Plan Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une stratégie de sécurité Prise en compte des besoins juridiques

Plan

Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une stratégie de sécurité Prise en compte des besoins juridiques Sécurité et société de l’ information

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité

Mounir GRARI Sécurité informatique 111

1. Connaitre les risques pour les maîtriser Pour une entreprise, l’objectif de la sécurité informatique est

de garantir qu’aucune perte ne puisse mettre en danger son développement.

Exemple : Il faut réduire la probabilité de voir des risques se concrétiser, à diminuer les atteintes ou dysfonctionnements, et permettre le retour à un fonctionnement normal à des coûts et des délais acceptables en cas d’ incident.

Une stratégie de sécurité est élaborée selon deux approches :- démarche proactive : avoir une conduite générale de protection et de l’organisation de la défense ;- démarche réactive : l’ élaboration de plans de réaction.

La sécurité informatique s’ inscrit dans une démarche d’ intelligence économique afin de maîtriser des risques technologiques, opérationnels et informationnels.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


1. Connaitre les risques pour les maîtriser Objectifs de la sécurité :

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


Incident

Défense

Mesures réactives

- Limiter les atteintes et les dysfonctionnements - Retour à un état normal

Protection

Mesures proactives

- Diminuer la probabilité de la survenue des menaces

INTELLIGENCE ÉCONOMIQUE

1. Connaitre les risques pour les maîtriser une démarche sécuritaire est constitué de trois phases

principales.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


Stratégie d’entrepri

se

Stratégie de

sécurité

Valeurs/Analyse des risques

Risque opérationnelRisque informatique

Risque informationnelRisque technologique

Risque financierRisque d’image

Risque de réputationRisque résiduel

…Politique de sécurité

Évaluation Optimisation

Mesures de sécuritéOutils

Procédures

1

2

3

ANALYSE

MISE EN OEUVRE

CONTRÔLE ET SUIVI

1. Connaitre les risques pour les maîtriser1) Première phase : la première phase (1) consiste à connaitre les valeurs de

l’organisation, leur degré de vulnérabilité en fonction de menaces et le risque de perte totales ou partielle de ces valeurs. Ainsi, une vision de ce qui doit être protégé formulée.

Il s’agit d’ élaborer une véritable stratégie de protection et de gestion de la sécurité en fonction des besoins de sécurité des valeurs et menaces identifiées qu’ encoure l’organisation.

La pertinence de l’analyse des risques dépendra de l’identification exacte des moyens et des mesures à mettre en ouvre pour sécuriser efficacement les ressources de l’organisation.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


1. Connaitre les risques pour les maîtriser2) Deuxième phase : La phase suivante (2) consiste à choisir et à mettre en place

les outils, mesures et procédures nécessaires à la gestion des risques et à la sécurité des systèmes, services et données.

L’ optimisation de la démarche sécuritaire passe par l’ élaboration de :- la politique de sécurité pour répondre aux exigences de maitrise des risques;- la pertinence de la stratégie envers les risques encourus;- l’adaptation des solutions de sécurité aux besoins en fonction des moyens financiers dégagés;- l’adéquation de mesures les unes par rapport aux autres.

3) Troisième phase : une évaluation périodique (phase 3) voir continue des

mesures de sécurité en vue de leur rationalisation et optimisation, vise à réponde le mieux possible à l’ évolution de l’ environnement dans lequel elles s’inscrivent.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


1. Connaitre les risques pour les maîtriser Implémenter une stratégie de sécurité consiste à faire le

compromis les plus judicieux possible entre : - le coût des mesures de sécurité à supporter pour éviter les risques qui pourraient affecter le patrimoine d’une entreprise, - et le coût des impacts de ces risques s’il n’y avait pas de mesures.

Pour définir une stratégie, il n’existe pas de stratégie “recette”. Chaque organisation a son propre stratégie : contexte d’environnement informationnel, de scenario de risque, etc.

