Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Jean-Marc Chartres, Telindus : La sécurité de l’information, Des normes pour son processus

avril 2009 par Jean-Marc Chartres, Consultant Sécurité Telindus

La sécurité du Système d’Information est un processus qui contribue à la qualité et assure la protection des personnes, du patrimoine informationnel et des matériels contre les menaces externes et internes.
Cet objectif de sécurité repose sur des solutions techniques adaptées, et se construit autour d’une organisation régie par une politique de sécurité en conformité avec les lois en vigueur et les exigences de l’entreprise.

Les normes pour la sécurité de l’information, permettent la définition d’un véritable processus qualité pour la sécurité de l’information.
Des moyens humains, des solutions et des procédures seront nécessaires pour le définir, le mettre en œuvre, en assurer le support et le changement, et le contrôler en vue de son amélioration.

La mise en place d’un système de Gouvernance pour le système d’information s’appuie sur le modèle qualité incarné par le modèle DEMING - PDCA (Plan, Do, Act, Check), de l’ensemble des normes, référentiels, et guides de bonnes pratiques.
La sécurité se dote d’un système de référence sur le modèle de la qualité, ce qui présage déjà moins de réticence entre les organisations en charge des sécurités.

Caractéristiques du Processus de sécurité de l’information

Assurer la Performance des activités, sans risques non contrôlés est un principe de Gouvernance qui nécessite l’intermédiation de toutes les instances de l’entreprise, et ne doit pas être incarné que par les seules DSI.

Le processus de sécurité comporte néanmoins des spécificités,
Le terme même de sécurité est polysémique : il représente à la fois un concept, une fonction, un cadre d’action. Son champ couvre de multiples domaines qui vont de l’information à la protection des personnes et des biens.

 Les vulnérabilités : facteurs intrinsèques, faiblesse du système qui le rend sensible à une menace
 Les menaces : facteurs extrinsèques : dangers potentiels, latents
 Les risques : ils résultent de l’interaction entre les facteurs intrinsèques et extrinsèques
 Les attaques : correspondent aux dangers réalisés
 Les sinistres : ils sont le résultat d’attaques ayant atteint leur but
C’est pour cela qu’il convient de parler du Processus de Réduction des
Risques sur l’Information. Car ce qui est important pour l’entreprise n’est pas forcément de mettre en place les 14 briques logicielles recensées actuellement mais bien d’avoir la capacité de manager ses propres risques et de garantir des impacts supportables pour les risques résiduels.
L’entrée du processus de sécurité du système d’information est constituée de toutes les menaces et vulnérabilités qui pèsent sur le système.
Les risques potentiels peuvent impactés l’information et notamment sa qualité, à savoir la Disponibilité, la Confidentialité, l’Intégrité et Preuve.

La fonction du processus sécurité est de limiter les vulnérabilités du système, analyser d’une manière permanente les menaces éventuelles et d’être en capacité de garantir que tout changement du système d’information n’augmente pas l’évaluation des risques résiduels effectué, ce qui est la définition du SMSI (System Management Security Information) .

Le processus de management de la sécurité va au-delà de s’aligner avec les métiers de l’entreprise, pour s’intégrer en temps réel aux activités.

La réussite du processus de sécurité fournira à l’entreprise l’outil de gestion de crise en cas de sinistre, qui lui fait bine défaut aujourd’hui, et lui permettra grâce au SMSI de pouvoir se prononcer sur l’impact de la crise et des moyens dont elle dispose pour y faire face.

Si l’objectif du processus de sécurité est initialement de répondre à la prévention et à la protection du patrimoine informationnel, il sera capable par la compréhension des menaces d’être pro actif dans la gestion des incidents de sécurité.

Aujourd’hui, nous disposons de normes, de référentiels, de bonnes pratiques, et de directives techniques pour chaque sujet concernant la sécurité de l’information.

Points sur Référentiels, Normes, Guides et Standards de sécurité

Famille ISO 27000

La norme ISO 27001 (issue de la BS7799-2) a vu le jour en novembre 2005, et permet de faire certifier un « Système de Management de la Sécurité de l’Information » (SMSI). Calquée sur les normes qualité ISO 9000 et environnement ISO 14000, cette norme traite de la mise en œuvre d’un système de management.

