemple, chaque journée, dans une entreprise de déménagement, doit donner
une équipe de déménagement, la fiche du travail, les lieux, les adresses ; chaque année, le
comptable fait le bilan général de l’entreprise.
Urgence : certains changements de l’environnement, interne ou externe, de l’entreprise
impliquent des modifications de l’importance ou de la priorité des informations. Par exemple, un
déversement de pétrole dans le sud de la Floride aux Etats- Unis, une chute brutale de la bourse
ou des questions de la haute direction pour une décision.
La mise en place des mesures de sécurité a besoin d’un système d’identification claire des
utilisateurs et un endroit de stockage de l’information, pour rendre l'information disponible, pour
répondre d'une façon efficace à des problèmes de gestion imprévisibles.
2.1.2 Identification des conditions d’exploitation, de traitement et de production
des informations dans la chaîne de valeur de l’entreprise
Les flux d’informations sont inclus dans une chaîne de valeur, qui s’étend depuis les fournisseurs
jusqu’aux consommateurs finaux. Lorsque l’entreprise a identifié les flux d’informations, elle
doit protéger la transmission et la réception des informations. Par exemple, les courriers et les
35
paiements électroniques, les téléchargements de fichiers ou les clés USB, disques dur et
ordinateurs portables doivent être protégés.
Pour procéder à l’identification de ces flux, on doit suivre quatre étapes :
D’abord, on fait l’Identification des points d’entrée et de sortie : les entrées et sorties
d’information dans le système à travers la saisie, le téléchargement, l’e-mail, le disque dur, les
clés USB, les accès de l'extérieur. Pour l’exécution de tout type de réseaux physiques et virtuels,
il faut avoir identifié au préalable d’où entre et sort l'information, le nombre de serveurs, les
directions IP, l’utilisateur, l’ordinateur, les comptes de courriel électronique, l’habilitation des
ports USB, etc.
Les applications en exécution : quels sont les différents logiciels et applications
informatiques utilisés pour le traitement de l’information ? Ex. Word de programmation, plates-
formes virtuelles (Blackboard) ou spécialisées. Installer dans les ordinateurs des réseaux de
logiciels accrédités pour le traitement des informations.
Canaux de communication des informations : Comment l’organisation gère ses informations en
interne et externe ?
A travers par exemple l'utilisation des réseaux Internet, VPN ou Intranet. De cette façon les
banques permettent de faire des transactions bancaires par les téléphones mobiles. Pour mettre en
place les réseaux, la haute direction doit déterminer quels sont les canaux de communication pour
chaque transfert ou réception d'information à l’intérieur comme à l’extérieur de l'organisation,
selon la classe d’information ou le niveau de barrière comme nous l’expliquerons dans la suite de
notre guide.
Différentes procédures de gestion du système informatique : Procédures formelles utilisées pour
spécifier et coordonner le travail au sein de l'organisation grâce à la standardisation dans la
chaîne de valeur, des informations à donner et à recevoir de la part des différents partenaires, qui
ont été identifiés dans le flux et le type d’informations ; c’est-à-dire ils sont des processus du
système informatique pour l’accomplissement des procédures dans la chaîne de valeur, par
exemple l’assignation de mot de passe pour l’entrée d’un fournisseur dans le réseau, la réparation
ou l’actualisation des logiciels dans les ordinateurs.
36
2.1.3 Détermination des niveaux de barrière d’information liés à l’échange, à
l’accès et ou au stockage
Dans le guide proposé, nous réalisons la distinction de niveaux d'importance de l’information que
nous appelons de « Barrière », car celui-ci permet d’identifier quelles informations sont des
limites pour l’accès, la manipulation de l’information (Policía Nacional de Colombia , 2008),
également sa classification ; le mauvais usage de l'information peut causer la perte de vies
humaines, des dommages à l'image organisationnel ou mettre en danger la survivance de
l'entreprise. Ils ont six niveaux de barrière de l’information:
Ultrasecret: Celui-ci peut occasionner des pertes de vies humaine, des catastrophes naturelles, la
disparition de l'organisation. Il n'est pas possible que toutes les organisations aient des
informations de ce type ; informations qui sont déjà transformées ou finies. Par exemple, des
recherches sur l’énergie nucléaire, une nouvelle molécule chimique, la recette de coca-cola.
Secret: Informations qui sont déjà transformées ou dans un processus de production, mais, quand
elles finissent, étant en relation avec l’innovation ou le changement dans le marché. Par exemple
l'innovation dans les processeurs des ordinateurs.
Réservé : Informations en processus qui se traitent dans le niveau secret, mais elles se donnent en
fraction jamais de façon complète, ceux-ci sont en train de rechercher pour devenir ultrasecrets
ou secrets déjà transformés.
Restreint : Informations qui ne sont pas connues de tous les employés, comme l’histoire du
travail des employés, processus de contrôle interne en cours, une investigation disciplinaire.
Confidentiel : Label pour des informations d'intérêts destinés seulement aux employés des
entreprises, par exemple données à caractère personnel de certains fournisseurs ou de clients-clés
de l'organisation, ou que la juridiction ne devrait pas connaître.
Public : L'information que tout le monde peut consulter dans la page web, bilan financier,
structure organisationnelle, etc.
Cette classification se fait pour établir selon chaque niveau de barrière, les canaux de
communication, l’endroit du stockage et la gestion des informations selon leur cycle de vie, c’est-
à-dire, chaque information est comme un être vivant qui naît, grandit, se reproduit et meurt ; toute
information doit avoir un cycle de vie clair. Donc, l’information augmente ou diminue le niveau
37
de la barrière en fonction des exigences de l'environnement interne ou externe, alors ces niveaux
sont dynamiques et non statiques.
De plus, il est nécessaire d’identifier les différentes personnes intervenant dans les flux
informationnels liés à l’échange, à l’accès et au stockage qui ont inclus des personnes qui
manipulent l’information où ils ont quelques responsabilités pour la confidentialité, l’intégrité, la
disponibilité. Les intervenants sont de deux sortes :
Responsabilités des utilisateurs : Chaque employé doit avoir dans ses fonctions des informations
qu’il peut trahir car il a accès à la confidentialité et sa responsabilité pour quelque problème est
engagée, une responsabilité claire pour protéger, emporter, faire le stockage, modifier, actualiser
ou faire les tâches que lui assigne la hiérarchie.
Les attributions des utilisateurs : Pour les employés qui doivent avoir des limites dans les
responsabilités de traitement des informations comme le temps, l’endroit l'accès, les réseaux, les
ordinateurs et les logiciels, selon sa classification. Des limites pour l’utilisation, les transferts, la
modification. Le temps d’utilisation où les responsabilités sont restreintes ainsi que
l’information, par exemple, un employé a la responsabilité ou l’autorisation pour modifier
l’information, mais ses attributions sont pour changer dans les ordinateurs de l’entreprise,
seulement en heures de matinée, sans pouvoir transférer vers une adresse physiquement ou
virtuellement.
2.2 Identification des vulnérabilités et menaces
Dans cette étape, l’ERI identifie les menaces et les vulnérabilités liés aux flux informationnels,
par exemple, une menace de raison intentionnelle de type interne, externe ou interne-externe de
vol d’information.
Mais, d’abord, nous avons besoin de connaitre l’architecture des réseaux avec tous ses
composants comme nombre d’utilisateurs, la technologie qui s’utilise pour le chiffre, la
transmission de données, les logiciels, le hardware, etc. celui-ci est comme la carte de navigation
pour un militaire.
Avant d’identifier les vulnérabilités, on doit connaitre les menaces, se placer sur les prémisses
des activités industrielles de l’entreprise, c’est-à-dire une banque est plus menacée dans ses
38
transferts par internet qu’une entreprise de pêcheurs, mais les pécheurs sont plus vulnérables dans
le même cas.
L’entreprise et les spécialistes informatiques doivent identifier selon les caractéristiques de la
technologie mise en place, les menaces et les vulnérabilités, pour assurer la continuité et
l’efficacité du travail au sein de l’entreprise.
2.2.1 Identification des vulnérabilités liées à l’organisation, à l’opération et à
L’échange des flux informationnels
La vulnérabilité est de considérer la capacité ou la propension aux dégâts ou aux dommages que
le système informatique subirait, surtout dans certaines zones . Notre classification de niveau de
vulnérabilité est : insignifiant « Il n'y a pas de conditions », faible « Il y a des conditions qui
rendent de très loin la possibilité », moyenne « Il existe des conditions qui rendent peu probable
une attaque dans le court terme, mais pas suffisamment pour empêcher à long terme », forte
« L'achèvement de l'attaque est imminente. Il y a des conditions internes et externes qui
favorisent le développement de l'attaque » (Gestión de Riesgo en la Seguridad Informática).
Pour identifier des vulnérabilités, le guide distingue des trois composants pour analyser les
ressources informatiques et les réseaux, les processus de gestion et les utilisateurs.
Les ressources informatiques et réseaux : ceux-ci sont liés à l’architecture des réseaux et à tout le
système physique de hardware, ordinateurs, modems, logiciels et à l’échange d’informations à
travers ’Internet ou les réseaux internes ou naturels (inondation).
Le travail d’identification des vulnérabilités se fait avec des spécialistes en informatique, selon
les procédures de gestion qui sont déterminantes pour l’utilisation du système informatique.
Notre propos est d’analyser l’ensemble des ressources informatiques et les réseaux avec les
procédures de gestion, parce que ce sont ces derniers qui déterminent comment se communique
l’information dans le système informatique, et, comment sont identifiés les endroits plus
vulnérables à travers le flux d’informations.
Par exemple, une entreprise de bourse qui doit télécharger sur Internet (les ressources
informatiques et réseau) chaque journée, différents rapports internationaux (processus de
gestion), un virus peut être téléchargé (la menace), mais certains virus n'affectent pas le système.
39
Les utilisateurs : Pour ces derniers, on doit analyser les vulnérabilités en deux aspects : les
compétences pour la manipulation du système, la motivation et la loyauté.
Les vulnérabilités des utilisateurs, dans notre exemple : l’utilisateur peut télécharger le virus
pour le libre-arbitre (sabotage), le manque de connaissances de leurs travaux (incompétence) ; ou
le paiement pour faire du dommage (faute de loyauté.)
