Sécurité informatique : règles et pratiques

Sécurité informatique : règles et pratiques
Dominique PRESENT
I.U.T. de Marne la Vallée
Construire une politique de sécurité : 12 thèmes
Règles et pratiques : premières procédures à mettre en place basées sur la norme ISO 17799:2005,
Thème 1 - Organiser la sécurité de l'information : préciser les
rôles et responsabilités des gestionnaires, utilisateurs et
1-Organiser la
fournisseurs de services. Détailler les mécanismes de sécurité
sécurité de
à mettre en place pour assurer la sécurisation de l'accès des
l’information
tiers aux informations et ressources de l’entreprise.
Thème 4 - Gérer les actifs informationnels : procéder à
l'inventaire des données; leur déterminer un propriétaire; les
4-Gérer les
catégoriser; déterminer leur niveau de protection et établir les
actifs
mesures de sécurité à mettre en place.
informationnels
Thème 2 - Bâtir une politique de sécurité de l’information :
indiquer les éléments à considérer et le contenu de la
1-Organiser la
politique de sécurité de l'information.
sécurité de
Thème 3 - Gérer les risques de sécurité : analyser
l’information
et évaluer les menaces, impacts et vulnérabilités
auxquels les données sont exposées et la probabilité
3-Gérer les
2-bâtir une
de leur survenance. Déterminer les mesures de
risques de
politique de
sécurité pouvant être implantées pour réduire les
sécurité
sécurité
risques et leur impact à un coût acceptable.
Thème 12 - Prévoir la continuité des activités : décrire les façons
12-prévoir la
de faire pour élaborer un plan de continuité et de relève des
continuité des
services, de même qu'un plan de sauvegarde des données et des
activités
applications de votre entreprise.
1
La politique de sécurité : gérer les incidents
12-prévoir la
Thème 10 - Gérer l'acquisition, le
continuité des
développement et l'entretien des systèmes
activités
: indiquer les règles de sécurité à observer
dans l'acquisition, le développement,
10-Gérer
l'implantation d'applications et de logiciels. l’acquisition, le
11-Gérer les
incidents de
Thème 11 - Gérer les incidents de sécurité :
développement
sécurité
indiquer les comportements à adopter lors
et l’entretien des
de la détection d'un incident de sécurité;
systèmes
mettre en place un processus de gestion des
incidents de sécurité.
7-Assurer la
5-Assurer la sécurité
Thème 7 - Assurer la sécurité physique et
sécurité physique
des ressources
environnementale : préciser les mesures à
et
humaines
mettre en place pour sécuriser le matériel et environnemental
éviter les accès non autorisés dans les
locaux.
Thème 5 - Assurer la sécurité des ressources
9-Gérer les
8-Contrôler les
humaines : indiquer au personnel les
communications
accès
et les opérations
bonnes pratiques à utiliser pour protéger les
renseignements confidentiels et nominatifs,
faire un bon usage de leur équipement
1-Organiser la
6-Vérifier la
informatique.
sécurité de
conformité
l’information
Organiser la sécurité de l’information
Thème 1
Règles et pratiques
• Rôles et responsabilités :
– implanter des règles de conduite et partager les responsabilités entre les différents
intervenants de votre entreprise.
– définir les rôles et les responsabilités des personnes impliquées dans la sécurité des actifs
informationnels.
– Les responsabilités à l'égard de la sécurité des actifs informationnels de votre entreprise
reposent sur :
• les gestionnaires qui en assurent la gestion ;
• les utilisateurs des actifs informationnels;
• les tiers, fournisseurs de services et contractuels.
–
Le dirigeant de votre entreprise a comme responsabilités de :
• désigner un responsable de la sécurité des systèmes d'information (RSSI);
• valider la politique globale de sécurité, les orientations et les directives.
–
Le comité de la sécurité de l'information doit :
• recommander les orientations et les directives au dirigeant de l’entreprise;
• approuver les standards, les pratiques et le plan d'action de la sécurité de l'entreprise;
• assurer le suivi du plan d'action de sécurité.
2
Organiser la sécurité de l’information
•
– Le responsable de la sécurité coordonne la sécurité de l'information. À cet effet, il doit :
• élaborer et assurer le suivi et la mise à jour périodique du plan d'action;
• communiquer au personnel, aux clients et partenaires de l'entreprise les orientations
de sécurité de l'information;
• veiller au respect de la politique de sécurité de l'information ainsi qu'à la protection
des renseignements personnels et sensibles;
• informer périodiquement le comité de l'état d'avancement des dossiers.
– Le propriétaire d'un actif informationnel doit :
• assurer la gestion de la sécurité de son actif informationnel;
• autoriser et répondre de l'utilisation, par les utilisateurs, clients et partenaires, des
données ou informations dont il est propriétaire;
• veiller à ce que les mesures de sécurité appropriées soient élaborées, mises en places
et appliquées.
Gestion des accès des utilisateurs externes
– Le responsable de la sécurité doit contrôler les accès par des tiers aux infrastructures de
traitement de l'information de l’entreprise, évaluer les risques, valider les mesures à
appliquer et les définir sous forme de contrat avec le tiers en question.
