SlideShare una empresa de Scribd logo

Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques

Elodie Heitz
Elodie Heitz
1 de 15
Descargar para leer sin conexión
Sécurisation d’un patrimoine d’entreprise : Méthodologie et bonnes pratiques Elodie Heitz E Marketing / Management des TIC Cours : Sécurité des Systèmes d’Information Responsable du cours ; Jean-Claude Héritier Dû le 15/01/2012 1
TABLE DES MATIERES I. La politique de Sécurité des Systèmes d’Information (PSSI) ......................................4 A. L'étude préalable des risques SSI + Elaboration de la politique SSI ................................... 4 B. Mise en place de la politique SSI .......................................................................................... 5 C. Evolutivité de la politique SSI ........................................................................................................ 6 II. La sécurité physique de l’entreprise : protéger les infrastructures .............................7 A. Contrôles des accès et intrusions ................................................................................................ 7 B. Risques naturels .............................................................................................................................. 8 C. Gestion de la sécurité physique ............................................................................................ 9 III. La sécurité logique ; La méthode de défense en profondeur .................................10 A. Défense en profondeur : origines et fondements de la méthode ........................................ 10 B. Principes d’application de la défense en profondeur ............................................................ 11 a. Etape 1 : Objectifs de sécurité ......................................................................................... 12 b. Etape 2 : Organisation architecture générale ............................................................... 12 c. Etape 3 : Politique de défense ......................................................................................... 13 d. Etape 4 + 5: Qualification & homologation .................................................................... 13 e. exemple pratique .............................................................................................................. 13 CONCLUSION .................................................................................................................................... 14 SOURCES ............................................................................................................................................ 15 2
Introduction : Les bonnes INTRODUCTION Depuis quelques décennies, le modèle de l’entreprise s’est complexifié, ainsi que la chaîne de valeur. Enjeux politiques, sociaux, environnementaux mais surtout technologiques et informationnels amènent les Managers, Directeurs des Systèmes d’Informations et responsables à s’interroger voire se remettre en question sur les moyens les plus adéquats pour assurer la sécurité du patrimoine de l’entreprise. Toutes les organisations ne sont pas égales en termes de moyens, de taille ou de personnel compétent lorsqu’il s’agit de veiller à la sécurité physique et/ou logique de leur patrimoine. Pourtant, il existe aujourd’hui diverses ressources permettant d’assurer la pérennité de son activité. Seulement, avant de mandater un consultant ou de se risquer à l’abstention, des bonnes pratiques, souvent simples, sont à adopter. Ces mesures et comportements sont applicables quelque soit la taille de l’organisation, et sont souvent obligatoires car encadrées juridiquement. L’objet de notre étude est précisément d’établir une méthodologie et un tour d’horizon des bonnes pratiques. A mesure de notre analyse, nous verrons que le bon sens est souvent de mise, et que dans la plupart des cas, il existe un référentiel ou ressources documentaires (sinon un organisme compétent) répondant au besoin de l’entreprise, que ce soit en terme de réflexion, de mise en place d’une politique de sécurité ou de validation & test de celle-ci. Nous déroulerons également des procédés de mise en œuvre de protection physique du patrimoine de l’entreprise, puis de protection logique à travers la défense en profondeur. 3
I. La politique de Sécurité des Systèmes d’Information (PSSI) La sécurisation du patrimoine de l’entreprise relève de la vision stratégique de l’entreprise. Il est en effet capital que les procédures et mesures de sécurité soient clairement définies et alignées avec l’activité de l’entreprise, sa taille et ses objectifs. De plus, la sécurité concerne chaque partie prenante, l’information doit être diffusée et accessible à tous. Pour celà, toute organisation est tenue d’établir, d’appliquer et de faire évaluer régulièrement une politique de sécurité des systèmes d’information. A. L'étude préalable des risques SSI + Elaboration de la politique SSI Depuis 2002, l’OCDE met un point d’orgue à encadrer la sécurité des systèmes d’information dans les entreprises. Cette normalisation permet aux entreprises de s’adapter aux nouveaux enjeux et challenges qui modifient constamment l’écosystème des SI. Ainsi, l’instauration d’une « culture des SI » répond non seulement au besoin d’encadrement, mais aussi d’actualisation permanente des processus. Il est alors nécessaire pour toute entreprise de mettre en place une politique de sécurité des systèmes d’information. La mise en place de cette politique aboutira à un document, qui détaillera les règles de sécurité, suivant ce qu’on appelle les principes de sécurité et constituera la référence relative à toute question en la matière, et ce pour tout son périmètre d’application. Comme il s’agit d’un document référent, le rapport de politique de sécurité des SI doit être élaboré en cohérence avec la stratégie de l’entreprise, et être le fruit d’une concertation entre les acteurs clés (direction, management, responsables & salariés). De plus, aucun élément ne doit être négligé ni omis ; périmètre d’application, enjeux, objectifs, normes, menaces et besoins en disponibilité / Intégrité / confidentialité. Dans la pratique, l’élaboration d’une PSSI débute par une évaluation des risques et des besoins puis la définition des règles cohérentes avec la stratégie et les 4