2.2.2 Identification des menaces qui peuvent affecter les ressources critiques
Les menaces sont internes (ex. employés) et externes (ex. criminels, l'espionnage industriel),
intentionnelles (le vol de données, différences personnelles, l'ignorance délibérée des règles) ou
accidentelles (la connaissance insuffisante du système, le stress, le manque réel de connaissances
des règles). Des conséquences maléfiques pour l’opération du système, les réseaux de données et
hardware (Magklaras & Furnell, 2002). Une matrice qu’on peut utiliser pour identifier le type et
la raison des menaces dont nous avons parlé :
Type d'événement
internes Externes
Raisons Intentionnelles
Accidentelles
Tableau 5. Matrice d’identification type et raison
D’abord identifier les menaces du système d’informatique intégralement selon les critères ci-
dessus, ainsi que proposé, afin de reconnaitre des menaces de type (BASC, 2007):
Contre les ressources physiques et la sécurité industrielle : Il existe des endroits physiques où
résident l'infrastructure comme des voûtes ou bureaux, aussi des éléments de stockage comme
des disques durs portables, c’est-à-dire quelques éléments physiques en relation avec le système
informatique, y compris les bâtiments, également un fort composant d’ergonomie
« compréhension des interactions entre les humains et d'autres éléments d'un système, trouver que
les êtres humains et le travail technique sont en parfaite harmonie ».
Menace de choc électrique : les niveaux élevés de tension.
Menace d'incendie : Les matières inflammables.
Niveaux insuffisants de l'électricité.
Dangers des rayonnements : Vagues de bruit, de laser et les ultrasons.
Risques mécaniques : Instabilité les pièces électriques.
40
Tremblements de terre, tsunamis, inondations
L'hygiène, l'assainissement, et l'ergonomie
Ce sont quelques risques physiques plus communs, mais, selon l’endroit géoFigure, il existe
d’autres différences.
Contre l’information : Les menaces de modification, le vol, l'altération, la transformation
abusive, la publication, accès non autorisé au système, la transformation, etc. sont des freins à
l’utilisation positive de l’outil informatique.
Spéciales : D'autres risques qui affectent la sécurité informatique, qu’on appelle spéciales, car
ils augmentent les points de vulnérabilité des systèmes, et, comme caractéristique, ils n’ont pas de
relation directe avec l’entreprise ou l’entreprise dépend d’autres facteurs. Politique, juridique, la
concentration du traitement des demandes est de plus en plus complexe : la dépendance des
personnes clés, la disparition et l'entrée de nouveaux contrôles, les grèves, le terrorisme et
l'instabilité sociale, le stockage ou d’autres activités de sécurité en outsourcing. Donc l’entreprise
assume les risques que connaît la personne qui fournit le service.
Après la révision intégrale, l’organisation fait le Catalogue des ressources critiques,
L’organisation a des informations très importantes et des ressources qui donnent un support aux
activités principales ou aux clés pour la productivité, l’expansion dans le marché et la crédibilité ;
si il y a des défauts de fonctionnement, cela peut paralyser l'activité de l'organisation.
La page web d’une entreprise de jeux sur Internet, une inondation ou un choc électrique,
devraient inclure toutes les ressources système, car les critiques sont importantes.
Nous ferons la liste de toutes les ressources critiques de l'organisation ; il faut identifier
l’emplacement, également le type d'information qui passe par cet endroit, ses fournisseurs et ses
clients, ses utilisateurs, ses responsables.
Les menaces de fait : elles sont les menaces de l’organisation évoquée ci-dessus qui a un certain
niveau de persévérance de façon directe ou indirecte. Dans un moment du temps, ils sont
menaces, donc il doit être pris en compte pour la protection. Par exemple : la tentative des pirates
pour tenter de violer les systèmes de sécurité du Pentagone. Cela classifie le niveau de menace
en : insignifiant, faible, moyen, fort.
41
2.2.3 Estimation de la probabilité de l’occurrence des menaces
Pour notre recherche de classification du niveau des menaces identifiées, qu’on peut appeler aussi
niveaux de probabilité, ils sont : insignifiants, faibles, moyens, forts. Voici cette classification :
Des données historiques collectées par l’entreprise : Pour ses propres enquêtes externes de
chaque incident de sécurité, ce sont des informations qu’a obtenu l'organisation par rapport à ses
activités à travers son histoire. Il donne un niveau de probabilité.
Les appréciations de certains experts dans le domaine de la sécurité informatique : comme
l’organisation par elle-même ne peut pas interpréter toutes les données collectées, elle fait appel à
un cabinet de conseil ou à d’autres experts pour pouvoir établir son niveau de probabilité. Il
donne un niveau de probabilité.
Situation contextuelle : c’est l’analyse par rapport à des nouvelles d’environnement. Par
exemple : le mouvement d'un virus informatique dans le monde entier. Il donne un niveau de
probabilité.
Aussi, on prend en compte les menaces de fait, mais cette menace a déjà un niveau de probabilité,
si elle n’est pas une menace de fait, elle est évaluée comme insignifiante.
A chaque niveau de probabilité on assignée une valeur numérique :
Insignifiant = 1, faible = 2, moyenne = 3, forte = 4
Le tableau suivant montre comment faire l’analyse, il doit exister une tableau par chaque type de
menace :
Description
menace
Données
historiques
Appréciations
des experts Menaces de fait
Situation
contextuelle Résultat
Tableau 6. Analyses de probabilité
Le résultat est la somme de toutes les variables, pour établir un niveau de probabilité, Il est classé
comme suit:
Occurrence faible (1 – 6), Occurrence moyenne (7 – 11), Occurrence haute (12 – 16).
42
2.2.4 Estimation de la perte potentielle relative à chaque ressource en cas de
réalisation de la menace
Quand nous connaissons les ressources critiques menaces, avec le type de menace, nous
établissons des coûts financiers, de production, d'image et de crédibilité. Nous évaluons le conflit
du travail, la législation, la motivation et le comportement des travailleurs.
Avec le responsable (département, bureau, area) de la ressource menace, s’établit le type de
pertes en image ou d’opérations par exemple, nous estimons combien chaque perte potentielle
s’évalue en termes financiers.
Il faut établir dans chaque entreprise des critères et des procédures, ce qui est une activité
complexe : la modification du site web est plus dommageable pour « Amazon » que pour une
entreprise de vente de chaussures dans les magasins.
Cette activité se fait pour comprendre les pertes en image, production et autres, avec ses relations
en termes financiers. Dans un cas précis, l’assurance, savoir le coût de protection économique.
2.2.5 Estimation du coût des actions d’audit et de surveillance des systèmes afin de
réduire le risque
Toutes les activités pour réduire le risque, génèrent des coûts financiers, en relation avec le
temps, les analyses, l’opération, l’utilisation des employés, la surveillance….
L'audit et la surveillance sont prévus pour vérifier toute la santé du système d'information, mais il
doit être moins cher que l'information qu’il aide à protéger. Les coûts d'audit et de surveillance
doivent s’établir selon l'importance de l'information, le volume d'information, la technologie
utilisée dans les processus. Les activités de protection doivent avoir un budget assigné, selon les
nécessités et une planification. L’entreprise doit connaitre tous les coûts en relation avec les
activités de sécurité, en termes financiers, parce qu’il n’est pas possible que les coûts des
protections soient plus hauts que les coûts par attaques. Dans le schéma suivant, nous montrons
des phases de notre proposition du guide :
43
Chaque phase a différentes tâches, alors, budget du département IT, le budget alloué à la sécurité.
De la même façon, chaque entreprise, selon les informations de contrôle, doit investir dans des
mesures de sécurité et des processus internes.
2.3 Définition des mesures de protection
Le contrôle des menaces et des vulnérabilités trouvées, la classification de l’information, son
niveau de barrière, l’organisation a besoin de la protection de l’information. Dans notre
proposition de guide, nous identifions trois types de menaces contre les ressources physiques ou
l’infrastructure, contre l’information et les spéciales, qui peuvent être accidentelles ou
intentionnelles, internes ou externes. Les trois premières mesures de protection sont pour
l’information, car ce sont des contrôles quotidiens et l’incidence est constante. La quatrième est
sur les mesures pour des ressources physiques, d’infrastructure et de sécurité industrielle, la
cinquième pour des spéciales.
Il est précisé que les mesures de protection, les solutions de compromis ou de techniques qui
peuvent perturber la performance du système informatique, devraient être réglées avec les
spécialistes dans le domaine, tels que les réseaux, ordinateurs, logiciels, etc.
1
Identification des flux informationnels
2
Analyse du risque
3
Initialisation du monitoring et
vérification de l’efficacité
4
Amplification des alertes, réponse
incidents et calcul de vraisemblance
5
Mitigation
6
Mise à jour du système de protection
Figure 15. Phases du guide proposé
44
2.3.1 Contrôles d’information et chiffrement d'information
Pour contrôler la sécurité informationnelle en termes de disponibilité, de confidentialité,
d’intégrité, de non-répudiation de l’information (Ghernaouti-Hélie, Internet et sécurité, 2002)
selon leurs menaces et les risques comme l'importance ou la classification, pour prévenir et
réduire des risques à l’occasion d'une attaque, après la classification, la barrière, l’analyse de
menaces, l’identification des vulnérabilités, nous allons mettre en place plusieurs solutions de
sécurité techniques et de gestion, ci-dessous, nous montrerons quelques mesure de Sécurité dans
la troisième génération des réseaux locaux (Xenakis & Merakos, 2004), qui prennent en compte
le Système universel de télécommunication mobile (Universal Mobile Telecommunication
System, UMTS).
L'architecture de sécurité et les exigences des réseaux nécessitent l'examen de plusieurs aspects et
leurs enjeux, tels que l'accès sans fil, la mobilité de l'utilisateur final ou le type d'informations à
protéger. La transmission radio est par nature plus sensible à l'écoute et la fraude que la
transmission par fil. Nous prenons les mesures suivantes pour éviter l’insécurité :
La sécurité d'accès au réseau.
La confidentialité de l'identité de l'utilisateur : elle permet l'identification d'un utilisateur sur le
lien d'accès radio au moyen d'une Identité Temporaire d'Abonné Mobile (Temporaire Mobile
Subscriber Identity, TMSI). Cela implique que la confidentialité de l'identité de l'utilisateur est
protégée contre les oreilles indiscrètes presque toujours passives.
Accord d'authentification et de clés : La méthode d'authentification est composée d'un défi de
protocole d'intervention, d'authentification et un mécanisme d'accord de clé réalisent une
authentification mutuelle entre l'utilisateur mobile et le serveur de réseau montrant la
connaissance d'une clé secrète. La clé , ainsi découle de chiffrement et les clés de l'intégrité.
La confidentialité des données : Une fois que l'utilisateur et le réseau ont authentifié les uns et les
autres, ils peuvent commencer à sécuriser les communications. Comme décrit ci-dessus, une clé
de chiffrement est partagée entre le cœur du réseau et le terminal après un événement
d’authentification réussie. Comme aussi les chiffrements de l’information dans les logiciels
spéciaux.
Protection de l'intégrité des messages de signalisation : la protection de l'intégrité de soutien sur
les canaux de signalisation. Cela permet à l'entité qui reçoit d’être en mesure de vérifier que les
45
données de signalisation n'ont pas été modifiés d'une manière non autorisée depuis qu'il a été
envoyé.