– Dans le cas de sous-traitance le contrat établit les clauses sur les mesures et procédures de
sécurité pour les systèmes d'information, réseaux, infrastructures technologiques,
informations ou données sensibles. Il inclut également les règles d’habilitation pour le
personnel devant avoit accès à de l'information sensible ou confidentielle.
Gérer les actifs informationnels
Thème 4
Contexte
•
Les actifs informationnels sont l’ensemble des données numériques
•
La gestion des actifs informationnels consiste à faire leur inventaire, déterminer un propriétaire, les
catégoriser, déterminer leur niveau de protection et établir les mesures de sécurité à mettre en place selon leur
contexte d'utilisation.
Principe
•
Maintenir une protection adéquate des actifs informationnels de votre entreprise. Vous devez vous assurer,
selon une démarche d'amélioration continue, que les mécanismes de sécurité appropriés sont élaborés, mis en
place et appliqués.
3
Gérer les actifs informationnels : règles
Gestion des actifs informationnels :
– Elaborer un inventaire des ressources informationnelles de votre entreprise (actifs
informationnels, ressources humaines et matérielles affectées à la gestion, acquisition,
traitement, accès, utilisation, protection, conservation des actifs).
– Cet inventaire doit s'appliquer aux trois catégories d'actifs informationnels suivantes :
• actifs appartenant à votre entreprise et exploités par elle-même;
• actifs appartenant à votre entreprise et exploités ou détenus par un fournisseur de
services ou un tiers;
• actifs appartenant à un fournisseur de services ou un tiers et exploités par lui au profit
de votre entreprise.
Gestion des actifs informationnels (suite) :
– Vous devez élaborer un registre d'autorité de la sécurité de l'information. Ce registre
contient :
• la description des actifs informationnels qui doivent être protégés;
• la désignation et les attributions des propriétaires d'actifs;
• la désignation et les attributions du responsable de la sécurité;
• les attributions de tout autre intervenant en sécurité.
– Vous devez :
• déterminer le niveau de risque et de vulnérabilité des informations et des ressources
auquel votre entreprise est exposée (voir Thème 3 : Gérer les risques de sécurité).
• préciser les priorités d'action pour sécuriser les actifs informationnels.
•
•
Protéger les actifs informationnels : les 3 étapes
•
•
•
Étape 1 : Déterminer les actifs informationnels à catégoriser
– Faire un inventaire des actifs informationnels regroupés par :
• système d’information;
• élément de l'infrastructure technologique (serveur, réseau de télécommunication,
réseau téléphonique, etc.);
• type de document (contrat, procédure, plan, etc.) ;
• environnement physique (immeuble, local…).
– Attribuer un propriétaire, une catégorie et une valeur à chaque actif informationnel (les
actifs informationnels à catégoriser sont ceux pour lesquels une atteinte à la sécurité peut
avoir des conséquences négatives pour votre entreprise).
Étape 2 : Catégoriser les actifs informationnels
– Donner des valeurs (élevée, moyenne ou basse) aux attributs disponibilité (D), intégrité (I)
et confidentialité (C) selon le contexte d'utilisation des actifs informationnels de
l'entreprise. Les contextes d'utilisation retenus sont : les postes autonomes ou mobiles, le
réseau fermé et le réseau ouvert.
– Il est recommandé d'effectuer après cette étape une évaluation et une analyse des risques.
Étape 3 : Déterminer les mesures de sécurité à appliquer pour protéger les actifs
informationnels
– Indiquer les mesures de sécurité qui à appliquer, à partir du contexte d’utilisation de
chaque actif. Cette étape est répétée autant de fois qu’i l y a d'actifs à catégoriser.
4
Bâtir une politique de sécurité implique l’entreprise
Thème 2
Contexte
Une politique de sécurité de l'information est un ensemble de documents émanant de la direction
de votre entreprise et indiquant les directives, procédures, lignes de conduite et règles
organisationnelles et techniques à suivre relativement à la sécurité de l'information et à sa
gestion. Une telle politique constitue un engagement et une prise de position claire et ferme
de la direction de protéger ses actifs informationnels.
Principe
Pour vous aider à bâtir une politique de sécurité de l'information, la norme ISO 17799:2005 peut
vous servir de guide et de référence.
• Règles et politiques
– identifier le type de clientèle à laquelle vous vous adressez et de catégoriser les actifs
informationnels de votre entreprise selon leur degré de sensibilité.
– protéger les informations et ressources considérées comme vitales ou importantes pour
votre entreprise, soit des :
– systèmes d'information (application, logiciel, etc.);
• éléments de l'infrastructure technologique (serveur, réseau de télécommunications,
réseau téléphonique, etc.);
• types de documents (contrat, procédure, plan, procédé de fabrication, etc.);
• installations (immeuble, local, etc.).
Une politique de sécurité conduit à des procédures
– La politique de sécurité de l'information devra contenir les éléments suivants :
• confirmer l'engagement de la direction;
• désigner une personne responsable de la sécurité de l'information;
• identifier ce qui doit être protégé;
• identifier contre qui et quoi vous devez être protégé;
• inclure des considérations de protection de l'information;
• encadrer l'utilisation des actifs informationnels;
• tenir compte de la conservation, de l'archivage et de la destruction de l'information;
• tenir compte de la propriété intellectuelle;
• prévoir la réponse aux incidents et préparer une enquête, s'il y a lieu;
• informer vos utilisateurs que les actes illégaux sur les informations et ressources de
l'entreprise sont interdits.
