plan gouverner la sécurité gestion du risque informationnel politique de sécurité méthodes et...

Plan

Gouverner la sécurité Gestion du risque informationnel Politique de sécurité Méthodes et normes de sécurité TP3 : Utiliser le logiciel Wireshark pour :

- Découvrir les caractéristiques générales et l'encapsulation des protocoles du modèle TCP/IP;- Analyser le trafic réseau.

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité

Mounir GRARI Sécurité informatique 140

1. Gouverner la sécurité1) Mise en perspective Gouverner la sécurité illustre la volonté de diriger,

d’influencer, de conduire de manière déterminante la sécurité et de maîtriser les risques liés à l’insécurité technologique.

La gouvernance a pour but d’ assurer que les solutions de sécurité sont optimales. entre autres, elle vérifie qu’elle est en mesure de répondre de manière exacte aux questions: Qui fait quoi? Comment et quand?

2) Gouvernance de la sécurité de l’information Gouverner la sécurité peut être perçu comme un processus

pour établir et maintenir un cadre supportant la structure de gestion qui permet de réaliser la stratégie de sécurité.

Gouverner la sécurité c’est protéger les actifs informationnels contre le risque de perte, d’ interruption, d’abus, de divulgation non autorisée, ou de risques juridiques liés à la responsabilité légale des acteurs.

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


1. Gouverner la sécurité3) Principes de base de la gouvernance de la sécurité Principes d’une méthode de gouvernance pour la mise en

place d’une politique de sécurité. Responsabilité - Une instance assurant la gouvernance doit

être responsable de la tâche qui lui appartient. Proportionnalité - Les investissements doivent être en

proportionnels au risque informationnel encouru par l’ organisme .

Conscience - Les entités directrices sont conscientes du l’importance des actifs informationnels de l’entreprise et ainsi du rôle de la sécurité.

Conformité – La démarche de la sécurité doit être conçues en conformité avec les exigences légale de tous niveaux.

Efficacité - Les actions à entamer doivent satisfaire les objectifs

Ethique – L’ exploitation des ressources informationnelles au sein de l’entreprise doit être éthiquement correcte

Inclusion – Les objectifs de toutes les parties intéressées par la démarche doivent être prises en considération.

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


1. Gouverner la sécurité Equité – Les entités directrices élaborant les solutions

sécuritaires basées sur la perception et les règles démocratiques perçues comme telles dans l’environnement où l’entreprise agit.

Transparence – Le devoir d’ informer les parties intéressées sur l’ état courant de la sécurité appartient aux entités directrices.

Mesure – Les mesures de sécurité ont pour finalité l’ amélioration de la gouvernance.

Objectif – La sécurité informationnelle a un large champ d’ intervenants (processus, ressources, acteurs, culture de l’entreprise…).

Réponse – Des tests continus liés aux réponses apportées en situation de crises doivent effectués régulièrement.

Gestion du risque – Les entités directrices s’assurent que le processus d’ appréciation des risques se fait d’une manière continue et formelle. C

hap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


2. Gestion du risque informationnel1) définitions Un risque est la combinaison de la probabilité d’ un

évènement et de ses impacts. Un risque exprime la probabilité qu’un valeur soit perdue en fonction d’une vulnérabilités liée à une menace :

La terminologie liée au risque distingue l’analyse, l’ évaluation, l’ appréciation, le traitement et la gestion du risque :- Analyse du risque : Exploitation systématique d’ information pour fixer les sources afin de pourvoir estimer le risque.- Evaluation du risque – c’est le processus de comparaison du risque estimé avec des critères de risque donnés pour identifier l’ importance du risque.- Appréciation du risque – Processus d’analyse et d’ évaluation du risque.- Traitement du risque – Processus de sélection et implémentation des mesures visant à modifier le risque.- Gestion du risque – activités coordonnées visant à conduire et à piloter une organisation vis-à-vis des risques.