Domaine de sécurité de réseau.
Protocole d’Internet (IP) : il y a plusieurs solutions sur ce sujet, pour celui-ci, avec des
spécialistes en informatique, la façon plus adéquate à l’organisation, par exemple un canal direct
entre les IP.
Fonctions traditionnelles de sécurité réseau : Firewalls, anti-virus, réseau privé virtuel (VPN)
Utilisateurs et fonctions de l'application domaine de la sécurité
Sécurité du domaine de l'utilisateur : garantit un accès sécurisé à la station mobile. Il est basé sur
un dispositif physique appelé Carte à circuit intégré, qui peut être facilement inséré et retiré de
l'équipement terminal, contenant les applications de sécurité telles que la carte qui représente et
identifie un utilisateur et son association à un milieu familial. Il est responsable de l'exécution
d'abonnés et d'authentification réseau, ainsi que la concordance des clés.
Sécurité du domaine d'application : D'autre part, le domaine de la sécurité traite la demande avec
messagerie sécurisée entre la station mobile et le réseau de service ou le prestataire de services
sur le réseau avec le niveau de sécurité choisi par l'opérateur réseau ou le fournisseur
d'applications.
Visibilité de la sécurité et de configuration : les mesures de sécurité prévues par le prestataire de
services sur le réseau devraient être transparents pour l'utilisateur final, la visibilité des opérations
de sécurité ainsi que les dispositifs de sécurité pris en charge doivent être fournis. Il peut s'agir :
indication du niveau de la sécurité, l'indication de cryptage du réseau d'accès, du vaste réseau de
cryptage indication.
L'ensemble du réseau de confidentialité des données utilisateur : L'échelle de la confidentialité du
réseau est une option qui offre un mode de sauvegarde de la transmission de données
d'utilisateurs à travers l'ensemble du réseau. Il protège les données contre l'écoute clandestine sur
chaque lien dans le réseau, et pas seulement sur les liens radio vulnérables.
46
2.3.2 Temps de destruction et de diminution de niveau
L’information est comme un être vivant qui a un cycle de vie des informations, depuis la
réception jusqu’aux limites de pérennité.
Figure 16. Cycle de vie de l'information
Chaque cycle a des caractéristiques qui doivent être présents, par exemple entre à l’entreprise une
demande de prix pour quelque produit par un client habituel, hier (naissance), le département de
marketing calcule le prix (croissance), il le retourne au client (reproduction), mais le client n’est
pas intéressé (mort). Pendant la période de vie, la classification de barrière change aussi, le
niveau monte ou descend, il change l’endroit de stockage et la base de donnée pour stockage,
chaque changement de niveau et des protocoles d’accès, donc les organisations sont dynamiques
et en changement constant.
Figure 17. Classification de barrière
Quand une nouvelle information est déposée dans l'organisation, elle doit être analysée et
projetée selon son cycle de vie, stockée selon son niveau de barrière etc. Comme les processus
organisationnels sont dynamiques, il peut arriver de changer l'emplacement ou la classification
•la transformation, la modification, l'extension,
l'ampliation
•supports de transmission, les bénéficiaires, la modification
•Quoi, Qui, comme, quand, où, pourquoi,
raison
•pourquoi, comment, quand, où, dans l'ordre de qui, qui, pourquoi
Mort Naissance
CroissanceReproduction
Ultrasecret Secret Réservé Restreint Confidentiel Public
47
sans temps déterminé. Quand nous connaissons toutes ces données, il y a un contrôle des sites,
des modifications, des transferts et des manipulations de l'information à travers le système.
2.3.3 Identification de l’émetteur et du récepteur d'information
C'est établir qui donne d'information et à qui l'organisation donne d'information, car
l'information qui est reçue peut avoir un virus, un logiciel espion ou rechercher une escroquerie.
Le récepteur, donc l'organisation peut donner une information qui peut être utilisée contre elle-
même (Policía Nacional de Colombia , 2008). Dans le tableau suivant, nous proposons quelques
caractéristiques de l'émetteur et du récepteur qui doivent être identifiées pour être considérées
comme fiables:
Emetteur Récepteur
Identification
Profil Profil
L'analyse de la crédibilité
Classification de l’information
Canal
Type de source
Classification de l’information
Droits de réception
Le contrôle de la manipulation
Vérification des responsabilités et attributions
d’utilisateur (qui reçoit l’information)
Eléments de restriction de manipulation
Vérification des responsabilités et attributions
d’utilisateur (qui reçoit notre information).
Canal
Eléments de restriction de manipulation
Concept
Sûr
Insécurité
Sûr
Insécurité
Bulletin de nouvelles
Procédure de contrôle et sécurité
Notification à l'employé de sécurité
Stockage
Pas envoyer les informations
Demander des instructions à l'employé de
sécurité
Stockage Tableau 7. Contrôle d'identification de l’émetteur et du récepteur
Pour faire le contrôle des émetteurs et des récepteurs, notre proposition commence avec
l’identification qui fait ce processus à travers un profil, ses composants sont : nom, poste de
travail, emplacement dans le réseau et géographie, s’il est interne ou externe de l’entreprise.
Dans le cas d’analyse de la crédibilité il y a en commun entre émetteur et récepteur la
classification de l’information dont les composants sont : l’identification de la barrière
(ultrasecret, secret, etc.), type d’information (important, prioritaire, urgence). Seulement Pour
l’émetteur, seulement, la source est primaire ou secondaire (la source secondaire est moins
fiable), le canal de transmission (e-mail, télécharge, clé USB, disque dur portable, etc.). Le
48
récepteur, dans l’analyse de crédibilité, vérifiera des droits d’utilisateur selon la classification de
l’information, c’est-à-dire on ne peut pas effectuer un envoi d’information ultrasecrète à une
personne sans autorisation.
Le contrôle de la manipulation c’est l’activité d’un utilisateur du self-control de ses permis de
manipulation de l’information. Cette activité a ses composants de vérification des responsabilités
et des attributions d’utilisateur qui reçoit l’information vérifiée grâce à ses permis de
manipulation de responsabilité et ses attributions.
Eléments de restriction de manipulation Il existe des contrôles spéciaux comme la signature
électronique ou autres, alors l’utilisateur doit analyser qui a envoyé l’information, de plus, s’il a
des éléments de sécurité pour la manipuler. Dans le contrôle de manipulation, le récepteur a
d’autres outils comme un canal qui a les mêmes caractéristiques décrites précédemment.
L’émission du concept est un élément très important parce que l’utilisateur responsable de
l’information, l’émetteur ou le récepteur, a son avis, et selon qu’il estime que l'information est
Sûre ou insécurisée ; ici se termine le filtre qui définit si les informations entrant ou sortant sont
nocives, et qui permet d’en tirer les conséquences.
Cette analyse classifie l’émetteur et récepteur en fidélité, moyennement fidélité, suspect,
dangereux. La politique de sécurité se doit d’établir quel type d’information peut être reçue,
chaque classification, en plus le rapport et le bulletin de nouvelles.
Par exemple, dans le cas où nous devons envoyer une information à un récepteur qui peut être
suspect, les informations que nous envoyons ne génèrent pas de danger dans ses mains.
Etant un élément constant, le Bulletin de nouvelles établit la présence et le suivi de problèmes par
rapport à un émetteur donné. Le bulletin de l’émetteur a une Procédure de contrôle et de sécurité
qui établit un processus clair permettant de réagir à une source d’insécurité, par exemple éteindre
l’ordinateur.
La Notification à l'employé de sécurité que l’utilisateur qui a des problèmes ou des nouvelles
pendant le processus d’identification de l’émetteur ou du récepteur, doit alors donner
connaissance immédiatement de l'apparition de la nouveauté.
Un élément commun de l’émetteur et du récepteur est le Stockage des nouvelles, donc tous les
émetteurs et récepteurs de l’information doivent être dans une base de données pour être
consultés à n’importe quel moment.
49
2.3.4 Sécurité physique
Selon les menaces trouvées dans les analyses, avec des experts en sécurité du travail, nous
mettons en place les contrôles adéquats, en tenant compte des règlements en vigueur dans chaque
région. Cette mesure de sécurité ne peut pas être négligée, parce que si nous ne sommes pas prêts
à une catastrophe naturelle, par exemple, les pertes peuvent avoir des dimensions
impressionnantes. Face à une catastrophe dans des endroits physiques, au niveau des
infrastructures ou des utilisateurs, quand l’entreprise est exposée à la suspension prolongée du
traitement, le mauvais fonctionnement de la protection génère une situation de chaos, à tous les
niveaux de l'organisation.
2.3.5 Mesures de sécurité spéciales
Les mesures de protection spéciales, comme nous l’avons signalé précédemment, sont
caractéristiques car elles n’ont généralement pas de relation directe avec l’entreprise ou
l’entreprise dépend d’autres facteurs. C’est-à-dire que l’entreprise a d’autres facteurs externes qui
ne lui permettent pas l’absolu contrôle sur la politique de ses risques et de ses menaces.
Alors, nous devons, avec un groupe interdisciplinaire, des avocats, des psychologues, des
politologues, des sociologues, etc. par exemple : un cas extrême dans une entreprise de pétrole,
d'où un nouveau gouvernement, qui exproprie certaines entreprises. Il est obligatoire de prendre
toutes les informations, y compris les secrets commerciaux.
50
Conclusion
Dans le deuxième chapitre, nous avons montré l’importance d’organiser l’information et le flux
informationnel de l’entreprise avant de le sécuriser. Cette organisation d’information doit avoir
des contrôles d’accès, une manipulation, un stockage, des activités dans l’opération de
l’entreprise. La chaîne de valeur distribue une information qui produit, reçoit et transmet. Notre
guide inclut comment gérer ces flux d’informations. La liaison entre menaces, vulnérabilités,
ressources critiques oblige à mettre en place plusieurs mesures de protection pour l’information
physique, la sécurité industrielle et spéciale. Les analyses de la probabilité d’occurrence et la
complexité des organisations rendent très difficiles l’estimation des coûts d’audit et des pertes
potentielles dues à la réalisation d’une menace.
51
Chapitre 3 : Techniques de monitoring et vérification de l’efficacité des mesures de
protection
Introduction
Ce chapitre décrit la deuxième activité nécessaire au travail d’une ERI à savoir la surveillance ou
le monitoring du système de sécurité afin de vérifier l’efficacité des mesures de protection mises
en place. Cette activité intègre plusieurs tâches de base comme l’identification des points de
contrôle et la fixation des métriques de surveillance.
