Politique de sécurité
Download
Report
Transcript Politique de sécurité
Chapitre 5 : Gouvernance et politique de sécurité
Plan
Gouverner la sécurité
Gestion du risque informationnel
Politique de sécurité
Méthodes et normes de sécurité
TP3 : Utiliser le logiciel Wireshark pour :
- Découvrir les caractéristiques générales et l'encapsulation des protocoles du
modèle TCP/IP;
- Analyser le trafic réseau.
Mounir GRARI
Sécurité informatique
140
Chapitre 5 : Gouvernance et politique de sécurité
1. Gouverner la sécurité
1) Mise en perspective
Gouverner la sécurité illustre la volonté de diriger, d’influencer, de conduire de
manière déterminante la sécurité et de maîtriser les risques liés à l’insécurité
technologique.
La gouvernance a pour but d’ assurer que les solutions de sécurité sont optimales.
entre autres, elle vérifie qu’elle est en mesure de répondre de manière exacte aux
questions: Qui fait quoi? Comment et quand?
2) Gouvernance de la sécurité de l’information
Gouverner la sécurité peut être perçu comme un processus pour établir et
maintenir un cadre supportant la structure de gestion qui permet de réaliser la
stratégie de sécurité.
Gouverner la sécurité c’est protéger les actifs informationnels contre le risque
de perte, d’ interruption, d’abus, de divulgation non autorisée, ou de risques
juridiques liés à la responsabilité légale des acteurs.
Mounir GRARI
Sécurité informatique
141
Chapitre 5 : Gouvernance et politique de sécurité
1. Gouverner la sécurité
3) Principes de base de la gouvernance de la sécurité
Principes d’une méthode de gouvernance pour la mise en place d’une politique de
sécurité.
Responsabilité - Une instance assurant la gouvernance doit être responsable de la
tâche qui lui appartient.
Proportionnalité - Les investissements doivent être en proportionnels au risque
informationnel encouru par l’ organisme .
Conscience - Les entités directrices sont conscientes du l’importance des actifs
informationnels de l’entreprise et ainsi du rôle de la sécurité.
Conformité – La démarche de la sécurité doit être conçues en conformité avec les
exigences légale de tous niveaux.
Efficacité - Les actions à entamer doivent satisfaire les objectifs
Ethique – L’ exploitation des ressources informationnelles au sein de l’entreprise
doit être éthiquement correcte
Inclusion – Les objectifs de toutes les parties intéressées par la démarche doivent
être prises en considération.
Mounir GRARI
Sécurité informatique
142
Chapitre 5 : Gouvernance et politique de sécurité
1. Gouverner la sécurité
Equité – Les entités directrices élaborant les solutions sécuritaires basées sur la
perception et les règles démocratiques perçues comme telles dans l’environnement
où l’entreprise agit.
Transparence – Le devoir d’ informer les parties intéressées sur l’ état courant de
la sécurité appartient aux entités directrices.
Mesure – Les mesures de sécurité ont pour finalité l’ amélioration de la
gouvernance.
Objectif – La sécurité informationnelle a un large champ d’ intervenants
(processus, ressources, acteurs, culture de l’entreprise…).
Réponse – Des tests continus liés aux réponses apportées en situation de crises
doivent effectués régulièrement.
Gestion du risque – Les entités directrices s’assurent que le processus d’
appréciation des risques se fait d’une manière continue et formelle.
Mounir GRARI
Sécurité informatique
143
Chapitre 5 : Gouvernance et politique de sécurité
2. Gestion du risque informationnel
1) définitions
Un risque est la combinaison de la probabilité d’ un évènement et de ses impacts.
Un risque exprime la probabilité qu’un valeur soit perdue en fonction d’une
vulnérabilités liée à une menace :
risquevulnérabilitémenaceimpact
La terminologie liée au risque distingue l’analyse, l’ évaluation, l’ appréciation, le
traitement et la gestion du risque :
- Analyse du risque : Exploitation systématique d’ information pour fixer les
sources afin de pourvoir estimer le risque.
- Evaluation du risque – c’est le processus de comparaison du risque estimé avec
des critères de risque donnés pour identifier l’ importance du risque.
- Appréciation du risque – Processus d’analyse et d’ évaluation du risque.
- Traitement du risque – Processus de sélection et implémentation des mesures
visant à modifier le risque.
- Gestion du risque – activités coordonnées visant à conduire et à piloter une
organisation vis-à-vis des risques.
