sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
DESCRIPTION
TRANSCRIPT
1
Sécurisation d’un patrimoine
d’entreprise : Méthodologie et bonnes
pratiques
Elodie Heitz E Marketing / Management des TIC
Cours : Sécurité des Systèmes d’Information
Responsable du cours ;
Jean-Claude Héritier Dû le
15/01/2012
2
TABLE DES MATIERES
I. La politique de Sécurité des Systèmes d’Information (PSSI) ...................................... 4 A. L'étude préalable des risques SSI + Elaboration de la politique SSI ................................... 4 B. Mise en place de la politique SSI .......................................................................................... 5 C. Evolutivité de la politique SSI ........................................................................................................ 6
II. La sécurité physique de l’entreprise : protéger les infrastructures ............................. 7 A. Contrôles des accès et intrusions ................................................................................................ 7 B. Risques naturels .............................................................................................................................. 8 C. Gestion de la sécurité physique ............................................................................................ 9
III. La sécurité logique ; La méthode de défense en profondeur ................................. 10 A. Défense en profondeur : origines et fondements de la méthode ........................................ 10 B. Principes d’application de la défense en profondeur ............................................................ 11
a. Etape 1 : Objectifs de sécurité ......................................................................................... 12 b. Etape 2 : Organisation architecture générale ............................................................... 12 c. Etape 3 : Politique de défense ......................................................................................... 13 d. Etape 4 + 5: Qualification & homologation .................................................................... 13 e. exemple pratique .............................................................................................................. 13
CONCLUSION .................................................................................................................................... 14 SOURCES ............................................................................................................................................ 15
3
Introduction : Les bonnes
Depuis quelques décennies, le modèle de l’entreprise
s’est complexifié, ainsi que la chaîne de valeur. Enjeux
politiques, sociaux, environnementaux mais surtout
technologiques et informationnels amènent les
Managers, Directeurs des Systèmes d’Informations et
responsables à s’interroger voire se remettre en
question sur les moyens les plus adéquats pour
assurer la sécurité du patrimoine de l’entreprise.
Toutes les organisations ne sont pas égales en termes de moyens, de taille ou de
personnel compétent lorsqu’il s’agit de veiller à la sécurité physique et/ou logique de leur
patrimoine. Pourtant, il existe aujourd’hui diverses ressources permettant d’assurer la
pérennité de son activité.
Seulement, avant de mandater un consultant ou de se risquer à l’abstention, des bonnes
pratiques, souvent simples, sont à adopter. Ces mesures et comportements sont
applicables quelque soit la taille de l’organisation, et sont souvent obligatoires car
encadrées juridiquement.
L’objet de notre étude est précisément d’établir une méthodologie et un tour d’horizon des
bonnes pratiques. A mesure de notre analyse, nous verrons que le bon sens est souvent de
mise, et que dans la plupart des cas, il existe un référentiel ou ressources documentaires
(sinon un organisme compétent) répondant au besoin de l’entreprise, que ce soit en terme
de réflexion, de mise en place d’une politique de sécurité ou de validation & test de celle-ci.
Nous déroulerons également des procédés de mise en œuvre de protection physique du
patrimoine de l’entreprise, puis de protection logique à travers la défense en profondeur.
INTRODUCTION
4
I. La politique de Sécurité des Systèmes d’Information (PSSI)
La sécurisation du patrimoine de l’entreprise relève de la vision stratégique de
l’entreprise. Il est en effet capital que les procédures et mesures de sécurité soient
clairement définies et alignées avec l’activité de l’entreprise, sa taille et ses objectifs.
De plus, la sécurité concerne chaque partie prenante, l’information doit être diffusée
et accessible à tous. Pour celà, toute organisation est tenue d’établir, d’appliquer et
de faire évaluer régulièrement une politique de sécurité des systèmes d’information.
A. L'étude préalable des risques SSI + Elaboration de la politique SSI
Depuis 2002, l’OCDE met un point d’orgue à encadrer la sécurité des
systèmes d’information dans les entreprises. Cette normalisation permet aux
entreprises de s’adapter aux nouveaux enjeux et challenges qui modifient
constamment l’écosystème des SI. Ainsi, l’instauration d’une « culture des SI »
répond non seulement au besoin d’encadrement, mais aussi d’actualisation
permanente des processus.
