Vers une déontologie de l’utilisation des systèmes d ...©néfices/Documents/Sécurité/75... · ce domaine,AG2R,premier groupe interprofessionnel de prévoyance et de retraite

dossier :

Maîtrise des risqueset sécurité des systèmes d’information

4

• La

rev

ue n

°75

- M

ai 2

004

Vers une déontologie de l’utilisationdes systèmes d’information ?

Le groupe, emploie, après le rap-prochement avec ISICA, le 1er jan-vier 2004, 3 200 personnes au tra-vers de 80 implantations régio-nales. AG2R (y compris le pôle ali-mentaire ISICA) représente en 2003un chiffre d’affaires d’environ 5,5milliards d’euros et assure près de 7millions de personnes en France.

L’activité d’AG2R, dont le cœur demétier est la protection sociale despersonnes se répartit en deux sec-teurs distincts :

• le secteur obligatoire qui concerneles régimes de retraite complémen-taire par répartition AGIRC ( cadres) et ARRCO (non cadres),

• le secteur concurrentiel qui com-prend une gamme de produits etde services des domaines de la pré-voyance, de la retraite supplémen-taire, de l’assurance, de la santé, et

de l’épargne à l’attention desentreprises et des particuliers.

AG2R consacre chaque année prèsde 30 millions d’euros à des actionssociales illustrant les valeurs desolidarité et d’humanisme quidepuis 50 ans guident son action.

Chiffres clés AG2R – ISICA

• 3 200 collaborateurs dans toute laFrance.

• un service de proximité avec 17directions régionales et 80agences.

• 17 centres de gestion pour l’ins-truction des dossiers de retraite etde prévoyance.

• 7 centres d’appels téléphoniques.

• CA : 5,5 milliards d’euros (AG2R –ISICA).

Paul-Olivier GibertDirecteur de la sécurité et de la déontologieGroupe AG2R

Le thème de la responsabilité desentreprises et des organisations estune question particulièrement à lamode. Responsabilité sociétale autravers de la problématique dudéveloppement durable, mais aussiresponsabilité juridique. Les litigesjudiciaires entre les entreprises, leursclients, leurs fournisseurs, voire leurssalariés présentent des risques toutà fait réels pour les entreprises.

L’utilisation des systèmes d’informa-tion est également une source derisques pour les entreprises. Undéfaut de comportement d’un colla-borateur peut mettre en cause laresponsabilité de l’organisation. Lezèle d’un administrateur réseau quidans l’analyse d’un problèmeconsulte le contenu de la message-rie d’un salarié, s’expose et soumetson organisation à un risque pénalau titre de la violation du secret de lacorrespondance. Un responsablehiérarchique qui constitue un outilde suivi des tâches avec des res-sources bureautiques peut parnégligence constituer un fichiernominatif clandestin. Un collabora-teur qui utilise son ordinateur pro-fessionnel pour construire un sitedénigrant une entreprise tierce aveclaquelle il est en litige, peut amenerson employeur à être condamné àrégler des dommages et intérêts àcette dernière.

Ces exemples extraits de différentscas repris dans la presse et dans lajurisprudence montrent qu’il seraitdangereux que les entreprises négli-gent la gestion de ces risques liés àl’utilisation du système d’informa-tion. Ils posent ainsi la question de ladéontologie de l’utilisation des sys-tèmes d’information.

AG2R, 1er groupe interprofessionnel de prévoyance et de retraitecomplémentaires des salariés et des retraités en France est indépen-dant et à but non lucratif. Il est géré paritairement par près de 700administrateurs représentant tous les partenaires de la vie écono-mique et sociale.

S’il est trop tôt pour traiter de façon définitive ce problème,faute notamment de jurisprudence définitive et claire dansce domaine, AG2R, premier groupe interprofessionnel deprévoyance et de retraite complémentaire, a confié à unemême Direction, la rédaction de sa charte d’utilisationdes systèmes d’information et l’animation de son dispo-sitif déontologique métier (assurance et gestion d’actifs)dans le cadre de sa politique globale de sécurité.

