Sécurité du système d'information / Sécurité informatique

La sécurité des dispositifs d'information est la totalité des moyens techniques, organisationnels, juridiques et humains indispensable et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information.



Catégories :

Sécurité du système d'information - Sécurité informatique

Page(s) en rapport avec ce sujet :

  • Bulletin Sécurité de l'information : Parution du numéro 9 de septembre 2010... évoque les rapports entre protection de la vie privée et la sécurité informatique, ... elle consacre le rôle de conseil des FSD dans ce système.... se substitue au dispositif de déclaration mensuelle auprès des Délégations Régionales.... (source : dgdr.cnrs)
  • Les incidents de sécurité sur les dispositifs d'informations sont de nature à ... des systèmes de filtrage ;; contrôler régulièrement le niveau de sécurité du ... De multiples applications informatiques pourront ainsi être sécurisées, ... (source : education.gouv)
  • ... Agence nationale de la sécurité des dispositifs d'information... Présentation · Portail de la sécurité informatique... Cible de sécurité. Système d'échange sécurisé d'informations sans interconnexion réseau (DESIIR)... (source : ssi.gouv)

La sécurité des dispositifs d'information (SSI) est la totalité des moyens techniques, organisationnels, juridiques et humains indispensable et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information. Assurer la sécurité du dispositif d'information est une activité du management du dispositif d'information.

Enjeux de la sécurité des dispositifs d'information

Le terme «système informatique» sert à désigner ici tout dispositif dont le fonctionnement fait appel, d'une façon ou d'une autre, à l'électricité et conçu pour élaborer, traiter, stocker, acheminer ou présenter de l'information. Les systèmes d'information s'appuient en règle générale sur des dispositifs informatiques pour leur mise en œuvre. Ils comprennent les données de télécommunications (voix analogique, voix sur IP…) et occasionnellement, les données sur papier.

De tels dispositifs se prêtent à des menaces de types divers, susceptibles d'altérer ou de détruire l'information (on parle d'«intégrité de l'information»), ou de la révéler à des tiers qui ne doivent pas en avoir connaissance (on parle de «confidentialité de l'information»), ou bien par exemple de porter atteinte à sa disponibilité (on parle alors de «disponibilité du dispositif»). Depuis les années 1970, l'accès rapide aux informations, la rapidité et l'efficacité des traitements, les partages de données et l'interactivité ont augmenté de façon énorme — mais c'est aussi le cas des pannes — indisponibilités, incidents, erreurs, négligences et malveillances surtout avec l'ouverture sur internet.

Certaines de ces menaces peuvent aussi, indirectement, causer d'importants dommages financiers. A titre d'exemple, quoiqu'il soit assez complexe de les estimer, des sommes de l'ordre de plusieurs milliards de dollars US ont été avancées suite à des dommages causés par des programmes malveillants comme le ver Code Red. D'autres dommages substantiels, comme ceux liés au vol de numéros de cartes de crédit, ont été déterminés plus exactement.

Outre les aspects financiers, des bris de sécurité informatique peuvent causer du tort à la vie privée d'une personne en diffusant des informations confidentielles sur elle (entre autres ses coordonnées postales ou bancaires), et peuvent pour cette raison être sanctionnés quand une négligence de l'hébergeur est établie : si, par exemple, ce dernier n'a pas appliqué un correctif dans des délais raisonnables.

Indirectement aussi, certaines menaces peuvent nuire à l'image même du propriétaire du dispositif d'information. Des techniques répandues de «defacing» (une refonte d'un site web) autorisent une personne mal intentionnée de mettre en évidence des failles de sécurité sur un serveur web. Ces personnes peuvent aussi profiter de ces vulnérabilités pour diffuser de fausses informations sur son propriétaire (on parle alors de désinformation).

Le cas le plus commun, et sans aucun doute les précurseurs en matière de sécurité de l'information, reste la sécurisation de l'information stratégique et surtout militaire. Le TCSEC, ouvrage de référence en la matière, est issu du Department of Defense (DoD) des États-Unis. Le principe de sécurité multiniveau trouve ses origines dans les recherches de résolution des problèmes de sécurité de l'information militaire. Actuellement, plusieurs mécanismes sont étudiés ; citons les leurres reposant sur l'argument qu'interdire explicitement l'accès à une donnée consiste à apporter une information sur cette dernière… ce qui sous-tend à l'hypothèse réaliste que la sécurité à 100% n'est pas atteinte.

L'évaluation des risques

Tenter de sécuriser un dispositif d'information revient à essayer de se protéger contre les risques pouvant avoir un impact sur la sécurité de ce dernier, ou des informations qu'il traite.

Méthodes d'analyse de risque

Différentes méthodes d'analyse des risques sur le dispositif d'information existent. Voici les trois principales méthodes d'évaluation disponibles sur le marché français :

La société MITRE, qui travaille pour le Département de la Défense des États-Unis, a aussi développé en 1998 une méthode d'évaluation des menaces et des vulnérabilités appliquée à l'industrie aérospatiale, et pouvant être généralisée aux infrastructures critiques : NIMS (NAS Infrastructure Management System, NAS signifiant National Ærospace).