Il existe des invariants méthodologique qui simplifient l’ appréhension d’une démarche sécuritaire.

Exemple : Une organisation peut annuler la mise en œuvre d’ un dispositif de secours (backup) de son centre informatique au regard de son coût si ce coût peut s’avérer très élevé en termes de ressources à utiliser .

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


1. Connaitre les risques pour les maîtriser Risques et plan d’action sécurité:

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


Analyse de risqueÉvaluatio

n Contrôle

ValidationOptimisati

on

Politique de sécurité Pilotage

Moyens financiers, organisationnels, humains, technologique,

Mise en œuvre opérationnelle de mesures efficaces de sécurité

Maîtrise de risques

Identification des valeurs

Analyse des menaces

Identification des impacts

2. Vision stratégique de la sécurité1) Fondamentaux Il faut que les solutions de sécurité informatique assurent tout

ou une partie des propriétés suivantes:- La disponibilité (aucun retard) : permet l’accessibilité en continu sans dégradation, ni interruption;- L’ intégrité (aucune falsification) : maintient intégralement les données et les programmes sans altération;- La confidentialité (aucune écoute illicite) : permet de maintenir le secret de l’information et assure l’ accès aux seules entités autorisées (intimité numerique);- La pérennité (aucune destruction) : les logiciels et les données sont stockés, ils sont conservés le temps nécessaire;- La non-répudiation et l’imputabilité (aucune

contestation) : garantit la connaissance de l’origine et de la destination d’ une action ainsi que l’ identification des entités responsables;

- Le respect des contraintes règlementaires ou légales (aucun risque juridique);- L’authentification (pas de doute sur l’identité d’ une ressource)

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


2. Vision stratégique de la sécurité Identifier les valeurs d’ une organisation et exprimer leur

besoins en termes de critère de sécurité permet de fixer la mesure de sécurité à mettre en œuvre au travers :- d’outils (firewalls, antivirus, protocoles cryptographiques, …)- de procédures (mots de passe , mises à jour d’ antivirus, mises à jour d’ un système d’exploitation, …);- de personnes (utilisateurs, administrateurs,…)

Les mesures de sécurité sont identifiées, gérées et optimisées par des procédures de gestion. Au delà de la nécessaire dimension d’ ingénierie de la sécurité, la sécurité relève avant tout d’un acte de management.

Note : réduire seulement la sécurité à sa dimension technologique, c’est assurer son échec!

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


2. Vision stratégique de la sécurité2) Mission de sécurité Entamer une mission se sécurité peuvent se décliner de la

manière suivante :- concevoir un plan d’ action de sécurité après une analyse préalable des risques;- identifier une politique de sécurité;- faire un arbitrage entre les besoins de sécurité, risques et coûts;- déterminer le périmètre de vulnérabilité lié à l’ usage des nouvelles technologies;- offrir de manière dynamique un niveau de protection adapté aux risques encourus;- mettre en pratique et valider les mesures, les outils et les procédures de sécurité;- faire un suivi, contrôler et faire évoluer les mesures et plan d’ action de sécurité;- enfin, optimiser la performance du système d’ information en fonction du degré de sécurité requis.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


2. Vision stratégique de la sécurité3) Principes de base L’ élaboration d’une démarche sécurité repose sur des

principes suivants:- Principe de vocabulaire - nécessité de s’adapter, au niveau de l’ organisation, sur un langage commun de définition de la sécurité.- Principe de volonté directoriale - les dirigeants sont responsabilité de libérer les moyens nécessaires à la mise en œuvre (et à la gestion) de la sécurité informatique.- Principe financier - le budget d’ implémenter la sécurité doit être adapté vis-à-vis des objectifs de sécurité fixés.- Principe de cohérence - la sécurité d’un système est le résultat d’ une intégration harmonieuse des mécanismes, outils et procédures.- Principe de simplicité et d’ universalité - les mesures doivent être compréhensibles, simples par les utilisateurs.- Principe de dynamicité - la sécurité doit être élaborée dynamiquement pour intégrer la dimension temporelle de la vie des systèmes et l’ évolution des besoins et des risques.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


