Plan Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une...
-
Upload
celestin-bon -
Category
Documents
-
view
103 -
download
2
Transcript of Plan Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une...
Plan
Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une stratégie de sécurité Prise en compte des besoins juridiques Sécurité et société de l’ information
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 111
1. Connaitre les risques pour les maîtriser Pour une entreprise, l’objectif de la sécurité informatique est
de garantir qu’aucune perte ne puisse mettre en danger son développement.
Exemple : Il faut réduire la probabilité de voir des risques se concrétiser, à diminuer les atteintes ou dysfonctionnements, et permettre le retour à un fonctionnement normal à des coûts et des délais acceptables en cas d’ incident.
Une stratégie de sécurité est élaborée selon deux approches :- démarche proactive : avoir une conduite générale de protection et de l’organisation de la défense ;- démarche réactive : l’ élaboration de plans de réaction.
La sécurité informatique s’ inscrit dans une démarche d’ intelligence économique afin de maîtriser des risques technologiques, opérationnels et informationnels.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 112
1. Connaitre les risques pour les maîtriser Objectifs de la sécurité :
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 113
Incident
Défense
Mesures réactives
- Limiter les atteintes et les dysfonctionnements - Retour à un état normal
Protection
Mesures proactives
- Diminuer la probabilité de la survenue des menaces
INTELLIGENCE ÉCONOMIQUE
1. Connaitre les risques pour les maîtriser une démarche sécuritaire est constitué de trois phases
principales.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 114
Stratégie d’entrepri
se
Stratégie de
sécurité
Valeurs/Analyse des risques
Risque opérationnelRisque informatique
Risque informationnelRisque technologique
Risque financierRisque d’image
Risque de réputationRisque résiduel
…Politique de sécurité
Évaluation Optimisation
Mesures de sécuritéOutils
Procédures
1
2
3
ANALYSE
MISE EN OEUVRE
CONTRÔLE ET SUIVI
1. Connaitre les risques pour les maîtriser1) Première phase : la première phase (1) consiste à connaitre les valeurs de
l’organisation, leur degré de vulnérabilité en fonction de menaces et le risque de perte totales ou partielle de ces valeurs. Ainsi, une vision de ce qui doit être protégé formulée.
Il s’agit d’ élaborer une véritable stratégie de protection et de gestion de la sécurité en fonction des besoins de sécurité des valeurs et menaces identifiées qu’ encoure l’organisation.
La pertinence de l’analyse des risques dépendra de l’identification exacte des moyens et des mesures à mettre en ouvre pour sécuriser efficacement les ressources de l’organisation.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 115
1. Connaitre les risques pour les maîtriser2) Deuxième phase : La phase suivante (2) consiste à choisir et à mettre en place
les outils, mesures et procédures nécessaires à la gestion des risques et à la sécurité des systèmes, services et données.
L’ optimisation de la démarche sécuritaire passe par l’ élaboration de :- la politique de sécurité pour répondre aux exigences de maitrise des risques;- la pertinence de la stratégie envers les risques encourus;- l’adaptation des solutions de sécurité aux besoins en fonction des moyens financiers dégagés;- l’adéquation de mesures les unes par rapport aux autres.
3) Troisième phase : une évaluation périodique (phase 3) voir continue des
mesures de sécurité en vue de leur rationalisation et optimisation, vise à réponde le mieux possible à l’ évolution de l’ environnement dans lequel elles s’inscrivent.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 116
1. Connaitre les risques pour les maîtriser Implémenter une stratégie de sécurité consiste à faire le
compromis les plus judicieux possible entre : - le coût des mesures de sécurité à supporter pour éviter les risques qui pourraient affecter le patrimoine d’une entreprise, - et le coût des impacts de ces risques s’il n’y avait pas de mesures.
Pour définir une stratégie, il n’existe pas de stratégie “recette”. Chaque organisation a son propre stratégie : contexte d’environnement informationnel, de scenario de risque, etc.