besoins précédemment définis. Cette phase se déroule la plupart du temps sous forme d’audit et à l’aide de méthodes (EBIOS par exemple, disponible en_ligne ). plan d’élaboration d’une PSSI – les encadrés gris représentent les livrables issus de chaque phase de réflexion- B. Mise en place de la politique SSI Une fois la politique de SSI établie, vient l’étape de la mise en œuvre. Il s’agit d’une étape puisque plusieurs politiques SSI peuvent coexister au sein d’une organisation, chacune pouvant avoir un périmètre restreint (fonctionnel par exemple). A l’inverse, il peut n’y avoir qu’une politique globale et déclinable. Quel que soit la stratégie choisie, il est primordial d’assurer la communication tout au long du projet de déploiement de la politique de sécurité, afin de minimiser les résistances et surtout que chaque partie prenante adhère et s’approprie la démarche ainsi que ses bénéfices. 5
A noter que la PSSI peut être intégrée au système d’informations de manière modulaire et échelonnée, comme elle peut faire l’objet d’une date d’application dans son ensemble. Tout dépend de la vision stratégique de l’entreprise, de son secteur d’activité et surtout des ressources (humaines, notamment) disponibles à chaque étape du projet de PSSI. C. Evolutivité de la politique SSI La politique de Sécurité des Systèmes d’Information n’a de raison d’être que si elle possède un volet relatif à sa vérification, son amélioration et sa révision. L’efficacité d’une PSSI dépend majoritairement de sa capacité à prendre en compte les évolutions de plusieurs natures : - évolution de l’entreprise - évolutions/mises à jour/ modifications voire changement complet du SI - évolutions des risques et des menaces Mais une Politique SSI doit aussi pouvoir être rectifiée en fonction des observations et retours des membres de l’organisation (suggestions, dysfonctionnements, difficultés constatées etc.) Une Politique de Sécurité des Systèmes d’Information est donc un projet dynamique et mené à long terme, de manière cohérente avec la stratégie de l’organisation. Les référentiels et méthodes assurent une structure à la démarche et des experts et organismes gouvernementaux contribuent à l’encadrement de l’acquisition d’une culture de la sécurité des SI. De plus, des référentiels d’aide et de vérification permettent d’évaluer les risques et les mesures prises. 6
II. La sécurité physique de l’entreprise : protéger les infrastructures La sécurité physique de l’entreprise concerne principalement ses locaux et les moyens d’y accéder et d’y pénétrer. Evaluer la sécurité physique d’une organisation consiste à juger de la difficulté d’accès aux informations qu’elle génère et stocke, et plus généralement aux risques pouvant compromettre la disponibilité, l’intégrité et la confidentialité des données. Ainsi, une entreprise bâtie telle une forteresse pourra paraître infaillible au vu des contrôles d’accès draconiens et de l’architecture dédiée. Pourtant, si l’entreprise se situe dans une forte zone sismique, le risque de disponibilité demeurera élevé. A. Contrôles des accès et intrusions Procéder à l’évaluation des contrôles d’accès au site physique de l’organisation et de ses vulnérabilités en terme d’intrusions revient à vérifier de manière stricte chaque point d’accès et ses moyens de contrôles, puis de les noter selon une gradation stricte. Cette gradation est déterminée par le référentiel utilisé par l’auditeur, mais aussi par le degré d’importance et de menace que représente la vulnérabilité physique en question. Les points de contrôles extérieurs peuvent comprendre ; - le dispositif de sécurité (éclairage, alarmes, vigiles, portail sécurisé…) - l’environnement extérieur (végétation, présence de cours d’eau, altitude…) - la nature des installations (type de construction, voies d’accès, configuration) De plus, il faut s’assurer que les bonnes personnes aient accès aux bonnes ressources. Le système de badges magnétiques aujourd’hui adopté dans de nombreuses entreprises répond plutôt bien au besoin de segmenter les accès et de protéger les informations sensibles des personnes dont les besoins métiers ne nécessitent pas la consultation ni la modification de telles données. Bien entendu, la principale limite à ce procédé est la perte ou le vol d’un tel badge mais à ce jour, il n’existe aucun système parfait. 7
B. Risques naturels Les risques naturels sont a priori, les plus imprévisibles de par leur nature souvent météorologique et donc inévitable. Pourtant, qu’il s’agisse d’une tempête, d’un orage ou d’un tremblement de terre, l’organisation doit pouvoir se prémunir des conséquences que ces intempéries pourraient avoir sur leur activité. Une fois encore, le degré de mesures en matières de prévention, recouvrement et mesures de continuité dépendra des risques avérés, croisés avec les besoins de disponibilité, intégrité et/ou confidentialité de chaque ressource de l’entreprise. Lors d’un audit, il ne s’agit pas seulement d’évaluer les risques, mais de mettre en rapport les menaces extérieures potentielles avec les mesures préventives afin de déterminer le degré de risques. Les principaux points pouvant être vérifiés peuvent comprendre ; - l’état des locaux - Le mode de stockage des produits inflammables & mesures anti-incendie - Procédures liées aux dégâts des eaux - Lieux et modes de stockage des données sensibles (archives, serveurs …) - Plan d’évacuation du personnel et formations liées - Etc. 8