Il est alors nécessaire pour toute entreprise de mettre en place une politique de
sécurité des systèmes d’information. La mise en place de cette politique aboutira à
un document, qui détaillera les règles de sécurité, suivant ce qu’on appelle les
principes de sécurité et constituera la référence relative à toute question en la
matière, et ce pour tout son périmètre d’application.
Comme il s’agit d’un document référent, le rapport de politique de sécurité des SI doit
être élaboré en cohérence avec la stratégie de l’entreprise, et être le fruit d’une
concertation entre les acteurs clés (direction, management, responsables & salariés).
De plus, aucun élément ne doit être négligé ni omis ; périmètre d’application, enjeux,
objectifs, normes, menaces et besoins en disponibilité / Intégrité / confidentialité.
Dans la pratique, l’élaboration d’une PSSI débute par une évaluation des
risques et des besoins puis la définition des règles cohérentes avec la stratégie et les
5
besoins précédemment définis. Cette phase se déroule la plupart du temps sous
forme d’audit et à l’aide de méthodes (EBIOS par exemple, disponible en_ligne ).
plan d’élaboration d’une PSSI – les encadrés gris représentent les livrables issus de chaque phase de
réflexion-
B. Mise en place de la politique SSI
Une fois la politique de SSI établie, vient l’étape de la mise en œuvre. Il s’agit d’une
étape puisque plusieurs politiques SSI peuvent coexister au sein d’une organisation,
chacune pouvant avoir un périmètre restreint (fonctionnel par exemple). A l’inverse, il peut
n’y avoir qu’une politique globale et déclinable.
Quel que soit la stratégie choisie, il est primordial d’assurer la communication tout au long
du projet de déploiement de la politique de sécurité, afin de minimiser les résistances et
surtout que chaque partie prenante adhère et s’approprie la démarche ainsi que ses
bénéfices.
6
A noter que la PSSI peut être intégrée au système d’informations de manière modulaire et
échelonnée, comme elle peut faire l’objet d’une date d’application dans son ensemble.
Tout dépend de la vision stratégique de l’entreprise, de son secteur d’activité et surtout
des ressources (humaines, notamment) disponibles à chaque étape du projet de PSSI.
C. Evolutivité de la politique SSI
La politique de Sécurité des Systèmes d’Information n’a de raison d’être que si elle possède
un volet relatif à sa vérification, son amélioration et sa révision.
L’efficacité d’une PSSI dépend majoritairement de sa capacité à prendre en compte les
évolutions de plusieurs natures :
- évolution de l’entreprise
- évolutions/mises à jour/ modifications voire changement complet du SI
- évolutions des risques et des menaces
Mais une Politique SSI doit aussi pouvoir être rectifiée en fonction des observations et
retours des membres de l’organisation (suggestions, dysfonctionnements, difficultés
constatées etc.)
Une Politique de Sécurité des Systèmes d’Information est donc un projet dynamique
et mené à long terme, de manière cohérente avec la stratégie de l’organisation. Les
référentiels et méthodes assurent une structure à la démarche et des experts et organismes
gouvernementaux contribuent à l’encadrement de l’acquisition d’une culture de la sécurité
des SI. De plus, des référentiels d’aide et de vérification permettent d’évaluer les risques et
les mesures prises.
7
II. La sécurité physique de l’entreprise : protéger les infrastructures
La sécurité physique de l’entreprise concerne principalement ses locaux et les
moyens d’y accéder et d’y pénétrer. Evaluer la sécurité physique d’une organisation
consiste à juger de la difficulté d’accès aux informations qu’elle génère et stocke, et plus
généralement aux risques pouvant compromettre la disponibilité, l’intégrité et la
confidentialité des données. Ainsi, une entreprise bâtie telle une forteresse pourra paraître
infaillible au vu des contrôles d’accès draconiens et de l’architecture dédiée. Pourtant, si
l’entreprise se situe dans une forte zone sismique, le risque de disponibilité demeurera
élevé.
A. Contrôles des accès et intrusions
Procéder à l’évaluation des contrôles d’accès au site physique de l’organisation et de
ses vulnérabilités en terme d’intrusions revient à vérifier de manière stricte chaque point
d’accès et ses moyens de contrôles, puis de les noter selon une gradation stricte. Cette
gradation est déterminée par le référentiel utilisé par l’auditeur, mais aussi par le degré
d’importance et de menace que représente la vulnérabilité physique en question.