Il existe des invariants méthodologique qui simplifient l’ appréhension d’une démarche sécuritaire.
Exemple : Une organisation peut annuler la mise en œuvre d’ un dispositif de secours (backup) de son centre informatique au regard de son coût si ce coût peut s’avérer très élevé en termes de ressources à utiliser .
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 117
1. Connaitre les risques pour les maîtriser Risques et plan d’action sécurité:
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 118
Analyse de risqueÉvaluatio
n Contrôle
ValidationOptimisati
on
Politique de sécurité Pilotage
Moyens financiers, organisationnels, humains, technologique,
Mise en œuvre opérationnelle de mesures efficaces de sécurité
Maîtrise de risques
Identification des valeurs
Analyse des menaces
Identification des impacts
2. Vision stratégique de la sécurité1) Fondamentaux Il faut que les solutions de sécurité informatique assurent tout
ou une partie des propriétés suivantes:- La disponibilité (aucun retard) : permet l’accessibilité en continu sans dégradation, ni interruption;- L’ intégrité (aucune falsification) : maintient intégralement les données et les programmes sans altération;- La confidentialité (aucune écoute illicite) : permet de maintenir le secret de l’information et assure l’ accès aux seules entités autorisées (intimité numerique);- La pérennité (aucune destruction) : les logiciels et les données sont stockés, ils sont conservés le temps nécessaire;- La non-répudiation et l’imputabilité (aucune
contestation) : garantit la connaissance de l’origine et de la destination d’ une action ainsi que l’ identification des entités responsables;
- Le respect des contraintes règlementaires ou légales (aucun risque juridique);- L’authentification (pas de doute sur l’identité d’ une ressource)
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 119
2. Vision stratégique de la sécurité Identifier les valeurs d’ une organisation et exprimer leur
besoins en termes de critère de sécurité permet de fixer la mesure de sécurité à mettre en œuvre au travers :- d’outils (firewalls, antivirus, protocoles cryptographiques, …)- de procédures (mots de passe , mises à jour d’ antivirus, mises à jour d’ un système d’exploitation, …);- de personnes (utilisateurs, administrateurs,…)
Les mesures de sécurité sont identifiées, gérées et optimisées par des procédures de gestion. Au delà de la nécessaire dimension d’ ingénierie de la sécurité, la sécurité relève avant tout d’un acte de management.
Note : réduire seulement la sécurité à sa dimension technologique, c’est assurer son échec!
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 120
2. Vision stratégique de la sécurité2) Mission de sécurité Entamer une mission se sécurité peuvent se décliner de la
manière suivante :- concevoir un plan d’ action de sécurité après une analyse préalable des risques;- identifier une politique de sécurité;- faire un arbitrage entre les besoins de sécurité, risques et coûts;- déterminer le périmètre de vulnérabilité lié à l’ usage des nouvelles technologies;- offrir de manière dynamique un niveau de protection adapté aux risques encourus;- mettre en pratique et valider les mesures, les outils et les procédures de sécurité;- faire un suivi, contrôler et faire évoluer les mesures et plan d’ action de sécurité;- enfin, optimiser la performance du système d’ information en fonction du degré de sécurité requis.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 121
2. Vision stratégique de la sécurité3) Principes de base L’ élaboration d’une démarche sécurité repose sur des
principes suivants:- Principe de vocabulaire - nécessité de s’adapter, au niveau de l’ organisation, sur un langage commun de définition de la sécurité.- Principe de volonté directoriale - les dirigeants sont responsabilité de libérer les moyens nécessaires à la mise en œuvre (et à la gestion) de la sécurité informatique.- Principe financier - le budget d’ implémenter la sécurité doit être adapté vis-à-vis des objectifs de sécurité fixés.- Principe de cohérence - la sécurité d’un système est le résultat d’ une intégration harmonieuse des mécanismes, outils et procédures.- Principe de simplicité et d’ universalité - les mesures doivent être compréhensibles, simples par les utilisateurs.- Principe de dynamicité - la sécurité doit être élaborée dynamiquement pour intégrer la dimension temporelle de la vie des systèmes et l’ évolution des besoins et des risques.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 122
2. Vision stratégique de la sécurité-Principe de continuum - l’organisation doit continuer à fonctionner même après la survenue d’ incident (procédures de gestion de crise).- Principe d’ évaluation, de contrôle et d’ adaptation - Il est très important de pouvoir évaluer durablement l’ adéquation des mesures de sécurité. Cela permet de vérifier et de contrôler que les risques sont maitrisés et d’adapter dans le besoin les solutions de sécurité.