C. Gestion de la sécurité physique La sécurité physique est évolutive et fait partie intégrante de la politique de sécurité des systèmes d’information. A ce titre, la gestion de la sécurité physique doit être dynamique et évolutive en fonction des changements pouvant intervenir dans la vie de l’entreprise, mais également l’environnement extérieur et les évolutions technologiques. Outre les installations, l’accent doit être mis sur la communication des processus de sécurité et les bonnes pratiques à adopter. En effet, il est souvent estimé qu’un collaborateur constitue la plus grande vulnérabilité au sein d’une entreprise. Cette assertion peut être comprise comme un manque de circulation de l’information de la part de la direction, ou d’un manque de formation. Le collaborateur formé et informé sera plus sensibles au respect des règles de sécurité qu’un salarié ayant uniquement reçu un document (ou un email) détaillant les nouveaux comportement à adopter suite à la modification du système d’alarme ou suite à l’instauration d’une norme qu’il ne maîtrisera pas. L’organisation doit en conséquence prévoir un budget important pour assurer sa sécurité physique afin d’entretenir les locaux, de rénover ou réparer des éléments ayant subi d’éventuels dommages. Tout cela afin de réduire les risques et de ne pas compromettre la sécurité du système d’informations, ni des collaborateurs. 9
III. La sécurité logique ; La méthode de défense en profondeur La sécurité logique a vu son importance croître avec l’adoption de l’informatique, puis des bases de données et enfin des systèmes d’information complexes. L’information et les données sensibles sont aujourd’hui au cœur de la valeur de l’entreprise. La gestion de l’information en entreprise est d’ailleurs un des secteurs les plus importants sur les marchés business to business et business to government . De plus en plus, l’entreprise s’ouvre vers l’extérieur, échange des informations avec une rapidité croissante. En conséquence, les réseaux de l’entreprise s’ouvrent à leur tour et deviennent plus vulnérables. A. Défense en profondeur : origines et fondements de la méthode Le concept de défense en profondeur provient du domaine militaire, avec l’apparition du boulet métallique remettant en cause la protection du fort Vauban. Ses fortifications ont donc été construites afin d’anticiper la menace (le boulet métallique), en utilisant la profondeur du terrain. Outre la profondeur, les lignes de défenses étaient autonomes de manière à ce que la destruction d’une ligne défensive ne compromette pas les deux suivantes. Dans l’industrie énergétique, le même procédé des 3 barrières indépendantes a été mis en œuvre, comme ci-dessous dans le cas d’un réacteur nucléaire : 10
L’évolution du nucléaire par rapport au fort Vauban, a été la gradation des risques et la mise en place des protections, en fonction de l’échelle de vulnérabilité (échelle INES). Cette gradation des vulnérabilités appliquée à l’industrie a longtemps été manquante dans le domaine de l’informatique. B. Principes d’application de la défense en profondeur Lorsqu’il s’agit de sécurité des systèmes d’information, le principe de défense en profondeur est évoqué pour répondre à quatre objectifs principaux : - Evaluation des biens à protéger - Evaluation du niveau de sécurité de l’entreprise - Estimation des menaces possibles - Mise en place de barrières de défenses indépendantes 11
Les étapes d’un processus de défense en profondeur dans le cadre d’un projet SI se déroulent généralement selon le schéma suivant, que nous allons détailler : a. Etape 1 : Objectifs de sécurité Lors de cette étape, il s’agit d’évaluer les biens et les objectifs de sécurité de l’entreprise afin de s’assurer que les objectifs SI soient alignés avec la stratégie de l’entreprise. Outils / méthode : classification des informations, criticité des applications, échelle de gravité SSI b. Etape 2 : Organisation architecture générale Cette phase d’analyse a pour but d’évaluer le niveau de maturité de l’entreprise. En d’autre termes, de mesurer son degré de sécurisation et d’exposition au risque. On détermine ensuite les barrières nécessaires. Outils / méthode : diagrammes en radar croisant plusieurs paramètres de sécurité & aspects organisationnels de l’entreprise.
c. Etape 3 : Politique de défense Cette phase consiste à déterminer la défense globale (détection des attaques, remontée des informations, déclenchement des alertes) et la planification (reconfigurations possibles, plan de secours) d. Etape 4 + 5: Qualification & homologation Durant ces étapes, l’organisation et l’architecture proposée sont validées. L’homologation par la direction est suivie par l’exécution du plan de défense en profondeur, puis de son suivi par les parties désignées. e. exemple pratique Dans le schéma ci-dessus, nous retrouvons les trois niveaux de barrières indépendantes que préconise la méthode de défense en profondeur. 13
CONCLUSION La sécurisation du patrimoine de l’entreprise est un projet qui mobilise les dirigeants et les collaborateurs à long terme, car elle est inhérente à la stratégie de l’entreprise. De plus, les normes légales imposées sont de plus en plus strictes. Il est donc indispensable de choisir son/ses référentiels avec précaution afin que les décisions et actions qui en découlent soient en adéquation avec l’activité et le niveau de maturité de l’entreprise. La politique de sécurité des systèmes d’information est le point de départ déterminant pour assurer une bonne sécurité physique et logique du patrimoine d’une organisation car elle en fixe les bases. Toutefois, suivre un projet de sécurité des systèmes d’information ne doit en aucun cas se limiter à l’application d’un référentiel ou d’une stratégie figée. Les tendances évoluent : marché, outils, menaces, enjeux des entreprises. A titre d’exemple, la tendance aujourd’hui n’est plus le filtrage blacklist / whitelist, mais selon un filtrage protocolaire, effectué selon la réputation des sites. Autre élément capital, la communication et la prévention. 90% des attaques proviennent du réseau interne de l’entreprise. Enfin, les nouvelles pratiques tendent à redessiner le patrimoine de l’entreprise et à en rendre plus floues les frontières : télétravail, BYOB (bring your own device). Tant d’opportunités business qui posent aujourd’hui de nouvelles problématiques en terme de sécurité SI. 14
SOURCES Web : - http://www.clusif.asso.fr/ - http://www.cases.public.lu/fr/index.html - http://www.securite-informatique.gouv.fr/ - http://www.ssi.gouv.fr/ Entretien : - Julien Dross ; spécialiste IT , Orange Business Services 15