Les points de contrôles extérieurs peuvent comprendre ;
- le dispositif de sécurité (éclairage, alarmes, vigiles, portail sécurisé…)
- l’environnement extérieur (végétation, présence de cours d’eau, altitude…)
- la nature des installations (type de construction, voies d’accès, configuration)
De plus, il faut s’assurer que les bonnes personnes aient accès aux bonnes ressources. Le
système de badges magnétiques aujourd’hui adopté dans de nombreuses entreprises
répond plutôt bien au besoin de segmenter les accès et de protéger les informations
sensibles des personnes dont les besoins métiers ne nécessitent pas la consultation ni la
modification de telles données. Bien entendu, la principale limite à ce procédé est la perte
ou le vol d’un tel badge mais à ce jour, il n’existe aucun système parfait.
8
B. Risques naturels
Les risques naturels sont a priori, les plus imprévisibles de par leur nature souvent
météorologique et donc inévitable. Pourtant, qu’il s’agisse d’une tempête, d’un orage ou
d’un tremblement de terre, l’organisation doit pouvoir se prémunir des conséquences que
ces intempéries pourraient avoir sur leur activité. Une fois encore, le degré de mesures en
matières de prévention, recouvrement et mesures de continuité dépendra des risques
avérés, croisés avec les besoins de disponibilité, intégrité et/ou confidentialité de chaque
ressource de l’entreprise.
Lors d’un audit, il ne s’agit pas seulement d’évaluer les risques, mais de mettre en rapport
les menaces extérieures potentielles avec les mesures préventives afin de déterminer le
degré de risques.
Les principaux points pouvant être vérifiés peuvent comprendre ;
- l’état des locaux
- Le mode de stockage des produits inflammables & mesures anti-incendie
- Procédures liées aux dégâts des eaux
- Lieux et modes de stockage des données sensibles (archives, serveurs …)
- Plan d’évacuation du personnel et formations liées
- Etc.
9
C. Gestion de la sécurité physique
La sécurité physique est évolutive et fait partie intégrante de la politique de sécurité des
systèmes d’information.
A ce titre, la gestion de la sécurité physique doit être dynamique et évolutive en fonction des
changements pouvant intervenir dans la vie de l’entreprise, mais également
l’environnement extérieur et les évolutions technologiques.
Outre les installations, l’accent doit être mis sur la communication des processus de
sécurité et les bonnes pratiques à adopter. En effet, il est souvent estimé qu’un
collaborateur constitue la plus grande vulnérabilité au sein d’une entreprise. Cette assertion
peut être comprise comme un manque de circulation de l’information de la part de la
direction, ou d’un manque de formation.
Le collaborateur formé et informé sera plus sensibles au respect des règles de sécurité
qu’un salarié ayant uniquement reçu un document (ou un email) détaillant les nouveaux
comportement à adopter suite à la modification du système d’alarme ou suite à
l’instauration d’une norme qu’il ne maîtrisera pas.
L’organisation doit en conséquence prévoir un budget important pour assurer sa sécurité
physique afin d’entretenir les locaux, de rénover ou réparer des éléments ayant subi
d’éventuels dommages. Tout cela afin de réduire les risques et de ne pas compromettre la
sécurité du système d’informations, ni des collaborateurs.
10
III. La sécurité logique ; La méthode de défense en profondeur
La sécurité logique a vu son importance croître avec l’adoption de l’informatique, puis des
bases de données et enfin des systèmes d’information complexes. L’information et les
données sensibles sont aujourd’hui au cœur de la valeur de l’entreprise. La gestion de
l’information en entreprise est d’ailleurs un des secteurs les plus importants sur les marchés
business to business et business to government .
De plus en plus, l’entreprise s’ouvre vers l’extérieur, échange des informations avec une
rapidité croissante. En conséquence, les réseaux de l’entreprise s’ouvrent à leur tour et
deviennent plus vulnérables.
A. Défense en profondeur : origines et fondements de la méthode
Le concept de défense en profondeur provient du domaine militaire, avec l’apparition du
boulet métallique remettant en cause la protection du fort Vauban. Ses fortifications ont
donc été construites afin d’anticiper la menace (le boulet métallique), en utilisant la
profondeur du terrain. Outre la profondeur, les lignes de défenses étaient autonomes de
manière à ce que la destruction d’une ligne défensive ne compromette pas les deux
suivantes.