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


risque vulnérabilité menace impact

2. Gestion du risque informationnel2) Principes de gestion Les éléments d’ une démarche de gestion du risque

informationnel sont :- Identification des actifs en correspondance avec les critères de sécurité.- Appréciation de vulnérabilités en relation avec les actifs à protéger.- Appréciation des menaces (identification de l’origine(motivation, capacité à se réaliser) et amplificateurs des menaces).- Appréciation du risque (illustration par une matrice des probabilités et des impacts).- Identification des contre-mesures (qui tiennent compte de trois types d’acteurs que sont les processus, la technologie et les utilisateurs).

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


3. Politique de sécurité1) Stratégie et politique de sécurité

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


Stratégie d’ entreprise

Stratégie du système d’ information

Stratégie de sécurité

Politique de

sécurité

Politique du système d’ information

Politique d’ entreprise

3. Politique de sécurité La politique de sécurité fait la liaison entre la stratégie de

sécurité d’ une entreprise et l’ implémentation opérationnelle de la sécurité.

La politique de sécurité établit les principes fondamentaux de la sécurité qui permettent de protéger le système d’information. Cette protection est assurée par exemple par :- des règels : classification des l’information;- des outils : chiffrement, firewalls;- des contrats: clauses et obligations;- l’enregistrement, la preuve, l’authentifications, l’identification, le marquage ou le tatouage;- Le dépôt de marques , de brevets, et la protection des droit de l’ auteur.

En complément, la protection pourra prévoir :- de dissuader par des règles et des contrôles;- de réagir par l’existence de plans de secours, de continuité et de reprise;- de gérer les incidents majeurs par un plan de gestion de crise;- de gérer les performance et les attentes des utilisateurs; etc.

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


3. Politique de sécurité2) Projet d’ entreprise orienté gestion des risques prendre en compte l’analyse des risques liés au systèmes

d’information dans un processus de gestion de risque globaux, guide toute la démarche de sécurité d’une organisation.

Le risque informatique, informationnel ou technologique doit être défini au même titre que tous les autres risques de l’entreprise (risque métier, social, environnemental, etc.) auxquels doit faire face une entreprise. Ainsi, le risque informatique est un risque opérationnel qui doit être maitrisé.

La gestion des risques est le point de départ de l’analyse des besoins sécuritaires qui permet la définition de la stratégie de sécurité.

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


3. Politique de sécurité De l’analyse des risques à la politique de sécurité

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


Identification du risque

origine

Cause

Potentialité

Impacts, effets, conséquences, gravité

Risques subis

Risques encourus

Risques de perte

Identification des risques

Quantification des risques

Risques acceptables?

Analyse – Evaluation – AppréciationTraitement – Gestion des risques

Sécurité des valeur

s

Politique de

sécurité

Risques choisis, calculés, mesurés, acceptés

Risques pris

Risques profitables, risques de réussir

3. Politique de sécurité3) Propriétés d’ une politique de sécurité Déterminants d’ une politique de sécurité

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


Vision stratégique de la maitrise des risques

Politique de sécuritéQue protéger? Pourquoi? Contre qui? Comment?

Valeurs Risques

Contraintes

Référentiel de sécurité

Règles de sécurité

Mesures de sécurité

Structure organisationnelle

Droits et devoirs

Plan de contrôle et de suivi

Planification Prioritisation des actions

3. Politique de sécurité Différentes composantes d’ une politique de sécurité

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


Politique de sécuritéPolitique de contrôle d’

accès

Gestion des identités, des profils utilisateurs, des permission, des droits, etc.

Mesures et procédures

convivialité

Respect des contraintes légales règlementaires

Politique de protection

Prévention des intrusions et malveillances, Gestion des vulnérabilités, dissuasion, etc.

coût

Politique de réaction

Gestion des crises, des sinistres, des plans, de continuité, de reprise, de modification, d’intervention, de poursuite, etc.

performancePolitique de

suiviAudit, évaluation, optimisation, contrôle, surveillance, etc.