– La pratique recommandée pour l'élaboration d'une politique de sécurité repose sur les
éléments suivants :
– une politique globale;
– des directives;
– des procédures, standards et bonnes pratiques.
5
Gérer les risques de sécurité
Thème 3
Contexte
• La gestion des risques (accidents, erreurs, défaillances, malveillances) de sécurité consiste à
protéger les biens de votre entreprise contre les menaces pouvant survenir.
PRINCIPE
• L'évaluation des risques est la première étape à réaliser lors d'une démarche de sécurité.
RÈGLES ET PRATIQUES
• déterminer les actifs informationnels vitaux et importants de votre entreprise. Ils sont évalueés
lors de la démarche de catégorisation (voir Thème 4 : Gérer les actifs informationnels) selon
des critères de disponibilité, d'intégrité et de confidentialité, afin de déterminer lesquels sont
essentiels à votre entreprise pour atteindre ses objectifs.
• évaluer les risques : probabilité de la menace, degré de vulnérabilité et niveau de gravité de son
impact.
• établir une liste exhaustive des vulnérabilités pouvant être exploitées (écoute clandestine,
destruction de fichiers, inondation, erreur d’acheminement, virus, incendie, manque de contrôle
de l'accès aux locaux, mauvaise gestion des supports de sauvegarde, complexité des règles
d'accès sur les coupe-feux et les routeurs, manque d'information des utilisateurs sur les
procédures de sécurité, mots de passe inadéquats, etc.
• Évaluer l'impact de ces menaces. Les conséquences peuvent être la destruction ou des
dommages à certains actifs informationnels et une perte de confidentialité, d'intégrité et de
disponibilité. Les conséquences indirectes comprennent les pertes financières, de parts de
marché, de bénéfices ou d’image. L'évaluation des impacts permet de comparer les
conséquences d'une menace et l'investissement requis pour se protéger de cette menace
potentielle.
un équilibre entre prévention et réparation
•
•
•
•
•
•
•
•
Pour gérer le risque, il est important d'assurer un bon équilibre entre le temps et les moyens
requis pour identifier et mettre en place des mesures de sécurité et le temps et les moyens
engendrés par un incident de sécurité.
Habituellement, les risques ne sont que partiellement atténués par les mesures de sécurité. Une
réduction totale d’un risque peut amener des coûts importants. Donc, il faut définir le niveau de
risque qu'on juge intolérable. À partir des résultats obtenus de l'analyse des risques, la direction
de l'entreprise doit indiquer la limite des risques acceptables.
La mise en place d'une mesure de sécurité consiste à utiliser des bonnes pratiques, des
procédures ou des mécanismes qui peuvent protéger contre une menace, réduire une
vulnérabilité, limiter l’impact d'une menace et faciliter le retour à la normale des activités de
votre entreprise. Une sécurité efficace requiert généralement la combinaison de plusieurs
mesures de sécurité pour protéger adéquatement les actifs informationnels.
Les mesures de sécurité à considérer peuvent comporter une ou plusieurs des fonctions
suivantes : intégrité, irrévocabilité, identification/authentification, habilitation/contrôle d’accès,
confidentialité, disponibilité, surveillance et administration (logicielle, matérielle et réseau).
L'analyse des exigences de sécurité et de contrôle vous permet de déterminer les fonctions de
sécurité requises.
Par la suite, pour mitiger les risques, vous sélectionnez des mesures de sécurité appropriées,
correspondant aux fonctions de sécurité retenues pour protéger vos actifs informationnels.
Finalement, vous rédigez un plan d'action de sécurité et vous l'implantez selon l'ordre de
priorité établi pour les mesures de sécurité à mettre en place.
Le cycle de la gestion de la sécurité de l'information se poursuit en vérifiant l'efficacité du plan
d'action, en mettant en place des mesures correctives et de prévention appropriées, et en
apportant les améliorations identifiées lors de vérifications et contrôles.
6
Gérer les incidents
Thème 11
Contexte
• Un incident de sécurité est une atteinte à la sécurité qui menace la confidentialité,
l'intégrité ou la disponibilité des actifs informationnels et met en péril, selon sa gravité,
le déroulement des activités de votre entreprise.
Principe
• Chaque gestionnaire doit communiquer à ses employés la marche à suivre et les
comportements à adopter lors de la détection d'un incident ou d’un dysfonctionnement
de sécurité.
• Lorsqu'un événement est détecté, il faut :
– détailler les faits (date, heure, description de l'incident, nom des personnes
impliquées, identification du poste de travail s'il y a lieu, etc.);
– informer rapidement son supérieur immédiat et le responsable de la sécurité de
l'information en transmettant les détails de l'événement.
• La déclaration rapide des incidents limite les dégâts.
Gérer les incidents : types d’incidents de sécurité
•
•
•
•
•
•
Utilisation illégale d'un mot de passe, usurpation d'identité
– courriels lus à votre insu, utilisation de vos codes d'accès, etc.;
Intrusion ou tentative d'intrusion dans une application, un fichier, etc.