2. Vision stratégique de la sécurité-Principe de continuum - l’organisation doit continuer à fonctionner même après la survenue d’ incident (procédures de gestion de crise).- Principe d’ évaluation, de contrôle et d’ adaptation - Il est très important de pouvoir évaluer durablement l’ adéquation des mesures de sécurité. Cela permet de vérifier et de contrôler que les risques sont maitrisés et d’adapter dans le besoin les solutions de sécurité.

4) Conditions de succès Les conditions de succès d’une approche sécuritaire sont :

- une démarche stratégique de la sécurité- la politique de la sécurité doit être publiée- un certain degré de confiance envers les personnes, systèmes, outils impliqués;- une éthique des acteurs- des procédures de surveillance, d’ enregistrement et d’audit;- le respect des contraintes légales et juridique- …

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


2. Vision stratégique de la sécurité5) Approche pragmatique Axes stratégiques, tactiques et opérationnels de la sécurité :

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


Axe

st

raté

giq

ue

Axe

tactique

Axe opérationnel

Long terme

Moyen terme

Politique de

sécurité

court terme

Mise en œuvre opérationnelle des mesures

Exploitation/Maintenance / Suivi

Identification des mesures de

sécurité

Optimisation

Optimisation

2. Vision stratégique de la sécurité6) Bénéfices La sécurité est à énumérer comme un facteur critique de

succès d’ une organisation et non pas comme une source de coût (charge) ni un frein à la réalisation de la stratégie de l’entreprise.

La sécurité n’est pas une contrainte additionnelle à intégrer dans la stratégie des entreprises mais constitue un outil de production (faisant partie des éléments fondamentaux de la stratégie de l’entreprise).

Comme la qualité, la sécurité est considérée pour une entreprise, un facteur de compétitivité assurant à une meilleur rentabilité.

Considérant la sécurité comme un facteur de qualité, elle pose le problème de sa mesure et donc de la détermination des indicateurs et métriques associés.

Note : la sécurité ne permet pas directement de gagner de l’ argent mais évite d’en perdre.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


2. Vision stratégique de la sécurité7) Aspects économique Les coûts suivant contribue à estimer de manière

approximative le retour sur investissement de la sécurité:- Perte ou baisses de productivité consécutives aux problèmes de dysfonctionnements et à l’indisponibilité, perte de parts de marché , pénalités de retard, etc.- Coût généré par des pertes d’image, impacts au niveau des clients, partenaires, sous-traitants, fournisseurs, etc.- Coûts d’assurance, de gestion, d’ investigation, salaires des experts, etc.- Coûts de reprise après incidents, de la gestion de crise, de restitution, de reconstitution des données, de remise en état, de remplacement des systèmes, etc.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


3. Définir une stratégie de sécurité1) Stratégie générale La diversité des solutions peuvent créer un problème de

cohérence globale de la démarche de sécurité. Exemple 1 : La technologie ne suffit pas mais elle doit être

intégré dans une démarche de gestion de sécurité. Exemple 2 : La sécurité d’ un système particulier n’est que

une composante de la sécurité globale d’ une entreprise. Beaucoup de stratégies de sécurité existent, de politiques de

sécurité, de mesures, de procédures ou de solutions de sécurité que d’organisations et de besoins sécuritaires à satisfaire à un moment donné.