Dans l’industrie énergétique, le même procédé des 3 barrières indépendantes a été mis en
œuvre, comme ci-dessous dans le cas d’un réacteur nucléaire :
11
L’évolution du nucléaire par rapport au fort Vauban, a été la gradation des risques et la mise
en place des protections, en fonction de l’échelle de vulnérabilité (échelle INES).
Cette gradation des vulnérabilités appliquée à l’industrie a longtemps été manquante dans
le domaine de l’informatique.
B. Principes d’application de la défense en profondeur
Lorsqu’il s’agit de sécurité des systèmes d’information, le principe de défense en profondeur
est évoqué pour répondre à quatre objectifs principaux :
- Evaluation des biens à protéger
- Evaluation du niveau de sécurité de l’entreprise
- Estimation des menaces possibles
- Mise en place de barrières de défenses indépendantes
Les étapes d’un processus de défense en profondeur dans le cadre d’un projet SI se
déroulent généralement selon le schéma suivant, que nous allons détailler :
a. Etape 1 : Objectifs de sécurité
Lors de cette étape, il s’agit d’évaluer les biens et les objectifs de sécurité de l’entreprise
afin de s’assurer que les objectifs SI soient alignés avec la stratégie de l’entreprise.
Outils / méthode : classification des informations, criticité des applications, échelle de
gravité SSI
b. Etape 2 : Organisation architecture générale
Cette phase d’analyse a pour but d’évaluer le niveau de maturité de l’entreprise. En
d’autre termes, de mesurer son degré de sécurisation et d’exposition au risque.
On détermine ensuite les barrières nécessaires.
Outils / méthode : diagrammes en radar croisant plusieurs paramètres de sécurité &
aspects organisationnels de l’entreprise.
13
c. Etape 3 : Politique de défense
Cette phase consiste à déterminer la défense globale (détection des attaques, remontée
des informations, déclenchement des alertes) et la planification (reconfigurations possibles,
plan de secours)
d. Etape 4 + 5: Qualification & homologation
Durant ces étapes, l’organisation et l’architecture proposée sont validées. L’homologation
par la direction est suivie par l’exécution du plan de défense en profondeur, puis de son
suivi par les parties désignées.
e. exemple pratique
Dans le schéma ci-dessus, nous retrouvons les trois niveaux de barrières indépendantes
que préconise la méthode de défense en profondeur.
14
CONCLUSION
La sécurisation du patrimoine de l’entreprise est un projet qui mobilise les dirigeants
et les collaborateurs à long terme, car elle est inhérente à la stratégie de l’entreprise. De
plus, les normes légales imposées sont de plus en plus strictes.
Il est donc indispensable de choisir son/ses référentiels avec précaution afin que les
décisions et actions qui en découlent soient en adéquation avec l’activité et le niveau de
maturité de l’entreprise.
La politique de sécurité des systèmes d’information est le point de départ déterminant pour
assurer une bonne sécurité physique et logique du patrimoine d’une organisation car elle en
fixe les bases.
Toutefois, suivre un projet de sécurité des systèmes d’information ne doit en aucun cas se
limiter à l’application d’un référentiel ou d’une stratégie figée.
Les tendances évoluent : marché, outils, menaces, enjeux des entreprises. A titre
d’exemple, la tendance aujourd’hui n’est plus le filtrage blacklist / whitelist, mais selon un
filtrage protocolaire, effectué selon la réputation des sites.
Autre élément capital, la communication et la prévention. 90% des attaques proviennent du
réseau interne de l’entreprise.
Enfin, les nouvelles pratiques tendent à redessiner le patrimoine de l’entreprise et à en
rendre plus floues les frontières : télétravail, BYOB (bring your own device). Tant
d’opportunités business qui posent aujourd’hui de nouvelles problématiques en terme de
sécurité SI.
15
SOURCES
Web :
- http://www.clusif.asso.fr/ - http://www.cases.public.lu/fr/index.html - http://www.securite-informatique.gouv.fr/ - http://www.ssi.gouv.fr/
Entretien :
- Julien Dross ; spécialiste IT , Orange Business Services