Cette norme garantit aux parties prenantes (clients, actionnaires, partenaires, etc.) que la sécurité des systèmes d’information a été sérieusement prise en compte et que l’entreprise s’est engagée dans une démarche d’amélioration constante.
La famille ISO 27000, s’étoffe enfin d’ISO 27005 pour l’analyse des risques en proposant une méthodologie pour mener à bien ce qui est primordial pour la définition du processus considéré à savoir l’identification et l’estimation des risques pesant sur le capital informationnel.

La norme ISO13335 (DICP) ou des variantes parmi les méthodes, MEHARI, EBIOS, MARION, sont tout à fait indiquées et s’adaptent à compléter la méthodologie décrite par la 27005.

Pour la partie Management des risques, citons aussi COSO : (Committee Of Sponsoring Organizations of the Treadway Commission), pour une démarche COBIT. (Control Objectives for Information and Related Technology)

Les autres volets de la famille ISO 2700x, contribuent par leurs référentiels à apporter les éléments et principes du Management. C’est ainsi que l’iso 27002 représente un référentiel complet des exigences de sécurité auxquelles l’entreprise doit ou non se conformer.
• ISO/CEI 27001 : Système de Management de la Sécurité de l’Information (SMSI) — Exigences (2010)
• ISO/CEI 27002 : Code de bonnes pratiques pour la gestion de la sécurité de l’information. (2005)
• ISO/CEI 27003 : Système de Management de la Sécurité de l’Information (SMSI) — Guide d’implémentation (2010)
• ISO/CEI 27004 : Mesure de la gestion de la sécurité de l’information (2009)
• ISO/CEI 27005 : Gestion du risque en sécurité de l’information (2008)
• ISO/CEI 27006 : Exigences pour les organismes réalisant l’audit et la certification de Systèmes de Management de la Sécurité de l’Information (SMSI) (2007)
• ISO/CEI 27007 : Guide pour l’audit de Systèmes de Management de la Sécurité de l’Information (SMSI). (2011)
Propositions pour la norme pour des spécificités liés aux métiers comme
• ISO/CEI 27799 : Informatique de santé - Gestion de la sécurité de l’information relative à la santé en utilisant l’ISO/CEI 27002 (2011)

Focus sur l’ISO 27001

« On écrit ce qu’on va faire. On fait ce qu’on a écrit... et on le contrôle ».
La rédaction de la Politique de Sécurité des Systèmes d’Information, et de ses principes détaillés, est normalement déduite de l’analyse de risques, et de la tentative de réduction de ceux-ci à un niveau acceptable. La plupart du temps, cette politique étant déjà existante, il va falloir l’adapter à un fonctionnement en mode cyclique, et à un découpage suivant les chapitres de la norme. La création du Système de Management de la Sécurité de l’Information, et son approbation formelle par la Direction Générale, va permettre le véritable déclenchement de la dynamique 27001.
Garantir la sécurité par la capacité à la Manager, est le bien fondé de la certification 27001, ce n’est pas l’exhaustivité à répondre mais bien l’assurance à s’inscrire dans un modèle d’amélioration continue compte tenu de la pertinence des mesures et contrôles effectués. Ce n’est pas le quantitatif qui compte mais le qualitatif en place.

Les normes ou référentiels concourants au processus de sécurité

Le changement rapide et inéluctable du système d’information exige que les DSI soient centre de services et qu’elles établissent de véritables contrats de service avec d’une part les autorités et d’autre part avec les utilisateurs des différents métiers de l’entreprise. Cette contractualisation qui vaut aussi pour les indicateurs de la sécurité négociée doit être officiée et respectée.
La culture des entreprises s’oppose parfois à admettre ces principes de Gouvernance, qui nous rappelle que « Confiance n’exclut pas contrôle ».

Il faut assurer cette fluidité organisationnelle par la mise en place du processus de sécurité sous le modèle qualité, où l’on devra repérer l’autorité de Gouvernance, l’autorité maître d’ouvrage, de mise en œuvre, et enfin celle garant des contrôles.

