290 likes | 502 Vues
Chapitre 4 : Stratégie de sécurité. P lan. Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une stratégie de sécurité Prise en compte des besoins juridiques Sécurité et société de l ’ information. Mounir GRARI Sécurité informatique 111.
E N D
Chapitre 4 : Stratégie de sécurité Plan Connaitre les risques pour les maîtriser Vision stratégique de la sécurité Définir une stratégie de sécurité Prise en compte des besoins juridiques Sécurité et société de l’ information Mounir GRARI Sécurité informatique111
Chapitre 4 : Stratégie de sécurité 1. Connaitre les risques pour les maîtriser Pour une entreprise, l’objectif de la sécurité informatique est de garantir qu’aucune perte ne puisse mettre en danger son développement. Exemple : Il faut réduire la probabilité de voir des risques se concrétiser, à diminuer les atteintes ou dysfonctionnements, et permettre le retour à un fonctionnement normal à des coûts et des délais acceptables en cas d’ incident. Une stratégie de sécurité est élaborée selon deux approches : - démarche proactive : avoir une conduite générale de protection et de l’organisation de la défense ; - démarche réactive : l’ élaboration de plans de réaction. La sécurité informatique s’ inscrit dans une démarche d’ intelligence économique afin de maîtriser des risques technologiques, opérationnels et informationnels. Mounir GRARI Sécurité informatique112
Chapitre 4 : Stratégie de sécurité Incident 1. Connaitre les risques pour les maîtriser Défense Mesures réactives Protection Mesures proactives Objectifs de la sécurité : - Diminuer la probabilité de la survenue des menaces - Limiter les atteintes et les dysfonctionnements - Retour à un état normal INTELLIGENCE ÉCONOMIQUE Mounir GRARI Sécurité informatique113
Chapitre 4 : Stratégie de sécurité Stratégie d’entreprise Valeurs/Analyse des risques Risque opérationnel Risque informatique Risque informationnel Risque technologique Risque financier Risque d’image Risque de réputation Risque résiduel … Stratégie de sécurité 1. Connaitre les risques pour les maîtriser 1 Politique de sécurité ANALYSE une démarche sécuritaire est constitué de trois phases principales. Mesures de sécurité Outils Procédures 2 MISE EN OEUVRE 3 Évaluation Optimisation CONTRÔLE ET SUIVI Mounir GRARI Sécurité informatique114
Chapitre 4 : Stratégie de sécurité 1. Connaitre les risques pour les maîtriser 1) Première phase : la première phase (1) consiste à connaitre les valeurs de l’organisation, leur degré de vulnérabilité en fonction de menaces et le risque de perte totales ou partielle de ces valeurs. Ainsi, une vision de ce qui doit être protégé formulée. Il s’agit d’ élaborer une véritable stratégie de protection et de gestion de la sécurité en fonction des besoins de sécurité des valeurs et menaces identifiées qu’ encoure l’organisation. La pertinence de l’analyse des risques dépendra de l’identification exacte des moyens et des mesures à mettre en ouvre pour sécuriser efficacement les ressources de l’organisation. Mounir GRARI Sécurité informatique115
Chapitre 4 : Stratégie de sécurité 1. Connaitre les risques pour les maîtriser 2) Deuxième phase : La phase suivante (2) consiste à choisir et à mettre en place les outils, mesures et procédures nécessaires à la gestion des risques et à la sécurité des systèmes, services et données. L’ optimisation de la démarche sécuritaire passe par l’ élaboration de : - la politique de sécurité pour répondre aux exigences de maitrise des risques; - la pertinence de la stratégie envers les risques encourus; - l’adaptation des solutions de sécurité aux besoins en fonction des moyens financiers dégagés; - l’adéquation de mesures les unes par rapport aux autres. 3) Troisième phase : une évaluation périodique (phase 3) voir continue des mesures de sécurité en vue de leur rationalisation et optimisation, vise à réponde le mieux possible à l’ évolution de l’ environnement dans lequel elles s’inscrivent. Mounir GRARI Sécurité informatique116