La politique de sécurité et de déontologie d’AG2R

AG2R, qui assure 7 millions de personnes en France (voircartouche) déploie depuis 2002 une politique globale desécurité et de déontologie visant à prévenir la mise encause de la responsabilité du groupe, la survenance defraudes et garantir la continuité de son activité.L’encadrement de l’utilisation des systèmes d’informa-tion est un élément clé de la politique globale de sécuritédu groupe AG2R.

La politique globale de gestion des risques au seind’AG2R repose sur un constat, une analyse et deux choix.

Le constat est qu’il ne suffit plus aujourd’hui d’avoir descontrats juridiquement bordés avec ses clients et ses par-tenaires pour être immunisé contre une mise en causede sa responsabilité. Les comportements, non seulementlors de leur vente mais également lors des actes et desactions réalisés lors de leur vie, engagent l’entreprisetout autant que le contrat lui-même.

L’analyse est que les différentes familles de risques ou demenaces suivant la terminologie retenue interagissentfortement et qu’elles doivent donc être gérées de façoncoordonnée. En effet, l’interaction des dimensions juri-diques, informatiques, physiques, financières et d’imageen cas de sinistre est forte.

Le premier choix est d’orienter la mise en œuvre de cettepolitique de sécurité, vers le respect des règles de bonneconduite à l’égard des clients. Le second est de s’appuyersur la culture humaniste du groupe AG2R et de donnerun rôle central à l’individu, au collaborateur.

La mise en œuvre de cette politique de sécurité et dedéontologie repose sur les directions fonctionnelles etopérationnelles et la Direction de la Sécurité et de laDéontologie. Les premières ont la responsabilité demettre en œuvre les mesures nécessaires, la secondeassure la veille, structure et coordonne le dispositif glo-bal.

Politique globale de sécurité et utilisation du système d’information chez AG2R

Le système d’information (voir schéma) d’AG2R a pourfinalité de calculer, de générer et de comptabiliser les flux

financiers liés aux opérations d’assurances initiées parses clients. Il est ainsi amené à stocker et à traiter desdonnées nominatives. Les volumes sont proportionnelsaux 7 millions de personnes couvertes par des garantiesgérées par AG2R.

Celui-ci s’ouvre rapidement vers l’extérieur. De nouveauxservices sont proposés aux clients via Internet (consulta-tion de décomptes de prestations santé, d’historique decarrière pour la retraite, demandes de devis ou de ren-dez-vous). Les échanges informatiques avec des parte-naires tels que les CPAM, d’autres Caisses de Retraite, lesprofessionnels de santé sont également intenses.Environ 35 % des utilisateurs ont des accès internet (mes-sagerie externe et navigation).

3 200 collaborateurs répartis sur plus de 80 implanta-tions utilisent quotidiennement ce système d’informa-tion tant pour des applications métiers qu’à travers desressources bureautiques et de communication.L’encadrement de l’utilisation de ces ressources par cespersonnes repose sur :

• des règles simples issues du droit positif et des règlesde l’art,

• l’usage de supports juridiquement opposables,

• un effort important de communication et d’information,

• des possibilités de contrôles strictement encadrées.

Les règles auxquelles sont soumis les utilisateurs du sys-tème d’information AG2R sont de deux natures : la reprisedans une note de service annexée au règlement intérieurde dispositions de droit (droit du travail, droit de l’infor-matique principalement), de règles reprenant l’état del’art visant à éviter les atteintes volontaires et involon-taires au bon fonctionnement des outils mis à leur dispo-sition.

Si les utilisations manifestement illicites ou dangereusesdes ressources fournies aux utilisateurs sont ainsi explici-tement interdites, il leur est reconnu une possibilité d’un« usage limité des moyens de communication et de traite-ment de l’information dans le cadre des nécessités de la viecourante et familiale […] à condition qu’il n’affecte pas l’ac-tivité professionnelle. » (Charte du bon usage des res-sources des systèmes d’information et de communica-tion du Groupe AG2R).

Ces règles sont inscrites dans des supports juridique-ment opposables : charte annexée au règlement inté-rieur pour l’ensemble des collaborateurs, délégations depouvoirs formalisées pour l’encadrement, lettres d’enga-gement pour les experts. Ce choix peut ralentir la mise enplace de ces outils de sécurité, mais il nous semble indis-pensable pour assurer une pleine responsabilisation desacteurs.

