Manager la sécurité de l`information

Sécurité :dossier
Manager la sécurité de l’information
Cette recommandation repose
sur les meilleures pratiques
préconisées par une sélection de publications du
ministère du commerce et
de l'industrie britannique
(Department of trade and
industry), du ministère du
commerce américain, de l'administration de la NouvelleGalles du Sud (Australie) et
de l'OCDE.
Le comité des technologies
de l'information de l'IFAC
exprime sa reconnaissance
envers l'ISACA pour sa collaboration et remercie les
différentes personnes qui ont
contribué à ce document :
• Susan M. Caldwell, ISACA,
• Michael P. Cangemi,
• Michael Donahue, PricewaterhouseCoopers,
• Erik Guldentops, S.W.I.F.T.,
• Gary I. Hardy, EY,
• John A. Kuyers,
• John W. Lainhart IV, PricewaterhouseCoopers
• Akira Matsuo, Chuo Audit
Corporation,
• Robert G. Parker, Deloitte &
Touche LLP,
• Deepak Sarup, ALLTEL
International Recource,
• Patrick
Stachtchenko,
Delloite Touche Tohmatsu.
• la dépendance accrue vis-à-vis de
l'information ainsi que des systèmes et des communications qui
fournissent cette information ;
• l'ampleur et les coûts des investissements actuels et futurs dans l'information ; et
• le potentiel que possèdent les
technologies de changer les organisations et les pratiques des
affaires, de créer des opportunités
nouvelles et de réduire les coûts.
La plupart des organisations reconnaissent les avantages potentiels
que la technologie peut leur apporter. Mais les organisations qui réussissent sont celles qui comprennent
et gèrent les risques associés à la
mise en œuvre des nouvelles technologies. Les dirigeants ont besoin
d'avoir une appréciation et une
compréhension de base des risques
et des contraintes des technologies
de l'information afin de fixer une
orientation pertinente et des
contrôles adéquats.
Pourquoi ?
1. Dans une société globale de
l'information, la circulation de l'information sur le Cyber-espace est
devenue routinière et son importance est largement reconnue. Par
ailleurs l'utilisation de l'information
et des systèmes d'information et de
communication dans les organisations est très répandue – depuis la
plate-forme de l'utilisateur jusqu'aux
serveurs et aux ordinateurs centraux
reliés par des réseaux locaux et des
réseaux à grande distance. Par
conséquent la direction a la responsabilité d'assurer que l'organisation
procure un environnement sécurisé
à tous les utilisateurs. Une sécurité
solide est fondamentale pour donner cette assurance. D'autre part, les
organisations ont besoin de se protéger contre les risques inhérents à
l'utilisation des systèmes d'information tout en profitant en même
temps des avantages qui découlent
de la sécurité des systèmes. Ainsi,
alors que la dépendance vis-à-vis
des systèmes d'information s'accroît,
la sécurité est reconnue universellement comme une qualité omniprésente et hautement nécessaire.
Quoi ?
2. Le concept de sécurité s'applique
à toute information. La sécurité
concerne la protection des actifs de
valeur contre la perte, la divulgation
ou les dégâts. Dans ce contexte, les
actifs de valeur sont les données ou
les informations stockées, traitées,
partagées, transmises ou extraites à
partir d'un support électronique.
Les données ou les informations
doivent être protégées contre les
menaces qui conduisent à la perte,
l'inaccessibilité, l'altération ou la
divulgation inappropriée. La protection est obtenue au moyen d'un
ensemble de couches de parades
techniques ou non techniques telles
que des mesures de sécurité
physique, des contrôles de bases,
l'identification des utilisateurs, les
mots de passe, les cartes à puce, les
techniques biométriques, pare-feu
etc. La sécurité s'applique à toute
information. Le concept de sécurité
se résume à l'objectif de sécurité.
Objectif de sécurité : « la sécurité
des systèmes d'information a pour
objectif de protéger les intérêts de
ceux qui dépendent des systèmes
d'information et de communication
qui délivrent l'information, contre
les préjudices imputables à des
défauts de disponibilité, de confidentialité, et d'intégrité ».
• La revue n° 85 - Février 2007
Le but de cette recommandation est d'aider le management à mettre en œuvre une
politique et des procédures
dans le cadre d'un modèle de
contrôle interne. Des conseils
techniques supplémentaires
peuvent être nécessaires
lorsque le management
cherchera à mettre en œuvre
cette recommandation.
Dans un monde numérique, le
management efficace de l'information, des systèmes d'information et
des communications est d'une
importance critique pour le succès
et la survie d'une organisation. Ce
caractère critique provient de :
11
dossier :Sécurité
Principes de base
Responsabilité : les attributions et
responsabilités doivent être explicites.
Sensibilisation : la sensibilisation
aux risques et les initiatives en
matière de sécurité doivent être
propagées.
