Manager la sécurité de l`information
Transcription
Manager la sécurité de l`information
Sécurité :dossier Manager la sécurité de l’information Cette recommandation repose sur les meilleures pratiques préconisées par une sélection de publications du ministère du commerce et de l'industrie britannique (Department of trade and industry), du ministère du commerce américain, de l'administration de la NouvelleGalles du Sud (Australie) et de l'OCDE. Le comité des technologies de l'information de l'IFAC exprime sa reconnaissance envers l'ISACA pour sa collaboration et remercie les différentes personnes qui ont contribué à ce document : • Susan M. Caldwell, ISACA, • Michael P. Cangemi, • Michael Donahue, PricewaterhouseCoopers, • Erik Guldentops, S.W.I.F.T., • Gary I. Hardy, EY, • John A. Kuyers, • John W. Lainhart IV, PricewaterhouseCoopers • Akira Matsuo, Chuo Audit Corporation, • Robert G. Parker, Deloitte & Touche LLP, • Deepak Sarup, ALLTEL International Recource, • Patrick Stachtchenko, Delloite Touche Tohmatsu. • la dépendance accrue vis-à-vis de l'information ainsi que des systèmes et des communications qui fournissent cette information ; • l'ampleur et les coûts des investissements actuels et futurs dans l'information ; et • le potentiel que possèdent les technologies de changer les organisations et les pratiques des affaires, de créer des opportunités nouvelles et de réduire les coûts. La plupart des organisations reconnaissent les avantages potentiels que la technologie peut leur apporter. Mais les organisations qui réussissent sont celles qui comprennent et gèrent les risques associés à la mise en œuvre des nouvelles technologies. Les dirigeants ont besoin d'avoir une appréciation et une compréhension de base des risques et des contraintes des technologies de l'information afin de fixer une orientation pertinente et des contrôles adéquats. Pourquoi ? 1. Dans une société globale de l'information, la circulation de l'information sur le Cyber-espace est devenue routinière et son importance est largement reconnue. Par ailleurs l'utilisation de l'information et des systèmes d'information et de communication dans les organisations est très répandue – depuis la plate-forme de l'utilisateur jusqu'aux serveurs et aux ordinateurs centraux reliés par des réseaux locaux et des réseaux à grande distance. Par conséquent la direction a la responsabilité d'assurer que l'organisation procure un environnement sécurisé à tous les utilisateurs. Une sécurité solide est fondamentale pour donner cette assurance. D'autre part, les organisations ont besoin de se protéger contre les risques inhérents à l'utilisation des systèmes d'information tout en profitant en même temps des avantages qui découlent de la sécurité des systèmes. Ainsi, alors que la dépendance vis-à-vis des systèmes d'information s'accroît, la sécurité est reconnue universellement comme une qualité omniprésente et hautement nécessaire. Quoi ? 2. Le concept de sécurité s'applique à toute information. La sécurité concerne la protection des actifs de valeur contre la perte, la divulgation ou les dégâts. Dans ce contexte, les actifs de valeur sont les données ou les informations stockées, traitées, partagées, transmises ou extraites à partir d'un support électronique. Les données ou les informations doivent être protégées contre les menaces qui conduisent à la perte, l'inaccessibilité, l'altération ou la divulgation inappropriée. La protection est obtenue au moyen d'un ensemble de couches de parades techniques ou non techniques telles que des mesures de sécurité physique, des contrôles de bases, l'identification des utilisateurs, les mots de passe, les cartes à puce, les techniques biométriques, pare-feu etc. La sécurité s'applique à toute information. Le concept de sécurité se résume à l'objectif de sécurité. Objectif de sécurité : « la sécurité des systèmes d'information a pour objectif de protéger les intérêts de ceux qui dépendent des systèmes d'information et de communication qui délivrent l'information, contre les préjudices imputables à des défauts de disponibilité, de confidentialité, et d'intégrité ». • La revue n° 85 - Février 2007 Le but de cette recommandation est d'aider le management à mettre en œuvre une politique et des procédures dans le cadre d'un modèle de contrôle interne. Des conseils techniques supplémentaires peuvent être nécessaires lorsque le management cherchera à mettre en œuvre cette recommandation. Dans un monde numérique, le management efficace de l'information, des systèmes d'information et des communications est d'une importance critique pour le succès et la survie d'une organisation. Ce caractère critique provient de : 11 dossier :Sécurité Principes de base Responsabilité : les attributions et responsabilités doivent être explicites. Sensibilisation : la sensibilisation aux risques et les initiatives en matière de sécurité doivent être propagées. Pluridisciplinarité : la sécurité doit être abordée en prenant en compte à la fois les problèmes techniques et non techniques. Rentabilité : la sécurité doit être rentable. Intégration : la sécurité doit être coordonnée et intégrée. Réévaluation : la sécurité doit être réévaluée périodiquement. Délai : les procédures de sécurité doivent pourvoir à la surveillance et apporter des réponses dans les délais. Facteurs sociétaux : les règles d'éthique doivent être encouragées en respectant les droits et les intérêts de tous. Comment ? 