Recomendados

la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1SAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Plan stratégique des systèmes d’information de l’État de Genève 2009-2013
Plan stratégique des systèmes d’information de l’État de Genève 2009-2013Plan stratégique des systèmes d’information de l’État de Genève 2009-2013
Plan stratégique des systèmes d’information de l’État de Genève 2009-2013Genève Lab
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesAymen Foudhaili
 
management stratégique
management stratégique management stratégique
management stratégique AmeniBoubaker2
 

Recomendados

la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1SAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Plan stratégique des systèmes d’information de l’État de Genève 2009-2013
Plan stratégique des systèmes d’information de l’État de Genève 2009-2013Plan stratégique des systèmes d’information de l’État de Genève 2009-2013
Plan stratégique des systèmes d’information de l’État de Genève 2009-2013Genève Lab
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesAymen Foudhaili
 
management stratégique
management stratégique management stratégique
management stratégique AmeniBoubaker2
 
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance ITNicolas PIGNAL
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidentsISACA Chapitre de Québec
 
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risquesConférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risquesEric CASPERS
 
2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projets2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projetsPMI Lévis-Québec
 
Cours guvernance des systèmes d'information partie 1 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 1 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 1 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 1 prof. Khalifa MANSOURIMansouri Khalifa
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Gestion de projets d 'innovation
Gestion de projets d 'innovationGestion de projets d 'innovation
Gestion de projets d 'innovationfatima zahra FANDI
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesOlivier Pinette
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationDimassi Khoulouda
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCAWissem CHEROUANA
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIArsène Ngato
 
Stratégie de Gestion de Crises : Théorie, Témoignage et Analyses - Jean Barragan
Stratégie de Gestion de Crises : Théorie, Témoignage et Analyses - Jean BarraganStratégie de Gestion de Crises : Théorie, Témoignage et Analyses - Jean Barragan
Stratégie de Gestion de Crises : Théorie, Témoignage et Analyses - Jean BarraganJean Barragan
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Acquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SIAcquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SIArsène Ngato
 
Gestion des Ressources Humaines et RSE
Gestion des Ressources Humaines et RSEGestion des Ressources Humaines et RSE
Gestion des Ressources Humaines et RSEADHERE RH
 
Ssi
SsiSsi
SsiHanae Guenouni
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandPatricia NENZI
 
Pilotage Social et Management des Ressources Humaines
Pilotage Social et Management des Ressources HumainesPilotage Social et Management des Ressources Humaines
Pilotage Social et Management des Ressources HumainesHR SCOPE
 
cours Management Stratégique Version Finale.pptx
cours Management Stratégique Version Finale.pptxcours Management Stratégique Version Finale.pptx
cours Management Stratégique Version Finale.pptxNawalOuzellal1
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 

Más contenido relacionado

La actualidad más candente

Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risquesConférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risquesEric CASPERS
 
2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projets2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projetsPMI Lévis-Québec
 
Cours guvernance des systèmes d'information partie 1 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 1 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 1 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 1 prof. Khalifa MANSOURIMansouri Khalifa
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Gestion de projets d 'innovation
Gestion de projets d 'innovationGestion de projets d 'innovation
Gestion de projets d 'innovationfatima zahra FANDI
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesOlivier Pinette
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationDimassi Khoulouda
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCAWissem CHEROUANA
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIArsène Ngato
 
Stratégie de Gestion de Crises : Théorie, Témoignage et Analyses - Jean Barragan
Stratégie de Gestion de Crises : Théorie, Témoignage et Analyses - Jean BarraganStratégie de Gestion de Crises : Théorie, Témoignage et Analyses - Jean Barragan
Stratégie de Gestion de Crises : Théorie, Témoignage et Analyses - Jean BarraganJean Barragan
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Acquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SIAcquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SIArsène Ngato
 
Gestion des Ressources Humaines et RSE
Gestion des Ressources Humaines et RSEGestion des Ressources Humaines et RSE
Gestion des Ressources Humaines et RSEADHERE RH
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandPatricia NENZI
 