Pluridisciplinarité : la sécurité doit
être abordée en prenant en compte
à la fois les problèmes techniques et
non techniques.
Rentabilité : la sécurité doit être
rentable.
Intégration : la sécurité doit être
coordonnée et intégrée.
Réévaluation : la sécurité doit être
réévaluée périodiquement.
Délai : les procédures de sécurité
doivent pourvoir à la surveillance et
apporter des réponses dans les
délais.
Facteurs sociétaux : les règles
d'éthique doivent être encouragées
en respectant les droits et les intérêts de tous.
Comment ?
3. Pour satisfaire l'objectif de sécurité et développer et maintenir des
contrôles adéquats en conformité
avec les meilleurs principes de base,
une approche permanente et intégrée est nécessaire.
• La revue n° 85 - Février 2007
Approche
12
Développement d'une politique :
l'objectif de sécurité et les principes
de base fournissent un cadre pour la
première étape critique pour toute
organisation – développer une politique de sécurité.
Rôles et responsabilité : pour que
la sécurité soit réelle, il est impératif
que le rôle des individus, les responsabilités et l'autorité soient clairement communiqués et compris
par tous.
Conception : une fois que la politique a été approuvée par l'organe
qui gouverne l'organisation et que
les rôles et responsabilités ont été
attribués il est nécessaire de déve-
lopper un cadre de sécurité et de
contrôle constitué de normes, de
mesures, de pratiques et de procédures.
Mise en œuvre : après approbation
de la conception de normes de sécurité, de mesures, de pratiques, et de
procédures, la solution doit être
mise en place dans les délais impartis et maintenus ensuite.
Surveillance : la surveillance des
mesures doit être établie pour
détecter les violations de sécurité et
les corriger, le but étant d'identifier
rapidement toutes les violations
réelles et suspectées, d'enquêter et
de réagir, et assurer la conformité
permanente à la politique, aux
normes, et aux pratiques de sécurité
minimales acceptables.
Sensibilisation, formation et éducation : la sensibilisation au besoin
de protéger l'information, la formation aux techniques nécessaires
pour exploiter les systèmes d'information en toute sécurité et l'éducation aux mesures et aux pratiques
de sécurité ont une importance capitale pour le succès du programme de
sécurité de l'organisation.
Quand ?
4. Dans un environnement technologique en perpétuel changement,
ce qui est considéré aujourd'hui
comme l'état de l'art sera considéré
demain comme dépassé et la sécurité doit s'adapter à la vitesse de ces
changements. La sécurité doit être
considérée comme partie intégrante
du processus de cycle de vie du
développement des systèmes et
prise en compte explicitement à
chaque phase du processus. Le
caractère opportun est critique pour
assurer la sécurité de l'information.
Qui ?
5. L'encadrement, les professionnels
de la sécurité des systèmes d'information, les propriétaires de données, les propriétaires de processus,
les fournisseurs de technologies, les
utilisateurs et les auditeurs de système d'information ont tous des
rôles et des responsabilités pour
assurer l'efficacité des systèmes
d'information. Les diligences appropriées doivent être exercées par tous
les individus impliqués dans le
management, l'utilisation, la conception, le développement, la maintenance, l'exploitation, ou la surveillance des systèmes d'information.
Définition des termes clés
6. Par disponibilité on entend pour
des données, des informations ou
des systèmes d'information le fait
d'être accessibles et utilisables en
temps voulu et de la manière
requise.
Les communications consistent en
la transmission et la réception de
signaux et comprennent les communications de la voie et des données.
Par confidentialité on entend pour
des données et des informations le
fait d'être uniquement divulguées
aux personnes, entités et processus
à des moments autorisés et d'une
manière autorisée.
Le Cyberespace est le réseau global
d'information et de communication
affranchi des contraintes de temps,
de distance et d'espace.
Par données on entend une représentation de faits, de concepts ou
d'instructions sous une forme adaptée à la communication, à l'interprétation ou au traitement par des êtres
humains ou des moyens automatiques.
Par informations on entend la signification que prennent les données
du fait des conventions qui s'attachent à ces données.
Par système d'information on
entend les ordinateurs, les installations de communication, les réseaux
d'ordinateurs et de communication,
les données et les informations qu'ils
permettent d'enregistrer, de traiter,
de stocker, de partager, de transmettre et d'extraire y compris les
programmes, spécifications, et procédures destinés à leur fonctionnement, utilisation, et maintenance.
Un auditeur de systèmes d'information est un auditeur – interne ou
Sécurité :dossier
Par intégrité on entend pour des
données ou des informations le fait
d'être exactes et complètes et la
préservation de ce caractère exact et
complet contre une modification
non autorisée, non prévue, ou fortuite.
Pourquoi la sécurité de
l’information est importante ?