3. Pour satisfaire l'objectif de sécurité et développer et maintenir des contrôles adéquats en conformité avec les meilleurs principes de base, une approche permanente et intégrée est nécessaire. • La revue n° 85 - Février 2007 Approche 12 Développement d'une politique : l'objectif de sécurité et les principes de base fournissent un cadre pour la première étape critique pour toute organisation – développer une politique de sécurité. Rôles et responsabilité : pour que la sécurité soit réelle, il est impératif que le rôle des individus, les responsabilités et l'autorité soient clairement communiqués et compris par tous. Conception : une fois que la politique a été approuvée par l'organe qui gouverne l'organisation et que les rôles et responsabilités ont été attribués il est nécessaire de déve- lopper un cadre de sécurité et de contrôle constitué de normes, de mesures, de pratiques et de procédures. Mise en œuvre : après approbation de la conception de normes de sécurité, de mesures, de pratiques, et de procédures, la solution doit être mise en place dans les délais impartis et maintenus ensuite. Surveillance : la surveillance des mesures doit être établie pour détecter les violations de sécurité et les corriger, le but étant d'identifier rapidement toutes les violations réelles et suspectées, d'enquêter et de réagir, et assurer la conformité permanente à la politique, aux normes, et aux pratiques de sécurité minimales acceptables. Sensibilisation, formation et éducation : la sensibilisation au besoin de protéger l'information, la formation aux techniques nécessaires pour exploiter les systèmes d'information en toute sécurité et l'éducation aux mesures et aux pratiques de sécurité ont une importance capitale pour le succès du programme de sécurité de l'organisation. Quand ? 4. Dans un environnement technologique en perpétuel changement, ce qui est considéré aujourd'hui comme l'état de l'art sera considéré demain comme dépassé et la sécurité doit s'adapter à la vitesse de ces changements. La sécurité doit être considérée comme partie intégrante du processus de cycle de vie du développement des systèmes et prise en compte explicitement à chaque phase du processus. Le caractère opportun est critique pour assurer la sécurité de l'information. Qui ? 5. L'encadrement, les professionnels de la sécurité des systèmes d'information, les propriétaires de données, les propriétaires de processus, les fournisseurs de technologies, les utilisateurs et les auditeurs de système d'information ont tous des rôles et des responsabilités pour assurer l'efficacité des systèmes d'information. Les diligences appropriées doivent être exercées par tous les individus impliqués dans le management, l'utilisation, la conception, le développement, la maintenance, l'exploitation, ou la surveillance des systèmes d'information. Définition des termes clés 6. Par disponibilité on entend pour des données, des informations ou des systèmes d'information le fait d'être accessibles et utilisables en temps voulu et de la manière requise. Les communications consistent en la transmission et la réception de signaux et comprennent les communications de la voie et des données. Par confidentialité on entend pour des données et des informations le fait d'être uniquement divulguées aux personnes, entités et processus à des moments autorisés et d'une manière autorisée. Le Cyberespace est le réseau global d'information et de communication affranchi des contraintes de temps, de distance et d'espace. Par données on entend une représentation de faits, de concepts ou d'instructions sous une forme adaptée à la communication, à l'interprétation ou au traitement par des êtres humains ou des moyens automatiques. Par informations on entend la signification que prennent les données du fait des conventions qui s'attachent à ces données. Par système d'information on entend les ordinateurs, les installations de communication, les réseaux d'ordinateurs et de communication, les données et les informations qu'ils permettent d'enregistrer, de traiter, de stocker, de partager, de transmettre et d'extraire y compris les programmes, spécifications, et procédures destinés à leur fonctionnement, utilisation, et maintenance. Un auditeur de systèmes d'information est un auditeur – interne ou Sécurité :dossier Par intégrité on entend pour des données ou des informations le fait d'être exactes et complètes et la préservation de ce caractère exact et complet contre une modification non autorisée, non prévue, ou fortuite. Pourquoi la sécurité de l’information est importante ? 