Politique d’assurance

Politique de sensibilisation

4. Méthodes et normes de sécurité1) Principales méthodes française Pour élaborer une démarche de sécurité, on s’appuie sur une

méthode qui facilite l’identification des points principaux à sécuriser. En général la sécurité repose sur un ensemble reconnu de bonnes pratiques que sur une méthodologie unique.

Les méthode recommandées par le CLUSIF (CLUb de la Sécurité de l'Information Français, www.clusif.asso.fr) sont Marion (Méthode d’Analyse des Risques Informatiques et Optimisation par Niveau) et Méhari (MÉthode Harmonisée d’Analyse des RIsques).

La méthode Méhari est évolutive et compatible avec la norme ISO 17799.

La DCSSI (Direction Centrale de las Sécurité des Systèmes d’ Information) a élaboré une méthode largement documenté, présentée et téléchargeable sur son site: www.ssi.gouv.fr/fr/dcssi. Dénommée Ebios ( Expression des Besoins et Identification des Objectifs de Sécurité), cette méthode est implémentée par les administrations françaises, permet de fixer les objectifs de la sécurité des organisation, pour répondre à des besoins déterminés.

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


http://www.ssi.gouv.fr/fr/dcssi

4. Méthodes et normes de sécurité Les différentes méthodes préconisées par le CLUSIF

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


Méthode Marion

MéthodeMEHARI

Méthode Marion : Méthode d’analyse des risques informatiques optimisation par niveau

Méhari : Méthode harmonisées d’ analyse des risques

Propose un cadre et une méthode qui garantissent la cohérence des décisions prises au niveau directorial

Structure la sécurité de l’entreprise sur une base unique d’ appréciation dans la complexité des systèmes d’information

Permet la recherche des solutions au niveau opérationnel de la sécurité en délégant les décisions aux unités opérationnelles et autonomes

Assure, au sein de l’entreprise, l’ équilibre des moyens et la cohérence des contrôles

Les applications de Méhari:Plan stratégique de sécurité - Plan(s) opérationnelle(s) de sécuritéTraitement d’une famille de scenario - Traitement d’un risque spécifiqueTraitement d’un critère de sécurité – Traitement d’un scenario particulierTraitement d’ une application opérationnelle – Traitement d’ un projet

4. Méthodes et normes de sécurité2) Norme internationale ISO/IEC 17799Origine L’origine de la norme IOS 17799 élaborée par l’ ISO (

www.iso.org) à la fin de l’année 2000 est la norme BS 7799 élaborée par l’association de normalisation britannique en 1995.

L’adoption par le marché de la norme ISO à été encouragé par le fait que certaines compagnies d’ assurance demandent l’ application de cette norme afin de couvrir le cyber-risques.

Son importance réside dans le fait que la norme aborde les aspects organisationnels, humains, juridiques et technologues de la sécurité en rapport avec les différentes étapes de conception, mise en œuvre et maintien de la sécurité.

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


http://www.iso.org/

4. Méthodes et normes de sécurité Elle aborde de dix domaines de sécurité, de 36 objectifs de

sécurité et de 127 points de contrôle. Les dix domaines abordés par la norme:

Politique de sécurité - Organisation de la sécuritéClassification et contrôle des actifs - Sécurité et gestion des ressources humaines;Sécurité physique et environnementale Exploitation de gestion des systèmes et des réseaux - Contrôle d’ accès;Développement et maintenance des systèmes - Continuité de service – conformité

Une nouvelle version améliorée de la norme (ISO/IEC 17799/2005) a été proposée en juillet 2005, elle adjoint aux dix domaine de sécurité de nouveaux paragraphes qui concernent l’ évaluation et l’ analyses des risques, la gestion des valeurs et des biens ainsi que la gestion des incidents.C

hap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


4. Méthodes et normes de sécuritéObjectifs de la norme ISO/IEC 17799:2005 La norme ISO/IEC 17799:2005 et ces versions antérieurs

aident les organisation à répondre à quatre principales questions concernant la protection de leurs actifs informationnels, à savoir :Que protéger et pourquoi?De quoi les protéger?Quels sont les risques?Comment les protéger?