7. Dans une société globale de
l'information, la circulation de l'information sur le Cyberespace est
devenue routinière et son importance est largement reconnue. Par
ailleurs l'utilisation de l'information
et des systèmes d'information et de
communication dans les organisations est très répandue – depuis la
plate-forme de l'utilisateur jusqu'aux
serveurs et aux ordinateurs centraux
reliés par des réseaux locaux et des
réseaux à grande distance. Les organisations dépendent d'une information exacte, complète, valide, cohérente, pertinente et fiable. Par conséquent la direction est responsable
de s'assurer que l'organisation fournit
à tous les utilisateurs un environnement sécurisé pour ses systèmes
d'information.
8. L'utilisation des systèmes d'information apporte beaucoup d'avantages directs ou indirects, mais présente également beaucoup de
risques directs et indirects. Ces
risques se traduisent par un écart
entre le besoin de protection des
systèmes et le niveau de protection
appliqué. Cet écart a pour causes :
• l'utilisation largement répandue
des technologies ;
• l'interconnexion des systèmes ;
• la suppression des contraintes de
distance, de temps et d'espace ;
• l'irrégularité des changements
technologiques ;
• la décentralisation du management et du contrôle ;
• l'attrait de mener des attaques
électroniques non conventionnelles contre les organisations par
rapport aux attaques physiques
classiques ;
• les facteurs externes comme les
exigences législatives, légales et
réglementaires ou les développements technologiques.
9. Des failles de sécurité, comme par
exemple la divulgation non autorisée d'information concurrentielle
ou sensible, peuvent avoir pour
conséquences des pertes financières
ou a des pertes intangibles.
10. Les menaces contre les systèmes
d'information peuvent être intentionnelles ou involontaires et avoir
pour origine des sources internes ou
externes. Les menaces peuvent
provenir entre autres de défauts
techniques (erreurs de programmes,
accidents de disques), de catastrophes naturelles (incendies, inondations), de défauts d'environnement (surtensions électriques), de
facteurs humains (manque de
formation, erreurs, omissions),
d'accès non autorisés (hacking), ou
des virus. À côté de ces menaces,
d'autres prennent de plus en plus
d'importance comme les dépendances commerciales (dépendance
d'un tiers opérateur de communications, opérations sous-traitées, etc.)
qui ont pour conséquence potentielle la perte de contrôle ou un
oubli de la part de la direction.
11. Des mesures adéquates de sécurité de l'information contribuent à
s'assurer du fonctionnement sans
heurts des systèmes d'information
et protègent l'organisation de perte
ou d'embarras causés par des
faiblesses de sécurité.
Qu’est-ce que la sécurité
de l’information ?
12. La sécurité concerne la protection des actifs de valeur contre la
perte, la divulgation, ou les dégâts.
La sécurisation d'actifs de valeur
contre les menaces, le sabotage, les
catastrophes naturelles par des protections physiques telles que des
serrures, clôtures, et le recours à
l'assurance est généralement compris
et mis en place dans la plupart des
organisations. Le périmètre de la
sécurité doit cependant être élargi
pour inclure des parades techniques
comme les identificateurs, les mots
de passe, pare-feu, etc. Ces parades
sont moins bien comprises que les
parades physiques par les organisations. Dans les organisations qui
ont subi une atteinte à la sécurité,
l'efficacité des politiques et des procédures doit être réévaluée.
13. Le concept de sécurité s'applique à toute information. Dans ce
contexte, les actifs de valeur sont les
données ou les informations stockées, traitées, partagées, transmises
ou extraites à partir d'un support
électronique. Les données ou les
informations doivent être protégées
contre les menaces qui conduisent à
la perte, l'inaccessibilité, l'altération
ou la divulgation inappropriée. La
protection est obtenue au moyen
d'un ensemble de couches de
parades techniques ou non techniques telles que des mesures de
sécurité physique, des contrôles de
bases, l'identification des utilisateurs, les mots de passe, les cartes
à puce, les techniques biométriques,
pare-feu, etc.
Objectif de sécurité : « la sécurité
des systèmes d'information a pour
objectif de protéger les intérêts de
ceux qui dépendent des systèmes
d'information et de communication
qui délivrent l'information, contre les
préjudices imputables à des défauts
de disponibilité, de confidentialité,
et d'intégrité ».
Quelle que soit l'organisation, l'objectif de sécurité est atteint quand :
• les systèmes d'information sont
disponibles et utilisables en cas de
besoin (disponibilité) ;
• les données et les informations
sont divulguées uniquement à
ceux qui ont le droit de les
connaître (confidentialité) ; et
• les données et les informations
sont protégées contre les modifications non autorisées (intégrité).
La priorité relative et l'importance
de la disponibilité, confidentialité
et intégrité varient en fonction des
• La revue n° 85 - Février 2007
externe – qui dispose des connaissances, compétences et moyens
pour revoir et évaluer le développement, la maintenance et les traitements de parties de systèmes d'information.