Chapitre 4 : Stratégie de sécurité 1. Connaitre les risques pour les maîtriser Implémenter une stratégie de sécurité consiste à faire le compromis les plus judicieux possible entre : - le coût des mesures de sécurité à supporter pour éviter les risques qui pourraient affecter le patrimoine d’une entreprise, - et le coût des impacts de ces risques s’il n’y avait pas de mesures. Pour définir une stratégie, il n’existe pas de stratégie “recette”. Chaque organisation a son propre stratégie : contexte d’environnement informationnel, de scenario de risque, etc. Il existe des invariants méthodologique qui simplifient l’ appréhension d’une démarche sécuritaire. Exemple : Une organisation peut annuler la mise en œuvre d’ un dispositif de secours (backup) de son centre informatique au regard de son coût si ce coût peut s’avérer très élevé en termes de ressources à utiliser . Mounir GRARI Sécurité informatique117
Chapitre 4 : Stratégie de sécurité Analyse de risque Évaluation Contrôle Validation Optimisation Identification des valeurs 1. Connaitre les risques pour les maîtriser Analyse des menaces Identification des impacts Risques et plan d’action sécurité: Politique de sécurité Pilotage Moyens financiers, organisationnels, humains, technologique, Mise en œuvre opérationnelle de mesures efficaces de sécurité Maîtrise de risques Mounir GRARI Sécurité informatique118
Chapitre 4 : Stratégie de sécurité 2. Vision stratégique de la sécurité 1) Fondamentaux Il faut que les solutions de sécurité informatique assurent tout ou une partie des propriétés suivantes: - La disponibilité (aucun retard) : permet l’accessibilité en continu sans dégradation, ni interruption; - L’ intégrité(aucune falsification) : maintient intégralement les données et les programmes sans altération; - La confidentialité (aucune écoute illicite) : permet de maintenir le secret de l’information et assure l’ accès aux seules entités autorisées (intimité numerique); - La pérennité (aucune destruction) : les logiciels et les données sont stockés, ils sont conservés le temps nécessaire; La non-répudiation et l’imputabilité (aucune contestation) : garantit la connaissance de l’origine et de la destination d’ une action ainsi que l’ identification des entités responsables; - Le respect des contraintes règlementaires ou légales (aucun risque juridique); - L’authentification(pas de doute sur l’identité d’ une ressource) Mounir GRARI Sécurité informatique119
Chapitre 4 : Stratégie de sécurité 2. Vision stratégique de la sécurité Identifier les valeurs d’ une organisation et exprimer leur besoins en termes de critère de sécurité permet de fixer la mesure de sécurité à mettre en œuvre au travers : - d’outils (firewalls, antivirus, protocoles cryptographiques, …) - de procédures (mots de passe , mises à jour d’ antivirus, mises à jour d’ un système d’exploitation, …); - de personnes (utilisateurs, administrateurs,…) Les mesures de sécurité sont identifiées, gérées et optimisées par des procédures de gestion. Au delà de la nécessaire dimension d’ ingénierie de la sécurité, la sécurité relève avant tout d’un acte de management. Note : réduire seulement la sécurité à sa dimension technologique, c’est assurer son échec! Mounir GRARI Sécurité informatique120
Chapitre 4 : Stratégie de sécurité 2. Vision stratégique de la sécurité 2) Mission de sécurité Entamer une mission se sécurité peuvent se décliner de la manière suivante : - concevoir un plan d’ action de sécurité après une analyse préalable des risques; - identifier une politique de sécurité; - faire un arbitrage entre les besoins de sécurité, risques et coûts; - déterminer le périmètre de vulnérabilité lié à l’ usage des nouvelles technologies; - offrir de manière dynamique un niveau de protection adapté aux risques encourus; - mettre en pratique et valider les mesures, les outils et les procédures de sécurité; - faire un suivi, contrôler et faire évoluer les mesures et plan d’ action de sécurité; - enfin, optimiser la performance du système d’ information en fonction du degré de sécurité requis. Mounir GRARI Sécurité informatique121
Chapitre 4 : Stratégie de sécurité 2. Vision stratégique de la sécurité 3) Principes de base L’ élaboration d’une démarche sécurité repose sur des principes suivants: - Principe de vocabulaire -nécessité de s’adapter, au niveau de l’ organisation, sur un langage commun de définition de la sécurité. - Principe de volonté directoriale - les dirigeants sont responsabilité de libérer les moyens nécessaires à la mise en œuvre (et à la gestion) de la sécurité informatique. - Principe financier - le budget d’ implémenter la sécurité doit être adapté vis-à-vis des objectifs de sécurité fixés. - Principe de cohérence - la sécurité d’un système est le résultat d’ une intégration harmonieuse des mécanismes, outilset procédures. - Principe de simplicité et d’ universalité -les mesures doivent être compréhensibles, simples par les utilisateurs. - Principe de dynamicité- la sécurité doit être élaborée dynamiquement pour intégrer la dimension temporelle de la vie des systèmes et l’ évolution des besoins et des risques. Mounir GRARI Sécurité informatique122