Pilotage Social et Management des Ressources Humaines
Pilotage Social et Management des Ressources HumainesPilotage Social et Management des Ressources Humaines
Pilotage Social et Management des Ressources HumainesHR SCOPE
 
cours Management Stratégique Version Finale.pptx
cours Management Stratégique Version Finale.pptxcours Management Stratégique Version Finale.pptx
cours Management Stratégique Version Finale.pptxNawalOuzellal1
 

La actualidad más candente (20)

La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance IT
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risquesConférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
 
2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projets2013-04-11 Maud Cohen La gestion des risques en gestion de projets
2013-04-11 Maud Cohen La gestion des risques en gestion de projets
 
Cours guvernance des systèmes d'information partie 1 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 1 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 1 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 1 prof. Khalifa MANSOURI
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Gestion de projets d 'innovation
Gestion de projets d 'innovationGestion de projets d 'innovation
Gestion de projets d 'innovation
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCA
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SI
 
Stratégie de Gestion de Crises : Théorie, Témoignage et Analyses - Jean Barragan
Stratégie de Gestion de Crises : Théorie, Témoignage et Analyses - Jean BarraganStratégie de Gestion de Crises : Théorie, Témoignage et Analyses - Jean Barragan
Stratégie de Gestion de Crises : Théorie, Témoignage et Analyses - Jean Barragan
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Acquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SIAcquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SI
 
Gestion des Ressources Humaines et RSE
Gestion des Ressources Humaines et RSEGestion des Ressources Humaines et RSE
Gestion des Ressources Humaines et RSE
 
Ssi
SsiSsi
Ssi
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
 
Pilotage Social et Management des Ressources Humaines
Pilotage Social et Management des Ressources HumainesPilotage Social et Management des Ressources Humaines
Pilotage Social et Management des Ressources Humaines
 
cours Management Stratégique Version Finale.pptx
cours Management Stratégique Version Finale.pptxcours Management Stratégique Version Finale.pptx
cours Management Stratégique Version Finale.pptx
 

Similar a Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques

cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Mielabelo
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - BrochureMaster en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - BrochureCRP Henri Tudor
 
Catalogue formations 2013 / cabinet Sinad Conseil
Catalogue formations 2013 / cabinet Sinad ConseilCatalogue formations 2013 / cabinet Sinad Conseil
Catalogue formations 2013 / cabinet Sinad ConseilSinadConseil
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Intelligence economique et ressources humaines : un duo efficace
Intelligence economique et ressources humaines : un duo efficaceIntelligence economique et ressources humaines : un duo efficace
Intelligence economique et ressources humaines : un duo efficaceAnne-laurence CHOBLI
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
Diemension stratégique si
Diemension stratégique siDiemension stratégique si
Diemension stratégique siYassir Zaaiter
 
Sécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesSécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesProf. Jacques Folon (Ph.D)
 
ANAP-Kit_Accompagner_le_changement.pptx
ANAP-Kit_Accompagner_le_changement.pptxANAP-Kit_Accompagner_le_changement.pptx
ANAP-Kit_Accompagner_le_changement.pptxAmeur BENTOUTA
 
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...ASIP Santé
 

Similar a Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques (20)

cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
Veille prospective
Veille prospectiveVeille prospective
Veille prospective
 
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - BrochureMaster en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
 
Catalogue formations 2013 / cabinet Sinad Conseil
Catalogue formations 2013 / cabinet Sinad ConseilCatalogue formations 2013 / cabinet Sinad Conseil
Catalogue formations 2013 / cabinet Sinad Conseil
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Intelligence economique et ressources humaines : un duo efficace
Intelligence economique et ressources humaines : un duo efficaceIntelligence economique et ressources humaines : un duo efficace
Intelligence economique et ressources humaines : un duo efficace
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 
Diemension stratégique si
Diemension stratégique siDiemension stratégique si
Diemension stratégique si
 
Sécurité de l'information et ressources humaines
Sécurité de l'information et ressources humainesSécurité de l'information et ressources humaines
Sécurité de l'information et ressources humaines
 
ANAP-Kit_Accompagner_le_changement.pptx
ANAP-Kit_Accompagner_le_changement.pptxANAP-Kit_Accompagner_le_changement.pptx
ANAP-Kit_Accompagner_le_changement.pptx
 