5

• La

rev

ue n

°75

- M

ai 2

004

Maîtrise des risques et sécurité des systèmes d’information dossier

Au-delà de cette information debase, la Direction de la Comm-unication Interne, en liaison avec laDirection de la Sécurité et de laDéontologie et la Direction desSystèmes d’Information, réalise àintervalle régulier des « piqûres derappel » via les différents supportsinternes (flash hebdomadaire, jour-nal trimestriel).

Enfin dans certains cas, l’ensembledes salariés est amené à participeraux actions de sécurité. En particu-lier lors de retards de livraison dessignatures à l’apparition d’un nou-veau virus, un message est diffusévers chaque collaborateur pour luirappeler de ne pas ouvrir les piècesjointes des messages dont il neconnaît pas l’émetteur. Ces alertessur des cas réels sont de nature àmaintenir la vigilance de chacun,condition de l’efficacité d’une poli-tique de sécurité.

Les textes rédigés et diffusés, il resteà mettre en place un dispositif decontrôle du respect de ces normesd’utilisation des systèmes d’informa-tion. Celui mis en place par AG2R

vise à concilier efficacité et respectdes droits du collaborateur.

La charte, remise à chaque collabo-rateur, prévoit explicitement la pos-sibilité de contrôles de l’utilisationdu système d’information. Ces vérifi-cations sont réalisées dans un cadreprotecteur pour les collaborateurs.Un tel contrôle n’est possiblequ’après accord de la DRH et de laDirection de la Sécurité et de laDéontologie et information du salarié.Il est réalisé par des collaborateursexpressément habilités qui ontsigné un engagement de confiden-tialité.

Ce cadre juridique mis en placerécemment au sein d’AG2R fournitles bases d’une « déontologie dessystèmes d’information ». Ce disposi-tif ne fait qu’adapter les obligationsqui découlent du droit du travail(discrétion, diligence, exclusivité,….)à l’utilisation de l’outil informatique.Elles sont bien évidemment gra-duées suivant le niveau d’expertiseet de responsabilité de chaque colla-borateur.

Une fois les règles définies et ren-dues juridiquement opposables,elles doivent être largement diffu-sées au sein de l’entreprise sous uneforme très facilement assimilablepar l’ensemble des populationsconcernées.Au sein d’AG2R l’ensemble descanaux de communication interne aété utilisé. En parallèle de la diffusionde la charte intégrée dans le règle-ment intérieur, chaque salarié a reçuune plaquette reprenant sous uneforme « plus communicante » et pluspratique (intégrant notammentl’état actuel du système d’informa-tion) les règles à respecter. Ces deuxdocuments sont également dispo-nibles sur l’intranet du groupe etdoivent être validés à toute premièreconnexion d’un utilisateur. Ils sontégalement intégrés dans le « kitd’accueil » de tout nouveau collabo-rateur.

Des triptyques ont été égalementréalisés pour fournir à l’encadre-ment un référentiel facilement utili-sable pour leur permettre d’exercerdans les meilleures conditions leursresponsabilités.

dossier Maîtrise des risques et sécurité des systèmes d’information

6

• La

rev

ue n

°75

- M

ai 2

004

Schéma SI AG2R

Comme tout objet auditable, lasécurité informatique doit êtreapprochée avec scepticisme etpragmatisme. Il faut aussi se doterd'un certain nombre de connais-sances et d'outils. Nous essayonsd'y pourvoir dans un périmètre trèsgénéral.

La carte n’est pas le territoire

La sécurité informatique couvre tantde domaines et nécessite une telleexpertise qu'elle permet à tous et àchacun, sous réserve de prendre unair pénétré, de passer pour unexpert. De plus, et c'est son côtémerveilleux, ce sujet n'éveille que debons sentiments face aux pirates,aux malveillants, aux terroristes : onveille sur nous pour nous rappeler lamorale (puisque des associationscommerciales ont pu nous encoura-ger à dénoncer les délinquants),nous protéger (en proposant parexemple d’attribuer à chaque inter-naute un numéro unique d’identifi-cation), nous cocooner (en intégrantau firmware de l’ordinateur la possi-bilité d’interdire l’exécution d’unprogramme dont la licence d’utilisa-tion n’est pas reconnue), nous poli-cer en quelque sorte...