7. Dans une société globale de l'information, la circulation de l'information sur le Cyberespace est devenue routinière et son importance est largement reconnue. Par ailleurs l'utilisation de l'information et des systèmes d'information et de communication dans les organisations est très répandue – depuis la plate-forme de l'utilisateur jusqu'aux serveurs et aux ordinateurs centraux reliés par des réseaux locaux et des réseaux à grande distance. Les organisations dépendent d'une information exacte, complète, valide, cohérente, pertinente et fiable. Par conséquent la direction est responsable de s'assurer que l'organisation fournit à tous les utilisateurs un environnement sécurisé pour ses systèmes d'information. 8. L'utilisation des systèmes d'information apporte beaucoup d'avantages directs ou indirects, mais présente également beaucoup de risques directs et indirects. Ces risques se traduisent par un écart entre le besoin de protection des systèmes et le niveau de protection appliqué. Cet écart a pour causes : • l'utilisation largement répandue des technologies ; • l'interconnexion des systèmes ; • la suppression des contraintes de distance, de temps et d'espace ; • l'irrégularité des changements technologiques ; • la décentralisation du management et du contrôle ; • l'attrait de mener des attaques électroniques non conventionnelles contre les organisations par rapport aux attaques physiques classiques ; • les facteurs externes comme les exigences législatives, légales et réglementaires ou les développements technologiques. 9. Des failles de sécurité, comme par exemple la divulgation non autorisée d'information concurrentielle ou sensible, peuvent avoir pour conséquences des pertes financières ou a des pertes intangibles. 10. Les menaces contre les systèmes d'information peuvent être intentionnelles ou involontaires et avoir pour origine des sources internes ou externes. Les menaces peuvent provenir entre autres de défauts techniques (erreurs de programmes, accidents de disques), de catastrophes naturelles (incendies, inondations), de défauts d'environnement (surtensions électriques), de facteurs humains (manque de formation, erreurs, omissions), d'accès non autorisés (hacking), ou des virus. À côté de ces menaces, d'autres prennent de plus en plus d'importance comme les dépendances commerciales (dépendance d'un tiers opérateur de communications, opérations sous-traitées, etc.) qui ont pour conséquence potentielle la perte de contrôle ou un oubli de la part de la direction. 11. Des mesures adéquates de sécurité de l'information contribuent à s'assurer du fonctionnement sans heurts des systèmes d'information et protègent l'organisation de perte ou d'embarras causés par des faiblesses de sécurité. Qu’est-ce que la sécurité de l’information ? 12. La sécurité concerne la protection des actifs de valeur contre la perte, la divulgation, ou les dégâts. La sécurisation d'actifs de valeur contre les menaces, le sabotage, les catastrophes naturelles par des protections physiques telles que des serrures, clôtures, et le recours à l'assurance est généralement compris et mis en place dans la plupart des organisations. Le périmètre de la sécurité doit cependant être élargi pour inclure des parades techniques comme les identificateurs, les mots de passe, pare-feu, etc. Ces parades sont moins bien comprises que les parades physiques par les organisations. Dans les organisations qui ont subi une atteinte à la sécurité, l'efficacité des politiques et des procédures doit être réévaluée. 13. Le concept de sécurité s'applique à toute information. Dans ce contexte, les actifs de valeur sont les données ou les informations stockées, traitées, partagées, transmises ou extraites à partir d'un support électronique. Les données ou les informations doivent être protégées contre les menaces qui conduisent à la perte, l'inaccessibilité, l'altération ou la divulgation inappropriée. La protection est obtenue au moyen d'un ensemble de couches de parades techniques ou non techniques telles que des mesures de sécurité physique, des contrôles de bases, l'identification des utilisateurs, les mots de passe, les cartes à puce, les techniques biométriques, pare-feu, etc. Objectif de sécurité : « la sécurité des systèmes d'information a pour objectif de protéger les intérêts de ceux qui dépendent des systèmes d'information et de communication qui délivrent l'information, contre les préjudices imputables à des défauts de disponibilité, de confidentialité, et d'intégrité ». Quelle que soit l'organisation, l'objectif de sécurité est atteint quand : • les systèmes d'information sont disponibles et utilisables en cas de besoin (disponibilité) ; • les données et les informations sont divulguées uniquement à ceux qui ont le droit de les connaître (confidentialité) ; et • les données et les informations sont protégées contre les modifications non autorisées (intégrité). La priorité relative et l'importance de la disponibilité, confidentialité et intégrité varient en fonction des • La revue n° 85 - Février 2007 externe – qui dispose des connaissances, compétences et moyens pour revoir et évaluer le développement, la maintenance et les traitements de parties de systèmes d'information. 