– Des applications informatiques se mettent en marche automatiquement ou des
tâches dans votre micro-ordinateur s'exécutent hors de votre contrôle (prise de
contrôle à distance de votre poste de travail, cheval de Troie);
Incident causé par un virus, un ver, un logiciel espion, un cheval de Troie
– Vous avez détecté la disparition de fichiers, votre micro-ordinateur est très lent, des
messages inappropriés ou des animations apparaissent subitement à l'écran, etc.;
Indiscrétion dans un micro-ordinateur pendant une absence
– Vous êtes témoin qu'un individu utilise le micro-ordinateur d'un collègue; vous
devez lui poser des questions pour qu'il s'identifie et vous indique ce qu'il est en
train de faire;
Vol d'un bien, sabotage d'un équipement informatique, etc.
– Votre micro-ordinateur a été volé pendant votre absence;
Divulgation de renseignements personnels ou confidentiels
– Vous devez aviser votre supérieur immédiat ou le responsable de la sécurité de
l'information si vous détectez une fuite de renseignements personnels ou
confidentiels;
– Etc.
7
Gérer les incidents : règles et pratiques
En présence d’incidents de sécurité, il faut :
• identifier et catégoriser les incidents;
• choisir les procédures à appliquer (intervention, escalade et rétablissement);
• élaborer une procédure de communication (quoi dire et à qui).
Le processus de gestion des incidents est constitué de cinq activités :
• la prévention des incidents, tests d'intrusion, sensibilisation et formation des
utilisateurs, et réalisation d’une analyse de risques;
• la détection, mise en place des moyens de détection (antivirus, système de prévention et
de détection d'intrusions, serveurs pièges) et de déclaration de surveillance;
• la réaction aux incidents, mise en place des mécanismes appropriés permettant de
réduire les impacts;
• l'activation de mesures de rétablissement ou de retour à la normale dans les
meilleurs délais;
• la rétroaction, analyse de l'incident pouvant conduire à des modifications des processus
de gestion et de traitement des incidents ou la mise en place de nouvelles mesures de
sécurité.
Assurer la sécurité des ressources humaines
Thème 5
RÈGLES ET PRATIQUES
• Formation et sensibilisation
– informer chaque utilisateur que son micro-ordinateur doit être utilisé uniquement dans le
cadre de son travail et que tous les accès à Internet sont journalisés (s’il y a lieu).
– communiquer à chaque utilisateur les procédures de sécurité qui le concernent et
l'informer qu'il doit les respecter dans l'exercice de ses fonctions. Vous devez également
l'informer qu’il s'expose à des sanctions (mêmes légales) dans le cas contraire.
– informer le personnel des consignes suivantes :
• Chaque nouvel employé ou contractuel doit lire et signer un engagement de respect
de la sécurité (ou lors de l'implantation de la politique de sécurité).
• Les employés et les contractuels qui traitent de l'information sensible doivent être
soumis à une habilitation sécuritaire et signer une entente de confidentialité.
– Chaque utilisateur ne peut :
• télécharger et/ou installer des jeux ou des logiciels non autorisés et sans droit de
licence, de même que des films et des pièces musicales;
• empêcher le fonctionnement des outils de protection (antivirus, écran de veille, etc.);
• accéder par Internet à des sites interdits;
• installer des programmes ou fichiers reçus par courriel et ne concernant pas son
travail.
8
Assurer la sécurité des ressources humaines
•
•
– Chaque utilisateur doit, pour assurer la protection de la vie privée des personnes :
• utiliser des données fictives lors des tests de systèmes;
• assurer l’intégrité de l'information lors de sa collecte, de son traitement et de sa
conservation;
• assurer la conservation de l'information à l'abri des indiscrétions;
• surveiller l'impression ou la photocopie d'informations confidentielles;
• assurer la destruction sécuritaire des supports informatiques.
– Chaque utilisateur doit informer son supérieur immédiat et le responsable de la sécurité
de l'information de tout incident ou disfonctionnement de sécurité qu'il constate.
Procédure d’accueil
– La séance d'accueil doit inclure, pour le volet sécurité, les éléments suivants :
• les politiques et procédures;
• L’organigramme des responsabilités des intervenants en sécurité (qui fait quoi);
• l'identifiant et le mot de passe:
– composition et longueur minimale du mot de passe, période de validité;
– confidentialité du mot de passe;
– responsabilités des actions effectuées avec son identifiant;
• l'usage judicieux des équipements et logiciels incluant Internet.
Procédure de départ
– Une procédure doit mettre fin aux droits d'accès de tout employé contractuel ou tiers aux
actifs informationnels de votre entreprise prennent fin immédiatement dès son départ.
Gérer les systèmes : sécuriser l’information
Thème 10
Contexte
• L'acquisition, le développement et l'entretien de systèmes impliquent la mise en œuvre de
moyens de protection et l'observation de règles, normes et standards.
• La sécurité des systèmes comprend : les systèmes d'exploitation, les infrastructures
technologiques, les applications d’affaires, les progiciels et les applications développés par les
utilisateurs.