13
dossier :Sécurité
données à l'intérieur du système
d'information et du contexte
commercial dans lequel elles sont
utilisées.
Quels sont les principes
de la sécurité de l’information ?
14. L'objectif de sécurité est supporté par huit principes de base
– responsabilité, sensibilisation,
caractère multidisciplinaire, rentabilité, intégration, réévaluation, l'opportunité et les facteurs sociétaux.
Chaque principe est brièvement
développé ci-après.
RESPONSABILITÉ – Les responsabilités et les attributions doivent
être explicites.
• La revue n° 85 - Février 2007
15. La sécurité de l'information
exige que les responsabilités et les
attributions des propriétaires de
données, des propriétaires de processus, des fournisseurs de solutions
techniques et des utilisateurs soient
explicitement désignées sans délai.
Ces attributions doivent être formalisées et communiquées.
14
Les points à prendre en compte
sont :
• spécification de la propriété des
données et des informations ;
• identification des utilisateurs et
des individus qui accèdent au
système de façon exceptionnelle ;
• l'enregistrement des activités
grâce à un mécanisme de piste
d'audit ;
• la désignation de la responsabilité
pour la maintenance des données
et des informations ; et
• l'établissement de procédures
d'investigations et curatives en cas
de violation ou de tentative de
violation de l'objectif de sécurité.
SENSIBILISATION – La sensibilisation aux risques et les initiatives
en matière de sécurité doivent être
diffusées.
16. Afin d'établir la confiance dans
l'information, les propriétaires de
données, les propriétaires de processus, les fournisseurs de solutions
technologiques, les utilisateurs, et
les autres parties qui ont un intérêt
légitime de connaître ou être infor-
més, doivent être en mesure de
prendre connaissance de l'existence
des risques et du degré de risques
encourus par l'organisation et ses
systèmes ainsi que des initiatives et
des besoins de sécurité de l'organisation. Les mesures de sécurité ne
sont efficaces qu'à la condition que
tous ceux qui sont concernés par ces
mesures soient sensibilisés à leur
fonctionnement correct et aux
risques auxquels elles permettent
de répondre.
Les points à considérer comprennent :
• le niveau des détails divulgués ne
doit pas compromettre la sécurité ;
• la connaissance appropriée est
mise à la disposition de toutes les
parties qui ont le droit légitime
d'être informées et pas uniquement les utilisateurs ;
• la sensibilisation fait partie du programme d'accueil des nouveaux
recrutés par l'organisation, afin
d'éveiller la sensibilisation à la
sécurité comme faisant partie
intégrante de la culture d'entreprise ; et
• la prise de conscience que le maintien de la sensibilisation est un
processus permanent.
PLURIDISCIPLINARITÉ – La sécurité doit être abordée en considérant à la fois les aspects techniques
et les aspects non techniques.
17. La sécurité est plus qu'une affaire
de simple technique. Elle couvre les
aspects administratifs, organisationnels, opérationnels et légaux. Par
conséquent les normes techniques
doivent être développées avec et
renforcées par, des codes de pratiques ; l'audit ; des exigences législatives, légales et réglementaires ; et la
sensibilisation, l'éducation et la formation.
Les points à considérer comprennent :
• la valeur commerciale ou la sensibilité des actifs informatifs ;
• les conséquences des changements organisationnels et techniques sur l'administration de la
sécurité ;
• les technologies disponibles pour
atteindre les objectifs de sécurité ;
• les exigences des normes législatives et industrielles ; et
• les exigences de gérer avec prudence les techniques de sécurité
d'avant-garde.
RENTABILITÉ – La sécurité doit être
rentable.
18. Des niveaux et des types différents de sécurité peuvent être
nécessaires pour répondre aux
risques de l'information. Les niveaux
de sécurité et les coûts associés doivent être en rapport avec la valeur
de l'information.
Les points à considérer comprennent :
• la valeur pour l'organisation et sa
dépendance vis-à-vis d'actifs informatifs particuliers ;
• la valeur intrinsèque des données
et des informations, en fonction
d'un niveau préétabli de confidentialité ou de sensibilité ;
• les menaces sur l'information
caractérisées par leur sévérité et
leur probabilité ;
• les parades prévues pour minimiser ou éliminer les menaces
ainsi que les coûts de mise en
place de ces parades ;
• les coûts et les bénéfices des
accroissements marginaux du
niveau de sécurité ;
• les parades qui procurent un équilibre optimum entre les dégâts
consécutifs à une violation de la
sécurité et les coûts associés à ces
parades ; et
• l'avantage d'adopter des parades
minimum de sécurité lorsqu'elles
sont disponibles et appropriées en
tant que solution rentable pour
équilibrer les coûts et les risques.