13 dossier :Sécurité données à l'intérieur du système d'information et du contexte commercial dans lequel elles sont utilisées. Quels sont les principes de la sécurité de l’information ? 14. L'objectif de sécurité est supporté par huit principes de base – responsabilité, sensibilisation, caractère multidisciplinaire, rentabilité, intégration, réévaluation, l'opportunité et les facteurs sociétaux. Chaque principe est brièvement développé ci-après. RESPONSABILITÉ – Les responsabilités et les attributions doivent être explicites. • La revue n° 85 - Février 2007 15. La sécurité de l'information exige que les responsabilités et les attributions des propriétaires de données, des propriétaires de processus, des fournisseurs de solutions techniques et des utilisateurs soient explicitement désignées sans délai. Ces attributions doivent être formalisées et communiquées. 14 Les points à prendre en compte sont : • spécification de la propriété des données et des informations ; • identification des utilisateurs et des individus qui accèdent au système de façon exceptionnelle ; • l'enregistrement des activités grâce à un mécanisme de piste d'audit ; • la désignation de la responsabilité pour la maintenance des données et des informations ; et • l'établissement de procédures d'investigations et curatives en cas de violation ou de tentative de violation de l'objectif de sécurité. SENSIBILISATION – La sensibilisation aux risques et les initiatives en matière de sécurité doivent être diffusées. 16. Afin d'établir la confiance dans l'information, les propriétaires de données, les propriétaires de processus, les fournisseurs de solutions technologiques, les utilisateurs, et les autres parties qui ont un intérêt légitime de connaître ou être infor- més, doivent être en mesure de prendre connaissance de l'existence des risques et du degré de risques encourus par l'organisation et ses systèmes ainsi que des initiatives et des besoins de sécurité de l'organisation. Les mesures de sécurité ne sont efficaces qu'à la condition que tous ceux qui sont concernés par ces mesures soient sensibilisés à leur fonctionnement correct et aux risques auxquels elles permettent de répondre. Les points à considérer comprennent : • le niveau des détails divulgués ne doit pas compromettre la sécurité ; • la connaissance appropriée est mise à la disposition de toutes les parties qui ont le droit légitime d'être informées et pas uniquement les utilisateurs ; • la sensibilisation fait partie du programme d'accueil des nouveaux recrutés par l'organisation, afin d'éveiller la sensibilisation à la sécurité comme faisant partie intégrante de la culture d'entreprise ; et • la prise de conscience que le maintien de la sensibilisation est un processus permanent. PLURIDISCIPLINARITÉ – La sécurité doit être abordée en considérant à la fois les aspects techniques et les aspects non techniques. 17. La sécurité est plus qu'une affaire de simple technique. Elle couvre les aspects administratifs, organisationnels, opérationnels et légaux. Par conséquent les normes techniques doivent être développées avec et renforcées par, des codes de pratiques ; l'audit ; des exigences législatives, légales et réglementaires ; et la sensibilisation, l'éducation et la formation. Les points à considérer comprennent : • la valeur commerciale ou la sensibilité des actifs informatifs ; • les conséquences des changements organisationnels et techniques sur l'administration de la sécurité ; • les technologies disponibles pour atteindre les objectifs de sécurité ; • les exigences des normes législatives et industrielles ; et • les exigences de gérer avec prudence les techniques de sécurité d'avant-garde. RENTABILITÉ – La sécurité doit être rentable. 18. Des niveaux et des types différents de sécurité peuvent être nécessaires pour répondre aux risques de l'information. Les niveaux de sécurité et les coûts associés doivent être en rapport avec la valeur de l'information. Les points à considérer comprennent : • la valeur pour l'organisation et sa dépendance vis-à-vis d'actifs informatifs particuliers ; • la valeur intrinsèque des données et des informations, en fonction d'un niveau préétabli de confidentialité ou de sensibilité ; • les menaces sur l'information caractérisées par leur sévérité et leur probabilité ; • les parades prévues pour minimiser ou éliminer les menaces ainsi que les coûts de mise en place de ces parades ; • les coûts et les bénéfices des accroissements marginaux du niveau de sécurité ; • les parades qui procurent un équilibre optimum entre les dégâts consécutifs à une violation de la sécurité et les coûts associés à ces parades ; et • l'avantage d'adopter des parades minimum de sécurité lorsqu'elles sont disponibles et appropriées en tant que solution rentable pour équilibrer les coûts et les risques. INTÉGRATION – La sécurité doit être coordonnée et intégrée. 