Même si l'objectif de ces méthodes est semblable, les termes et les expressions utilisés peuvent fluctuer. Ceux utilisés ci-dessous sont globalement inspirés de la méthode Feros.

Paradoxalement, dans les entreprises, la définition d'indicateurs «sécurité du SI» mesurables, pertinents et servant à définir ensuite des objectifs dans le temps, raisonnables à atteindre, s'avère délicate. S'il s'agit d'indicateurs de performances, on peut désigner comme indicateurs les états d'installation d'outils ou de procédures, mais les indicateurs de résultats sont plus complexes à définir ainsi qu'à apprécier, à preuve ceux sur les «alertes virales».

Informations sensibles

Article détaillé : Sécurité des données.

Avant de tenter de se protéger, il convient de déterminer quelles sont les informations sensibles de l'entreprise, qui peuvent être des données, ou d'une façon plus générale des actifs représentés par des données. Chaque élément pourra avoir une sensibilité différente.

Les actifs contiennent aussi et en particulier le capital intellectuel de l'entreprise, qui forme un patrimoine informationnel à protéger.

Il faut évaluer les menaces et déterminer les vulnérabilités pour ces éléments sensibles.

Critères de sécurité

La sécurité peut s'évaluer suivant plusieurs critères :

D'autres aspects peuvent peut-être être reconnus comme des critères (bien qu'il s'agisse en fait de fonctions de sécurité), tels que :

Une fois les éléments sensibles déterminés, les risques sur chacun de ces éléments peuvent être estimés suivant les menaces qui pèsent sur les éléments à protéger. Il faut pour cela estimer :

Dans la méthode EBIOS, ces deux niveaux représentent le niveau de chaque risque qui permet de les évaluer (les comparer).

Dans la méthode MEHARI, le produit de l'impact et de la potentialité est nommé «gravité». D'autres méthodes utilisent la notion de «niveau de risque» ou de «degré de risque».

Menaces

Article détaillé : Insécurité du dispositif d'information.

Les principales menaces effectives auxquelles un dispositif d'information peut être confronté sont :

Objectifs

Une fois les risques énoncés, il est souhaitable de déterminer des objectifs de sécurité. Ces objectifs sont l'expression de l'intention de contrer des risques identifiés et/ou de satisfaire à des politiques de sécurité organisationnelle. Un objectif peut porter sur le dispositif cible, sur son environnement de développement ou sur son environnement opérationnel. Ces objectifs pourront ensuite être déclinés en fonctions de sécurité, implémentables sur le dispositif d'information.

Moyens de sécurisation d'un dispositif

Conception globale

La sécurité d'un dispositif d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.

Ainsi, la sécurité du dispositif d'information doit être abordée dans un contexte global :

Pour certains, la sécurité des données est à la base de la sécurité des dispositifs d'information, car l'ensemble des dispositifs utilisent des données, et les données communes sont fréquemment particulièrement hétérogènes (format, structure, occurrences, …).

Défense en profondeur

Article détaillé : Défense en profondeur.

Tout droit sorti d'une pratique militaire ancienne et toujours d'actualité, le principe de défense en profondeur revient à sécuriser chaque sous-ensemble du dispositif, et s'oppose à la vision d'une sécurisation du dispositif seulement en périphérie. De façon puriste, le concept de défense en profondeur veut dire que les divers composants d'une infrastructure ou d'un dispositif d'information ne font pas confiance aux autres composants avec lesquels ils interagissent. Ainsi, chaque composant effectue lui-même l'ensemble des validations nécessaires pour garantir la sécurité. En pratique, ce modèle n'est appliqué que partiellement dans la mesure où il est généralement impraticable de dédoubler l'ensemble des contrôles de sécurité. Qui plus est , il peut même être préférable de consolider plusieurs contrôles de sécurité dans un composant dédié à cette fin. Ce composant doit alors être reconnu comme étant sûr par la totalité du dispositif.

Politique de sécurité

Article détaillé : Politique de sécurité informatique.

La sécurité des dispositifs d'information se cantonne le plus souvent à garantir les droits d'accès aux données et ressources d'un dispositif, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des dites ressources possèdent seulement les droits qui leurs ont été octroyés.

La sécurité informatique doit cependant être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le dispositif d'information en toute confiance. C'est pourquoi il est indispensable de définir tout d'abord une politique de sécurité, c'est-à-dire :

La politique de sécurité est par conséquent la totalité des orientations suivies par une entité en termes de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne l'ensemble des utilisateurs du dispositif.

Responsable de la sécurité du dispositif d'information

Article détaillé : Responsable de la sécurité du dispositif d'information.