En répondant à cette question, l’organisation définit sa méthode sécuritaires. La première étape de celle-ci consiste à réaliser l’ inventaire des valeurs à protéger en distinguent leur degré de criticité afin d’ effectuer des priorités à la réalisation des solutions de la sécurité.

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


4. Méthodes et normes de sécuritéStructure, thèmes et chapitres de la norme ISO/IEC 17799:2005 La norme comporte 11 chapitres dont les objectifs sont

illustrés dans le figure.

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


Politique de sécurité

Gestion des biens

Sécurité liée aux

ressources humaines

Sécurité physique

et environnementale

Gestion opérationnelle et gestion

de la communicati

on

Contrôle d’

accès

Acquisition développem

ent, et maintenanc

e des SI

Gestion d’ incident liés à la

sécurité d’ informatio

n

Gestion de la continuité de l’activité

Gestion de la sécurité de l’ information

Con

form

ité

4. Méthodes et normes de sécurité La structure et les thèmes évoqués dans la version 2005 de la

norme 17799 sont les suivants:- Introduction- Evaluation des risques et traitements- Politique de sécurité- Organisation de la sécurité de l’ information- Gestion des biens et des valeurs- Sécurité des ressources humaines- Sécurité physique et environnementale- Gestion des communication et des opérations- Contrôle d’ accès- Acquisition, développement et maintenance des systèmes de l’ information- Gestion des incidents de sécurité de l’information- Gestion de la continuité de l’ activité- Conformité

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


4. Méthodes et normes de sécurité Exemple :Gestion des incidents de sécurité de l’information:

- Notification des évènements et des faiblesse de sécurité de l’information- Notification des évènements de sécurité de l’ information- Notification des faiblesse de sécurité- Gestion des incidents et des améliorations de la sécurité de l’ information- Responsabilité et procédure- Enseignement à tirer des incidents de sécurité- Collecte de preuves

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


4. Méthodes et normes de sécurité3) norme internationale de la famille ISO/IEC 27000La famille des normes 27000 La famille des normes ISO/IEC 27001:2005 aborde le thème

de management de la sécurité de l’information dans sa globalité. La norme 27001 s’intitule “système de gestion de la sécurité de l’information”. D’autres nome de la famille 27000 traitent différents domaines, à savoir:- Les notions fondamentales et une formalisation du vocabulaire (27000)- Guide pour l’ implémentation du Système de Mangement de la Sécurité de l’Information (SMSI)(27003).- Les métriques du management de la sécurité de l’ information (72004).- La gestion du risque en matière de sécurité de l’ information (27005).- Les exigences pour les organismes auditant et certifiant un SMSI(27006)- Directives pour les auditeurs concernant les contrôles à effectuer pour un SMSI (27007);- Directives pour les auditeurs concernant les contrôles à effectuer pour un SMSI(27008)

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


4. Méthodes et normes de sécuritéIntroduction à la norme ISO 27001 La norme 27001 dérive de la norme nationale anglaise BS

7799-2 : 2002 qui a pour but les contrôles à mettre en place pour satisfaire les objectifs de la première partie BS 7799-1.

La norme 27001 établit un modèle pour établir, implémenter, exploiter, surveiller, maintenir et améliorer le système de management de la sécurité de l’information SMSI (Système de Mangement de la Sécurité de l’Information).

La norme s’ appuie sur un modèle PDCA (plan, do, check, act). Comprendre da sécurité sous la forme PDCA contribue à:- Comprendre les exigences de sécurité et besoins de la politique de sécurité;- Implémenter et effectuer des contrôles pour gérer le risque informationnel;- Surveiller et revoir la performance de SMSI- Proposer des améliorations basées sur des mesures de l’ efficacité du SMSI.