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
 

Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques

  • 1. Sécurisation d’un patrimoine d’entreprise : Méthodologie et bonnes pratiques Elodie Heitz E Marketing / Management des TIC Cours : Sécurité des Systèmes d’Information Responsable du cours ; Jean-Claude Héritier Dû le 15/01/2012 1
  • 2. TABLE DES MATIERES I. La politique de Sécurité des Systèmes d’Information (PSSI) ......................................4 A. L'étude préalable des risques SSI + Elaboration de la politique SSI ................................... 4 B. Mise en place de la politique SSI .......................................................................................... 5 C. Evolutivité de la politique SSI ........................................................................................................ 6 II. La sécurité physique de l’entreprise : protéger les infrastructures .............................7 A. Contrôles des accès et intrusions ................................................................................................ 7 B. Risques naturels .............................................................................................................................. 8 C. Gestion de la sécurité physique ............................................................................................ 9 III. La sécurité logique ; La méthode de défense en profondeur .................................10 A. Défense en profondeur : origines et fondements de la méthode ........................................ 10 B. Principes d’application de la défense en profondeur ............................................................ 11 a. Etape 1 : Objectifs de sécurité ......................................................................................... 12 b. Etape 2 : Organisation architecture générale ............................................................... 12 c. Etape 3 : Politique de défense ......................................................................................... 13 d. Etape 4 + 5: Qualification & homologation .................................................................... 13 e. exemple pratique .............................................................................................................. 13 CONCLUSION .................................................................................................................................... 14 SOURCES ............................................................................................................................................ 15 2
  • 3. Introduction : Les bonnes INTRODUCTION Depuis quelques décennies, le modèle de l’entreprise s’est complexifié, ainsi que la chaîne de valeur. Enjeux politiques, sociaux, environnementaux mais surtout technologiques et informationnels amènent les Managers, Directeurs des Systèmes d’Informations et responsables à s’interroger voire se remettre en question sur les moyens les plus adéquats pour assurer la sécurité du patrimoine de l’entreprise. Toutes les organisations ne sont pas égales en termes de moyens, de taille ou de personnel compétent lorsqu’il s’agit de veiller à la sécurité physique et/ou logique de leur patrimoine. Pourtant, il existe aujourd’hui diverses ressources permettant d’assurer la pérennité de son activité. Seulement, avant de mandater un consultant ou de se risquer à l’abstention, des bonnes pratiques, souvent simples, sont à adopter. Ces mesures et comportements sont applicables quelque soit la taille de l’organisation, et sont souvent obligatoires car encadrées juridiquement. L’objet de notre étude est précisément d’établir une méthodologie et un tour d’horizon des bonnes pratiques. A mesure de notre analyse, nous verrons que le bon sens est souvent de mise, et que dans la plupart des cas, il existe un référentiel ou ressources documentaires (sinon un organisme compétent) répondant au besoin de l’entreprise, que ce soit en terme de réflexion, de mise en place d’une politique de sécurité ou de validation & test de celle-ci. Nous déroulerons également des procédés de mise en œuvre de protection physique du patrimoine de l’entreprise, puis de protection logique à travers la défense en profondeur. 3
  • 4. I. La politique de Sécurité des Systèmes d’Information (PSSI) La sécurisation du patrimoine de l’entreprise relève de la vision stratégique de l’entreprise. Il est en effet capital que les procédures et mesures de sécurité soient clairement définies et alignées avec l’activité de l’entreprise, sa taille et ses objectifs. De plus, la sécurité concerne chaque partie prenante, l’information doit être diffusée et accessible à tous. Pour celà, toute organisation est tenue d’établir, d’appliquer et de faire évaluer régulièrement une politique de sécurité des systèmes d’information. A. L'étude préalable des risques SSI + Elaboration de la politique SSI Depuis 2002, l’OCDE met un point d’orgue à encadrer la sécurité des systèmes d’information dans les entreprises. Cette normalisation permet aux entreprises de s’adapter aux nouveaux enjeux et challenges qui modifient constamment l’écosystème des SI. Ainsi, l’instauration d’une « culture des SI » répond non seulement au besoin d’encadrement, mais aussi d’actualisation permanente des processus. Il est alors nécessaire pour toute entreprise de mettre en place une politique de sécurité des systèmes d’information. La mise en place de cette politique aboutira à un document, qui détaillera les règles de sécurité, suivant ce qu’on appelle les principes de sécurité et constituera la référence relative à toute question en la matière, et ce pour tout son périmètre d’application. Comme il s’agit d’un document référent, le rapport de politique de sécurité des SI doit être élaboré en cohérence avec la stratégie de l’entreprise, et être le fruit d’une concertation entre les acteurs clés (direction, management, responsables & salariés). De plus, aucun élément ne doit être négligé ni omis ; périmètre d’application, enjeux, objectifs, normes, menaces et besoins en disponibilité / Intégrité / confidentialité. Dans la pratique, l’élaboration d’une PSSI débute par une évaluation des risques et des besoins puis la définition des règles cohérentes avec la stratégie et les 4