Chapitre 4 : Stratégie de sécurité 2. Vision stratégique de la sécurité -Principe de continuum - l’organisation doit continuer à fonctionner même après la survenue d’ incident (procédures de gestion de crise). - Principe d’ évaluation, de contrôle et d’ adaptation - Il est très important de pouvoir évaluer durablement l’ adéquation des mesures de sécurité. Cela permet de vérifier et de contrôler que les risques sont maitrisés et d’adapter dans le besoin les solutions de sécurité. 4) Conditions de succès Les conditions de succès d’une approche sécuritaire sont : - une démarche stratégique de la sécurité - la politique de la sécurité doit être publiée - un certain degré de confiance envers les personnes, systèmes, outils impliqués; - une éthique des acteurs - des procédures de surveillance, d’ enregistrement et d’audit; - le respect des contraintes légales et juridique - … Mounir GRARI Sécurité informatique123
Chapitre 4 : Stratégie de sécurité Moyen terme Long terme Optimisation Identification des mesures de sécurité Politique de sécurité 2. Vision stratégique de la sécurité Optimisation 5) Approche pragmatique Axes stratégiques, tactiques et opérationnels de la sécurité : Mise en œuvre opérationnelle des mesures Exploitation/Maintenance / Suivi Axetactique Axestratégique Axeopérationnel court terme Mounir GRARI Sécurité informatique124
Chapitre 4 : Stratégie de sécurité 2. Vision stratégique de la sécurité 6) Bénéfices La sécurité est à énumérer comme un facteur critique de succès d’ une organisation et non pas comme une source de coût (charge) ni un frein à la réalisation de la stratégie de l’entreprise. La sécurité n’est pas une contrainte additionnelle à intégrer dans la stratégie des entreprises mais constitue un outil de production (faisant partie des éléments fondamentaux de la stratégie de l’entreprise). Comme la qualité, la sécurité est considérée pour une entreprise, un facteur de compétitivité assurant à une meilleur rentabilité. Considérant la sécurité comme un facteur de qualité, elle pose le problème de sa mesure et donc de la détermination des indicateurs et métriques associés. Note : la sécurité ne permet pas directement de gagner de l’ argent mais évite d’en perdre. Mounir GRARI Sécurité informatique125
Chapitre 4 : Stratégie de sécurité 2. Vision stratégique de la sécurité 7) Aspects économique Les coûts suivant contribue à estimer de manière approximative le retour sur investissement de la sécurité: - Perte ou baisses de productivité consécutives aux problèmes de dysfonctionnements et à l’indisponibilité, perte de parts de marché , pénalités de retard, etc. - Coût généré par des pertes d’image, impacts au niveau des clients, partenaires, sous-traitants, fournisseurs, etc. - Coûts d’assurance, de gestion, d’ investigation, salaires des experts, etc. - Coûts de reprise après incidents, de la gestion de crise, de restitution, de reconstitution des données, de remise en état, de remplacement des systèmes, etc. Mounir GRARI Sécurité informatique126
Chapitre 4 : Stratégie de sécurité 3. Définir une stratégie de sécurité 1) Stratégie générale La diversité des solutions peuvent créer un problème de cohérence globale de la démarche de sécurité. Exemple 1 : La technologie ne suffit pas mais elle doit être intégré dans une démarche de gestion de sécurité. Exemple 2 : La sécurité d’ un système particulier n’est que une composante de la sécurité globale d’ une entreprise. Beaucoup de stratégies de sécurité existent, de politiques de sécurité, de mesures, de procédures ou de solutions de sécurité que d’organisations et de besoins sécuritaires à satisfaire à un moment donné. Politique de sécurité et risques font l’objet d’ une actualisation et d’ une évaluation permanentes. Mounir GRARI Sécurité informatique127