19. Afin de créer un système cohérent de sécurité, les mesures, les pratiques et les procédures de sécurité de l'information doivent être coordonnées et harmonisées entre elles et avec les autres mesures, pratiques, et procédures de l'organisation et des parties tierces sur lesquelles reposent les processus d'affaires de l'organisation. Cette intégration Sécurité :dossier Les points à considérer comprennent : • la politique et le management de la sécurité font partie intégrante du management de l'organisation ; • le développement simultané des systèmes de sécurité avec les systèmes d'information, ou du moins l'harmonisation de tous les processus de sécurité pour fournir un cadre cohérent de sécurité ; • la revue des systèmes interconnectés pour s'assurer que le niveau de sécurité est compatible ; • les risques concernant les parties tierces sur lesquelles reposent les processus d'affaire de l'organisation. RÉÉVALUATION – La sécurité doit être réévaluée périodiquement. 20. La sécurité des systèmes d'information doit être réévaluée périodiquement car les systèmes d'information et leurs besoins de sécurité évoluent dans le temps. Les points à considérer comprennent : • une dépendance accrue vis-à-vis des systèmes d'information exigeant une actualisation des plans de continuité et des accords ; • des changements apportés aux systèmes d'information et leur infrastructure ; • de nouvelles formes de menaces sur les systèmes d'information exigeant de meilleures parades ; • des technologies de sécurité émergentes qui procurent des parades à un coût efficace meilleur qu'auparavant ; et • un recentrage de l'activité, une structure organisationnelle ou une législation différente nécessitant un changement du niveau de sécurité existant. OPPORTUNITÉ – Les procédures de sécurité doivent pourvoir à une surveillance et une réaction dans les délais. 21. Les organisations doivent instaurer des procédures de surveillance et de réaction aux violations réelles ou aux tentatives de violation de sécurité dans les délais impartis et en proportion des risques. Le caractère d'instantanéité et transfrontière de l'information et les dégâts potentiels qui peuvent se produire rapidement exigent que les organisations réagissent avec promptitude. Les points à considérer comprennent : • le caractère instantané et irréversible des transactions commerciales ; • le volume d'information généré par les systèmes d'information complexes de plus en plus interconnectés ; • les outils automatisés de surveillance en temps réel et en temps différé ; et • l’opportunité de faire remonter les violations au niveau approprié de prise de décision. FACTEURS SOCIÉTAUX – L'éthique doit être promue en respectant les droits et les intérêts de chacun. 22. L'information et sa sécurité doivent être fournies et utilisées dans le respect des droits et des intérêts de chacun et avec un niveau de sécurité cohérent avec l'utilisation et la circulation de l'information qui sont les signes d'une société démocratique. Les points à prendre en compte comprennent : • l'utilisation ou la divulgation de données ou d'information obtenues d'autres personnes en conformité à un code de déontologie ; • présentation loyale de données ou d'information à des utilisateurs ; et • destruction sécurisée de données ou d'information sensibles mais qui ont cessé d'être utiles. Quelle est la meilleure approche pour mettre en place la sécurité de l’information ? 23. Pour atteindre les objectifs de sécurité, développer et maintenir des contrôles adéquats en confor- mité avec des principes de base généralement acceptés, une approche permanente et intégrée est nécessaire. Le support des dirigeants et en particulier celui du P.-DG conditionne le succès du développement, de la conception, de la mise en œuvre et de la surveillance des contrôles de sécurité. 24. Développement de la politique : l'objectif de sécurité et les principes de base définissent le cadre de la première étape critique pour toute organisation – développer une politique de sécurité (voir en annexe A un exemple d'une politique de sécurité). La politique de sécurité doit venir en support et en complément des politiques existantes de l'organisation. L'idée maîtresse de la politique doit être de reconnaître la valeur sous-jacente de l'information pour l'organisation et la dépendance de celle-ci vis-à-vis de cette information. La politique de sécurité de l'information doit décrire : • l'importance de la sécurité de l'information pour l'organisation ; • une déclaration du P.-DG pour soutenir les buts et les principes d'une politique de sécurité efficace ; • des messages explicites indiquant les normes minimales et les exigences de conformité pour les domaines particuliers ci-dessous : – classifications des biens, – sécurité des données, – sécurité des personnels, – sécurité physique, logique et environnementale, – sécurité des communications, – exigences légales, réglementaires et contractuelles, – exigences du cycle de vie de développement et de maintenance de système, – plan de continuité de l'activité, – sensibilisation et formation à la sécurité, – détection des violations de sécurité et besoins de reporting, et – application des lois prévues en cas de violations ; • les définitions des responsabilités et des attributions vis-à-vis de la • La revue n° 85 - Février 2007 exige de couvrir tous les niveaux du cycle de l'information – obtention, enregistrement, traitement, stockage, partage, transmission, extraction et suppression. 