  • 5. besoins précédemment définis. Cette phase se déroule la plupart du temps sous forme d’audit et à l’aide de méthodes (EBIOS par exemple, disponible en_ligne ). plan d’élaboration d’une PSSI – les encadrés gris représentent les livrables issus de chaque phase de réflexion- B. Mise en place de la politique SSI Une fois la politique de SSI établie, vient l’étape de la mise en œuvre. Il s’agit d’une étape puisque plusieurs politiques SSI peuvent coexister au sein d’une organisation, chacune pouvant avoir un périmètre restreint (fonctionnel par exemple). A l’inverse, il peut n’y avoir qu’une politique globale et déclinable. Quel que soit la stratégie choisie, il est primordial d’assurer la communication tout au long du projet de déploiement de la politique de sécurité, afin de minimiser les résistances et surtout que chaque partie prenante adhère et s’approprie la démarche ainsi que ses bénéfices. 5
  • 6. A noter que la PSSI peut être intégrée au système d’informations de manière modulaire et échelonnée, comme elle peut faire l’objet d’une date d’application dans son ensemble. Tout dépend de la vision stratégique de l’entreprise, de son secteur d’activité et surtout des ressources (humaines, notamment) disponibles à chaque étape du projet de PSSI. C. Evolutivité de la politique SSI La politique de Sécurité des Systèmes d’Information n’a de raison d’être que si elle possède un volet relatif à sa vérification, son amélioration et sa révision. L’efficacité d’une PSSI dépend majoritairement de sa capacité à prendre en compte les évolutions de plusieurs natures : - évolution de l’entreprise - évolutions/mises à jour/ modifications voire changement complet du SI - évolutions des risques et des menaces Mais une Politique SSI doit aussi pouvoir être rectifiée en fonction des observations et retours des membres de l’organisation (suggestions, dysfonctionnements, difficultés constatées etc.) Une Politique de Sécurité des Systèmes d’Information est donc un projet dynamique et mené à long terme, de manière cohérente avec la stratégie de l’organisation. Les référentiels et méthodes assurent une structure à la démarche et des experts et organismes gouvernementaux contribuent à l’encadrement de l’acquisition d’une culture de la sécurité des SI. De plus, des référentiels d’aide et de vérification permettent d’évaluer les risques et les mesures prises. 6
  • 7. II. La sécurité physique de l’entreprise : protéger les infrastructures La sécurité physique de l’entreprise concerne principalement ses locaux et les moyens d’y accéder et d’y pénétrer. Evaluer la sécurité physique d’une organisation consiste à juger de la difficulté d’accès aux informations qu’elle génère et stocke, et plus généralement aux risques pouvant compromettre la disponibilité, l’intégrité et la confidentialité des données. Ainsi, une entreprise bâtie telle une forteresse pourra paraître infaillible au vu des contrôles d’accès draconiens et de l’architecture dédiée. Pourtant, si l’entreprise se situe dans une forte zone sismique, le risque de disponibilité demeurera élevé. A. Contrôles des accès et intrusions Procéder à l’évaluation des contrôles d’accès au site physique de l’organisation et de ses vulnérabilités en terme d’intrusions revient à vérifier de manière stricte chaque point d’accès et ses moyens de contrôles, puis de les noter selon une gradation stricte. Cette gradation est déterminée par le référentiel utilisé par l’auditeur, mais aussi par le degré d’importance et de menace que représente la vulnérabilité physique en question. Les points de contrôles extérieurs peuvent comprendre ; - le dispositif de sécurité (éclairage, alarmes, vigiles, portail sécurisé…) - l’environnement extérieur (végétation, présence de cours d’eau, altitude…) - la nature des installations (type de construction, voies d’accès, configuration) De plus, il faut s’assurer que les bonnes personnes aient accès aux bonnes ressources. Le système de badges magnétiques aujourd’hui adopté dans de nombreuses entreprises répond plutôt bien au besoin de segmenter les accès et de protéger les informations sensibles des personnes dont les besoins métiers ne nécessitent pas la consultation ni la modification de telles données. Bien entendu, la principale limite à ce procédé est la perte ou le vol d’un tel badge mais à ce jour, il n’existe aucun système parfait. 7
  • 8. B. Risques naturels Les risques naturels sont a priori, les plus imprévisibles de par leur nature souvent météorologique et donc inévitable. Pourtant, qu’il s’agisse d’une tempête, d’un orage ou d’un tremblement de terre, l’organisation doit pouvoir se prémunir des conséquences que ces intempéries pourraient avoir sur leur activité. Une fois encore, le degré de mesures en matières de prévention, recouvrement et mesures de continuité dépendra des risques avérés, croisés avec les besoins de disponibilité, intégrité et/ou confidentialité de chaque ressource de l’entreprise. Lors d’un audit, il ne s’agit pas seulement d’évaluer les risques, mais de mettre en rapport les menaces extérieures potentielles avec les mesures préventives afin de déterminer le degré de risques. Les principaux points pouvant être vérifiés peuvent comprendre ; - l’état des locaux - Le mode de stockage des produits inflammables & mesures anti-incendie - Procédures liées aux dégâts des eaux - Lieux et modes de stockage des données sensibles (archives, serveurs …) - Plan d’évacuation du personnel et formations liées - Etc. 8