Chapitre 4 : Stratégie de sécurité Stratégie d’entreprise Services ICT de qualité répondant à la stratégie de l’entreprise 3. Définir une stratégie de sécurité Sécurité informatique : Technologiques Procédures Organisationnelles Juridiques Humaine Stratégie de sécurité De la stratégie d’ entreprise à la stratégie sécuritaire: ICT (Information and Communication Technologies) : Technologies de l'information et de la communication. Politique de sécurité Mesures de sécurité Mounir GRARI Sécurité informatique128
Chapitre 4 : Stratégie de sécurité Coût de la maîtrise des risques Besoin de protection Besoin de production Coût du risque Réduire les risques à un niveau acceptable Minimiser les pertes Permettre un usage efficace des technologies 3. Définir une stratégie de sécurité Risques Maitrise des risques 2) Compromis et bon sens La sécurité : une question de compromis Politique de sécurité Mounir GRARI Sécurité informatique129
Chapitre 4 : Stratégie de sécurité La sécurité doit être fonction des risques et proportionnelle aux enjeux Plus grande est la récompense, plus grand est le risque de pénétration d’ un système 3. Définir une stratégie de sécurité La sécurité n’est jamais acquise définitivement, elle se vit au quotidien La qualité des outils de sécurité dépend de la politique de sécurité qu’ils servent Une question de bon sens Une politique de sécurité ne doit pas être conçue à partir de limitations particulières de certains systèmes La sécurité est l’ affaire de tous La sécurité : une question de bon sens Le plus dur n’est pas de décider quelle est la technologie de sécurité à appliquer mais d’ identifier pourquoi on doit l’appliquer et sur quoi Trop de sécurité est aussi problématique que pas assez Mounir GRARI Sécurité informatique130
Chapitre 4 : Stratégie de sécurité 3. Définir une stratégie de sécurité 3) Responsabilité Les responsable de la sécurité des systèmes d’information sont des prestataires de services pour la partie de la sécurité qui ils gèrent et contrôlent. Leur accès aux ressources informatiques implique en plus d’une intégrité sans faille, des procédures de surveillance et de contrôle de leurs actions particulièrement strictes, à la mesure des risques qu’ils font potentiellement courir aux systèmes qu’ils gèrent. L’ augmentation des affaires criminelles ayant une origine interne, impliquant la complicité d’informaticiens, doit obliger les organisation à traiter la question de responsabilité avec vigilance et à ne pas se laisser piéger par des personnes peu scrupuleuses. Mounir GRARI Sécurité informatique131
Chapitre 4 : Stratégie de sécurité 3. Définir une stratégie de sécurité 3) Nouveaux risques, nouveaux métiers Métiers concernant la sécurité : - Chief Security Officer (CSO) - Il s’agit de la personne responsable de toute la sécurité de l’organisation. - Chief Information SecurittyOfficer (CISO) - La personne assumant la responsabilité de la sécurité des informations au sein d’une organisation. Diverses fonctions ou missions spécifique existent comme par exemple: - Responsable de la sécurité des systèmes d’information; - Responsable de la sécurité des réseaux; - Responsable de la sécurité des systèmes; - Responsable de la veille technologique en matière de sécurité; - Auditeur de la sécurité; - Architecte de la sécurité - … Mounir GRARI Sécurité informatique132
Chapitre 4 : Stratégie de sécurité 4. Prise en compte des besoins juridiques 1) Sécurité et répression du crime informatique Actuellement, la cybercriminalité est mal maitrisée comme le prouvent les chiffres du sondage annuel du CSI (Computer Security Institut) ou les statistiques du CERT (Computer Emergency Readiness Team). Les motifs de tel situation sont notamment liées: - Aux caractéristiques du cybercrime (capacité à être automatisé, savoir-faire embarqué dans le logiciel , réalisation à distance); - À la pénurie de ressources humaines et matérielles au sein des services chargés de la répression des délits informatiques; - À la difficulté à qualifier les faits au regard de certaines législations pénales; - … Note: CSI (www.gocsi.com) CERT(www.us-cert.gov) Mounir GRARI Sécurité informatique133