Cela étant, en France, ce sont essentiellement les grandes sociétés, entreprises du secteur public et administrations qui ont désigné et emploient, à plein temps ou non, des «responsables de la sécurité des dispositifs d'information». Les tâches de la fonction dépendent du volontarisme politique ; les cadres ou techniciens concernés ont généralement une bonne expérience informatique alliée à des qualités de pédagogie, conviction, etc. Progressivement, le management de la sécurité informatique s'organise en domaines ou sous-domaines des services informatiques ou d'état-major ; ils sont pourvus de moyens financiers et humains et intègrent les contrats de plan ou de programmes de l'entreprise.

Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers ou au RSSI (Responsable de la sécurité des dispositifs d'information), si ce poste existe au sein de l'organisation. Le rôle de l'administrateur informatique est par conséquent de faire en sorte que les ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. Qui plus est , étant donné qu'il est l'unique à connaître idéalement le dispositif, il lui revient de faire remonter les informations concernant la sécurité à sa direction, peut-être de la conseiller sur les stratégies à mettre en œuvre, mais aussi d'être le point d'entrée concernant la communication aux utilisateurs des problèmes et recommandations en termes de sécurité.

Modèles formels de sécurité

Afin d'atteindre une cible d'évaluation avec un bon degré de confiance (niveau E4 de TCSEC au minimum), nous définissons formellement le concept de sécurité dans un modèle dont les objectifs sont les suivants :

Il existe plusieurs modèles formels de sécurité  :

Plan de continuité d'activité

Face à la criticité croissante des dispositifs d'information au sein des entreprises, il est actuellement indispensable de disposer d'un plan de sécurisation de l'activité.

Ce plan se décline en deux niveaux divers :

Chacun de ces plans tente de minimiser les pertes de données et d'accroitre la réactivité en cas de sinitre majeur ; un PCA efficace, doit habituellement, être quasi-transparent pour les utilisateurs, et garantir l'intégrité des données sans aucune perte d'information.

La mise en œuvre de telle ou telle solution est fréquemment déterminée par les contraintes fonctionnelles et budgétaires.

Moyens techniques

De nombreux moyens techniques peuvent être mis en œuvre pour assurer une sécurité du dispositif d'information. Il convient de choisir les moyens nécessaires, suffisants, et justes. Voici une liste non exhaustive de moyens techniques pouvant répondre à certains besoins en termes de sécurité du dispositif d'information :

Marché de la sécurité informatique

Un marché mondial s'est constitué dans ce domaine qui en 2007 représentait — selon la société d'étude Gartner — un chiffre d'affaire mondial de 10, 4 milliards de dollars en pleine progression (augmentation de 20 % comparé à 2006, en raison surtout de l'augmentation du nombre de menaces (100 % d'augmentation de 2004 à 2007 selon la société russe Kaspersky[1]) ainsi qu'à cause de la croissance du parc d'ordinateurs).

Le leader de ce marché est le groupe californien Symantec avec 26, 6% des parts de marché (et 50 millions d'ordinateurs protégés), suivi de McAfee (11, 8 %), puis Trend Micro (7, 8), CA (4 %) et EMC (4%).

En 2007, Kaspersky couvrait 38 % du marché français de l'anti-virus et 18 % des suites de protection pour l'Internet.

Dépenses gouvernementales

En 2009, voici les dépenses prévisionnelles de cybersécurité de l'administration américaine[2] :

  • 2009 : 7, 9 milliards de dollars américain
  • 2010 : 8, 3 milliards de
  • 2011 : 9 milliards de
  • 2012 : 9, 8 milliards de
  • 2013 : 10, 7 milliards de
  • 2014 : 11, 7 milliards de

Notes et références

  1. Source : Les Echos, Entreprises & Marchés, p 19, 19 juin 2008
  2. (en) Government spending on cybersecurity to grow, Federal Computer Week, 2 novembre 2009

Voir aussi

Liens externes

Bibliographie

Recherche sur Amazon (livres) :



Principaux mots-clés de cette page : sécurité - information - dispositifs - données - informatique - accès - modèle - méthodes - risques - utilisateur - moyens - menaces - objectifs - élément - activité - milliards - personne - plan - marché - entreprises - politiques - techniques - terme - confidentialité - infrastructures - détaillé - reconnus - niveau - gestion - système -

Ce texte est issu de l'encyclopédie Wikipedia. Vous pouvez consulter sa version originale dans cette encyclopédie à l'adresse http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information.
Voir la liste des contributeurs.
La version présentée ici à été extraite depuis cette source le 17/12/2010.
Ce texte est disponible sous les termes de la licence de documentation libre GNU (GFDL).
La liste des définitions proposées en tête de page est une sélection parmi les résultats obtenus à l'aide de la commande "define:" de Google.
Cette page fait partie du projet Wikibis.
Accueil Recherche Aller au contenuDébut page
ContactContact ImprimerImprimer liens d'évitement et raccourcis clavierAccessibilité
Aller au menu