  • 9. C. Gestion de la sécurité physique La sécurité physique est évolutive et fait partie intégrante de la politique de sécurité des systèmes d’information. A ce titre, la gestion de la sécurité physique doit être dynamique et évolutive en fonction des changements pouvant intervenir dans la vie de l’entreprise, mais également l’environnement extérieur et les évolutions technologiques. Outre les installations, l’accent doit être mis sur la communication des processus de sécurité et les bonnes pratiques à adopter. En effet, il est souvent estimé qu’un collaborateur constitue la plus grande vulnérabilité au sein d’une entreprise. Cette assertion peut être comprise comme un manque de circulation de l’information de la part de la direction, ou d’un manque de formation. Le collaborateur formé et informé sera plus sensibles au respect des règles de sécurité qu’un salarié ayant uniquement reçu un document (ou un email) détaillant les nouveaux comportement à adopter suite à la modification du système d’alarme ou suite à l’instauration d’une norme qu’il ne maîtrisera pas. L’organisation doit en conséquence prévoir un budget important pour assurer sa sécurité physique afin d’entretenir les locaux, de rénover ou réparer des éléments ayant subi d’éventuels dommages. Tout cela afin de réduire les risques et de ne pas compromettre la sécurité du système d’informations, ni des collaborateurs. 9
  • 10. III. La sécurité logique ; La méthode de défense en profondeur La sécurité logique a vu son importance croître avec l’adoption de l’informatique, puis des bases de données et enfin des systèmes d’information complexes. L’information et les données sensibles sont aujourd’hui au cœur de la valeur de l’entreprise. La gestion de l’information en entreprise est d’ailleurs un des secteurs les plus importants sur les marchés business to business et business to government . De plus en plus, l’entreprise s’ouvre vers l’extérieur, échange des informations avec une rapidité croissante. En conséquence, les réseaux de l’entreprise s’ouvrent à leur tour et deviennent plus vulnérables. A. Défense en profondeur : origines et fondements de la méthode Le concept de défense en profondeur provient du domaine militaire, avec l’apparition du boulet métallique remettant en cause la protection du fort Vauban. Ses fortifications ont donc été construites afin d’anticiper la menace (le boulet métallique), en utilisant la profondeur du terrain. Outre la profondeur, les lignes de défenses étaient autonomes de manière à ce que la destruction d’une ligne défensive ne compromette pas les deux suivantes. Dans l’industrie énergétique, le même procédé des 3 barrières indépendantes a été mis en œuvre, comme ci-dessous dans le cas d’un réacteur nucléaire : 10
  • 11. L’évolution du nucléaire par rapport au fort Vauban, a été la gradation des risques et la mise en place des protections, en fonction de l’échelle de vulnérabilité (échelle INES). Cette gradation des vulnérabilités appliquée à l’industrie a longtemps été manquante dans le domaine de l’informatique. B. Principes d’application de la défense en profondeur Lorsqu’il s’agit de sécurité des systèmes d’information, le principe de défense en profondeur est évoqué pour répondre à quatre objectifs principaux : - Evaluation des biens à protéger - Evaluation du niveau de sécurité de l’entreprise - Estimation des menaces possibles - Mise en place de barrières de défenses indépendantes 11
  • 12. Les étapes d’un processus de défense en profondeur dans le cadre d’un projet SI se déroulent généralement selon le schéma suivant, que nous allons détailler : a. Etape 1 : Objectifs de sécurité Lors de cette étape, il s’agit d’évaluer les biens et les objectifs de sécurité de l’entreprise afin de s’assurer que les objectifs SI soient alignés avec la stratégie de l’entreprise. Outils / méthode : classification des informations, criticité des applications, échelle de gravité SSI b. Etape 2 : Organisation architecture générale Cette phase d’analyse a pour but d’évaluer le niveau de maturité de l’entreprise. En d’autre termes, de mesurer son degré de sécurisation et d’exposition au risque. On détermine ensuite les barrières nécessaires. Outils / méthode : diagrammes en radar croisant plusieurs paramètres de sécurité & aspects organisationnels de l’entreprise.
  • 13. c. Etape 3 : Politique de défense Cette phase consiste à déterminer la défense globale (détection des attaques, remontée des informations, déclenchement des alertes) et la planification (reconfigurations possibles, plan de secours) d. Etape 4 + 5: Qualification & homologation Durant ces étapes, l’organisation et l’architecture proposée sont validées. L’homologation par la direction est suivie par l’exécution du plan de défense en profondeur, puis de son suivi par les parties désignées. e. exemple pratique Dans le schéma ci-dessus, nous retrouvons les trois niveaux de barrières indépendantes que préconise la méthode de défense en profondeur. 13
  • 14. CONCLUSION La sécurisation du patrimoine de l’entreprise est un projet qui mobilise les dirigeants et les collaborateurs à long terme, car elle est inhérente à la stratégie de l’entreprise. De plus, les normes légales imposées sont de plus en plus strictes. Il est donc indispensable de choisir son/ses référentiels avec précaution afin que les décisions et actions qui en découlent soient en adéquation avec l’activité et le niveau de maturité de l’entreprise. La politique de sécurité des systèmes d’information est le point de départ déterminant pour assurer une bonne sécurité physique et logique du patrimoine d’une organisation car elle en fixe les bases. Toutefois, suivre un projet de sécurité des systèmes d’information ne doit en aucun cas se limiter à l’application d’un référentiel ou d’une stratégie figée. Les tendances évoluent : marché, outils, menaces, enjeux des entreprises. A titre d’exemple, la tendance aujourd’hui n’est plus le filtrage blacklist / whitelist, mais selon un filtrage protocolaire, effectué selon la réputation des sites. Autre élément capital, la communication et la prévention. 90% des attaques proviennent du réseau interne de l’entreprise. Enfin, les nouvelles pratiques tendent à redessiner le patrimoine de l’entreprise et à en rendre plus floues les frontières : télétravail, BYOB (bring your own device). Tant d’opportunités business qui posent aujourd’hui de nouvelles problématiques en terme de sécurité SI. 14
  • 15. SOURCES Web : - http://www.clusif.asso.fr/ - http://www.cases.public.lu/fr/index.html - http://www.securite-informatique.gouv.fr/ - http://www.ssi.gouv.fr/ Entretien : - Julien Dross ; spécialiste IT , Orange Business Services 15