15 dossier :Sécurité sécurité de l'information en tenant compte de la séparation appropriée des responsabilités ; • les systèmes d'information particuliers ou domaines de problèmes spécifiques ; et • les responsabilités et procédures de reporting. à la direction une assurance indépendante quant au caractère approprié des objectifs de sécurité, de la politique de sécurité, des normes, des mesures, des pratiques et des procédures et de leur conformité aux objectifs de sécurité de l'organisation. 25. Rôles et responsabilités : Pour que la sécurité soit réelle, il est impératif que les rôles de chacun, les responsabilités, et l'autorité soient clairement communiqués et compris par tous. Chaque organisation a des besoins uniques et il n'est donc pas possible de proposer une approche générique. Les organisations doivent d'une manière appropriée attribuer les fonctions concernant la sécurité à des employés nommément désignés. 26. Conception – Après approbation de la politique par l'organe dirigeant de l'organisation, et l'assignation des rôles et responsabilités, il est nécessaire de définir un cadre de sécurité et de contrôle. Ce cadre comprend les normes, les mesures, les pratiques et les procédures, qui servent ensuite à introduire les systèmes individuellement et les maintenir. Les responsabilités à prendre en compte concernent celles des : • dirigeants – ils ont la responsabilité générale de la sécurité de l'information ; • professionnels de la sécurité des systèmes d'information – ils sont responsables de la conception, de la mise en place, du management, de la revue de la politique de sécurité de l'organisation, des normes, des pratiques et des procédures ; • La revue n° 85 - Février 2007 • propriétaires de données : ils sont responsables pour déterminer la sensibilité des données ou leur niveau de classification et pour maintenir l'exactitude et l'intégrité des données résidentes dans le système d'information ; 16 • propriétaires de processus – ils sont responsables pour s'assurer que la sécurité appropriée, cohérente avec la politique de sécurité de l'organisation est intégrée dans leur système d'information ; • fournisseurs de technologies – ils contribuent à la mise en place de la sécurité de l'information ; • utilisateurs – responsables du suivi des procédures définies dans la politique de sécurité de l'organisation ; et • auditeurs de système d'information – responsables pour apporter 27. Quand on conçoit de nouvelles normes, mesures, pratiques, et procédures de sécurité des systèmes d'information ou quand on les améliore, il est important de prendre en compte les besoins de l'entreprise et les risques liés au système particulier afin d'identifier les besoins de sécurité spécifiques. L'évaluation des risques doit prendre en compte les risques économiques et les risques techniques ainsi que l'analyse des objectifs de contrôle, des normes, et des techniques nécessaires pour fournir un cadre de contrôle intégré. 28. Le processus se termine avec la conception d'un système de sécurité intégrée compatible avec les besoins de l'organisation, et prenant en compte des contraintes techniques et financières. 29. Mise en place – Après approbation de la conception des normes de sécurité, mesures, pratiques et procédures, la solution doit être mise en place en respectant le calendrier et ensuite maintenue. Les normes de sécurité, les mesures, pratiques, et procédures doivent répondre aux questions concernant les domaines suivants : • les contrôles de la direction, comme l'étendue (span) du contrôle, la séparation des responsabilités, les vérifications de base, la sensibilisation des personnels, la formation et l'éducation pour s'as- surer que les personnels agissent de façon appropriée pour prévenir, détecter ou corriger les problèmes ; • les contrôles d'identification et d'authentification pour établir l'imputabilité des accès et pour empêcher les personnes non autorisées d'avoir accès aux systèmes, par exemple au moyen de mots de passe et de jetons intelligents ; • les contrôles d'accès logiques pour établir qui ou quoi peut accéder à un type précis de ressources informationnelles et le type d'accès permis : droit d'accès en lecture, écriture, mise à jour ou suppression ; • imputabilité des contrôles au moyen de pistes d'audit qui enregistrent l'activité des utilisateurs et du système ; • les contrôles comme les contrôles cryptographiques sur l'information transmise ou stockée pour garantir la confidentialité ; l'authenticité, l'intégrité et la nonrépudiation ; • les contrôles du processus de développement du cycle de vie des systèmes pour assurer que la sécurité est prise en compte intégralement dans le processus et de manière explicite à chaque phase ; • les contrôles physiques et d'environnement (englobant les accès physiques, la détection et la prévention des incendies, le conditionnement