4) Conditions de succès Les conditions de succès d’une approche sécuritaire sont :
- une démarche stratégique de la sécurité- la politique de la sécurité doit être publiée- un certain degré de confiance envers les personnes, systèmes, outils impliqués;- une éthique des acteurs- des procédures de surveillance, d’ enregistrement et d’audit;- le respect des contraintes légales et juridique- …
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 123
2. Vision stratégique de la sécurité5) Approche pragmatique Axes stratégiques, tactiques et opérationnels de la sécurité :
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 124
Axe
st
raté
giq
ue
Axe
tactique
Axe opérationnel
Long terme
Moyen terme
Politique de
sécurité
court terme
Mise en œuvre opérationnelle des mesures
Exploitation/Maintenance / Suivi
Identification des mesures de
sécurité
Optimisation
Optimisation
2. Vision stratégique de la sécurité6) Bénéfices La sécurité est à énumérer comme un facteur critique de
succès d’ une organisation et non pas comme une source de coût (charge) ni un frein à la réalisation de la stratégie de l’entreprise.
La sécurité n’est pas une contrainte additionnelle à intégrer dans la stratégie des entreprises mais constitue un outil de production (faisant partie des éléments fondamentaux de la stratégie de l’entreprise).
Comme la qualité, la sécurité est considérée pour une entreprise, un facteur de compétitivité assurant à une meilleur rentabilité.
Considérant la sécurité comme un facteur de qualité, elle pose le problème de sa mesure et donc de la détermination des indicateurs et métriques associés.
Note : la sécurité ne permet pas directement de gagner de l’ argent mais évite d’en perdre.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 125
2. Vision stratégique de la sécurité7) Aspects économique Les coûts suivant contribue à estimer de manière
approximative le retour sur investissement de la sécurité:- Perte ou baisses de productivité consécutives aux problèmes de dysfonctionnements et à l’indisponibilité, perte de parts de marché , pénalités de retard, etc.- Coût généré par des pertes d’image, impacts au niveau des clients, partenaires, sous-traitants, fournisseurs, etc.- Coûts d’assurance, de gestion, d’ investigation, salaires des experts, etc.- Coûts de reprise après incidents, de la gestion de crise, de restitution, de reconstitution des données, de remise en état, de remplacement des systèmes, etc.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 126
3. Définir une stratégie de sécurité1) Stratégie générale La diversité des solutions peuvent créer un problème de
cohérence globale de la démarche de sécurité. Exemple 1 : La technologie ne suffit pas mais elle doit être
intégré dans une démarche de gestion de sécurité. Exemple 2 : La sécurité d’ un système particulier n’est que
une composante de la sécurité globale d’ une entreprise. Beaucoup de stratégies de sécurité existent, de politiques de
sécurité, de mesures, de procédures ou de solutions de sécurité que d’organisations et de besoins sécuritaires à satisfaire à un moment donné.