3.1 Identification des points de contrôle
Il existe des logiciels qui permettent de vérifier systématiquement les performances et la
disponibilité des éléments critiques de l'équipement informatique installé dans le centre de
données, grâce à l'identification et l'isolement des problèmes. Ceux-ci aident à mettre en œuvre
des processus de gestion, d’anticipation et de gestion du risque numérique, dont le monitoring est
un élément qui trouve le signal ou/et les signaux faibles pour le travail des ERI.
L’identification et l’enregistrement des événements tels que l'indisponibilité du matériel ou des
ressources et les violations des protocoles et le processus de gestion de fonctionnement défini.
Les avantages consistent à faciliter la planification de la capacité de leurs opérations et continuer
l'opération. Détection précoce des événements. Action de contrôle des employés de sécurité. Pour
réaliser le monitoring, nous avons les éléments suivants :
Type de monitoring
Sélectif : c’est un monitoring qui choisit des Composants du système informatique de façon
aléatoire, selon le critère des employés de sécurité au moyen d'une vérification des points qu'ils
jugent importants, selon le contexte.
Pour les transactions : c’est le monitoring pour chaque interaction du système interne avec
l’extérieur, par exemple une transaction banquière ou l’autorisation d’entrer dans le système
pour un employé à l’information ultrasecrète.
52
Par objectif : monitoring d’un point spécifique de l’architecture, par exemple : nous avons le
soupçon qu’un utilisateur vole d’information. Leur différence avec monitoring pour transactions
est que l'opération peut être maintenue pour une période supérieure à une transaction.
Constant : ce monitoring se réalise de façon permanente sans interruption des Composants du
système, par exemple à la page web ou aux incidents de sécurité précédente.
Caractéristiques du monitoring
Centralisée : elle est exercée par les employés de la sécurité à partir du serveur réseau ou d’un
point spécifique d’accès qui a tout le contrôle du réseau.
Décentralisée : elle est exercée par différents employés autorisés, et c’est possible de le faire
depuis quelques endroits de l’architecture ou cela est délégué à d'autres employés.
Publique : connaissance de la situation de l’utilisateur ou des utilisateurs qui ont surveillé. Par
exemple pour un audit.
Privée : ignorance de la situation de l’utilisateur ou des utilisateurs qui ont surveillé. Par exemple
la surveillance d’un utilisateur suspect.
Dans le Figure suivant, nous montrons un ensemble d’anneaux de sécurité, qui montrent la
composition du monitoring :
Figure 18. Composants des Anneaux de sécurité
Chaque anneau de sécurité signifie un niveau de barrière avec ses informations respectives et son
niveau de sécurité assigné :
Anneau 1 : ultrasecret
Anneau 6
Anneau 5
Anneau 4
Anneau 3
Anneau 2
Anneau1
Urgence
Prioritaire
Important
Mesures
de
protection
Mesures
de
protection
Vulnérabilités Menaces
53
Anneau 2 : secret
Anneau 3 : réservé
Anneau 4 : restreint
Anneau 5 : confidentiel
Anneau 6 : public
Toutes les données dans l’analyse du risque plus ses composants identification de flux
organisationnels, menaces et vulnérabilités et mesures de protection. Aussi, l’historique des
incidents de sécurité dans chaque anneau. L'information est organisée dans les anneaux de
sécurité, puisque, comme l’entreprise est dynamique, l’information change de façon constante
entre les anneaux, et donc aussi ses protocoles de stockage, ses utilisateurs, ses mesures de
sécurité, ses menaces et ses vulnérabilités.
3.1.1 Identification des ressources informatiques et des réseaux de communication
Cette section a des points de contrôle ou censeurs de l’activité pour la sécurité du système
ressources informatiques virtuelles et physiques, les réseaux internes et externes, le trafic
d’informations organisé selon des processus de gestion. Après avoir défini le type et la fonction
de monitoring que nous utilisons pour les mesures de protection, nous avons mis les points de
contrôle où se situe l’activité de monitoring, indiquée ci-dessous :
Figure 19. Cycle du monitoring des Ressources informatiques, réseaux, trafic d'information
D’abord, il faut connaître les Protocoles des anneaux de sécurité pour établir les Types et
caractéristiques de monitoring. Ensuite, il faut procéder à la vérification des mesures de
protection : elles sont le monitoring aux mesures de protection qui ont déjà établi le processus de
gestion sur la chaîne de valeur, les avant- incidents de sécurité, l’architecture appliquée à chaque
information selon des vulnérabilités et des menaces.
Dans cette activité, il faut désigner une métrique du monitoring. La surveillance se fait en termes
de:
Protocoles des anneaux de
sécurité
Types et caractéristiques de monitoring
vérification des mesures de protection
Bulletin des nouvelles
54
Temps : il se réfère au temps d'interaction avec le système, la périodicité, en plus de la date
d'enregistrement.
Flux : le mouvement d’informations d’un endroit à un autre en octet, d’entrées, sorties et
transférantes.
Nombre d'accès au système : il est le contrôle pour l'utilisateur en termes numériques de l’entrée
au système.
Il s’agit de proposer des bottlenecks (embouteillage), qui agissent comme des filtres de
l'information, plus de la minutie monitoring. Mais il analyse ce fait si profond qu’il compromet la
performance du système. Par exemple, les protocoles de surveillance, le temps, le nombre de flux
et les recettes d'un secteur de l’entreprise où l’on a des doutes de vols d’information.
Indépendamment pour chaque élément de temps, flux, nombre d’accès et bottlenecks, ceux-ci
s’attribuent des types et des caractéristiques différents pour chacun.
Pour terminer, le responsable du monitoring à ce point de contrôle, fait le bulletin des nouvelles,
il rapporte des constatations qu'il n'y avait pas de nouvelles. Pour obtenir des logs des points de
contrôle, des senseurs peuvent être installés qui enregistrent les données du monitoring, selon les
métriques établies. Ces senseurs se situent dans l’architecture du réseau en fonction des points de
contrôle.
3.1.1 Temps d'utilisation des applications et temps de manipulation des
informations
Les incidents de sécurité internes à cause de problèmes avec des employés, ou les attaques
externes par erreurs internes sont très importants dans la sécurité d’information. Alors, en ce qui
concerne le monitoring d’utilisateur, l’utilisateur manipule de l’information et l’utilise et, dans
certains cas, par rapport préjudiciel aux objectifs organisationnels. Celui-ci est en rapport avec les
responsabilités et l’attribution d’utilisateur, en lien avec les niveaux de barrière d’information,
mesures de protection et d’autres éléments.
Le guide propose de protéger le système informatique, mais il travaille en fonction de la
protection de l'information qui circule. Alors ce point de contrôle doit avoir un monitoring qui est
vital, car c'est ici que l'information se transforme, et utilise les ressources de l'organisation pour
laquelle cette information est bénéfique.
55
Figure 20. Cycle de monitoring des applications et des manipulations
Sur le dernier Figure, nous montrons comment accomplir l’activité de monitoring liée à un point
de contrôle. D’abord, connaître les protocoles des anneaux de sécurité selon ses composants,
reflétés dans la Figure. Ensuite, choisir quel type (sélectif, par objectif, constant, pour les
transactions) et quelles caractéristiques (de vérification, d’action ) de monitoring mettre en place.
Selon les données précédentes, la vérification des responsabilités et des attributions d’utilisateur
peuvent être déterminées. Nous faisons la comparaison entre les protocoles qui ont des anneaux
de sécurité, des responsabilités et des attributions d’utilisateur, pour établir que son rapport soit
exact en fonction de la mise en place par l'organisation. Dans cette activité de comparaison
s’assigne la métrique du monitoring. Enfin, le responsable du monitoring à ce point de contrôle,
fait le bulletin des nouvelles, il rapporte les constatations et les observations normales ou
aberrantes.
3.1.3 Contrôle de limites des utilisateurs
Ce point de contrôle des limites des utilisateurs, c’est-à-dire du monitoring interne de l’entreprise
pour ses employés qui ont accès au système, parce que plusieurs incidents de sécurité sont causés
de façon interne intentionnellement ou accidentellement. Le monitoring se fait de la suivante
façon :
Figure 21. Cycle de monitoring des limites des utilisateurs
Comme nous l’avons déjà expliqué, le schéma commence par les Protocoles des anneaux de
sécurité, et Types et caractéristiques du monitoring. Pour faire le monitoring, nous prendrons des
antécédents de travail de l’utilisateur, donc on va tester l’activité assignée à un employé, vérifier
Protocoles des anneaux de sécurité
Types et caractéristiques du monitoring
Responsabilités et attributions
d’utilisateurComparaison
Bulletin des nouvelles
Protocoles des anneaux de
sécurité
Types et caractéristiques du monitoring
Antécédents de travail de
l’utilisateur
Responsabilités et attributions
d’utilisateur
Circonstances des attributions
Bulletin des nouvelles
56
son CV et les données que l’entreprise a en sa possession pour le monitoring. Après, les
Responsabilités et les attributions d’utilisateur. Les Circonstances des attributions, dans cette
activité, s’assigne la métrique du monitoring, qui testent les critères suivants :
Manière : C’est la façon de réaliser son travail : quels logiciels il utilise, la manipulation de
l’information, s’il a besoin de mot de passe pour accéder à l’information, clés USB,
téléchargement de fichiers, interaction avec d’autres utilisateurs internes et externes, etc.
Temps : date et heure d’entrée et sortie du système, combien chaque fois, par combien de temps,
il utilise des logiciels et lesquels ?
Endroit : les ordinateurs qu’il utilise pour ses activités, le type de connexions, le flux
d’informations.
Interface d’utilisateur : Partie visible par l'utilisateur d'un logiciel, en d'autres termes le contrôle
sur l'interaction entre la machine et l'utilisateur qui la regarde et l’écoute.
Bulletin des nouvelles : Nous ajoutons le récit de toutes ses activités pendant le monitoring. Cette
mesure est préventive si dans le futur nous avons un problème ou un incident de sécurité.
3.2 Définition des métriques
Nous imaginons, dans la bourse des valeurs, que tout le monde regarde les écrans et que les
actions montent et descendent. Pour chaque agent de bourse, ces mouvements signifient des
choses différentes, pour prendre des décisions plus tard.
Pour le monitoring, l’employé qui fait le monitoring, doit avoir un outil de gestion pour analyser
l’information qu’il regarde, c’est-à-dire, comme dans notre exemple, donner de la signification au
monitoring dans le point de contrôle, pour prendre des décisions. Ce résultat est obtenu à travers
un ensemble de métriques qui établissent la signification des données que le monitoring produit
et, plus tard, le métrique comprend s’il existe une transgression au système, ou reflète en incident
de sécurité.