Mounir GRARI
Sécurité informatique
144
Chapitre 5 : Gouvernance et politique de sécurité
2. Gestion du risque informationnel
2) Principes de gestion
Les éléments d’ une démarche de gestion du risque informationnel sont :
- Identification des actifs en correspondance avec les critères de sécurité.
- Appréciation de vulnérabilités en relation avec les actifs à protéger.
- Appréciation des menaces (identification de l’origine(motivation, capacité à se
réaliser) et amplificateurs des menaces).
- Appréciation du risque (illustration par une matrice des probabilités et des
impacts).
- Identification des contre-mesures (qui tiennent compte de trois types
d’acteurs que sont les processus, la technologie et les utilisateurs).
Mounir GRARI
Sécurité informatique
145
3. Politique de sécurité
Chapitre 5 : Gouvernance et politique de sécurité
1) Stratégie et politique de sécurité
Politique d’ entreprise
Stratégie d’ entreprise
Mounir GRARI
Stratégie du système
d’ information
Stratégie de sécurité
Sécurité informatique
Politique du système
d’ information
Politique
de sécurité
146
Chapitre 5 : Gouvernance et politique de sécurité
3. Politique de sécurité
La politique de sécurité fait la liaison entre la stratégie de sécurité d’ une
entreprise et l’ implémentation opérationnelle de la sécurité.
La politique de sécurité établit les principes fondamentaux de la sécurité qui
permettent de protéger le système d’information. Cette protection est assurée
par exemple par :
- des règels : classification des l’information;
- des outils : chiffrement, firewalls;
- des contrats: clauses et obligations;
- l’enregistrement, la preuve, l’authentifications, l’identification, le marquage ou le
tatouage;
- Le dépôt de marques , de brevets, et la protection des droit de l’ auteur.
En complément, la protection pourra prévoir :
- de dissuader par des règles et des contrôles;
- de réagir par l’existence de plans de secours, de continuité et de reprise;
- de gérer les incidents majeurs par un plan de gestion de crise;
- de gérer les performance et les attentes des utilisateurs; etc.
Mounir GRARI
Sécurité informatique
147
Chapitre 5 : Gouvernance et politique de sécurité
3. Politique de sécurité
2) Projet d’ entreprise orienté gestion des risques
prendre en compte l’analyse des risques liés au systèmes d’information dans un
processus de gestion de risque globaux, guide toute la démarche de sécurité d’une
organisation.
Le risque informatique, informationnel ou technologique doit être défini au
même titre que tous les autres risques de l’entreprise (risque métier, social,
environnemental, etc.) auxquels doit faire face une entreprise. Ainsi, le risque
informatique est un risque opérationnel qui doit être maitrisé.
La gestion des risques est le point de départ de l’analyse des besoins sécuritaires
qui permet la définition de la stratégie de sécurité.
Mounir GRARI
Sécurité informatique
148
3. Politique de sécurité
Chapitre 5 : Gouvernance et politique de sécurité
De l’analyse des risques à la politique de sécurité
origine
Risques choisis, calculés, mesurés, acceptés
Cause
Identification du
Potentialité
risque
Impacts, effets,
conséquences,
gravité
Risques subis
Risques encourus
Risques pris
Risques profitables, risques de réussir
Analyse – Evaluation – Appréciation
Traitement – Gestion des risques
Risques de perte
Identification des risques
Quantification des risques
Risques acceptables?
Mounir GRARI
Sécurité informatique
Politique
de
sécurité
Sécurité
des
valeurs
149
3. Politique de sécurité
Chapitre 5 : Gouvernance et politique de sécurité
3) Propriétés d’ une politique de sécurité
Déterminants d’ une politique de sécurité
Valeurs
Risques
Contraintes
Vision stratégique de la maitrise des risques
Politique de sécurité
Que protéger? Pourquoi? Contre qui? Comment?
Référentiel de sécurité
Règles de sécurité
Structure organisationnelle
Plan de contrôle et de suivi
Mounir GRARI
Sécurité informatique
Mesures de sécurité
Droits et devoirs
Planification
Prioritisation des actions
150
3. Politique de sécurité
Mounir GRARI
Prévention des intrusions et
malveillances,
Gestion des vulnérabilités,
dissuasion, etc.
Politique de
réaction
Gestion des crises, des
sinistres, des plans, de
continuité, de reprise, de
modification, d’intervention,
de poursuite, etc.
Politique de
suivi
Audit, évaluation,
optimisation, contrôle,
surveillance, etc.