Politique de sécurité et risques font l’objet d’ une actualisation et d’ une évaluation permanentes.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 127
3. Définir une stratégie de sécurité De la stratégie d’ entreprise à la stratégie sécuritaire:
ICT (Information and Communication Technologies) : Technologies de l'information et de la communication.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 128
Stratégie d’entreprise
Stratégie de sécurité
Politique de sécurité
Mesures de sécurité
Sécurité informatique :Technologiques
ProcéduresOrganisationnelles
JuridiquesHumaine
Services ICT de qualitérépondant à la stratégie de
l’entreprise
3. Définir une stratégie de sécurité2) Compromis et bon sens La sécurité : une question de compromis
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 129
Politique de sécurité
Besoin de protection
Besoin de production
Maitrise desrisques
Réduire les risquesà un niveau acceptable
Minimiser les pertes
Permettre un usage efficace des technologies
Risques
Coût du risque
Coût de la maîtrise des risques
3. Définir une stratégie de sécurité La sécurité : une question de bon sens
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 130
Une question de bon sens
Trop de sécurité est
aussi problématiqu
e que pas assez
Une politique de sécurité ne doit
pas être conçue à partir de
limitations particulières de
certains systèmes
Le plus dur n’est pas de décider quelle est la
technologie de sécurité à appliquer mais d’
identifier pourquoi on doit l’appliquer et sur
quoi
La sécurité n’est jamais
acquise définitivement, elle se vit au
quotidien
La sécurité doit être fonction des risques et
proportionnelle aux enjeux
Plus grande est la récompense, plus
grand est le risque de pénétration d’ un
systèmeLa qualité des
outils de sécurité dépend de la politique
de sécurité qu’ils servent
La sécurité est l’
affaire de tous
3. Définir une stratégie de sécurité3) Responsabilité Les responsable de la sécurité des systèmes d’information
sont des prestataires de services pour la partie de la sécurité qui ils gèrent et contrôlent.
Leur accès aux ressources informatiques implique en plus d’une intégrité sans faille, des procédures de surveillance et de contrôle de leurs actions particulièrement strictes, à la mesure des risques qu’ils font potentiellement courir aux systèmes qu’ils gèrent.
L’ augmentation des affaires criminelles ayant une origine interne, impliquant la complicité d’informaticiens, doit obliger les organisation à traiter la question de responsabilité avec vigilance et à ne pas se laisser piéger par des personnes peu scrupuleuses.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 131
3. Définir une stratégie de sécurité3) Nouveaux risques, nouveaux métiers Métiers concernant la sécurité :
- Chief Security Officer (CSO) - Il s’agit de la personne responsable de toute la sécurité de l’organisation.- Chief Information Securitty Officer (CISO) - La personne assumant la responsabilité de la sécurité des informations au sein d’une organisation.
Diverses fonctions ou missions spécifique existent comme par exemple:- Responsable de la sécurité des systèmes d’information;- Responsable de la sécurité des réseaux;- Responsable de la sécurité des systèmes;- Responsable de la veille technologique en matière de sécurité;- Auditeur de la sécurité;- Architecte de la sécurité- …
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 132
4. Prise en compte des besoins juridiques1) Sécurité et répression du crime informatique Actuellement, la cybercriminalité est mal maitrisée comme le
prouvent les chiffres du sondage annuel du CSI (Computer Security Institut) ou les statistiques du CERT (Computer Emergency Readiness Team).
Les motifs de tel situation sont notamment liées:- Aux caractéristiques du cybercrime (capacité à être automatisé, savoir-faire embarqué dans le logiciel , réalisation à distance);- À la pénurie de ressources humaines et matérielles au sein des services chargés de la répression des délits informatiques;- À la difficulté à qualifier les faits au regard de certaines législations pénales;- …
Note: CSI (www.gocsi.com) CERT(www.us-cert.gov)
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 133
4. Prise en compte des besoins juridiques2) Infraction, responsabilité et obligations de moyens Crimes et délits contres les personnes:
Atteintes à la personnalité - atteinte à la vie privée - atteinte à la représentation d’une personne-atteinte au secret professionnel - atteinte aux mineurs- harcèlement…
Crimes et délit contre les biens:Escroquerie - fraude - crime économique et financier - vol - modification, destruction de ressources - chantage - piratage des systèmes…
Provocation aux crimes et délits:Apologie des crimes contre l’humanité – apologie et provocation au terrorisme – provocation à la haine raciale – négationnisme …
Infraction à diverse règlementation (code civil, code des obligations, code pénal, code de la propriété intellectuelle, droit de l’ audiovisuel, des contrats,…):Contrefaçon d’une œuvre de l’esprit (logiciel), d’une image, dessin - contrefaçon de marque - téléchargement illégale - participation à la tenue d’une maison de jeux au hasard (cybercasino) - infraction de presse…
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 134
4. Prise en compte des besoins juridiques3) Prendre en compte la sécurité en regard de la législation Il est très important que les responsable de sécurité des
organisations soient sensibilisées aux contraintes d’une enquête policière (documentation minimale relative à l’incident, conservation des traces, etc.).