INTÉGRATION – La sécurité doit
être coordonnée et intégrée.
19. Afin de créer un système cohérent de sécurité, les mesures, les pratiques et les procédures de sécurité
de l'information doivent être coordonnées et harmonisées entre elles
et avec les autres mesures, pratiques,
et procédures de l'organisation et
des parties tierces sur lesquelles
reposent les processus d'affaires de
l'organisation. Cette intégration
Sécurité :dossier
Les points à considérer comprennent :
• la politique et le management de
la sécurité font partie intégrante
du management de l'organisation ;
• le développement simultané des
systèmes de sécurité avec les systèmes d'information, ou du moins
l'harmonisation de tous les processus de sécurité pour fournir un
cadre cohérent de sécurité ;
• la revue des systèmes interconnectés pour s'assurer que le
niveau de sécurité est compatible ;
• les risques concernant les parties
tierces sur lesquelles reposent les
processus d'affaire de l'organisation.
RÉÉVALUATION – La sécurité doit
être réévaluée périodiquement.
20. La sécurité des systèmes d'information doit être réévaluée périodiquement car les systèmes d'information et leurs besoins de sécurité évoluent dans le temps.
Les points à considérer comprennent :
• une dépendance accrue vis-à-vis
des systèmes d'information exigeant une actualisation des plans
de continuité et des accords ;
• des changements apportés aux
systèmes d'information et leur
infrastructure ;
• de nouvelles formes de menaces
sur les systèmes d'information exigeant de meilleures parades ;
• des technologies de sécurité
émergentes qui procurent des
parades à un coût efficace meilleur
qu'auparavant ; et
• un recentrage de l'activité, une
structure organisationnelle ou une
législation différente nécessitant
un changement du niveau de
sécurité existant.
OPPORTUNITÉ – Les procédures de
sécurité doivent pourvoir à une
surveillance et une réaction dans
les délais.
21. Les organisations doivent instaurer des procédures de surveillance et de réaction aux violations
réelles ou aux tentatives de violation
de sécurité dans les délais impartis
et en proportion des risques. Le
caractère d'instantanéité et transfrontière de l'information et les
dégâts potentiels qui peuvent se
produire rapidement exigent que les
organisations réagissent avec
promptitude.
Les points à considérer comprennent :
• le caractère instantané et irréversible des transactions commerciales ;
• le volume d'information généré
par les systèmes d'information
complexes de plus en plus interconnectés ;
• les outils automatisés de surveillance en temps réel et en
temps différé ; et
• l’opportunité de faire remonter les
violations au niveau approprié de
prise de décision.
FACTEURS SOCIÉTAUX – L'éthique
doit être promue en respectant les
droits et les intérêts de chacun.
22. L'information et sa sécurité doivent être fournies et utilisées dans le
respect des droits et des intérêts de
chacun et avec un niveau de sécurité
cohérent avec l'utilisation et la circulation de l'information qui sont les
signes d'une société démocratique.
Les points à prendre en compte
comprennent :
• l'utilisation ou la divulgation de
données ou d'information obtenues d'autres personnes en
conformité à un code de déontologie ;
• présentation loyale de données ou
d'information à des utilisateurs ; et
• destruction sécurisée de données
ou d'information sensibles mais
qui ont cessé d'être utiles.
Quelle est la meilleure approche
pour mettre en place
la sécurité de l’information ?
23. Pour atteindre les objectifs de
sécurité, développer et maintenir
des contrôles adéquats en confor-
mité avec des principes de base
généralement
acceptés,
une
approche permanente et intégrée
est nécessaire. Le support des dirigeants et en particulier celui du
P.-DG conditionne le succès du
développement, de la conception,
de la mise en œuvre et de la surveillance des contrôles de sécurité.
24. Développement de la politique :
l'objectif de sécurité et les principes
de base définissent le cadre de la
première étape critique pour toute
organisation – développer une politique de sécurité (voir en annexe A
un exemple d'une politique de sécurité). La politique de sécurité doit
venir en support et en complément
des politiques existantes de l'organisation. L'idée maîtresse de la politique doit être de reconnaître la
valeur sous-jacente de l'information
pour l'organisation et la dépendance de celle-ci vis-à-vis de cette
information. La politique de sécurité
de l'information doit décrire :
• l'importance de la sécurité de l'information pour l'organisation ;
• une déclaration du P.-DG pour
soutenir les buts et les principes
d'une politique de sécurité efficace ;
• des messages explicites indiquant
les normes minimales et les exigences de conformité pour les
domaines particuliers ci-dessous :
– classifications des biens,
– sécurité des données,
– sécurité des personnels,
– sécurité physique, logique et
environnementale,
– sécurité des communications,
– exigences légales, réglementaires et contractuelles,
– exigences du cycle de vie de
développement et de maintenance de système,
– plan de continuité de l'activité,
– sensibilisation et formation à la
sécurité,
– détection des violations de
sécurité et besoins de reporting,
et
– application des lois prévues en
cas de violations ;
• les définitions des responsabilités
et des attributions vis-à-vis de la
• La revue n° 85 - Février 2007
exige de couvrir tous les niveaux du
cycle de l'information – obtention,
enregistrement, traitement, stockage, partage, transmission, extraction et suppression.