Principe
• Le responsable de la sécurité identifie et valide les exigences de sécurité avant le
développement de tout système d'information. Lors de l'analyse préliminaire du projet de
développement d'un système, tous les besoins de sécurité doivent être définis, approuvés et
documentés.
Règles et pratiques
• La sécurité de l'information doit être une préoccupation constante dans les développements de
systèmes, leur implantation, leur entretien de même que lors des évolutions logicielles et
matérielles. Pour ce faire, le responsable de la sécurité doit prendre en considération les
éléments suivants :
– l'identification des exigences de sécurité des systèmes;
– les contrôles dans le traitement de l'information;
– les mesures de chiffrement de l'information;
– la sécurité des fichiers des systèmes d'information;
– la sécurité des environnements de développement et de soutien;
– la gestion des vulnérabilités techniques.
9
Gérer les systèmes : contrôler la validité des données
•
•
Identification des exigences de sécurité des systèmes
– Lors de la définition des besoins, les contrôles et mesures de sécurité doivent être
spécifiés et décrits.
– Dans le cas où un progiciel est acquis, des tests spécifiques reliés aux besoins de sécurité
doivent être réalisés pour vérifier les fonctionnalités de sécurité du produit.
Contrôles dans le traitement de l’information
– Les données d'entrée des systèmes d’information doivent être validées :
• vérification des éléments (valeurs acceptées, limites inférieures et supérieures, etc.);
• examen des fichiers afin de vérifier leur intégrité et validité;
• définition des responsabilités du personnel affecté au traitement des données;
• création d'un journal des changements apportés aux données d’entrée.
– Des tests de validation et de contrôle doivent être incorporés dans les applications pour
détecter les données pouvant être corrompues lors du traitement de l’information.
– La validation des données de sortie des systèmes d'information implique :
• La vérification permettant d'assurer la validité des données;
• La mise en place d'une procédure de contrôle permettant de vérifier le traitement
complet de tous les enregistrements d'un fichier;
• La définition des responsabilités du personnel affecté au traitement des données de
sortie;
• La création d'un journal de transactions enregistrant tous les changements apportés
aux données de sortie.
Gérer les systèmes : contrôler l’accès aux archives
•
•
•
•
•
Contrôles par des mesures de chiffrement de l'information
– Pour protéger la confidentialité, l'authenticité et l'intégrité de l'information, des mesures de
chiffrement peuvent être implantées.
Sécurité des fichiers des systèmes d’information
– L'accès aux fichiers et aux bibliothèques de programmes sources des systèmes
d'information doit être contrôlé.
– Des mesures de sécurité doivent être prises pour protéger les données sensibles dans les
environnements de tests.
Sécurité des environnements de développement et de soutien
– L'environnement de développement et de soutien doit être sécurisé et des procédures de
sécurité doivent décrire leur accès. Les activités de développement doivent être réalisées
sur des environnements différents de la production.
– La sécurité des environnements de développement de systèmes implique :
• la mise en place de procédures de contrôle des changements apportés aux systèmes;
• une révision technique de toutes les modifications apportées à un système
d’exploitation;
• des restrictions sur les modifications à apporter aux progiciels (limiter à l'essentiel les
modifications à ces produits);
• la sous-traitance du développement de logiciels doit être supervisée par le personnel
de l'entreprise (droits de licence, propriété du code source, droits d'accès pour vérifier
la qualité et la sécurité au niveau des fonctionnalités, etc.).
Gestion des vulnérabilités techniques
Pour diminuer les risques liés à l'exploitation des vulnérabilités connues, une procédure doit
être mise en place pour appliquer rapidement les correctifs identifiés et en assurer l'efficacité.
10
Assurer la sécurité physique
Thème 7
Contexte
• empêcher l'accès non autorisé ainsi que les dommages et perturbations pouvant affecter les
activités quotidiennes et les actifs informationnels installés dans les locaux de l’entreprise.
PRINCIPE
• installés les actifs informationnels identifiés comme vitaux ou importants dans des locaux sûrs
qui constituent le périmètre de sécurité. Des procédures de supervision des actifs à protéger et
des contrôles d'accès physiques au périmètre de sécurité doivent être mises en place.
RÈGLES ET PRATIQUES
protéger les actifs informationnels contre les menaces d'atteinte à la sécurité et les dangers reliés à
l'environnement : menaces d'incendie, d'inondation, de survoltage, de coupure de courant, de
panne d'air climatisé ou de chauffage, d'accès illégal au périmètre de sécurité, etc.
• Protection des équipements et des locaux
– réduire les risques d'accès non autorisés aux informations et ressources de l’entreprise.
– Sécuriser dans un local dédié (muni de carte d’accès, clé, système de détection et
d'extinction en cas d'incendie etc.) les équipements réseau (serveurs, routeurs,etc.). Ce
local ne doit pas être utilisé à d'autres usages (stockage de papiers et de cartons, rangement
de matériaux divers, etc.). Il peut être équipé de caméras de surveillance, d'un système
d'alarme et, idéalement, ne doit pas être situé au rez-de-chaussée d'un immeuble.