Les référentiels sur lesquels le processus peut se déployer se précisent autour des items suivants :
 COBIT pour Control Objectives for Information and Related Technology (Gouvernance, contrôle et audit de l’information et des technologies associées). Le COBIT est un référentiel pour la gouvernance des Technologies de l’Information avec un objectif de contrôle et d’audit vis à vis de l’impact de l’utilisation de ces technologies dans l’entreprise et des risques qui y sont liés. Il établit les contrôles par rapport aux exigences COSO (Committee of Sponsoring Organizations of the Treadway Commission) « Modèle de contrôle d’entreprise »
 ITIL Information Technology Infrastructure Library ; Guides de bonnes pratiques pour la gestion des services informatiques (internes et externes). Il est axé sur le service à rendre et sur sa disponibilité pour l’utilisateur. Il vise à faciliter l’atteinte d’objectifs qualité mesurés tout en maîtrisant les coûts par l’organisation et l’optimisation des services. Des bonnes pratiques en version d’origine, elles sont intégrées en ISO 20 000 pour fournir un système opérationnel pour la gestion des services IT et bien sûr du processus de sécurité de l’information.
 ISO 27000 : Série de normes dédiées à la sécurité de l’information qui a terme devrait couvrir l’ensemble des normes liées à la sécurité de l’information, hormis ISO15408 (Critères communs ou ITSEC) pour la certification des matériels de sécurité.

La majorité des applications n’est pas exempte de vulnérabilités, d’absence de contrôle ou de carence de conformité avec une réglementation. Définir une politique de sécurité au niveau applicatif apparaît comme plus difficile. La politique doit-elle être basée sur tout ce qui est interdit ? Cette méthode, pose aussi de nombreux problèmes puisque les attaques applicatives, et encore plus les comportements anormaux, ne peuvent être connus à l’avance.
Il convient d’associer d’autres méthodologies à la sécurité des applications, si ISO 27002 comprend le volet applicatif, elle reste générique.
Pour l’évaluation des processus logiciels, nous pouvons citer l’ISO 15504 (SPICE)

Pour mesurer l’amélioration du processus de sécurité, Il sera intéressant de s’adosser sur les méthodologies comme ; CMMI.
Ce modèle permet, en fonction des pratiques clefs mises en place par une organisation, de déterminer son niveau de maturité globale (sur une échelle de 1 à 5) et son profil de capacité (échelle de 0 à 5 par processus). Atteindre le statut de pro actif pour l’activité sécurité en garantit le service.

Nous devons relayer ces méthodologies par des référentiels par thème :
 C’est ainsi que nous aurons besoin de classifier l’information, et nous pouvons citer les travaux de l’AFNOR sur ce sujet avec par exemple le guide de bonnes pratiques pour la Sécurité des informations stratégiques, Qualité de la confiance, Comment préserver la confidentialité des informations document référencé AFNOR BP Z 74-500.
 Pour les sauvegardes et archivages numériques, des normes internationales comme ISO 15408, ISO 14721, et française comme NF Z 42-013 fournissent les exigences et directives pour mettre en place des solutions en conformité avec la Politique de sécurité de l’information.
 Enfin, pour la mise en place des plans de secours informatique, avant que la famille 27000 l’inclut, les travaux du BSI 25999 intitulé Code of Practice for Business Continuity Management fournissent un bon plan méthodologique pour leurs élaborations.

Management de la SI un projet transverse

Pour atteindre un processus de management de la sécurité de l’information, il s’agit d’instaurer et de gérer un service dédié à la protection des personnes et des biens matériels et immatériels.
C’est un projet transverse au système d’information, qui doit s’appuyer sur des référentiels et bonnes pratiques. D’expérience de consultant, cette démarche est nécessaire mais pas suffisante car elle doit coopérer avec la culture de l’entreprise et admettre le facteur temps pour atteindre la maturité nécessaire.
Il est préférable d’initialiser la démarche sur un périmètre stratégique et l’étendre ensuite.

Nous retiendrons les impératifs suivants

• La description par les processus,
• L’engagement de la direction et la détermination des responsabilités,
• Le management des ressources,
• Le management des risques (identification et gestion),
• La conformité réglementaire,
• La mesure quantitative des performances au moyen d’indicateurs,
• Le contrôle et d’audit.


Voir les articles précédents

    

Voir les articles suivants