15
dossier :Sécurité
sécurité de l'information en tenant
compte de la séparation appropriée des responsabilités ;
• les systèmes d'information particuliers ou domaines de problèmes
spécifiques ; et
• les responsabilités et procédures
de reporting.
à la direction une assurance indépendante quant au caractère
approprié des objectifs de sécurité, de la politique de sécurité, des
normes, des mesures, des pratiques et des procédures et de leur
conformité aux objectifs de sécurité de l'organisation.
25. Rôles et responsabilités : Pour
que la sécurité soit réelle, il est impératif que les rôles de chacun, les responsabilités, et l'autorité soient clairement communiqués et compris
par tous. Chaque organisation a des
besoins uniques et il n'est donc pas
possible de proposer une approche
générique. Les organisations doivent d'une manière appropriée attribuer les fonctions concernant la
sécurité à des employés nommément désignés.
26. Conception – Après approbation
de la politique par l'organe dirigeant
de l'organisation, et l'assignation des
rôles et responsabilités, il est nécessaire de définir un cadre de sécurité
et de contrôle. Ce cadre comprend
les normes, les mesures, les pratiques et les procédures, qui servent
ensuite à introduire les systèmes
individuellement et les maintenir.
Les responsabilités à prendre en
compte concernent celles des :
• dirigeants – ils ont la responsabilité générale de la sécurité de l'information ;
• professionnels de la sécurité des
systèmes d'information – ils sont
responsables de la conception, de
la mise en place, du management,
de la revue de la politique de sécurité de l'organisation, des normes,
des pratiques et des procédures ;
• La revue n° 85 - Février 2007
• propriétaires de données : ils sont
responsables pour déterminer la
sensibilité des données ou leur
niveau de classification et pour
maintenir l'exactitude et l'intégrité
des données résidentes dans le
système d'information ;
16
• propriétaires de processus – ils
sont responsables pour s'assurer
que la sécurité appropriée, cohérente avec la politique de sécurité
de l'organisation est intégrée dans
leur système d'information ;
• fournisseurs de technologies – ils
contribuent à la mise en place de
la sécurité de l'information ;
• utilisateurs – responsables du suivi
des procédures définies dans la
politique de sécurité de l'organisation ; et
• auditeurs de système d'information – responsables pour apporter
27. Quand on conçoit de nouvelles
normes, mesures, pratiques, et procédures de sécurité des systèmes
d'information ou quand on les améliore, il est important de prendre en
compte les besoins de l'entreprise et
les risques liés au système particulier
afin d'identifier les besoins de sécurité spécifiques. L'évaluation des
risques doit prendre en compte les
risques économiques et les risques
techniques ainsi que l'analyse des
objectifs de contrôle, des normes, et
des techniques nécessaires pour
fournir un cadre de contrôle intégré.
28. Le processus se termine avec la
conception d'un système de sécurité
intégrée compatible avec les
besoins de l'organisation, et prenant
en compte des contraintes techniques et financières.
29. Mise en place – Après approbation de la conception des normes de
sécurité, mesures, pratiques et procédures, la solution doit être mise en
place en respectant le calendrier et
ensuite maintenue. Les normes de
sécurité, les mesures, pratiques, et
procédures doivent répondre aux
questions concernant les domaines
suivants :
• les contrôles de la direction,
comme l'étendue (span) du
contrôle, la séparation des responsabilités, les vérifications de base,
la sensibilisation des personnels, la
formation et l'éducation pour s'as-
surer que les personnels agissent
de façon appropriée pour prévenir,
détecter ou corriger les problèmes ;
• les contrôles d'identification et
d'authentification pour établir
l'imputabilité des accès et pour
empêcher les personnes non
autorisées d'avoir accès aux systèmes, par exemple au moyen de
mots de passe et de jetons intelligents ;
• les contrôles d'accès logiques
pour établir qui ou quoi peut accéder à un type précis de ressources
informationnelles et le type
d'accès permis : droit d'accès en
lecture, écriture, mise à jour ou
suppression ;
• imputabilité des contrôles au
moyen de pistes d'audit qui enregistrent l'activité des utilisateurs et
du système ;
• les contrôles comme les contrôles
cryptographiques sur l'information transmise ou stockée pour
garantir la confidentialité ; l'authenticité, l'intégrité et la nonrépudiation ;
• les contrôles du processus de
développement du cycle de vie
des systèmes pour assurer que la
sécurité est prise en compte intégralement dans le processus et de
manière explicite à chaque phase ;
• les contrôles physiques et d'environnement (englobant les accès
physiques, la détection et la prévention des incendies, le conditionnement de l'air ainsi que la
continuité de l'alimentation électrique, la solidité des bâtiments et
la sécurité physique des lignes de
transmission) pour assurer que les
mesures adéquates ont été prises
contre les menaces en provenance
de l'environnement ;
• les contrôles du support informatique et des opérations pour assurer que ces activités routinières
mais critiques (support utilisateur,
support logiciel, gestion des changements, gestion des configurations, contrôles des supports, sauvegardes, documentation, et la
maintenance) contribuent à l'amé-
Sécurité :dossier
30. La surveillance : Les systèmes
d'information sont sujets à un large
éventail d'incidents perturbateurs à
des degrés variables d'intensité.