Politique de sécurité et risques font l’objet d’ une actualisation et d’ une évaluation permanentes.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


3. Définir une stratégie de sécurité De la stratégie d’ entreprise à la stratégie sécuritaire:

ICT (Information and Communication Technologies) : Technologies de l'information et de la communication.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


Stratégie d’entreprise

Stratégie de sécurité

Politique de sécurité

Mesures de sécurité

Sécurité informatique :Technologiques

ProcéduresOrganisationnelles

JuridiquesHumaine

Services ICT de qualitérépondant à la stratégie de

l’entreprise

3. Définir une stratégie de sécurité2) Compromis et bon sens La sécurité : une question de compromis

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


Politique de sécurité

Besoin de protection

Besoin de production

Maitrise desrisques

Réduire les risquesà un niveau acceptable

Minimiser les pertes

Permettre un usage efficace des technologies

Risques

Coût du risque

Coût de la maîtrise des risques

3. Définir une stratégie de sécurité La sécurité : une question de bon sens

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


Une question de bon sens

Trop de sécurité est

aussi problématiqu

e que pas assez

Une politique de sécurité ne doit

pas être conçue à partir de

limitations particulières de

certains systèmes

Le plus dur n’est pas de décider quelle est la

technologie de sécurité à appliquer mais d’

identifier pourquoi on doit l’appliquer et sur

quoi

La sécurité n’est jamais

acquise définitivement, elle se vit au

quotidien

La sécurité doit être fonction des risques et

proportionnelle aux enjeux

Plus grande est la récompense, plus

grand est le risque de pénétration d’ un

systèmeLa qualité des

outils de sécurité dépend de la politique

de sécurité qu’ils servent

La sécurité est l’

affaire de tous

3. Définir une stratégie de sécurité3) Responsabilité Les responsable de la sécurité des systèmes d’information

sont des prestataires de services pour la partie de la sécurité qui ils gèrent et contrôlent.

Leur accès aux ressources informatiques implique en plus d’une intégrité sans faille, des procédures de surveillance et de contrôle de leurs actions particulièrement strictes, à la mesure des risques qu’ils font potentiellement courir aux systèmes qu’ils gèrent.

L’ augmentation des affaires criminelles ayant une origine interne, impliquant la complicité d’informaticiens, doit obliger les organisation à traiter la question de responsabilité avec vigilance et à ne pas se laisser piéger par des personnes peu scrupuleuses.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


3. Définir une stratégie de sécurité3) Nouveaux risques, nouveaux métiers Métiers concernant la sécurité :

- Chief Security Officer (CSO) - Il s’agit de la personne responsable de toute la sécurité de l’organisation.- Chief Information Securitty Officer (CISO) - La personne assumant la responsabilité de la sécurité des informations au sein d’une organisation.

Diverses fonctions ou missions spécifique existent comme par exemple:- Responsable de la sécurité des systèmes d’information;- Responsable de la sécurité des réseaux;- Responsable de la sécurité des systèmes;- Responsable de la veille technologique en matière de sécurité;- Auditeur de la sécurité;- Architecte de la sécurité- …

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


4. Prise en compte des besoins juridiques1) Sécurité et répression du crime informatique Actuellement, la cybercriminalité est mal maitrisée comme le

prouvent les chiffres du sondage annuel du CSI (Computer Security Institut) ou les statistiques du CERT (Computer Emergency Readiness Team).

Les motifs de tel situation sont notamment liées:- Aux caractéristiques du cybercrime (capacité à être automatisé, savoir-faire embarqué dans le logiciel , réalisation à distance);- À la pénurie de ressources humaines et matérielles au sein des services chargés de la répression des délits informatiques;- À la difficulté à qualifier les faits au regard de certaines législations pénales;- …

Note: CSI (www.gocsi.com) CERT(www.us-cert.gov)

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


4. Prise en compte des besoins juridiques2) Infraction, responsabilité et obligations de moyens Crimes et délits contres les personnes:

Atteintes à la personnalité - atteinte à la vie privée - atteinte à la représentation d’une personne-atteinte au secret professionnel - atteinte aux mineurs- harcèlement…

Crimes et délit contre les biens:Escroquerie - fraude - crime économique et financier - vol - modification, destruction de ressources - chantage - piratage des systèmes…