Bien sûr, les esprits chagrins hurlentà l'atteinte aux libertés individuelles.Les esprits retors ricanent en souli-gnant que la sécurité est un marchéfabuleux qui, par nature, ne peut êtresaturé et à l'immense qualité d'offrirdes dispositifs de surveillance de sesconsommateurs. Enfin, les respon-sables de la sécurité informatiquedes entreprises continuent de maldormir…

Il faut bien admettre qu'on souhaite-rait pourtant un outil définitif desécurité dans un univers où il y a desbizarres qui lancent des virus dans lanature pour le fun tandis que

d'autres incroyables vont double-cli-quer sur une pièce jointe d'un mailenvoyé par un inconnu avec enobjet « I love you »... Ne nous croyonspas à l’abri de ces mésaventures, carqui n'a pas installé sur son ordina-teur un logiciel sans savoir vraimentce qu'il y avait dedans, ordinateur surlequel tourne souvent, d'ailleurs, unsystème d'exploitation notoirementbogué (1) ?

Rappelons nous aussi que pourqu'une maison ne soit pas facile-ment cambriolée, il suffit de laconstruire sous la forme d'un bloc debéton sans porte ni fenêtre...

En résumé, pour aborder la sécurité,un certain nombre de notions préa-lables sont indispensables :

• Constat 1 : le monde est complexe.

• Conséquence : il n'y a pas de solu-tion miracle.

C'est bien beau, me direz-vous, maiscomment avec ça assurer la sécurité ?Souvenons-nous que les auditeursque nous sommes n'assurent pas lasécurité mais donnent à la Directionqui les mandate une assurance rai-sonnable concernant les dispositifsde sécurité face aux risques.

• Constat 2 : l'auditeur n'est ni unspécialiste ni en charge de la sécurité.

• Conséquence : si la mission lenécessite, ne pas hésiter à faire appelaux personnes (internes ouexternes) dotées des compétencesnécessaires.

Ajoutons à cela que, suivant l’IIA,l'auditeur interne doit faire preuvede scepticisme professionnel. Cescepticisme doit s'appliquer nonseulement à la conformité du dispo-sitif vis-à-vis de l'état de l'art parexemple, mais encore à son efficacitédans le cadre de son applicationdans l'entreprise (à quoi sert un

7

• La

rev

ue n

°75

- M

ai 2

004


José Bouaniche,

CISA, CIA, fait partie du groupe de

traducteurs bénévoles du cadre de

référence CobiT

à l'AFAI.

La sécurité informatique,les référentiels et l’auditeur« J'ai trois principes quand je conduis : prudence, prudence, prudence. »

Le Chat – Philippe Geluck

1. Si c'est le cas et qu'il n'y a pas d'administrateur système pour mettre à

niveau le système d'exploitation avecdes patchs de sécurité, il peut être utilede s’abonner à des lettres d’alerte gra-

tuites, comme celle de www.secuser.com

démarche que toute appréciationde dispositif de contrôle interne : ilnous faut connaître les objectifs del'organisation (voir Fig. 1).

L'auditeur contrôlera que la sécuritéest pensée dans un cadre d'analysedes risques, comme décrit sur leschéma CobiT qui suit (Fig. 2) parexemple.

Ce modèle d’analyse des risquesdébute par une valorisation desbiens.

Dans CobiT, les biens sont les infor-mations – et naturellement l'en-semble des ressources associées –dont les critères (voir encadré sur lescritères CobiT de l’information) d'ef-ficacité,de disponibilité ou d'intégrité,etc. sont essentiels pour atteindre lesobjectifs de l'entreprise.

L'étape suivante est l'analyse de vul-nérabilité des processus, qui permetd'identifier les faiblesses par les cri-tères d'information ; un processuspeut par exemple être vulnérable àla perte d'intégrité. L'analyse desmenaces, ensuite, doit permettre delister l'ensemble des menaces et devoir quelles vulnérabilités elles pour-raient exploiter.