– inciter les utilisateurs de votre entreprise à la prudence et à la vigilance lorsqu'ils utilisent
leur micro-ordinateur portable à l'extérieur des locaux de votre entreprise. Ils doivent se
prémunir contre le vol :
• en ne laissant pas leur micro-ordinateur à la vue dans un véhicule;
• en cryptant leur disque dur afin de protéger les logiciels et données.
Assurer la sécurité physique
•
– porter attention à l'emplacement et à la mise au rebut du matériel et des documents
– Les alimentations électriques des équipements considérés comme vitaux ou importants
doivent être sécurisées par :
• une unité non interruptible qui garantit l'alimentation (UPS);
• une génératrice de secours.
• La détection d'incendie doit prévoir la coupure automatique de l'alimentation
électrique du périmètre de sécurité.
• Ces dispositifs doivent être testés et vérifiés périodiquement.
– Vous devez faire respecter les consignes suivantes :
• reformater les disques de tout équipement mis au rebut ou réutilisé. Si des données
sensibles avaient été emmagasinées, la destruction physique des disques est à faire.
• stocker sous clé les supports et documents importants identifiés comme vitaux. Une
déchiqueteuse doit être utilisée pour les documents confidentiels ou sensibles.
• Les équipements informatiques utilisés en dehors des locaux de l'entreprise (chez un
client, à la maison, etc.) sont soumis aux mêmes procédures de sécurité.
Protection reliée à l’environnement
– prévoir ou ajouter des mesures spécifiques de protection contre les inondations, les
explosifs, la fumée, la poussière, les vibrations, les tremblements de terre, les produits
chimiques et les interférences avec l'alimentation électrique.
– Prévoir si nécessaire un système d'alarme (idéalement, il ne doit pas être situé au rez-dechaussée d'un immeuble).
11
Contrôler les accès : les règles
Thème 8
Contexte
• Le contrôle des accès consiste à gérer et contrôler les accès logiques et physiques aux
informations et ressources de l'entreprise; détecter les activités non autorisées et préciser les
règles à observer concernant l'identifiant et le mot de passe, de même que les autorisations
d'accès.
PRINCIPE
• L'accès aux actifs informationnels catégorisés comme vitaux ou importants est réservé aux
seules personnes autorisées. Le droit d'accès et le type d'accès (lecture seule, modification, droit
d'effacement ou d'écriture) sont accordés par le propriétaire de chaque actif.
RÈGLES ET PRATIQUES
• Rôle du responsable de la sécurité
• veiller à mettre en place une directive pour contrôler l'attribution des droits d'accès aux
informations et ressources de l'entreprise.
• Cette directive doit couvrir tous les stades du cycle de vie des accès d'un utilisateur, de son
enregistrement initial (arrivée) à son annulation (départ).
• limiter les droits d'accès privilégiés (par exemple : administrateur d'un système d'exploitation)
qui permettent d'outrepasser des mesures de contrôle.
• attribuer un identifiant et un mot de passe, de même que les autorisations reliées au profil
d'accès de chaque utilisateur.
• assurer le soutien des propriétaires d'actifs informationnels qui ont la responsabilité d'accorder,
faire modifier ou supprimer tout droit d'accès à un actif dont ils ont la responsabilité.
Contrôler les accès : rôle du responsable sécurité
•
•
•
s'assurer que les systèmes d'applications peuvent :
– contrôler l'accès des utilisateurs à l'information et aux fonctions des systèmes
d'applications, conformément à une procédure définie de contrôle des accès;
– fournir une protection contre l'accès non autorisé à tout programme utilitaire et à tout
logiciel de système d'exploitation capable d'outrepasser les commandes du système ou des
applications;
– ne pas porter atteinte à la sécurité des autres systèmes avec lesquels les ressources
d'information sont partagées;
– être capables de fournir l'accès aux informations uniquement au propriétaire, à d'autres
individus autorisés ou à des groupes définis d'utilisateurs.
recourir à des dispositifs de sécurité pour chaque système d'exploitation utilisé afin de limiter
l'accès aux ressources contrôlées ou exploitées par ce système. Ces dispositifs doivent remplir
les fonctions suivantes :
– identification et vérification de l'identité, poste de travail de chaque utilisateur ;
– enregistrement des accès au système, qu'ils soient réussis ou non;
– prévision d'un moyen d'authentification approprié; si un système de gestion des mots de
passe est utilisé, il doit assurer la qualité des mots de passe;
– restriction des heures de connexion des utilisateurs, si le besoin est requis.
surveiller les systèmes afin de détecter tout écart de la procédure de contrôle des accès et
d'enregistrer les événements pouvant être surveillés, afin d’avoir des éléments de preuve en cas
d'incidents de sécurité.
12
Contrôler les accès aux réseaux externes de l’entreprise
•
•
•
•
•
vérifier l'efficacité des mesures adoptées ainsi que leur conformité à un modèle de politique
d'accès par la surveillance des systèmes.
contrôler l'accès aux services internes et externes sur le réseau. Il doit assurer :
– la présence d'interfaces appropriées entre le réseau de l'entreprise et les réseaux
appartenant à d'autres organisations;
– la présence de mécanismes d'authentification appropriés pour les utilisateurs et le matériel
à distance;
– le contrôle de l'accès utilisateur aux services d'information.