L’organisation doit être prudente au respect de la protection des données à caractère personnel de ses employés comme celles des ses clients, fournisseurs ou partenaires.
Dans la majorité des pays, la législation recommande que la mise en œuvre de la cybersurveillance soit préalablement accompagnée d’une charte d’utilisation de l’informatique et des télécommunications.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 135
4. Prise en compte des besoins juridiques4) La confiance passe par le droit, la conformité et la sécurité L’intelligence est devenu un facteur clé de succès de la
réalisation de la sécurité informatique. Exemple : la responsabilité pénale des acteurs (comme le
responsable sécurité ou du directeur de systèmes d’information) est de plus en plus invoquée si les ressources informatiques qu’ ils gèrent, sont l’objet ou le moyen d’une délit.
Les responsables d’ organisations doivent être extrêmement attentif à l’ égard du droit de nouvelles technologies et leur système informatique doit être en conformité juridique.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 136
4. Prise en compte des besoins juridiques5) Règlementation international La première règlementation internationale (et la seule),
contribuant à donner la dimension internationale de la cybercriminalité est la convention sur la cybercriminalité-Budapest 23 novembre 2001.
Exemple de point abordé : les états doivent établir leur compétences à l’ égard de toute infraction pénale lorsque cette dernière est commise sur son territoire.
Il y a aussi des lignes directives de l’OCDE (Organisation de Coopération et de Développement Economique). Voila deux exemples de points évoqués:
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 137
Démocratie La sécurité des systèmes et des réseaux d’information doit être compatible avec les valeurs fondamentales d’une société démocratique.
Conception et mise en œuvre de la sécurité
Les parties prenantes doivent intégrer la sécurité en tant qu’un élément essentiel des systèmes et réseaux d’information.
5. Sécurité et société de l’ information1) Pour une société de l’information sûre L’ état a des responsabilités importantes pour la réalisation
d’une sécurité numérique:- Il doit définir les lois;- Il doit favoriser et encourager la recherche et le développement en matière de sécurité;- Il doit promouvoir une culture de la sécurité et du respect de l’intimité numérique;- Il doit imposer le respect d’un minimum de normes de sécurité.
2) Respect des valeurs démocratiques Replacer l’ être humain et les principes démocratiques dans
les technologies de l’information (et dans les solutions de sécurité) est nécessaire pour donner les moyens aux internautes de devenir des cybercitoyens avertis, et non pas des consommateurs vulnérables et dépendants.
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 138
Exercice 21 : Que recouvre la notion de stratégie de sécurité? Exercice 22 : Pourquoi la sécurité doit-elle gérée selon un
processus continu? Exercice 23 : Dans quelles mesures la sécurité informatiques
est - elle résultante d’un compromis? Exercice 24 : Dans quelle mesure la conformité réglementaire
se décline-t-elle comme un besoin de sécurité? Exercice 25 : Pourquoi la compréhension du risque juridique
par des responsables de la sécurité informatique est importante?
Ch
ap
itre
4 :
Str
até
gie
de s
écu
rité
Mounir GRARI Sécurité informatique 139