L'analyse des risques va combiner laprobabilité de la menace, le degréde vulnérabilité et le niveau de sévé-rité de l'impact.

Il faut alors réaliser l'analyse ducontrôle en exhibant une série decontre-mesures et en évaluant leurefficacité face aux risques. Un pland'actions est alors mis en œuvre et lecycle peut recommencer.

firewall si on peut se connecterdirectement par modem ?). Pour cefaire, il faut dérouler une démarchesystématique et méthodique.

• Constat 3 : l'auditeur doit fairepreuve de scepticisme professionnel.

• Conséquence : l’auditeur doitdérouler une démarche systéma-tique et méthodique.

Mission, objectifs et analyse de risque

Maintenant que le décor a été planté,voyons de quoi dispose l'auditeurpour réaliser une mission relative àla sécurité. D'abord et avant tout,apprécier la sécurité d'une entrepriseou d'une entité passe par la même


8

• La

rev

ue n

°75

- M

ai 2

004

Fig. 1 Cadre général de conception de dispositifs de contrôle interne Fig.2 : Cadre d'analyse des risques CobiT

• Efficacité : l’information significative pour le processus

de gestion doit être diffusée en temps opportun et sanserreur.

• Efficience : la mise à disposition de l’information doit

être réalisée de manière optimale, en utilisant les plusproductives et les plus économiques des ressources.

• Confidentialité : l’information sensible doit être pro-

tégée de toute divulgation non autorisée.

• Intégrité : garantir, dans le temps et dans l’espace,

l’exactitude et la complétude de l’information et sa per-tinence vis-à-vis des besoins de gestion.

• Disponibilité : la mise à disposition de l’information

doit être réalisée au moment souhaité pour les actes degestion, dans le temps et dans l’espace.

• Conformité : consiste à se plier aux lois, règlements et

aux clauses contractuelles auxquelles le processus de ges-tion est soumis. Ce sont les règles de gestion imposéespar l’environnement extérieur.

• Fiabilité de l’information : se rapporte à la mise à dis-

position de l’information appropriée à la Direction afinde permettre le fonctionnement de son entité ainsiqu’exercer ses responsabilités de déclarations finan-cières régulières et sincères (i.e. donnant une imagefidèle du résultat des opérations, de la situation finan-cière et du patrimoine de l’entreprise).

Les 7 critères d’information permettant de satisfaire aux exigences de gestion de l’entreprise sont définis comme suit par le CobiT :

Bien sûr, ce n'est pas parce que la sécurité n'est pasconstruite suivant une démarche de ce type qu'elle estinadéquate, maEis c'est quand même un drapeau rougeagité sous notre nez.

Les référentiels de bonnes pratiques

Les entreprises utilisent généralement des référentielscomposés d’un ensemble de dispositifs de contrôles àmettre systématiquement en place (bonnes pratiques).

La plupart des référentiels de bonnes pratiques propo-sent, le cas échéant, un modèle d’analyse des risques, laplupart du temps superficiel, qu’il faut de toutes façonsenvisager avec circonspection. Alan Oliphant, dans unesuite d’articles que sont :

• « taking the helicopter view of information risks » itau-dit.org vol. 5 15/07/02 ;

• « modeling information risk elements » itaudit.org vol. 501/09/02 ;

• « using risk models to determine information risks levels »itaudit.org vol. 5 01/10/02 ;

recommande d’utiliser les modèles d’analyse de risqueavec prudence et discernement, en tant qu’approchescomplémentaires aux autres bonnes pratiques profes-sionnelles.

Le modèle préconisé par Oliphant est adapté du UnitedKingdom Department of Trade and Industry (DTI), qui a étéconçu dans le cadre du référentiel de sécurité des sys-tèmes d’information BS7799 (devenu depuis lorsl’ISO17799).

Il est basé sur une appréciation qualitative des risquesà partir d’un découpage en facteurs de sécurité :

• vulnérabilité,

• complexité,

• confiance,

qui regroupent chacun plusieurs critères. Ces critèressont estimés sur une échelle de risque, puis les critèressont combinés pour fournir une mesure sur chaque fac-teur, à l’aide de tableaux d’évaluation. Les mesures sur lesfacteurs sont ensuite pondérées afin de fournir un coeffi-cient multiplicateur. Le résultat obtenu fournit une pro-babilité de sinistre qui, multipliée par l’impact financier(mais A. Oliphant souligne la difficulté d’obtenir un coûtdigne de confiance), donne la valeur du risque.