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


4. Méthodes et normes de sécurité Le modèle PDCA

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


Parties intéressées

Exigences et

expectatives de la

sécurité de l’

information

Etablir SMSI

Surveiller

SMSI

Implémenter et exploiter SMSI

Maintien et

amélioration du SMSI

Parties intéressées

La sécurité de l’

information gérée

PLAN

CHECK

DO ACT

4. Méthodes et normes de sécurité Etablir un modèle de gestion de sécurité satisfaisant les

exigences de la norme implique trois étapes: - Création d’un cadre managérial afin de spécifier les directives, les intentions et les objectifs pour la sécurité de l’information et définir les politique stratégique qui engage la responsabilité du management.- Identification et évaluation des risques réalisés sur la base des exigences de sécurité définies par l’ entreprise pour identifier les actions managériales appropriées à entreprendre et les priorités pour maîtriser le risque.- Développement du SMSI, choix et implémentation des contrôles à implémenter. Une fois que les exigences ont été déterminées, les contrôles appropriés peuvent être sélectionnées afin de s’assurer que les risques que le système d’ information fait encourir à l’ organisation sont réduit à un niveau acceptable conforment aux objectifs de la sécurité de l’ entreprise.C

hap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


4. Méthodes et normes de sécurité4) Méthodes et bonnes pratiques Avantage et inconvénients de l’utilisation d’une méthode pour

définir une politique de sécurité

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


Avantages InconvénientsGain en terme d’ efficacité en réutilisant le savoir-faire transmis par la méthode. Capitalisation des expériences.

Bien qu’ elles peuvent faire l’ objet de révision (nouvelles versions), les normes ou méthode se n’ évoluent pas au même rythme que les besoins ou les technologies.

Une norme ou une méthode est générale. Il faut s’avoir la spécifier en fonction de besoins particuliers de l’ organisation.

Langage commun, référentiel d’ actions structuration de la démarche, approche exhaustive.

Prolifération des méthodes : difficulté de choix.

Disposer des compétences nécessaires. Efforts financiers, durée, coûts, Difficultés à maitriser la démarche qui peut s’ avérer lourde et nécessité des compétences externes.Recourt à des consultants spécialisés.

Etre associé à des groupes d’ intérêts. Partage d’ expériences, de documentation, formation possibles.

4. Méthodes et normes de sécurité5) Modèle formel de politique de sécurité Différents modèles proposent une présentation abstraite des

principes de sécurité à prendre en compte:- Le modèle de Bell-LaPadula : modèle des exigences de contrôle d’ accès spécifiant une politique de sécurité pour la confidentialité;- Le modèle de Clark et Wilson lié à l’ intégrité des systèmes transactionnels commerciaux

Les principales définitions correspondant à ces modèles sont:- Objet O : Entité passive qui reçoit ou possède des informations ou encore l’ Objet de stockage, qui inclut les accès en lecture et en écriture.- Sujet S : Entité active (une personne, un processus ou un équipement) liée à un profil.- Opération licite T : L’ opération licite T est permise pour le sujet S sur l’ Objet O;- Canal caché : exploitation d’ un mécanisme non prévu pour la communication pour transférer des informations d’ une manière qui viole la sécurité.

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


Exercice 26 : Quels sont les avantages relatifs à la définition d’ une politique de sécurité pour une organisation?

Exercice 27 : Quels sont les éléments qui permettent de justifier la mise en place d’ une politique de sécurité pour le système d’ information d’ une entreprise?

Exercice 28 : Comment s’exprime la rentabilité d’ une politique de sécurité?

Exercice 29 : Identifier les principales étapes d’ une démarche sécurité?

Exercice 30 : Quels sont, pour une entreprise, les avantages et les inconvénients potentiels liés à l’ externalisation de la sécurité informatique (outsourcing) par rapport à une gestion interne de la sécurité?

Exercice 31 : Quelles sont les principales limites de la norme ISO 17799 pour la réalisation de la sécurité?

Ch

ap

itre

5 :

Gou

vern

an

ce e

t p

oli

tiq

ue d

e

sécu

rité


plan gouverner la sécurité gestion du risque informationnel politique de sécurité méthodes et...

Documents