3.2.1 Typologie des métriques
Dans notre cas d’étude, il existe deux types de métriques quantitatives et qualitatives. Les
quantitatives où le monitoring désigné pour vérifier des nombres, par exemple nombres d’accès,
57
flux d’information, temps d’utilisation, et autres. Les qualitatives pour d’autres vérifications
comme comparaisons, endroits, et autres. L’ensemble de métriques quantitatives ont ces
composants :
Figure 22. Cycle des métriques quantitatives
Les Limites du système sont des points maximaux et minimaux dans le composant à surveiller par
exemple le système pourrait seulement avoir 20 d’accès maximal et 5 d’accès minimal par
journée, ceux-ci sont la normalité du système.
L’Historique du système : c’est le nombre moyen des maxima et minima d’hier, la semaine, le
mois et le trimestre dernier. Dans le cas de notre exemple, des accès moyens, des dates pour
connaître la performance du système.
Les Possibles altérations sont ces contingences de la journée qui ont fait que le monitoring
connaît des changements possibles selon les dernières moyennes ; comme des réparations, des
nouveaux logiciels, la grève, etc.
Etablir les limites de la métrique les maxima et minima du système qui travaille normalement
selon le calcul. Nous établissons des points de tolérance minimale et maximale, ils se
transgressent mais pour peu de quantité et peu de temps.
L’Analyse d’information se fait selon le Figure suivant où la métrique doit se déplacer
généralement dans la zone verte de normalité :
Limites du système
Historique du système
Possibles altérations
Etablir limites de la métrique
Analyses d’information
Bulletin des nouvelles
58
Figure 23. Zones des analyses
Par exemple, la performance du système permanente dans la zone verte entre 30 et 70 % pendant
cinq heures, c’est normal. Mais à un moment quelconque cela augmente à 78%. Si ça continue à
augmenter pendant longtemps, peut-être qu’il y a une alarme. Aussi nous changeons les
pourcentages et le temps, par la mesure selon de besoin. Le Bulletin des nouvelles est comme
dans les derniers cas de rapport d’activité sans nouvelles ou avec des signaux et/ou signal faible
pour des ERI. Dans ce bulletin on doit reporter les transgressions de la normalité à la zone de
tolérance, pour être analysées.
La métrique qualitative a les composants suivants :
Figure 24. Cycle des métriques qualitatives
La Motivation : ils sont les raisons du monitoring, par exemple doutes avec un employé,
vérification du processus parce que nous connaissons la profondeur des analyses.
L’Historique : Il s'agit de vérifier des incidents de sécurité, la surveillance précédente et le
contexte d’actualité de l’information.
La Liste de contrôle : Selon la motivation, nous ferons la comparaison point par point de
l’historique et de l’activité dans le moment du monitoring.
Bulletin de nouvelles : analyse des derniers bulletins, il enregistre toute l’activité et indique s il y
a des nouvelles ou pas.
0%
50%
100%
0h 1h 2h 4h 5h
Minimum Alarme Min Tolérance Min Normalité
Tolérance Max Alarme Max Maximum
Motivation HistoriqueListe de contrôle
Bulletin de nouvelles
59
3.2.2 Test d’opérabilité et du fonctionnement du système qui gère la métrique
Chaque nouvelle métrique implique des ressources du système qui pourrait réduire sa
performance et créer des problèmes d’implémentation. Pour tester l’opérabilité et le
fonctionnement, ceux-ci se font en termes d’ Efficience et d’Efficacité, chaque trois mois,
identifiant :
Problèmes d’implémentation
Détection et fautes d’alarmes
Consulter des opinions d’utilisateurs
L’affectation aux processus de gestion et au système informatique
L’adaptation du personnel de sécurité
Après ce test, il faut donner des solutions selon les besoin. Les métriques ont un cycle de vie
maximum d’une année, parce qu’il faut l’adapter aux changements de l’entreprise, de la
technologie, au processus de gestion et de l’environnement.
3.2.3 Coût du système d’alarme
Quand le système de sécurité est affecté par un incident de sécurité, c’est-à-dire une métrique a
été violée, celui-ci a généré le changement et l’altération au processus normal de l’entreprise. Le
système qui déclenche met en place des Actions Immédiates qui ont un coût de performance du
système informatique et un processus de gestion, pour que, dans le cas d’une attaque, nous ayons
une contre-attaque directe, tandis que l'ERI analyse les incidents de sécurité et se projette sur une
attaque possible, cette mesure est de retarder les effets de l'attaque.
Les actions immédiates doivent avoir une relation avec les mesures de sécurité et les
vulnérabilités et menaces, par exemple dans le cas d’une attaque avec le virus informatique, une
action immédiate est de réduire le flux d’informations ou la suspension d’échanges
d’informations dans le secteur ou d’arrêter l’ordinateur.
Dans ce cas, le virus est entré dans le système, mais son action se retarde pendant que l’ERI fait
son travail. Les bulletins de nouvelles permanents dans le système se déclenchent, car, sur la
base, ils prennent des décisions, d’abord ils informent de la violation d’une métrique, après ils
permettent que le système déclenche l’alarme. Quand, en raison des bulletins de nouvelles, le
60
système d’alarme réagit et se prend des actions immédiates ; nous regroupons tous les bulletins
des nouvelles en un seul, comme l’information de type de signaux et/ou signal faible pour l’ERI.
3.3 Détermination des moyens de protection
Les moyens pour vérifier l’efficacité qui permet d’adapter le système, première amélioration des
réponses aux incidents de sécurité, selon la performance du système et l’efficacité des mesures de
protection. La seconde étape, l’activation des alarmes qui montrent la performance du
monitoring, la bonne implémentation de métriques et la réaction aux attaques.
3.3.1 Vérification de l’efficacité des mesures de protection
La surveillance ou monitoring de tous les éléments du système, se fait sur la base des métriques.
Ainsi, pour vérifier l’efficacité des mesures de protection, nous appliquons par rapport à
l’ensemble des attaques ou incidents de sécurité, vulnérabilités détectées à travers l’analyse des
alarmes, des actions inhabituelles du système, des mesures de protection adaptées, à travers un
monitoring. Ce autocontrôle, se fait de manière trimestrielle, semestrielle et annuelle, pour
adapter les processus de gestion et les mesures de protection selon des changements
d’environnement.
3.3.2 Activation de l’alarme
Quand il y a de la transgression d'une métrique quantitative ou qualitative, dans ce moment où le
système est vulnérable pour une attaque, le système se déclenche, active l’alarme qui donne
l’avertissement d'une action inhabituelle selon des métriques de sécurité établies ; accompagne
des actions immédiates. Ensuite, l’activation de l’alarme met toute l’information en relation,
bulletin de nouvelles, les anneaux de sécurité avec incidents, l’ERI a besoin de cette information
pour collecter le plus d’informations possibles sur l’endroit affecté, le responsable affecté, le
point d’entrée ou de sortie, l’historique des accès.
61
Conclusion
Les points de contrôle doivent se faire à travers un monitoring aux anneaux de sécurité où il a
toute l’information de l’analyses du risque, vulnérabilités et menaces, et des mesures de
protection, et dont la classification est mesurée selon le niveau de barrière d’information, cette
information au groupe selon les limites imposées pour la manipulation, le stockage et les
utilisateurs.
Pour faire du monitoring effectif, nous mettons en place un ensemble de métriques, d’abord pour
les ressources informatiques, réseaux et trafics d’information, après pour tous les utilisateurs
internes et externes, une métrique pour les temps d’utilisation des applications et les temps de
manipulation.
Nous proposons aussi un contrôle interne pour les utilisateurs internes qui sont des employés ou
utilisateurs de quelque façon. Ils travaillent pour atteindre les objectifs de l'organisation, par
exemple : les fournisseurs, la cabine de conseils, etc. Le système a ses systèmes de déclenche qui
lorsqu'il est activé actionne immédiatement l’alarme pour commencer l’activité d’ERI. Pour
finir, l’efficacité du système doit se tester. Les moyens sont la vérification de l’efficacité, celle-
ci, après avoir implémenté les mesures de protection et le monitoring. Trois mois après se fait le
vérification. Les métriques et monitorings produisent l’activation des alarmes qui fournissent des
données pour l’activité des ERI.
62
Chapitre 4 : Amplification des alarmes et réponse aux incidents de sécurité
Introduction
Ce chapitre explique l’activité d’amplification des alarmes et de réponse aux incidents de
sécurité. Les ERI font le travail d’anticipation et de réduction du risque numérique, en élaborant
des réponses techniques et managériales appropriées. Pour l’amplification des alarmes et la
réponse, nous allons utiliser la Méthode d’Analyse et de Réduction du Risque des Agressions
Numériques (MARRAN), que nous expliquons comme suit (Sadok, Veille anticipative stratégique
pour réduire le risque des agressions numériques, 2004, p. 46).
Figure 25. Les phases de MARRAN
4.1 Processus d’amplification
Le système d’information appelé «Veille Anticipative Stratégique et Intelligence Collective
(VAS-IC)» (Lesca E. ) est orienté vers l’anticipation et/ou l’identification des ruptures et des
discontinuités. Donc la conception, la phase de construction collective de sens, la phase de
mémorisation et l’animation, comme étant une fonction de support pour la mise en place et la
continuité du dispositif de veille anticipative stratégique et d’intelligence collective, sont utilisés
et enrichissent les ERI dans le champ des agressions numériques.
Aussi, la phase de construction collective, étant une typologie des liens dans un contexte
d’incertitude, requiert un raisonnement nom déterministe, pour les différentes variables. Les
63
objectifs de l’organisation ou ses intérêts, intègrent la probabilité et l’approximation dans la
création de relations entre les informations avec une pression constante du temps. D'ailleurs,
Sadok (2004) propose l’utilisation des cartes causales, un ensemble d’opérations pour manipuler
dans le cadre de création collective de sens, qui sont le remplacement : il consiste à remplacer
ou substituer ou éclater un nœud par un réseau de nœuds et de liens afin de clarifier et d’analyser
les sous-implications du nœud et ce par équivalence, par approximation, par réduction, ou par
restriction ; et la Réécriture : elle consiste à remplacer des éléments de raisonnement
représentant une vue particulière par un sous-réseau de nœuds et de liens représentant une autre
vue plus pertinente pour plus de signification de la vision globale.
La phase de mémorisation dont le but est de créer un stockage intelligent et dynamique des
informations qui regroupe toutes les données obtenues, pour faire les liens ; cette phase a un triple
plan : l’exploitation de l’outil qui offre les TIC pour structurer la base de données et de
connaissance ; les mécanismes de gestion des mémoires pour réaliser des enrichissements et des
requêtes de la base des données et de la base des connaissances ; heuristiques qui permettent la
convergence de raisonnement sur l’utilisation de bases de connaissances, et construction de vues
alternatives. Aussi, inclure la recherche approchée sur la base de différents rapports entre les
éléments en mémoire pour de nouveaux raisonnements collectifs et créatifs sur les liens.