Politique
d’assurance
Politique de sensibilisation
Sécurité informatique
Respect des contraintes légales règlementaires
Politique de
protection
coût
Gestion des identités, des
profils utilisateurs, des
permission, des droits, etc.
performance
Politique de
contrôle d’
accès
convivialité
Politique de sécurité
Mesures et procédures
Chapitre 5 : Gouvernance et politique de sécurité
Différentes composantes d’ une politique de sécurité
151
Chapitre 5 : Gouvernance et politique de sécurité
4. Méthodes et normes de sécurité
1) Principales méthodes française
Pour élaborer une démarche de sécurité, on s’appuie sur une méthode qui facilite
l’identification des points principaux à sécuriser. En général la sécurité repose sur
un ensemble reconnu de bonnes pratiques que sur une méthodologie unique.
Les méthode recommandées par le CLUSIF (CLUb de la Sécurité de l'Information
Français, www.clusif.asso.fr) sont Marion (Méthode d’Analyse des Risques
Informatiques et Optimisation par Niveau) et Méhari (MÉthode Harmonisée
d’Analyse des RIsques).
La méthode Méhari est évolutive et compatible avec la norme ISO 17799.
La DCSSI (Direction Centrale de las Sécurité des Systèmes d’ Information) a
élaboré une méthode largement documenté, présentée et téléchargeable sur son
site: www.ssi.gouv.fr/fr/dcssi. Dénommée Ebios ( Expression des Besoins et
Identification des Objectifs de Sécurité), cette méthode est implémentée par les
administrations françaises, permet de fixer les objectifs de la sécurité des
organisation, pour répondre à des besoins déterminés.
Mounir GRARI
Sécurité informatique
152
4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité
Les différentes méthodes préconisées par le CLUSIF
Méthode
Marion
Méthode Marion : Méthode d’analyse des risques informatiques
optimisation par niveau
Méhari : Méthode harmonisées d’ analyse des risques
Propose un cadre et une méthode qui garantissent la cohérence des
décisions prises au niveau directorial
Structure la sécurité de l’entreprise sur une base unique d’ appréciation
dans la complexité des systèmes d’information
Permet la recherche des solutions au niveau opérationnel de la sécurité en
délégant les décisions aux unités opérationnelles et autonomes
Méthode
MEHARI
Mounir GRARI
Assure, au sein de l’entreprise, l’ équilibre des moyens et la cohérence des
contrôles
Les applications de Méhari:
Plan stratégique de sécurité - Plan(s) opérationnelle(s) de sécurité
Traitement d’une famille de scenario - Traitement d’un risque spécifique
Traitement d’un critère de sécurité – Traitement d’un scenario particulier
Traitement d’ une application opérationnelle – Traitement d’ un projet
Sécurité informatique
153
Chapitre 5 : Gouvernance et politique de sécurité
4. Méthodes et normes de sécurité
2) Norme internationale ISO/IEC 17799
Origine
L’origine de la norme IOS 17799 élaborée par l’ ISO (www.iso.org) à la fin de
l’année 2000 est la norme BS 7799 élaborée par l’association de normalisation
britannique en 1995.
L’adoption par le marché de la norme ISO à été encouragé par le fait que certaines
compagnies d’ assurance demandent l’ application de cette norme afin de
couvrir le cyber-risques.
Son importance réside dans le fait que la norme aborde
les aspects
organisationnels, humains, juridiques et technologues de la sécurité en rapport
avec les différentes étapes de conception, mise en œuvre et maintien de la sécurité.
Mounir GRARI
Sécurité informatique
154
Chapitre 5 : Gouvernance et politique de sécurité
4. Méthodes et normes de sécurité
Elle aborde de dix domaines de sécurité, de 36 objectifs de sécurité et de 127
points de contrôle.
Les dix domaines abordés par la norme:
Politique de sécurité - Organisation de la sécurité
Classification et contrôle des actifs - Sécurité et gestion des ressources humaines;
Sécurité physique et environnementale
Exploitation de gestion des systèmes et des réseaux - Contrôle d’ accès;
Développement et maintenance des systèmes - Continuité de service – conformité
Une nouvelle version améliorée de la norme (ISO/IEC 17799/2005) a été
proposée en juillet 2005, elle adjoint aux dix domaine de sécurité de nouveaux
paragraphes qui concernent l’ évaluation et l’ analyses des risques, la gestion des
valeurs et des biens ainsi que la gestion des incidents.
Mounir GRARI
Sécurité informatique
155
Chapitre 5 : Gouvernance et politique de sécurité
4. Méthodes et normes de sécurité
Objectifs de la norme ISO/IEC 17799:2005
La norme ISO/IEC 17799:2005 et ces versions antérieurs aident les organisation
à répondre à quatre principales questions concernant la protection de leurs
actifs informationnels, à savoir :
Que protéger et pourquoi?