Provocation aux crimes et délits:Apologie des crimes contre l’humanité – apologie et provocation au terrorisme – provocation à la haine raciale – négationnisme …

Infraction à diverse règlementation (code civil, code des obligations, code pénal, code de la propriété intellectuelle, droit de l’ audiovisuel, des contrats,…):Contrefaçon d’une œuvre de l’esprit (logiciel), d’une image, dessin - contrefaçon de marque - téléchargement illégale - participation à la tenue d’une maison de jeux au hasard (cybercasino) - infraction de presse…

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


4. Prise en compte des besoins juridiques3) Prendre en compte la sécurité en regard de la législation Il est très important que les responsable de sécurité des

organisations soient sensibilisées aux contraintes d’une enquête policière (documentation minimale relative à l’incident, conservation des traces, etc.).

L’organisation doit être prudente au respect de la protection des données à caractère personnel de ses employés comme celles des ses clients, fournisseurs ou partenaires.

Dans la majorité des pays, la législation recommande que la mise en œuvre de la cybersurveillance soit préalablement accompagnée d’une charte d’utilisation de l’informatique et des télécommunications.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


4. Prise en compte des besoins juridiques4) La confiance passe par le droit, la conformité et la sécurité L’intelligence est devenu un facteur clé de succès de la

réalisation de la sécurité informatique. Exemple : la responsabilité pénale des acteurs (comme le

responsable sécurité ou du directeur de systèmes d’information) est de plus en plus invoquée si les ressources informatiques qu’ ils gèrent, sont l’objet ou le moyen d’une délit.

Les responsables d’ organisations doivent être extrêmement attentif à l’ égard du droit de nouvelles technologies et leur système informatique doit être en conformité juridique.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


4. Prise en compte des besoins juridiques5) Règlementation international La première règlementation internationale (et la seule),

contribuant à donner la dimension internationale de la cybercriminalité est la convention sur la cybercriminalité-Budapest 23 novembre 2001.

Exemple de point abordé : les états doivent établir leur compétences à l’ égard de toute infraction pénale lorsque cette dernière est commise sur son territoire.

Il y a aussi des lignes directives de l’OCDE (Organisation de Coopération et de Développement Economique). Voila deux exemples de points évoqués:

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


Démocratie La sécurité des systèmes et des réseaux d’information doit être compatible avec les valeurs fondamentales d’une société démocratique.

Conception et mise en œuvre de la sécurité

Les parties prenantes doivent intégrer la sécurité en tant qu’un élément essentiel des systèmes et réseaux d’information.

5. Sécurité et société de l’ information1) Pour une société de l’information sûre L’ état a des responsabilités importantes pour la réalisation

d’une sécurité numérique:- Il doit définir les lois;- Il doit favoriser et encourager la recherche et le développement en matière de sécurité;- Il doit promouvoir une culture de la sécurité et du respect de l’intimité numérique;- Il doit imposer le respect d’un minimum de normes de sécurité.

2) Respect des valeurs démocratiques Replacer l’ être humain et les principes démocratiques dans

les technologies de l’information (et dans les solutions de sécurité) est nécessaire pour donner les moyens aux internautes de devenir des cybercitoyens avertis, et non pas des consommateurs vulnérables et dépendants.

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


Exercice 21 : Que recouvre la notion de stratégie de sécurité? Exercice 22 : Pourquoi la sécurité doit-elle gérée selon un

processus continu? Exercice 23 : Dans quelles mesures la sécurité informatiques

est - elle résultante d’un compromis? Exercice 24 : Dans quelle mesure la conformité réglementaire

se décline-t-elle comme un besoin de sécurité? Exercice 25 : Pourquoi la compréhension du risque juridique

par des responsables de la sécurité informatique est importante?

Ch

ap

itre

4 :

Str

até

gie

de s

écu

rité


Documents

Plan Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une stratégie de sécurité Prise en compte des besoins juridiques