Les processus d'affaires qui reposent
sur ces systèmes ainsi que l'environnement dans lequel ces systèmes et
ces processus fonctionnent sont
également sujets à des changements continuels et à de nouveaux
risques.
31. Les mesures préventives pour
minimiser les pertes, les divulgations, les dégâts, ou les perturbations ne sont pas toujours réalisables, ou réalisables à un coût
économique. Par conséquent des
mesures de surveillance doivent être
établies pour détecter les faiblesses
de sécurité et les corriger, afin que
toutes les faiblesses réelles ou
supposées soient rapidement identifiées, examinées et corrigées. Ces
mesures permettent d'assurer
la conformité permanente avec
la politique, les normes, et les pratiques minimales de sécurité acceptables.
32. L'avantage immédiat de l'instauration de mesures et de procédures
de surveillance des systèmes, des
processus, et de leur environnement
est de pouvoir identifier rapidement
les dégâts, de les contenir et d'accélérer la reprise. Le bénéfice le plus
important qui en découle est un
accroissement de la capacité à prévenir les dégâts et les désagréments
futurs, et à prévoir les actions face
aux pannes et aux violations de
sécurité. Un bénéfice supplémentaire est la valeur dissuasive du
processus de surveillance. Les
actions qui découlent des pratiques
de surveillance sont :
• les actions disciplinaires et correctives ;
• la minimisation et la récupération
des pertes ;
• l'affinage des niveaux de sécurité ;
• les changements apportés à la
politique ou aux normes ;
• les changements apportés à la
conception et la mise en place de
la sécurité ;
• le lancement de programmes de
réévaluation comprenant l'analyse
de l'origine des causes et de leur
tendance ;
• le lancement de systèmes de surveillance intelligents avec possibilité de rétroaction interactive ; et
• le lancement d'études de pénétration de réseau ou de système.
33. Le suivi de la sécurité est aussi
important que sa mise en œuvre, en
particulier à la lumière de nouveaux
développements technologiques,
adoptés par le propriétaire du système ou mis à la disposition des utilisateurs. Les problèmes qui doivent
être pris en compte pour garantir
une surveillance efficace comprennent :
• l'affectation d'un manager responsable disposant des outils et des
ressources adéquats ;
• la réalisation d'évaluations indépendantes et objectives des
contrôles de sécurité, comme celle
apportée par les audits ;
• l'établissement de procédures
d'investigation claires et opportunes ;
• le volume énorme d'information
des pistes d'audit, en provenance
d'une grande variété de composants du système et qui doit pouvoir être examiné ;
• l'opportunité des processus d'escalade, alors que les transactions
électroniques sont pratiquement
instantanées ; et
• l'environnement de l'entreprise et
des systèmes d'information, dynamique et en perpétuel changement.
34. Sensibilisation, formation et
éducation : le facteur humain est
souvent le maillon le plus faible de la
sécurité de l'information. La sensibilisation au besoin de protéger l'information, la formation des compétences nécessaires à sa sécurisation,
et l'éducation aux mesures et pratiques de sécurité sont d'une importance critique au succès du programme de sécurité d'une organisation.
35. Les bénéfices principaux de la
sensibilisation, formation, et éducation résident dans l'amélioration du
comportement et de l'attitude des
employés au regard de la sécurité de
l'information et dans la capacité
croissante de rendre les employés
responsables de leurs actions.
36. Rehausser le niveau collectif de
sensibilisation de l'organisation en
matière de sécurité peut être possible grâce à différentes méthodes
de formation – vidéos, circulaires,
affichage, réunions d'information,
etc. La campagne doit faire preuve
de créativité et changer fréquemment pour rester efficace.
37. La formation et la communication se focalisent généralement sur
les compétences des postes liés à la
sécurité et encouragent les pratiques telles que la protection
physique et des équipements (en
prenant soin des supports comme
les disquettes), la protection des
mots de passe et le reporting
des violations de sécurité. Une formation supérieure peut répondre à
un besoin des managers et une
formation spécialisée peut être
nécessaire pour les administrateurs
de systèmes et les auditeurs de
systèmes d'information.