4.1.1 Détection signaux faibles
La détection des signaux faibles ou précoces n’a pas de signification individuellement, si ce n’est,
à travers un processus collectif. Pour les comprendre, il faut tenir compte de toute l’organisation
qu’elle soit interne ou externe, et de toutes les autres équipes. Aussi, les ERI offrent trois types
de services : les réactifs qui sont là pour diffuser l’information sur toutes les activités de sécurité,
les proactifs qui anticipent toute activité contre le système d’information de l’organisation et les
services de gestion qui sont gérés par un département mais intègrent toute l’organisation pour
améliorer les pratiques de sécurité.
Les ERI prendront des signaux faibles à travers des bulletins de nouvelles proposés dans la guide
de travail. Cet-à-dire le système de détection de signaux et/ou signal faible sont du monitoring et
métriques.
64
4.1.2 Amplification et création des liens
Le modèle proposé par Sadok (2004) est décrit suivant trois phases :
Phase 1. Création des liens initiaux. Ses objectifs sont amplifiés dès le signal et/ou signe faible. ll
s’agit d’établir une typologie des liens de raisonnement pour organiser, dans une forme
significative, les informations disponibles. Une contribution des acteurs du processus de création
collective de valeur, et, pouvoir ainsi, tracer et appréhender l’évolution des variables critiques,
pour l’analyse, dans un contexte incertain et turbulent.
Phase 2. La création des liens d’inférence par raisonnement itératif. Dès que les liens existent, se
créent de nouveaux liens, la connaissance tacite des auteurs du processus d’interaction
collective qui, également, peuvent extraire des informations documentaires d’archives structurées
et les actualisent pendant le processus.
Phase 3. Mettre fin au processus et prendre des décisions. Les objectifs sont : la vérification du
processus itératif, la bonne compréhension des mécanismes qui ont été générés, les signaux et/ou
signes faibles, une estimation globale d’autres risques.
Le modèle conceptuel peut être basé sur l’utilisation d’internet, avec tous les avantages déjà
mentionnés. « Les bases de données et de connaissances fournissent un support pour un
processus de création collective de sens dynamique. Ces bases sont assistées par des mécanismes
intelligents d’extraction, permettant la recherche approchée, la recherche des heuristiques et la
transformation automatique des liens stockés » (Sadok, Veille anticipative stratégique pour
réduire le risque des agressions numériques, 2004).
Représentation du modèle conceptuel :
Il est représente pour une Figure orienté, dont composition est d’un ensemble de nœuds et de
relations liant ces nœuds entre eux. Il y a utilisation des cartes causales, également ne se limitant
pas aux seuls liens de causalité.
Les components Figures étant représentes pour : N nœuds qui représente un concept, une action à
entreprendre, ou information de type signal faible et/ou signe faible. Un E arc qui représente une
relation de dépendance entre les actions ou bien relation causale entre les concepts. Une fonction
i qui associe à chaque label une valeur probable, et une fonction g qui indique une relation
d’influence entre les labels.
65
se considéra ∆ un ensemble de relations incluant les trois relations causales classiques, des
relations variables en fonction du temps, et des relations transactionnelles de type output/input.
Se définie ∆ comme :
∆ : {+, –, 0, ≤t, OI}
Où,
(+): signifie qu'un nœud i a un effet positif sur un nœud j;
(–):signifie qu'un nœud i a un effet négatif sur un nœud j;
(0): signifie qu'un nœud i n’a pas d’effet sur un nœud j;
(≤t): signifie qu'un nœud i devrait précéder dans le temps un nœud j; et
(OI): (relations de type output/input) signifie que l’output du nœud i est l’input du nœud j.
Celui-ci connexions à travers de nœuds produit la construction d’un chemin de raisonnement
pour un point de vue partiel ou intégral d’un acteur dans le processus de création collective de
sens par rapport à une situation donnée.
Figure 26. Chemin de raisonnement
4.1.3 Représentation Figure du modèle conceptuel
Ce modèle permet de représenter des schémas cognitifs pour résoudre des problèmes complexes
en situation d’information incomplète. Les nœuds représentent des actions, des hypothèses, des
informations, ou des objectifs. Dans le domaine de la sécurité informatique les actions ne se
limitent pas aux intrusions, les accès nom autorises et vols d’information, ou exécution des
opérations nom autorises ; Sinon les hypothèses incluent des contre-mesures au niveau du
système d’information, lui protéger et limiter les dégâts occasionnes. La ressource X est face à
une agression spécifique, le système X est protégé d’une manière appropriée, ou l’agression X est
66
identifiée. Les nœuds qui représentent les informations de type signal faible, les arcs indiquent le
type d’influence entre deux nœuds. Il y a cinq types de relation d’influence entre les nœuds :
La relation positive (+) la collecte d’une information peut indiquer le risque et activer la
réalisation d’outre action.
La relation négative (-) qui indique que nœud 1 entrave, endommage, empêche, ou inhibe le
nœud 2.
La relation neutre (0) il n’y a pas d’influence entre les nœuds.
La relation transactionnelle (output/input) entre deux nœuds, où l’output d’une est l’input d’outre.
La relation variable en fonction du temps (≤t) la relation du contenu des deux nœuds en fonction
du temps.
Ces relations permettent d’élaborer des réponses aux cyber-attaques, évaluer leurs effets, et
permettre la création du scenario et ses conséquences.
Figure 27. Exemple raisonnement conceptuel pour les ERI
Les opérations sur les nœuds et sur les liens ont deux types d’opérations. L’opération de
remplacement est liée directement au contenu d’un nœud pour remplacer, substituer de façon
approximative ou éclater, un nœud par un réseau de nœuds pour mettre en évidence les sous
implications des nœuds ; le remplacement se basant sur l’équivalence, l’approximation, la
réduction, ou la restriction. Quand nous réalisons le remplacement d’un nœud, il doit être
accompagné pour la redéfinition des relations, des arcs et des nœuds ; comme ajuter informations
complémentaires.
67
L’opération de réécriture est liée directement à un sous réseau de nœuds et consiste o remplacer
des éléments de raisonnement de un point de vue particulier par outre d’un sous réseau de nœuds
qui peut être intégré au reste du graphe. Cette opération améliore la signification globale. La
réécriture d’un sous graphe permet de fournir plus d’alternatives pour las différents actions pour
atteindre un objectif.
Les processus de remplacement et réécriture sont importantes pour manipuler la construction du
scénario d’attaque, du processus de médiation et de prise de décision.
4.2 Rôle de la médiation
La médiation est une activité très importante pour soutenir le processus de création collective de
sens et la construction du scénario d’attaque.
La technologie Internet a une fonction dans le processus de prise de décision, l’aide au travail
collectif et support significatif à un groupe de créativité, et améliorer la qualité de l’intelligence
collective, comme la performance d’une équipe de travail. Celui-ci qui devrait se traduire un
support efficace au processus de création collective de sens et particulièrement à la médiation.
La conception des heuristiques pour assister l’activité du médiateur en un environnement
incertain et turbulent, les problèmes liés aux décisions stratégiques sont souvent des problèmes
difficiles à structurer. L’heuristique peut être assisté l’activité du médiateur avec la réduction de
la complexité du raisonnement, trancher lors du raisonnement contradictoire par l’ajout
d’hypothèses, réduire délibérément les champs de recherche de chemins de raisonnement par des
techniques de seuillage, mener des raisonnements utilisant des multi chemins, mener un
raisonnement contextuel dans le but de restreindre les concepts qui apparaissent potentiellement
dans un raisonnement à un seul graphe par rapport à un contexte donné.
Pour l’évaluation de la performance de la méthode, c’est nécessaire la construction d’indicateurs
de mesure des progrès permis pas l’application de la méthode proposée, qui ont la prétention de
l’objectivité, mais généralement suscité critiques des spécialistes. Alors il s’agit d’évaluer
perceptions, se proposent deux familiers d’utilité perçue et facilité perçue, ceux sont instrumentés
par des indicateurs plus ponctuels.
Egalement, pour le travail se prend en compte critères classiques utilisés en systèmes
d’information, principalement:
68
La qualité du système d’information
La qualité de l’information
L’utilité qui s’interroge
La satisfaction des utilisateurs
Impact individuel et organisationnel
Le critère de l’utilité perçue permet de mesurer les résultats ou les progrès réalisés par
l’entreprise dans l’activité de traitement des signaux faibles afin de supporter les décisions
stratégiques. La facilité perçue d’utilisation de la méthode, son organisation ainsi que l’efficacité
de la technologie utilisée pour la supporter.
4.2.1 Médiation et création collective de sens
La fonction de médiation est une tâche très importante dans le processus de prise de décision
collective, puisque cette fonction permet d’arriver à accorder les différents points de vue, et à
faciliter la résolution de conflits ; avec cette heuristique, il est possible de construire une vision
globale, collective et intelligible. La réconciliation de points de vue est possible pour trouver les
zones de consensus, les zones de désaccords partiels et les zones de désaccords complets. Dans
cette création collective de sens, le médiateur doit accomplir les objectifs suivants : valider les
concepts qui sont représentés par les nœuds, consolider, actualiser et manipuler les liens qui sont
représentés par les arcs, construire tous les chemins pertinents pour la prise de décision,
concevoir des heuristiques pour réduire la complexité du raisonnement, y contrôler le processus
de raffinement pour une vision collective.
Pour intégré touts les points de vue subjectif, les concepts sont nœuds dans le même graphe, dans
touts les points de vue peut être facilement transformés en une unique matrice. Où N est le
nombre de concepts. Dans cette matrice M, chaque élément peut être représenté :
mij = l1, l2,……..lv
Où v est le nombre des vues, et k est un label placé par le iième membre dans l’arc reliant le
nœud i à j.
La matrice M permet zones de consensus pour les perceptions de la même relation d’influence
qui se caractérisent par des multi labels de même forme :
69
mij = l,l,…….,l
Egalement elle permit zones de désaccords partiels qui sont les perceptions similaires des
relations d’influence entre les nœuds. Les zones de désaccords qui se caractérisent par des labels
perçus en conflit par les membres.
Les multi labels particuliers sont désignes par des points de vue unilatéraux qui expriment une
estimation unilatérale de l’effet entre deux nœuds, désignes par i et j :
mij = 0,…..0,l,0,……0 et l ≠ 0
La conciliation sur les points de vue dans le travail des ERI qui focalisa trios principal objectif :
1. La réalisation d’une définition commune et/ou partagée de tous les concepts, les actions et
les informations pertinents pour l’évaluation et l’analyse de la situation.
2. L’élimination des désaccords partiels en utilisant la négociation ou encore l’investigation
en s’appuyant sur les TIC.
3. La réduction du nombre des vues unilatérales et les zones de désaccords partiels visant à
diminuer les différences.