De quoi les protéger?
Quels sont les risques?
Comment les protéger?
En répondant à cette question, l’organisation définit sa méthode sécuritaires. La
première étape de celle-ci consiste à réaliser l’ inventaire des valeurs à protéger
en distinguent leur degré de criticité afin d’ effectuer des priorités à la réalisation
des solutions de la sécurité.
Mounir GRARI
Sécurité informatique
156
4. Méthodes et normes de sécurité
Politique de sécurité
Gestion de la sécurité de l’ information
Gestion des biens
Sécurité liée
aux ressources
humaines
Mounir GRARI
Sécurité
physique et
environneme
ntale
Gestion
opérationnelle et
gestion de la
communication
Contrôle
d’ accès
Acquisition
développement,
et maintenance
des SI
Gestion d’
incident liés à
la sécurité d’
information
Conformité
Chapitre 5 : Gouvernance et politique de sécurité
Structure, thèmes et chapitres de la norme ISO/IEC 17799:2005
La norme comporte 11 chapitres dont les objectifs sont illustrés dans le figure.
Gestion de la continuité de l’activité
Sécurité informatique
157
Chapitre 5 : Gouvernance et politique de sécurité
4. Méthodes et normes de sécurité
La structure et les thèmes évoqués dans la version 2005 de la norme 17799 sont les
suivants:
- Introduction
- Evaluation des risques et traitements
- Politique de sécurité
- Organisation de la sécurité de l’ information
- Gestion des biens et des valeurs
- Sécurité des ressources humaines
- Sécurité physique et environnementale
- Gestion des communication et des opérations
- Contrôle d’ accès
- Acquisition, développement et maintenance des systèmes de l’ information
- Gestion des incidents de sécurité de l’information
- Gestion de la continuité de l’ activité
- Conformité
Mounir GRARI
Sécurité informatique
158
Chapitre 5 : Gouvernance et politique de sécurité
4. Méthodes et normes de sécurité
Exemple :
Gestion des incidents de sécurité de l’information:
- Notification des évènements et des faiblesse de sécurité de l’information
- Notification des évènements de sécurité de l’ information
- Notification des faiblesse de sécurité
- Gestion des incidents et des améliorations de la sécurité de l’ information
- Responsabilité et procédure
- Enseignement à tirer des incidents de sécurité
- Collecte de preuves
Mounir GRARI
Sécurité informatique
159
Chapitre 5 : Gouvernance et politique de sécurité
4. Méthodes et normes de sécurité
3) norme internationale de la famille ISO/IEC 27000
La famille des normes 27000
La famille des normes ISO/IEC 27001:2005 aborde le thème de management
de la sécurité de l’information dans sa globalité. La norme 27001 s’intitule
“système de gestion de la sécurité de l’information”. D’autres nome de la famille
27000 traitent différents domaines, à savoir:
- Les notions fondamentales et une formalisation du vocabulaire (27000)
- Guide pour l’ implémentation du Système de Mangement de la Sécurité de
l’Information (SMSI)(27003).
- Les métriques du management de la sécurité de l’ information (72004).
- La gestion du risque en matière de sécurité de l’ information (27005).
- Les exigences pour les organismes auditant et certifiant un SMSI(27006)
- Directives pour les auditeurs concernant les contrôles à effectuer pour un SMSI
(27007);
- Directives pour les auditeurs concernant les contrôles à effectuer pour un
SMSI(27008)
Mounir GRARI
Sécurité informatique
160
Chapitre 5 : Gouvernance et politique de sécurité
4. Méthodes et normes de sécurité
Introduction à la norme ISO 27001
La norme 27001 dérive de la norme nationale anglaise BS 7799-2 : 2002 qui a pour
but les contrôles à mettre en place pour satisfaire les objectifs de la première partie
BS 7799-1.
La norme 27001 établit un modèle pour établir, implémenter, exploiter, surveiller,
maintenir et améliorer le système de management de la sécurité de l’information
SMSI (Système de Mangement de la Sécurité de l’Information).
La norme s’ appuie sur un modèle PDCA (plan, do, check, act). Comprendre da
sécurité sous la forme PDCA contribue à:
- Comprendre les exigences de sécurité et besoins de la politique de sécurité;
- Implémenter et effectuer des contrôles pour gérer le risque informationnel;
- Surveiller et revoir la performance de SMSI
- Proposer des améliorations basées sur des mesures de l’ efficacité du SMSI.