La connexion à Internet ou à des réseaux externes peut se faire selon certaines balises :
– La connexion se fait à partir de postes de travail spécifiques, qui ne sont pas connectés au
réseau de l'entreprise et qui ne contiennent aucune donnée critique. Les postes sont
protégés par un coupe-feu personnel et un antivirus.
– Des postes de travail spécifiques sont autorisés à se connecter directement. Ils sont
protégés par un coupe-feu personnel et par un antivirus.
– Des postes de travail spécifiques sont autorisés à se connecter via la passerelle de sécurité
où passent toutes les connexions sortantes.
– Toute autre façon de se connecter est interdite.
limiter et mettre sous surveillance les connexions de postes de travail en accès distant :
– limiter les services offerts aux besoins identifiés et interdire tout accès à une information
sensible. Ces accès à distance sont authentifiés et chiffrés. Ils utilisent une classe d'adresse
IP bien déterminée
interdire la connexion au réseau de l'entreprise d’un micro-ordinateur fixe ou portable
n'appartenant pas à celle-ci.
Contrôler les accès : un utilisateur responsable
•
•
•
L'utilisateur détient un droit d'accès personnel et unique à son environnement de travail qui
comprend :
– des outils de communication (courrier électronique, Internet, intranet);
– des systèmes d'exploitation, logiciels, applications, progiciels et de l'information
personnelle ou partagée.
Il est interdit à l'utilisateur de :
– divulguer de l'information confidentielle;
– chercher à obtenir de l'information non reliée à sa tâche;
– abuser de son droit d'accès par curiosité ou pour autre motif.
Le mot de passe est l'une des principales façons de garantir la sécurité d'accès aux systèmes et
à l'information de l'entreprise. En conséquence, l'utilisateur doit :
– garder secret son mot de passe (ne pas l'afficher ou l'écrire sur un papier à la vue de tiers);
– changer le mot de passe lorsque le système le demande;
– utiliser un mot de passe d'au moins 8 caractères, composé de lettres, chiffres, caractères
spéciaux, minuscules et majuscules et facile à retenir;
– utiliser, s'il y a lieu, l'écran de veille avec mot de passe imposé par l'entreprise qui permet
de verrouiller le poste de travail lorsqu'il est hors d'usage pendant une période
déterminée;
– être responsable des actions effectuées avec son identifiant et son mot de passe (ne pas
permettre à un tiers d’utiliser son identifiant).
13
Contrôler les accès de l’informatique mobile
•
•
La directive concernant l'utilisation de l'informatique mobile doit inclure des spécifications
concernant :
– la sécurité physique;
– le contrôle des accès;
– les mesures de chiffrement;
– les procédures de sauvegarde;
– la protection contre les virus.
Dans le cas du télétravail, il convient que l’entreprise applique une protection sur le site de
télétravail et veille à ce que des dispositions appropriées soient prises pour ce type de travail.
Les facteurs à considérer sont :
– la sécurité physique du lieu de télétravail;
– les heures de travail, la catégorisation des informations à rendre disponibles, les services
et applications accessibles;
– la sécurité des moyens de télécommunication utilisés;
– l'accès à l’information par des personnes non autorisées;
– les procédures de sauvegarde;
– la disponibilité d'une assurance;
– le soutien technique et la maintenance;
– l'audit et la surveillance.
sécurité : atouts des VPN, risques du Wi-Fi
La sécurisation par les réseaux virtuels (Virtual Private Network) :
• Le VPN (Virtual Private Network) peut être utilisé pour sécuriser les connexions à distance
des utilisateurs mobiles et des télétravailleurs.
• Le VPN permet d'établir une connexion sécurisée privée à travers l'Internet grâce à des
techniques de cryptage et d'authentification.
Les réseaux sans fil accentuent les risques :
• Les réseaux sans fil causent un sérieux problème de sécurité. Avant d'aller de l'avant avec cette
technologie, vous devez réaliser une analyse des risques et décider, si vous poursuivez dans
cette démarche, comment vous allez l'implanter et quelles mesures de sécurité vous allez
adopter.
• Les réseaux sans fil ont des connexions semblables aux autres types de réseau, mais ils
comportent des différences importantes quant aux contrôles à mettre en place. Ces différences
sont :
– la technologie des réseaux sans fil utilise les ondes pour la transmission des données. Les
ondes sont accessible à tout ordinateur à portée. Ne pouvant empêcher leur réception, il
faut empêcher leur utilisation (mot de passe, cryptage, certificat,…) ;
– la difficulté de faire des sauvegardes au moment approprié à cause d'une bande passante
insuffisante et/ou de l'impossibilité de communiquer avec le réseau de l'entreprise au
moment de la prise de sauvegarde ;
– Les informations importantes et vitales de votre entreprise ne doivent pas être disponibles
via un réseau sans fil.
14
Contrôler les communications : gérer les opérations
Thème 9
Contexte
•
Le réseau de télécommunications étant une composante critique du système d'information, il doit faire l'objet
de mesures de sécurité et de contrôle qui tiennent compte de tous les besoins d'accès des clients, des
partenaires et du personnel de l'entreprise (accès à distance, communication avec des tiers, commerce et
transactions électroniques, etc.).