L’internet comme support offre quatre outils qui peuvent être utiles pour les processus
d’intelligence collective : l’accès à l’information interne et externe distante, le mécanisme de
structuration d’information, la recherche d’information à travers des moteurs de recherche, et un
mécanisme de contrôle d’accès et d’identification.
4.2.2 Rôles du médiateur
Le médiateur fait la négociation avec chaque participant, il construit et analyse une nouvelle
matrice qui représente tous les nœuds et toutes les relations pour arriver arrangement mutuel
satisfaisant et identifier les conflits potentiels.
Egalement, dans ce processus de création collective de sens pour réduire le risque des agressions
numériques, ceci ensemble d’actionnes aide les membres afin de construire des vues individuelles
de la situation, concilier les vues individuelles divergentes, aider pour construire la représentation
collective et pour interpréter celle-ci, affiner les vues collectives.
Le médiateur doit met à la disposition des membres de l’ERI tous les outils, manipulation des
relations entre nœuds, compétences et connaissons, aussi la technologie comme internet. Ces
70
activités de médiation dépendent de la nature d’activité de l’entre prise, de ses objectif, des
opportunités et des menaces ; qui devrait inclure : la validation des concepts qui sont représentés
par les nœuds, la consolidation actualisée des liens qui sont représentés par les arcs, las
construction de tous les chemins de raisonnement qui supportent la représentation collective
après convergence des opinions des membres de l’ERI, la contrôle de processus d’affinement afin
d’aboutir à une vision collective, et la construction des heuristiques qui ont émergé au cours du
travail de l’ERI.
4.2.3 Heuristiques pour assister l’activité du médiateur
L’efficacité du rôle du médiateur nécessite l’usage de méthodes (heuristiques) et d’outils
appropriés ainsi qu’une compétence et une expertise spécifiques. La compétence du médiateur
devrait présenter plusieurs facettes jugées indispensables par les experts interviewés : facette
technique, mais aussi pédagogique, relationnelle, de gestion. Ceci pose le problème de la
formation appropriée à donner au médiateur pour qu’il remplisse son rôle convenablement afin de
réduire le temps de réponse face aux agressions numériques et par conséquent limiter les pertes
occasionnées par celles-ci.
De plus, le caractère variable et « inventif » des agressions numériques impose une mise à jour ou
une réadaptation des programmes de formation et des connaissances susceptibles d’être
enseignées à de futurs médiateurs novices. Une telle formation reste totalement à imaginer ou
concevoir. Le médiateur peut contribuer à l’accomplissent de toutes ces activités. Les problèmes
de médiations peut être résolus à travers d’une base de données documentaires et de
connaissances formalisées mentionnées. Le modèle formel offrir la représentation des nœuds et
des liens, la manipulation des relations, et l’intégration des vues subjectives, comme aussi
l’internet est un instrument pour assister les activités de médiation.
Dans ce cadre, nous annonçons des heuristiques qui émergeront au cours des expérimentations
que nous présenterons au cinquième chapitre :
Réduire la complexité du raisonnement par la dissimulation des nœuds, des liens ou sous
graphes qui n’ont pas des effets significatifs sur le raisonnement conduit.
Aider l’ERI à trancher lors du raisonnement contradictoire par l’ajout d’hypothèses qui
peut impliquer la recherche des informations complémentaires.
71
Réduire délibérément les champs de recherche de chemins de raisonnement par des
techniques de seuillage par exemple en tenant compte des probabilités en labels.
Mener des raisonnements utilisant des multi chemins (dans le cas de recherche de
scénarios d’attaques, par exemple) en associant des relations sémantiques entre des labels
aboutissant (ou émanant de) à un même concept (une action, par exemple).
Mener un raisonnement contextuel dans le but de restreindre les concepts qui apparaissent
potentiellement dans un raisonnement à un seul graphe par rapport à un contexte donné.
Par exemple, l’exécution d’une procédure peut dépendre dans sa faisabilité, sa forme ou
sa modalité du système d’exploitation (Windows, LINUX ou INUX) qui l’exécute.
Tout ceci dans le but de réduire autant que possible la complexité du problème et limiter le
nombre de scénarios d’attaque, pour pouvoir déboucher sur une action effective de limitations
des dégâts et prendre les mesures nécessaires de réparation.
4.3 Scenarios d’attaque
Ceci est de nature à permettre, en réponse à des agressions, d’apprendre des actions réussies ou
échouées et de réduire la probabilité de l’occurrence d’agressions similaires.
Dans ce cadre, les ERI offrent trois types de services :
des services réactifs qui impliquent la diffusion d’informations décrivant des alertes,
des mises en garde, des vulnérabilités du système d’information afin de fournir des
orientations et des recommandations possibles pour améliorer le niveau de sécurité des
services proactifs qui fournissent de l’information pour anticiper les agressions, les
problèmes ou certains évènements. La performance de ces services est en relation directe
avec la réduction du nombre d’attaques dans le futur.
des services de gestion de la qualité qui ne sont pas spécifiques à un seul département
mais qui concernent l’amélioration des pratiques actuelles et futures de sécurité dans toute
l’entreprise.
Tout ceci dans le but de réduire autant que possible la complexité du problème et limiter le
nombre de scénarios d’attaque, pour pouvoir déboucher sur une action effective de limitations
des dégâts et prendre les mesures nécessaires de réparation.
72
Quand l’ERI amplifie des signaux faibles, il peut ignorer le signal ou confirmer car existe une
forte probabilité d’une attaque. Après tout le processus de construction des scenarios, l’ERI prend
la décision d’ignorer le signal détecté, car ses membres ne trouvent pas une forte probabilité
d’une attaque immédiatement ou cette alarme est faute. Mais dans le cas d’une imminente attaque
ou une forte probabilité d’attaque l’ERI doit commencer le processus de prise de décision selon le
scenario construit, pour réduire le risque de l’incident de sécurité.
Dans le domaine de la sécurité, les décisions sont à prendre pour vérifier si un signal faible relève
effectivement une agression ; choisir le meilleur chemin d’influence entre une hypothèse et une
action ou un objectif ; construire le scénario d’attaque réalisé par le hacker ; sélectionner parmi
les réponses possibles celle qui répond au mieux, compte tenu des contraintes, de la nature
d’activité de l’entreprise ainsi que de ses objectifs stratégiques.
Conclusion
Dans ce chapitre, nous avons utilisé MARRAN pour soutenir l’activité d’amplification des
alarmes et la réponse aux incidents de sécurité. Cette méthode a été déjà testée sur des cas réels
pour la construction des scenarios d’attaques. En effet, les ERI ont besoin de méthodes et d’outils
appropriés pour assister l’activité d’interprétation des signaux faibles détectés afin de fournir des
réponses rapides et au bon moment au risque des attaques numériques.
73
Chapitre 5 : Réparation et mise à jour du système de protection
Introduction
Ce chapitre décrit la dernière activité du guide de travail d’une ERI à savoir la réparation des
dégâts occasionnés par les attaques numériques et la mise à jour du système de protection afin de
maintenir un niveau de sécurité acceptable. Cette activité nécessite la construction d’une base de
donnés afin de stocker les incidents de sécurité ainsi que les scénarios d’attaques. Ceci est de
nature à permettre un apprentissage collectif au sein de l’entreprise et par conséquent améliorer
sa réactivité et le temps de réponse.
5.1 Réparation des dégâts occasionnés par les incidents de sécurité
Quand le travail des ERI d’anticipation et de réponse des alarmes, ils créent un scenario
d’attaque, mais l’attaque se fait, celui-ci produit des dégâts qui doivent être réparés. La définition
des actions immédiates à accomplir pour répondre à l'agression, comme pour la limitation de
dégâts en attaques futures. Ces dégâts sont directs et indirects, matériels et immatériels.
5.1.1 Dégâts directs et indirects
Les dégâts directs sont produits à la cible de l’attaque, par exemple un virus informatique a par
but d’affecter l’information opérationnelle de l’entreprise pour affecter ses processus. Les dégâts
indirects sont produits par d’autres composants du système qui ne sont pas la cible d’attaque.
Pour réparer ces dégâts, il est important de créer un bulletin des nouvelles avec :
Une liste des dégâts
Coûts financiers en pertes de productivité
Aussi, designer le plan de réparation ou mitigation immédiatement qui compris leurs coûts et le
temps de réponse.
5.1.2 Dégâts matériels et immatériels
Les dégâts matériels sont ceux qui affectent le système physique, virtuelle ou processus de
gestion, par exemple le vol d’un ordinateur ou la nouvelle installation de quelques logiciels.
74
Les dégâts immatériels sont ceux qui affectent l’environnement interne ou externe de l’entreprise,
par exemple la perte de crédibilité ou conflits du travail.
Pour réparer ces dégâts, il est nécessaire de classifier les dégâts directs, indirects, matériels et
immatériels.
5.2 Anticipation des protections nécessaires pour réduire le risque d’être attaqué
de nouveau dans le futur
Cette étape devrait améliorer la capacité d’anticipation des membres de l’ERI par apprentissage
collectif et par conséquent réduire le risque des agressions numériques.
L’ERI propose des mesures correctives nécessaires à la sécurité du système d’information de
l’entreprise contre des agressions similaires susceptibles de se reproduire. La sélection des
mesures de protection par les preneurs de décision doit tenir compte des critères suivants :
L’urgence de la situation; Le coût de ces mesures (implémentation, maintenance); La
réglementation en vigueur; Le degré de cohérence de ces mesures avec les procédures déjà mises
en place (le coût de changement doit être contrôlé).
5.2.1 Solutions techniques
Nouvelles solutions techniques de protection comme changement dans le système physique, des
réseaux, l’achat de nouveaux logiciels.
Egalement, il s’agit de réadapter le système actuel selon les caractéristiques d’attaque, mais aussi
en train de penser, que ce peut changer tout l’analyses de risque, mesures de protection et comme
monitoring et métriques.
5.2.2 Solutions managériales
Nouvelles procédures et règles de gestion qui permettront d’améliorer le niveau de sécurité
contre des nouvelles attaques. Ces nouveaux processus ou modification des processus actuels
modifient la façon de manipuler l’information et intègre comment réduire les vulnérabilités et les
menaces sans affecter des processus normaux.
75
5.2.3 Solutions humaines
C’est une nouvelle définition des responsabilités et des attributions, formation pour améliorer le
niveau de compétence des employés qui ont une interaction avec les flux informationnels au sein
de l’entreprise.
Aussi, comme augmenter des contrôles avec les utilisateurs internes et externes, la modification
des fonctionnes de sécurité et assignation de responsabilités de sécurité dans la structure
organisationnelle.