Chapitre 4 : Stratégie de sécurité 4. Prise en compte des besoins juridiques 2) Infraction, responsabilité et obligations de moyens Crimes et délits contres les personnes: Atteintes à la personnalité - atteinte à la vie privée - atteinte à la représentation d’une personne-atteinte au secret professionnel - atteinte aux mineurs- harcèlement… Crimes et délit contre les biens: Escroquerie - fraude - crime économique et financier - vol - modification, destruction de ressources - chantage - piratage des systèmes… Provocation aux crimes et délits: Apologie des crimes contre l’humanité – apologie et provocation au terrorisme – provocation à la haine raciale – négationnisme … Infraction à diverse règlementation (code civil, code des obligations, code pénal, code de la propriété intellectuelle, droit de l’ audiovisuel, des contrats,…): Contrefaçon d’une œuvre de l’esprit (logiciel), d’une image, dessin - contrefaçon de marque - téléchargement illégale - participation à la tenue d’une maison de jeux au hasard (cybercasino) - infraction de presse… Mounir GRARI Sécurité informatique134
Chapitre 4 : Stratégie de sécurité 4. Prise en compte des besoins juridiques 3) Prendre en compte la sécurité en regard de la législation Il est très important que les responsable de sécurité des organisations soient sensibilisées aux contraintes d’une enquête policière (documentation minimale relative à l’incident, conservation des traces, etc.). L’organisation doit être prudente au respect de la protection des données à caractère personnel de ses employés comme celles des ses clients, fournisseurs ou partenaires. Dans la majorité des pays, la législation recommande que la mise en œuvre de la cybersurveillance soit préalablement accompagnée d’une charte d’utilisation de l’informatique et des télécommunications. Mounir GRARI Sécurité informatique135
Chapitre 4 : Stratégie de sécurité 4. Prise en compte des besoins juridiques 4) La confiance passe par le droit, la conformité et la sécurité L’intelligence est devenu un facteur clé de succès de la réalisation de la sécurité informatique. Exemple : la responsabilité pénale des acteurs (comme le responsable sécurité ou du directeur de systèmes d’information) est de plus en plus invoquée si les ressources informatiques qu’ ils gèrent, sont l’objet ou le moyen d’une délit. Les responsables d’ organisations doivent être extrêmement attentif à l’ égard du droit de nouvelles technologies et leur système informatique doit être en conformité juridique. Mounir GRARI Sécurité informatique136
Chapitre 4 : Stratégie de sécurité 4. Prise en compte des besoins juridiques 5) Règlementation international La première règlementation internationale (et la seule), contribuant à donner la dimension internationale de la cybercriminalité est la convention sur la cybercriminalité-Budapest 23 novembre 2001. Exemple de point abordé : les états doivent établir leur compétences à l’ égard de toute infraction pénale lorsque cette dernière est commise sur son territoire. Il y a aussi des lignes directives de l’OCDE (Organisation de Coopération et de Développement Economique). Voila deux exemples de points évoqués: Mounir GRARI Sécurité informatique137
Chapitre 4 : Stratégie de sécurité 5. Sécurité et société de l’ information 1) Pour une société de l’information sûre L’ état a des responsabilités importantes pour la réalisation d’une sécurité numérique: - Il doit définir les lois; - Il doit favoriser et encourager la recherche et le développement en matière de sécurité; - Il doit promouvoir une culture de la sécurité et du respect de l’intimité numérique; - Il doit imposer le respect d’un minimum de normes de sécurité. 2) Respect des valeurs démocratiques Replacer l’ être humain et les principes démocratiques dans les technologies de l’information (et dans les solutions de sécurité) est nécessaire pour donner les moyens aux internautes de devenir des cybercitoyensavertis, et non pas des consommateurs vulnérables et dépendants. Mounir GRARI Sécurité informatique138
Chapitre 4 : Stratégie de sécurité Exercice 21 : Que recouvre la notion de stratégie de sécurité? Exercice 22 : Pourquoi la sécurité doit-elle gérée selon un processus continu? Exercice 23 : Dans quelles mesures la sécurité informatiques est - elle résultante d’un compromis? Exercice 24 : Dans quelle mesure la conformité réglementaire se décline-t-elle comme un besoin de sécurité? Exercice 25 : Pourquoi la compréhension du risque juridique par des responsables de la sécurité informatique est importante? Mounir GRARI Sécurité informatique139