Certains référentiels proposent aussi un dispositif

d'évaluation basé sur un modèle de maturité inspiré du

SEI-CMM (2) : c'est le cas de CobiT ou du SSE-CMM (3).

L'Information Security Forum (ISF) propose dans ce

cadre « The Forum's standard of good practice – the stan-

dard for information security » qui est structuré en 5

domaines :

• gestion de la sécurité qui décrit comment on doit gérer

la sécurité de l'information ;

• applications critiques pour l'entreprise ;

• traitement de l'information ;

• réseaux de communication ;

• développement de systèmes.

Il existe même un méta référentiel de la sécurité. Ainsi,

en 2000 et 2001, dans le cadre du Critical Infrastructure

Assurance, grand chantier de la présidence Clinton,

Charles Le Grand a publié plusieurs articles sur le site

de l’IIA dédié aux systèmes d’information (4). Il recen-

sait notamment les référentiels (5) auxquels devaient

se référer l'auditeur pour pouvoir apprécier les disposi-

tifs de sécurité c'est-à-dire « for measuring how much

information security is enough » et mettait particulière-

ment en lumière les « lignes directrices régissant la sécuri-

té des systèmes d'information » publiées par l'OCDE. Ces

dernières mettent en exergue 9 principes qui sont :

• Principe de responsabilité ;

• Principe de sensibilisation ;

• Principe d'éthique ;

• Principe de pluridisciplinarité ;

• Principe de proportionnalité ;

• Principe d'intégration ;

• Principe d'opportunité ;

• Principe de réévaluation ;

• Principe de démocratie.

L’application judicieuse de ces référentiels permet effec-

tivement de mettre en place les dispositifs de sécurité les

plus respectés (best practices) face aux risques les plus

connus et les plus partagés.

9


• La

rev

ue n

°75

- M

ai 2

004

2. www.cmu-sei.edu, site excessivement riche, le Software Engineering Institute est logé à Carnegie Mellon University.

3. Sur le site www.sse-cmm.org. le SSE-CMM (system security engineering – capability maturity model) a été initié par la NSA et est mis à jour par un consortiumcomposé d'organisations gouvernementales des États-Unis d'Amérique et de grandes entreprises depuis 1995.

4. Il s'agit de l'excellent site www.itaudit.org.

5. Il citait Systrust® de l’AICPA et du CICA, le BS7799 (devenu l’ISO 17799), le GASSP, le « managing security of information » de l’IFAC, etc.

• identifier les techniques de sécuritépertinentes pour lutter contre cesvulnérabilités ;• choisir et appliquer ces techniquesen fonction des contraintes et desimpacts économiques,• tester les solutions choisies enterme de robustesse et de faisabilitéréelle. Boucler sur l'étape 3 autant defois que nécessaire.

- identifier les vulnérabilités nou-velles ou déjà connues, grâce à desgrilles prédéfinies et une démarcheheuristique,- identifier et choisir les dispositifs àmettre en place pour prévenir,détecter et contrecarrer les vulnéra-bilités.

Cette méthode détaillée est prochede la démarche générale préconiséepar CobiT. Le document précise par-faitement les points communs et dif-férences avec les autres grandes

méthodes du marché anglo-saxoncomme l'ISO17799 et l'ISO/IEC15408(référentiels de bonnes pratiques)ainsi que d'autres moins connueschez nous : IVA/CARVER, ORM etOPSEC, ces dernières ayant unedémarche heuristique compatibleavec la méthode VAM.

L’évaluation du risque est-elle raisonnable ?

On ne peut cependant faire l'impassesur la fameuse équation du risque. Eneffet, les référentiels propres aux sys-tèmes d’information (CobiT, SSE-CMM, ISO 17799, etc.) s’ils fournissentquelquefois un cadre d’analyse desrisques, n’apportent aucune préci-

sion quant à la notion de risquemême s’ils fournissent une équationpermettant sa quantification.