Principe
•
s'assurer de la fiabilité, de l'intégrité et de la disponibilité du réseau de télécommunications :
– mettre en place des procédures de contrôle et des mécanismes de sécurité;
– installer des outils de protection adaptés pour sécuriser systèmes d'exploitation et applications.
Règles et pratiques
•
Gestion des opérations
– Toutes les opérations concernant le traitement des informations doivent être documentées. Dans ce
contexte, il faut établir les responsabilités et les procédures de gestion et d'utilisation de toutes les
infrastructures technologiques.
– Les activités de développement d'applications et de tests ne doivent pas être réalisées sur les mêmes
environnements que ceux en cours de production. Cette séparation vise à éliminer la possibilité de
confondre les données de tests avec les données réelles.
– Les contrats encadrant les actifs informationnels gérés par des tiers doivent prévoir des mesures de
gestion indiquant les éléments de sécurité sensibles et les procédures de sécurité à mettre en place.
Contrôler les communications : implanter les outils
•
•
Gestion des communications
– Les risques d'altération et de divulgation d'informations confidentielles et sensibles sont
maintenant de plus en plus élevés. Les causes de ces risques sont :
• les logiciels pernicieux (vers, usurpation d'identité, logiciels espions, etc.);
• les intrusions et les écoutes à travers les réseaux;
• la disponibilité de réseaux sans fil;
• les nouvelles technologies de stockage (clé USB, disque amovible, etc.);
• les erreurs humaines et actes malveillants effectués par le personnel de l’entreprise.
– Pour se protéger d’actes malveillants ou des attaques de pirates informatiques, plusieurs
moyens de protection sont disponibles :
• Le coupe-feu : protége le réseau contre les intrusions et empêche le trafic non
autorisé de l'intérieur vers l'extérieur ;
• Le coupe-feu personnel protége le poste des attaques provenant du réseau;
• Le logiciel antivirus : permet de rechercher et d'éliminer les virus informatiques et
autres logiciels pernicieux. L'antivirus doit être installé sur différents points
névralgiques :
– sur chaque micro-ordinateur du parc informatique de l'entreprise;
– sur le serveur de messagerie;
– sur la passerelle d'accès Internet.
Il est recommandé, pour chaque point névralgique retenu, d'utiliser des fournisseurs
distincts afin d'augmenter les chances de détection.
15
Contrôler les communications : analyser, prévenir
•
•
•
La mise à jour des logiciels : permet d'éliminer les vulnérabilités connues et de profiter des
améliorations apportées à la sécurité.
L'analyse de l'infrastructure technologique (serveurs, routeurs, pare-feux …): permet de
vérifier les vulnérabilités exploitables par des personnes malveillantes. Le scanner de
vulnérabilités est un logiciel automatisé conçu pour détecter les vulnérabilités et les faiblesses
du réseau de communication. Un rapport indique les vulnérabilités identifiées et les éléments
sur lesquels il faudra apporter des correctifs.
Le responsable de la sécurité doit faire respecter les consignes suivantes, en informant les
intervenants concernés :
– La sauvegarde des données, des applications et des logiciels d’exploitation représente une
activité essentielle et primordiale pour l’entreprise. En cas de sinistre (incendie,
inondation) ou de problème matériel (disque défectueux, serveur endommagé), il faut
récupérer les informations et ressources dans des délais raisonnables ;
– le transport de supports contenant de l'information de l'entreprise (CD, Bandes,…), doit
être soumis à des procédures sécuritaires (emballage spécial, mallette à ouverture par
code, livraison selon un processus sécuritaire, cryptage de l'information) ;
– La transmission d’informations confidentielles ou sensibles par messagerie électronique,
doit utiliser un mécanisme de chiffrement convenu avec son correspondant.
Vérifier la conformité
Thème 6
Contexte
• La vérification de la conformité consiste à s'assurer :
– du respect des lois et des réglementations;
– de la conformité des procédures de sécurité en place;
– de l'efficacité des dispositifs de suivi (journaux, enregistrements de transactions,..).
RÈGLES ET PRATIQUES
• Le non-respect de la législation en vigueur peut avoir des conséquences financières ou pénales :
– vérifier la conformité de la protection des informations opérationnelles confidentielles et
des informations sur les individus (renseignements personnels ou nominatifs).
– vérifier la conformité de la sécurité des actifs informationnels avec la politique de sécurité
de votre entreprise, afin d'identifier et d'évaluer les insuffisances.
• Un audit, interne ou externe, doit être fait périodiquement pour assurer :
– la vérification de la conformité des mécanismes de sécurité physique et logique;
– la vérification des contrôles de sécurité effectués sur les actifs informationnels vitaux et
importants de l'entreprise;
– la validation de l'efficacité des mesures de sécurité mises en place;
– la validation des processus d'alertes et de réaction aux incidents de sécurité;
– la vérification des mécanismes de contrôle d'accès par des tests d'intrusion;
– l'évaluation du plan de continuité et de relève;
– la conformité aux lois et règlements;
– la sensibilisation de la direction et des utilisateurs aux risques potentiels.
16