de l'air ainsi que la continuité de l'alimentation électrique, la solidité des bâtiments et la sécurité physique des lignes de transmission) pour assurer que les mesures adéquates ont été prises contre les menaces en provenance de l'environnement ; • les contrôles du support informatique et des opérations pour assurer que ces activités routinières mais critiques (support utilisateur, support logiciel, gestion des changements, gestion des configurations, contrôles des supports, sauvegardes, documentation, et la maintenance) contribuent à l'amé- Sécurité :dossier 30. La surveillance : Les systèmes d'information sont sujets à un large éventail d'incidents perturbateurs à des degrés variables d'intensité. Les processus d'affaires qui reposent sur ces systèmes ainsi que l'environnement dans lequel ces systèmes et ces processus fonctionnent sont également sujets à des changements continuels et à de nouveaux risques. 31. Les mesures préventives pour minimiser les pertes, les divulgations, les dégâts, ou les perturbations ne sont pas toujours réalisables, ou réalisables à un coût économique. Par conséquent des mesures de surveillance doivent être établies pour détecter les faiblesses de sécurité et les corriger, afin que toutes les faiblesses réelles ou supposées soient rapidement identifiées, examinées et corrigées. Ces mesures permettent d'assurer la conformité permanente avec la politique, les normes, et les pratiques minimales de sécurité acceptables. 32. L'avantage immédiat de l'instauration de mesures et de procédures de surveillance des systèmes, des processus, et de leur environnement est de pouvoir identifier rapidement les dégâts, de les contenir et d'accélérer la reprise. Le bénéfice le plus important qui en découle est un accroissement de la capacité à prévenir les dégâts et les désagréments futurs, et à prévoir les actions face aux pannes et aux violations de sécurité. Un bénéfice supplémentaire est la valeur dissuasive du processus de surveillance. Les actions qui découlent des pratiques de surveillance sont : • les actions disciplinaires et correctives ; • la minimisation et la récupération des pertes ; • l'affinage des niveaux de sécurité ; • les changements apportés à la politique ou aux normes ; • les changements apportés à la conception et la mise en place de la sécurité ; • le lancement de programmes de réévaluation comprenant l'analyse de l'origine des causes et de leur tendance ; • le lancement de systèmes de surveillance intelligents avec possibilité de rétroaction interactive ; et • le lancement d'études de pénétration de réseau ou de système. 33. Le suivi de la sécurité est aussi important que sa mise en œuvre, en particulier à la lumière de nouveaux développements technologiques, adoptés par le propriétaire du système ou mis à la disposition des utilisateurs. Les problèmes qui doivent être pris en compte pour garantir une surveillance efficace comprennent : • l'affectation d'un manager responsable disposant des outils et des ressources adéquats ; • la réalisation d'évaluations indépendantes et objectives des contrôles de sécurité, comme celle apportée par les audits ; • l'établissement de procédures d'investigation claires et opportunes ; • le volume énorme d'information des pistes d'audit, en provenance d'une grande variété de composants du système et qui doit pouvoir être examiné ; • l'opportunité des processus d'escalade, alors que les transactions électroniques sont pratiquement instantanées ; et • l'environnement de l'entreprise et des systèmes d'information, dynamique et en perpétuel changement. 34. Sensibilisation, formation et éducation : le facteur humain est souvent le maillon le plus faible de la sécurité de l'information. La sensibilisation au besoin de protéger l'information, la formation des compétences nécessaires à sa sécurisation, et l'éducation aux mesures et pratiques de sécurité sont d'une importance critique au succès du programme de sécurité d'une organisation. 35. Les bénéfices principaux de la sensibilisation, formation, et éducation résident dans l'amélioration du comportement et de l'attitude des employés au regard de la sécurité de l'information et dans la capacité croissante de rendre les employés responsables de leurs actions. 36. Rehausser le niveau collectif de sensibilisation de l'organisation en matière de sécurité peut être possible grâce à différentes méthodes de formation – vidéos, circulaires, affichage, réunions d'information, etc. La campagne doit faire preuve de créativité et changer fréquemment pour rester efficace. 37. La formation et la communication se focalisent généralement sur les compétences des postes liés à la sécurité et encouragent les pratiques telles que la protection physique et des équipements (en prenant soin des supports comme les disquettes), la protection des mots de passe et le reporting des violations de sécurité. Une formation supérieure peut répondre à un besoin des managers et une formation spécialisée peut être nécessaire pour les administrateurs de systèmes et les auditeurs de systèmes d'information. 