Le mode de calcul (mesure du risque= quantification de l’impact x proba-bilité d’occurrence soit R = I x P) s’ap-parente plutôt à une formule incan-tatoire. En effet, peut-on envisager dela même manière une mesure de 100 €selon qu’elle provient d’une menacemajeure, dont la conséquence estestimée à 1 Md € avec une probabilitéd’un sur un million, ou d’une menacede 1000 € avec une probabilité de 0,1 ?De plus, et le débat cesse ici, cette for-mule ne s'applique qu'en univers ris-qué alors que le monde réel est plu-tôt incertain (on est incapable demettre une probabilité d'occurrencesur un évènement possible) voireindéterminé (ici ce sont les évène-ments même qui ne peuvent êtreprédits).

J'ai pour ma part beaucoup de respectpour les travaux des ingénieursd’Arca Systems (8) qui appellent « assurance » le niveau de confiance àaccorder à la mesure du risque. Ilsillustrent cette nouvelle dimensionde la prise de décision par le schémasuivant (figure 3) :

Le syndrome de la ligne Maginot

Mais attention à ne pas céder ausyndrome de la ligne Maginot, car,comme nous l'ont appris les stra-tèges, l'assaillant (et dans ce cas cepeut être un malveillant, mais aussile hasard ou la nature) se position-nera rarement en plein milieu denotre ligne de défense, là où tout lemonde l'attend. On pourra (re)lireSir Basil Liddell-Hart qui donnepour les belligérants les conseilssuivants (6) :

• ajustez vos fins avec vos moyens ;

• ayez constamment vos objectifs entête ;• choisissez toujours la ligne deconduite la plus inattendue ;• exploitez la ligne de moindre résis-tance ;• prenez la ligne des opérations quioffre le plus d'objectifs alternatifs ;• assurez-vous que tant le plan d'ac-tion que les dispositions prises sontflexibles et adaptables aux circons-tances ;• ne vous jetez pas de tout votrepoids dans la bataille si votre oppo-sant est sur ses gardes ;• ne réitérez pas un même type d'at-taque ou de ligne de conduite s'il adéjà échoué une fois.

On voit donc les limites à accorder àla mise en place des référentiels desmeilleures pratiques, mais ce n'estpas pour ça qu'il ne faut pas lessuivre ! Ce qui compte vraiment,cependant, c'est une capacité d'anti-cipation et de réaction encadrée parune démarche approfondie d’analysedes risques.

RAND propose à ce sujet la méthodeVAM (7), et détaille largement lesphases essentielles permettant de :

• cartographier les besoins de sécuritépour les fonctions critiques de l'en-treprise .

Cette phase se déroule en 6 étapes :

• identifier les fonctions critiques del'entreprise ;• identifier les systèmes en jeu surces fonctions ;• identifier les vulnérabilités de cessystèmes ;


10

• La

rev

ue n

°75

- M

ai 2

004

6. B.H. Liddell-Hart Strategy édité chez Meridian(2nd revised edition), notamment le chapitre XX « The concentrated essence of strategy and tactics ».

7. « The Vulnerability, Assessment and Mitigation(VAM) methodology – finding and fixing vulne-rabilities in Information Systems » par Anton,Anderson, Mesic, Schneiern. RAND NationalDefense Research Institute 2003.

8. Voir notamment Jeffrey R. Williams et GeorgeF. Jelen., « A Framework for Reasoning AboutAssurance ». April 23 1998. D’autres travaux deces auteurs approfondissent entre autres lanotion de preuve et de raisonnement.

Fig.3 : L'incertitude liée à la mesure de risque d'après Williams et Jelen.

11

• La

rev

ue n

°75

- M

ai 2

004


9. IT baseline protection manual © Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 www.bsi.bund.de

10. www.isaca.org pour les ingrats.

11. « Open source tools for security and control assessment » by K.K. Mookhey, Volume 1, 2004.