Ce peut mettre en compte l’embauche de nouvelles personnel spécialise ou la création de
nouvelles niveaux ou change dans l’hiérarchie.
5.3 Constitution d’une base de données et de connaissances
5.3.1 Mémorisation des événements
Dans la base de donnés, on stocke toutes les alarmes détectées, l’information qui a déclenché
ainsi que ses caractéristiques.
Ceci permit dans le future de réduire le risque, améliorer les analyses des vulnérabilités et
menaces, et d’anticiper l’occurrence d’attaques similaires.
5.3.2 Base des connaissances pour le stockage des scenarios d’attaques
Les ERI doivent connaitre le travail anticipative d’avant, en relation des scenarios des attaques,
celui-ci la base des connaissances doit avoir relation avec les actionnes immédiates.
La base permit à l’ERI analyser ses réponses à des outres alarmes, trouver relations, comme de
signal ou/et signaux faibles.
Egalement, ce stockage des scenarios d’attaque doit avoir la relation avec les fausses alarmes et
les attaques réelles, dont but comparer la différence entre le scenario d’anticipation et la façon
d’attaque.
76
5.4 Changements opérés au niveau de l’organisation et le traitement des flux
informationnels
C'est l'information pour complémenter les bases de donnés pour anticiper des attaques futures,
réduction de l'incertitude, également anticiper des dégâts et pertes.
Selon des informations collectées pendant l'attaque, comme aussi ses analyses, l'information sera
enviée à chaque élément du système pour faire un feedback pour actualiser des processus. Toutes
les activités-ci sont incluse dans la base des donnés.
5.4.1 Les processus d’exploitation et de manipulation de l’information
Celui-ci est directement en relation avec la chaîne de valeur de l’entreprise, c’est-à-dire la
manipulation de l’information, les limites des utilisateurs et logiciels.
L’entreprise dans sa politique de sécurité modifie, si c’est nécessaire, le cycle de vie, les
classifications, les responsabilités et les attributions des utilisateurs.
5.4.2 L’analyse du risque
Selon le résultat de l’activité d’anticipation et de réponse, l’analyse du risque se modifie dans ses
éléments, si c’est nécessaire, pour réduire de cette façon le risque.
Aussi, il permet l’actualisation des processus de détection des menaces et vulnérabilités, comme
adapter l’organisation aux nouveaux changements de l’environnement.
5.4.3 Le processus de monitoring
De quel manière un incident de sécurité existe, le monitoring augmente, change de caractéristique
et types, pour surveiller pendant un peu du temps l’endroit affecte.
Egalement, les métriques peuvent changer pour incrémenter la surveillance sur le site ou
surveiller d’autres endroits plus vulnérables qu’auparavant.
77
5.4.4 Le processus d’amplification
Dans le processus de construction collective de sens, l’interaction des liens pour l’amplification
est fondamentale. Alors, le processus d’amplification met en place l’utilisation des base des
donnés pour créer des liens entre les précédents et les nouveaux incidents de sécurité. Ceci est de
nature de permettre une amplification plus rapide et efficace des signaux faibles.
5.5.5 Communication aux employés et aux partenaires
Dans le cas d’un incident de sécurité, les différents partenaires, fournisseurs, clients ainsi que les
utilisateurs du système devraient être informés des changements et des nouvelles mesures de
sécurité adoptés par l’organisation.
Conclusion
La réparation est une activité très importante pour réduire les dégâts et les pertes financières ainsi
que pour anticiper l’occurrence d’attaques similaires. Cette activité est associée à une mise à jour
du système de protection pour intégrer les changements opérés au niveau de l’analyse du risque,
la manipulation et l’exploitation des informations. La construction d’une base de données et de
connaissances est indispensable pour assister cette activité du guide de travail et par conséquent
améliorer la capacité d’anticipation et le temps de réponse aux incidents de sécurité.
78
Conclusion générale
La présente recherche s’inscrit dans le domaine de la sécurité des systèmes d’information,
orientés vers l’anticipation et la gestion du risque numérique. Notre intérêt a porté sur le travail
de l’ERI qui exige des outils et des méthodes de travail appropriés répondant à la nécessité de
réduire le temps de réponse à une agression numérique et ce, dans le but, de minimiser les dégâts
matériels et immatériels occasionnés par celle-ci.
Ainsi, nous avons proposé un guide de travail pour une ERI composé de quatre principales
activités à savoir l’analyse du risque, la surveillance et la vérification de l’efficacité du système
de protection, l’amplification des alarmes et la réponse aux incidents de sécurité et la réparation
des dégâts et la mise à jour du système de protection. Chaque activité est décrite suivant un
ensemble de tâches élémentaires et nécessaires à son accomplissement.
Le guide de travail proposé constitue un outil dynamique de gestion et d’organisation de la
sécurité de l’information au sein de l’entreprise en tenant compte de ses spécificités techniques et
managériales, la nature de son activité, et l’évolution de son environnement interne et externe.
Cependant, la nature exploratoire de la recherche limite sa portée. Une seule interview avec un
expert a été menée pour comprendre et décrire les principales activités accomplies par une ERI.
De plus, et faute de temps, ce guide n’a pas fait l’objet d’une validation empirique. Nous avons
également trouvé des difficultés à recenser les publications académiques pertinentes, compte tenu
du fait que peu d’auteurs ont traité notre sujet. En effet, le recensement a été difficile à réaliser à
cause de la dispersion des articles dans des revues mal connues ou inconnues de nous relevant
parfois de domaines étrangers à notre champ disciplinaire de base.
Il serait opportun de tester le guide sur des cas réels d’entreprises afin de fournir plus de détails
sur les tâches décrivant chacune des activités du guide. De même, il serait intéressant de
compléter l’élaboration du guide en consultant un nombre plus important d’experts en sécurité
des réseaux.
79
Bibliographie
Abello Llanos, R. (2009). la investigación en ciencias sociales: sugerencias prácticas sobre el
proceso. Investigación y Desarrollo , 208-229.
BASC. (2007). Business Alliance for Secure Commerce . Recuperado el 2 de Juillet de 2010, de
BASC-Costa Rica: http://www.basc-costarica.com/documentos/riesgosinformatica.pdf
Caron-Fasan, M.-L., & Laurens, V. (2007). Vers une gestion des informations liées au attaques
informatiques: la veille sécuritaire anticipative. En N. Lesca, Management, systèmes
d'information et connaissances tacites. Grenoble: Hermes Science Publications.
Ciordas, C., Hansson, A., Goossens, K., & Basten, T. (2008). A monitoring-aware network-on-
chip desing flow. Journal of Systems Architecture , 397-410.
Club de la Sécurité de l'Information Français CLUSIF. (2010). Menaces informatiques et
practiques de sécurité en France. Paris: CLUSIF.
Computer Security Institute CSI. (2009). CSI Computer Crime and Security Survey. New York:
Sara Peters, Senior Editor, Computer Security Institute.
Department for Business, Enterprise & Regulatory Reform (BERR). (2008). INFORMATION
SECURITY BREACHES SURVEY 2008 | technical report. United Kingdom: Department for
Business, Enterprise & Regulatory Reform.
Europe, I., & PricewaterhouseCoopers. (2010). Information Security Breaches Survey 2010
technical report. United Kingdom: PricewaterhouseCoopers LLP.
Franco, O. H., Castillo, L. F., Corchado, J. M., & Lopez, C. A. (2007). Multiagent system for
software monitoring and users activities in a network equipment. Scientia et Technica , 387-391.
Frankland, J. (2008). IT security metrics: implementation and standars compliance. Network
Security .
Gabrijelcic, D., Blazic, B. J., & Tasic, J. (2005). Future active IP networks security architecture.
Computer Communications , 688-701.
80
Ganame, A. K., Bourgeois, J., Bidou, R., & Spies, F. (2008). A global security architecture for
intrusion detection on computer networks. Computers & Security , 30-47.
Gestión de Riesgo en la Seguridad Informática. (s.f.). Recuperado el 19 de Juillet de 2010, de
"Gestión de Riesgo en la Seguridad Informática" de Markus Erb:
http://protejete.files.wordpress.com/2009/07/ficha_probabilidad_amenaza.pdf
Ghernaouti-Hélie, S. (2002). Internet et sécurité. Paris: Presses Universitaires de France.
Ghernaouti-Hélie, S. (2009). La cybercriminalité. Laussane : Presses politechniques et
universitaires romandes.
Hatchuel, A. (2008). Quel horizon pour les sciences de gestion ? Vers une théorie de l'action
collective. En A. David, A. Hatchuel, & R. Laufer, Les nouvelles fondations des sciences de
gestion (pág. 216). Paris: Vuibert.
Humphreys, E. (2008). Information security management standards:Compliance, governance and
risk management. Information Security Technical Report , 247-255.
Kovacich, G. (1997). Information systems security metrics management. Computers & Security ,
610-618.
Lesca, E. (s.f.). Equipe du professeur LESCA. Recuperado el Mai de 2010, de Veille Anticipative
Stratégique - Intelligence Collective [VAS-IC®]: http://www.veille-strategique.org/
Lesca, H., & Lesca, E. (1995). Gestion de l'information. Paris: Litec.
Lesca, H., & Schuler, M. (2002). Veille Stratégique: Comment ne pas être noyé sous les
informations? Inteligencia competitiva , 40-54.
Magklaras, G., & Furnell, S. (2002). Insider threat prediction tool : Evaluating the probability of
IT misuse. Computers & Security , 62-73.
Policía Nacional de Colombia . (2008). Curso de Inteligencia. Bogotá D.C., Colombia.
Policía Nacional de Colombia. (2008). Guía de gestión documental de la Policía Nacional.
Bogotá D. C.: Imprenta Nacional de Colombia.
81
Policía Nacional De Colombia. (2004). Resolución No.01113 “Por la cual se adopta el Manual
de Procedimientos del Servicio Policial para la Policía Nacional”. Bogotá D.C.: Imprenta
Nacional de Colombia.
Sadok, M. (s.f.). Impact des lois de la sécurité financière sur la gestion du système d'information.
Tunis.
Sadok, M. (2004). Veille anticipative stratégique pour réduire le risque des agressions
numériques. Thèse de Doctorat en Sciences de Gestion . Grenoble, France: Ecole Doctorale de
Science de Gestion.
Sadok, M., & Lesca, H. (2007). Veille anticipative et Sécurité des ressources informationnelles
de l’entreprise à l’ère numérique. Grenoble.
Schwartau, W. (s.f.). Network security it's about time: an offer for a metric.
Sena, L., & Tenzer, S. (Août de 2004). Universidad de la República - Uruguay. Recuperado el
Juin de 2010, de Facultad de Ciencias Económicas y de Administración:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Xenakis, C., & Merakos, L. (2004). Security in third Generation Mobile Networks . Computer
Communications , 638-650.