38. L'éducation est plus approfondie et ciblée typiquement pour les professionnels de la sécurité des systèmes d'information qui veulent acquérir une expertise. Elle est normalement acquise au moyen de programmes externes et considérée comme faisant partie du développement de carrière. • La revue n° 85 - Février 2007 lioration du niveau général de sécurité ; et • les contrôles des plans de continuité d'activité pour assurer qu'une organisation peut empêcher les interruptions, rétablir et reprendre les traitements dans l'éventualité d'une interruption partielle ou totale de la disponibilité des systèmes d'information. 17 dossier :Sécurité ANNEXE A • La revue n° 85 - Février 2007 Exemple de politique de sécurité de l’information 18 • Le but de la politique de sécurité de l'information est de protéger les actifs informationnels contre tous les types de menaces, internes ou externes, volontaires et accidentelles. La sécurité des systèmes d'information est critique pour la survie de l'organisation. • Le P.-DG approuve et soutient la politique de sécurité de l'information. • La politique de l'organisation est de s'assurer que : – les actifs sont classés en fonction du niveau de protection requis ; – l'information est protégée contre les accès non autorisés ; – la confidentialité de l'information est garantie ; – l'intégrité de l'information est maintenue ; – les exigences de sécurité des personnels sont satisfaites ; – la sécurité physique, logique et de l'environnement (y compris la sécurité des communications) est maintenue ; – les exigences légales, réglementaires et contractuelles sont satisfaites ; – le développement et la maintenance des systèmes sont effectués selon une méthodologie de cycle de vie ; – les plans de continuité d'activité sont élaborés, maintenus et testés ; – une formation de sensibilisation à la sécurité de l'information est dispensée à tous les personnels ; – toutes les violations de sécurité des systèmes d'information, réelles ou suspectées sont signalées et examinées rapidement par la fonction sécurité des systèmes d'information ; – les manquements à la politique des systèmes d'information sont suivis de pénalités ou des sanctions. • Des normes, pratiques et procédures sont développées et des mesures sont mises en œuvre pour supporter la politique de sécurité des systèmes d'information. Elles comprennent entre autres, la protection contre les virus, les mots de passe et le chiffrement. • Les besoins de l'entreprise en matière de disponibilité de l'information et des systèmes d'information sont satisfaits. • Les rôles et responsabilités concernant la sécurité des systèmes d'information sont définis pour : – les dirigeants ; – les professionnels de la sécurité des systèmes d'information ; – les propriétaires de données ; – les propriétaires de processus ; – les fournisseurs de technologies ; – les utilisateurs ; – les auditeurs de systèmes d'information. • La fonction sécurité des systèmes d'information à la responsabilité directe du maintien de la politique de sécurité de l'information et apporte des conseils et des avis pour sa mise en œuvre. • Tous les managers sont directement responsables de la mise en œuvre de la politique de sécurité de l'information dans leur domaine de responsabilité, et du respect de cette politique par leurs personnels. • Chaque employé a la responsabilité de se conformer à la politique de sécurité de l'information. ______________________________________________ Signé par : _____________________________________ Titre ___________________ Date : __________________ ANNEXE B Remerciements Sources principales • « The Business Managers's Guide To Information Security », Department of trade and industry, UK, 1996. • « An introduction to computer security : The NIST Handbook », Depatment Of commerce, USA, 1995. • « Security Of Information Systems », Government Of New South Wales, Australia, 1994. • « Guidelines for the security of information Systems », the organisation for economic cooperation and development, 1992. Autres sources • « British Standards Institute: Code of practice for information security management BS 7799 », British standards Institue, London, 1995. • Cadbury Commission, The Institue of Chartered Accountants of England and Wales, 1992. • COBIT : Control Objectives for Information and related technology, Information Systems Audit and Control Foundation, 1996. • « Criteria on Control », The Canadian Institute of Chartered Accountants, 1996. • « Internal Control-Integrated Framework », the report of the Commitee of Sponsoring Organisations of the Treadway Commission (COSO), the American Institute of Certified Public Accountants, The Financial Executives Institute, the Institute of Mangement Accountants, The institute of Internal Auditors, and the American Accounting assoiciation, 1994. • Standards Australia and Standards New Zealand: Information security management AS/NZS 4444, Standards Australia/Standards New Zealand, Momebush NSW, 1996. • Systems Auditability and control report « Institute of Internal Auditors Research » Foundation, 1991.