12. On pourra consulter le « Livre blanc de la sécurité » d'Octo Technology, de septembre 2001 sur www.octo.com

13. Voir par exemple la revue MISC n° 7, dossier « la guerre de l’information », article de Marc Brassier « la guerre pour l’information », voir aussi, notammentsur ECHELON, les publications du STOA : service and technological options assessment du Parlement européen, ou encore le site www.infoguerre.com

14. Grand spécialiste de la cryptographie et homme sécurité averti, B. Schneier offre via le site de son entreprise www.counterpane.com une lettre d'informa-tion gratuite particulièrement recommandable.

15. Il s'agit de « Secrets et mensonges » chez Vuibert informatique où il commence par s'excuser d'avoir cru et fait croire que la cryptographie était LA solutionaux problèmes de sécurité.

Les auteurs proposent, dans le cas d’incertitude sur lamesure du risque, de calculer des valeurs moyennes àpartir d’estimation d’experts ou sur un court laps detemps, lorsque cela est réaliste, à partir de collecte d’in-formations avec tous les biais que ça suppose. On y ajouteensuite la dimension assurance qui, rappelons le, est leniveau de confiance accordé à la mesure du risque.

Cette démarche permet de représenter l’appréciationque l’on a des risques de manière plus transparente. Ellepermet aussi de pointer les lacunes dans les dispositifsde collecte de données. Par exemple, il pourrait être plusjudicieux d’améliorer la collecte des défaillances plutôtque de se lancer dans la mise en place d’un dispositifcoûteux de sécurité, alors même que nous ne sommespas sûr de notre estimation du risque.

Cependant, si elle convient pour un univers incertain,cette démarche est insuffisante en univers indéterminé.En effet, elle ne porte aucune appréciation sur l’exhausti-vité des événements porteurs de risque. L'auditeur doitalors ajouter une autre notion, la confiance accordée aucaractère exhaustif des événements, que nous appelle-rons « mesure de complétude », qui est fonction de l’en-vironnement étudié (plus il est fermé, plus il est aisé d’at-teindre une couverture totale) et de la démarche d’iden-tification des événements (une démarche heuristique detype VAM nous donnera plus confiance qu'une applica-tion mécanique de bonnes pratiques, et une combinai-son intelligente des deux aura tendance à nous rassurer).

Le principe de réalité

Mais, dès qu'on a fait le tour de l'organisation et desbonnes pratiques, surgit la difficulté de la technique.L'auditeur a en général intérêt à faire appel à des compé-tences spécialisées. Il doit aussi essayer de se tenir au

courant des dernières modes en matière d'attaque

comme de protection, et le site du CLUSIF ou des CERT est

recommandé. Un bon site pour l'auditeur est l'IT baseline

protection manual (9) mais n'oublions surtout pas le site

de l'ISACA (10) avec les programmes d'audit proposés sur

le commerce électronique ou le PKI (public key infrastructu-

re), les pratiques de contrôle (IT control practices), et les

procédures d'audit (IS auditing procedures) sur la signatu-

re électronique, la détection d'intrusion, ou encore les fire-

walls. L'ISACA met aussi à notre disposition, outre CobiT,

tout un ensemble de ressources gratuitement disponibles

sur Internet au travers de Knet ainsi que les articles parus

dans la revue Control. Par exemple un des derniers articles

paru traite de l'utilisation de logiciels ouverts pour l'éva-

luation de la sécurité (11).

En guise de conclusion

Nous n'avons pas eu le loisir d'aborder de nombreux

thèmes majeurs de la sécurité et de son audit, comme la

typologie des contrôles, la construction de systèmes

fiables, les virus, la complexité des logiciels, la cryptogra-

phie, le social engineering, Internet (12), la guerre de l'in-

formation (13) ou encore les logiciels libres.

Mais qu'on se console, Bruce Schneier (14) dans sa récente

palinodie (15) nous montre les limites des mesures de pro-

tection en prenant l'exemple, entre autres, de l'analyse de

trafic. Il s'agit ici non pas de s’intéresser au contenu – pour

l’espionner, le détourner ou le détruire – mais au mode de

communication. Et là, firewall, cryptographie, anti-virus,

tout ce beau monde est inefficace. Ainsi Schneier rapporte

que, dans les heures qui ont précédé les bombardements

américains de 1991 sur l’Irak, les livraisons de pizza au

Pentagone ont été multipliées par 100…