Mounir GRARI
Sécurité informatique
161
4. Méthodes et normes de sécurité
Chapitre 5 : Gouvernance et politique de sécurité
Le modèle PDCA
PLAN
Parties
intéressées
Etablir
SMSI
DO
Maintien et
amélioration
du SMSI
Implémenter et
exploiter SMSI
ACT
Surveiller
SMSI
Exigences et
expectatives de
la sécurité de l’
information
Mounir GRARI
Parties
intéressées
CHECK
Sécurité informatique
La sécurité de l’
information
gérée
162
Chapitre 5 : Gouvernance et politique de sécurité
4. Méthodes et normes de sécurité
Etablir un modèle de gestion de sécurité satisfaisant les exigences de la norme
implique trois étapes:
- Création d’un cadre managérial afin de spécifier les directives, les intentions et
les objectifs pour la sécurité de l’information et définir les politique stratégique qui
engage la responsabilité du management.
- Identification et évaluation des risques réalisés sur la base des exigences de
sécurité définies par l’ entreprise pour identifier les actions managériales
appropriées à entreprendre et les priorités pour maîtriser le risque.
- Développement du SMSI, choix et implémentation des contrôles à
implémenter. Une fois que les exigences ont été déterminées, les contrôles
appropriés peuvent être sélectionnées afin de s’assurer que les risques que le
système d’ information fait encourir à l’ organisation sont réduit à un niveau
acceptable conforment aux objectifs de la sécurité de l’ entreprise.
Mounir GRARI
Sécurité informatique
163
Chapitre 5 : Gouvernance et politique de sécurité
4. Méthodes et normes de sécurité
4) Méthodes et bonnes pratiques
Avantage et inconvénients de l’utilisation d’une méthode pour définir une
politique de sécurité
Avantages
Inconvénients
Gain en terme d’ efficacité en réutilisant le
savoir-faire transmis par la méthode.
Capitalisation des expériences.
Langage commun, référentiel d’ actions
structuration de la démarche, approche
exhaustive.
Etre associé à des groupes d’ intérêts. Partage
d’ expériences, de documentation, formation
possibles.
Mounir GRARI
Sécurité informatique
Bien qu’ elles peuvent faire l’ objet de
révision (nouvelles versions), les normes ou
méthode se n’ évoluent pas au même
rythme que les besoins ou les technologies.
Une norme ou une méthode est générale. Il
faut s’avoir la spécifier en fonction de
besoins particuliers de l’ organisation.
Prolifération des méthodes : difficulté de
choix.
Disposer des compétences nécessaires.
Efforts financiers, durée, coûts,
Difficultés à maitriser la démarche qui peut
s’ avérer lourde et nécessité des
compétences externes.
Recourt à des consultants spécialisés.
164
Chapitre 5 : Gouvernance et politique de sécurité
4. Méthodes et normes de sécurité
5) Modèle formel de politique de sécurité
Différents modèles proposent une présentation abstraite des principes de sécurité
à prendre en compte:
- Le modèle de Bell-LaPadula : modèle des exigences de contrôle d’ accès
spécifiant une politique de sécurité pour la confidentialité;
- Le modèle de Clark et Wilson lié à l’ intégrité des systèmes transactionnels
commerciaux
Les principales définitions correspondant à ces modèles sont:
- Objet O : Entité passive qui reçoit ou possède des informations ou encore l’
Objet de stockage, qui inclut les accès en lecture et en écriture.
- Sujet S : Entité active (une personne, un processus ou un équipement) liée à un
profil.
- Opération licite T : L’ opération licite T est permise pour le sujet S sur l’ Objet
O;
- Canal caché : exploitation d’ un mécanisme non prévu pour la communication
pour transférer des informations d’ une manière qui viole la sécurité.
Mounir GRARI
Sécurité informatique
165
Chapitre 5 : Gouvernance et politique de sécurité
Exercice 26 : Quels sont les avantages relatifs à la définition d’ une politique de
sécurité pour une organisation?
Exercice 27 : Quels sont les éléments qui permettent de justifier la mise en place d’
une politique de sécurité pour le système d’ information d’ une entreprise?
Exercice 28 : Comment s’exprime la rentabilité d’ une politique de sécurité?
Exercice 29 : Identifier les principales étapes d’ une démarche sécurité?
Exercice 30 : Quels sont, pour une entreprise, les avantages et les inconvénients
potentiels liés à l’ externalisation de la sécurité informatique (outsourcing) par
rapport à une gestion interne de la sécurité?
Exercice 31 : Quelles sont les principales limites de la norme ISO 17799 pour la
réalisation de la sécurité?
Mounir GRARI
Sécurité informatique
166