38. L'éducation est plus approfondie
et ciblée typiquement pour les
professionnels de la sécurité des
systèmes d'information qui veulent
acquérir une expertise. Elle est
normalement acquise au moyen de
programmes externes et considérée
comme faisant partie du développement de carrière.
• La revue n° 85 - Février 2007
lioration du niveau général de
sécurité ; et
• les contrôles des plans de continuité d'activité pour assurer
qu'une organisation peut empêcher les interruptions, rétablir et
reprendre les traitements dans
l'éventualité d'une interruption
partielle ou totale de la disponibilité des systèmes d'information.
17
dossier :Sécurité
ANNEXE A
• La revue n° 85 - Février 2007
Exemple de politique de sécurité de l’information
18
• Le but de la politique de sécurité de l'information est
de protéger les actifs informationnels contre tous les
types de menaces, internes ou externes, volontaires et
accidentelles. La sécurité des systèmes d'information
est critique pour la survie de l'organisation.
• Le P.-DG approuve et soutient la politique de sécurité
de l'information.
• La politique de l'organisation est de s'assurer que :
– les actifs sont classés en fonction du niveau de protection requis ;
– l'information est protégée contre les accès non autorisés ;
– la confidentialité de l'information est garantie ;
– l'intégrité de l'information est maintenue ;
– les exigences de sécurité des personnels sont satisfaites ;
– la sécurité physique, logique et de l'environnement
(y compris la sécurité des communications) est maintenue ;
– les exigences légales, réglementaires et contractuelles sont satisfaites ;
– le développement et la maintenance des systèmes
sont effectués selon une méthodologie de cycle de
vie ;
– les plans de continuité d'activité sont élaborés, maintenus et testés ;
– une formation de sensibilisation à la sécurité de l'information est dispensée à tous les personnels ;
– toutes les violations de sécurité des systèmes d'information, réelles ou suspectées sont signalées et examinées rapidement par la fonction sécurité des
systèmes d'information ;
– les manquements à la politique des systèmes d'information sont suivis de pénalités ou des sanctions.
• Des normes, pratiques et procédures sont développées
et des mesures sont mises en œuvre pour supporter la
politique de sécurité des systèmes d'information. Elles
comprennent entre autres, la protection contre les
virus, les mots de passe et le chiffrement.
• Les besoins de l'entreprise en matière de disponibilité
de l'information et des systèmes d'information sont
satisfaits.
• Les rôles et responsabilités concernant la sécurité des
systèmes d'information sont définis pour :
– les dirigeants ;
– les professionnels de la sécurité des systèmes d'information ;
– les propriétaires de données ;
– les propriétaires de processus ;
– les fournisseurs de technologies ;
– les utilisateurs ;
– les auditeurs de systèmes d'information.
• La fonction sécurité des systèmes d'information à la
responsabilité directe du maintien de la politique de
sécurité de l'information et apporte des conseils et des
avis pour sa mise en œuvre.
• Tous les managers sont directement responsables de la
mise en œuvre de la politique de sécurité de l'information dans leur domaine de responsabilité, et du respect
de cette politique par leurs personnels.
• Chaque employé a la responsabilité de se conformer à
la politique de sécurité de l'information.
______________________________________________
Signé par : _____________________________________
Titre ___________________ Date : __________________
ANNEXE B
Remerciements
Sources principales
• « The Business Managers's Guide To Information
Security », Department of trade and industry, UK, 1996.
• « An introduction to computer security : The NIST
Handbook », Depatment Of commerce, USA, 1995.
• « Security Of Information Systems », Government Of
New South Wales, Australia, 1994.
• « Guidelines for the security of information Systems »,
the organisation for economic cooperation and development, 1992.
Autres sources
• « British Standards Institute: Code of practice for information security management BS 7799 », British standards Institue, London, 1995.
• Cadbury Commission, The Institue of Chartered
Accountants of England and Wales, 1992.
• COBIT : Control Objectives for Information and related
technology, Information Systems Audit and Control
Foundation, 1996.
• « Criteria on Control », The Canadian Institute of
Chartered Accountants, 1996.
• « Internal Control-Integrated Framework », the report
of the Commitee of Sponsoring Organisations of the
Treadway Commission (COSO), the American Institute
of Certified Public Accountants, The Financial
Executives Institute, the Institute of Mangement
Accountants, The institute of Internal Auditors, and the
American Accounting assoiciation, 1994.
• Standards Australia and Standards New Zealand:
Information security management AS/NZS 4444,
Standards Australia/Standards New Zealand,
Momebush NSW, 1996.
• Systems Auditability and control report « Institute of
Internal Auditors Research » Foundation, 1991.