Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Christophe Maira, Devoteam Consulting : Homogénéiser la sécurité des Systèmes d’Information, une question de méthode ?

septembre 2008 par Christophe Maira - Consultant – Devoteam Consuting

La sécurité d’un SI doit être adaptée aux risques encourus par l’entreprise. Savoir mettre en place les bonnes solutions en face des problématiques est fondamental. Objectif : ne rien oublier.

Malgré toutes les énergies déployées, chaque Responsable Sécurité de SI (RSSI) craint que survienne un jour un incident de sécurité grave. Or, on ne peut évaluer et agir que sur des risques identifiés. C’est pourquoi, les responsables de SI complexes travaillent avec la peur d’avoir oublié un élément clé (processus, acteurs…) dont les impacts peuvent avoir de graves conséquences sur les activités de l’entreprise.

« Le disque dur de l’un de nos serveurs a rendu l’âme et je viens d’apprendre que nous avons perdu toutes les données s’y trouvant » regrette amèrement un RSSI d’une grande entreprise. « Et ce malgré l‘arsenal de solutions de protection que nous avons mis en place. Que puis-je faire afin de ne plus avoir ce genre de désagréments ? Je ne vais quand même pas acheter toutes les solutions du marché pour me protéger de tous les risques ! ».
Même son de cloche chez un autre RSSI qui préfère garder l’anonymat. « Après chaque audit externe que nous commanditons, de nouvelles vulnérabilités pouvant fortement impacter l’activité de notre entreprise apparaissent. Je ne sais plus où donner de la tête. Quel type de solution va me permettre de combler ce nouveau manque ? »
Ces questions, la plupart des RSSI se les posent en espérant continuellement que les derniers investissements pourront enfin amener leur SI à un niveau de sécurité acceptable pour leur entreprise. Mais comment s’y prendre ? Et par où commencer les travaux ?

Face à un dédale de vulnérabilités et de solutions proposées par les vendeurs, la solution à adopter passe par une vision plus claire et plus succincte des SI.
Imaginons la sécurité d’un SI soutenue par une chaîne constituée de 5 maillons clefs (voir schéma), elle permettra de couvrir l’ensemble des aspects nécessaires à la protection de l’information puisque chaque information sensible sera mise en regard de ces 5 domaines d’analyse.

De cette manière, nous avons l’assurance que chaque information sensible a bien été prise en compte lors de sa sécurisation. Une approche qui permet de n’omettre aucun aspect et de gagner en sérénité. On notera que le champ d’action de la PSSI (Politique de Sécurité des SI) de l’entreprise se doit également de couvrir ces 5 axes car elle est la ligne directrice de la gouvernance du SI.

On comprend rapidement que le pré requis essentiel pour appliquer cette méthode est d’avoir effectué un inventaire complet de toutes les informations sensibles portées par le SI. Dès lors, il sera possible de cibler ces analyses afin d’appliquer la méthode à chacun des actifs identifiés. C’est en se posant systématiquement la question de la sécurité de ces 5 points que l’on obtient la garanti d’avoir couvert l’ensemble des risques.

Dans la mesure où le RSSI doit justifier ses dépenses auprès du DSI, de la Direction Générale ou bien auprès d’autres instances de l’entreprise, il doit sans cesse mettre en avant :
- que le service (de sécurité des SI) qu’il rend a un prix non négligeable,
- et que ce service permet de pérenniser les activités de l’entreprise portées par ses différents SI.

Il est important d’éviter le piège de "la sécurité aveugle" qui consiste à tout sécuriser sans avoir réellement évalué les risques existant d’une part et sans avoir établi la stratégie de traitement permettant de couvrir les plus importants de l’autre. En effet, il est primordial de prendre en compte en tout premier lieu les risques pouvant engendrer des impacts graves pour l’entreprise, même si les coûts des solutions à mettre en œuvre peuvent paraitre parfois élevés. En somme : faire de la sécurité "Oui", mais dans le but bien précis de répondre aux besoins de l’entreprise.

Il faut garder à l’esprit qu’aucune solution de sécurité ne protègera tous les éléments du SI. D’autant plus qu’elles ne suffisent déjà pas à protéger un seul élément du SI contre toutes les menaces possibles. En effet, les solutions ont toutes un spectre d’influence différent et c’est là que réside l’importance de bien dissocier ces 5 aspects stratégiques sur lesquels elles agissent afin de sécuriser de façon efficace et homogène son SI.

Faire correspondre le besoin de sécurité identifié avec une solution technique demande d’avoir une vision éclairée et suffisamment d’expérience pour composer avec les différentes solutions du marché. En effet, dans cette situation il convient d’effectuer le choix le plus judicieux afin d’avoir une solution capable de couvrir plusieurs risques. Il s’agit également d’éviter de faire double emploi avec des solutions déjà implémentées dont les périmètres pourraient se chevaucher inutilement.


Définition des 5 points stratégiques

- Le Périmètre du SI : bien connu de tous, c’est le premier axe sur lequel se focalise la sécurité afin de protéger l’entreprise du « Hacker venu d’Internet », mais également des toutes les intrusions provenant de l’extérieur du SI.
- La Donnée : située au cœur du SI, elle porte l’information sous sa forme électronique et peut avoir une véritable valeur marchande.

- Le Medium de communication : la donnée n’étant pas statique, il est nécessaire de porter également notre attention sur les moyens de communication par lesquels elle transite. Les opérateurs fournissent de nombreux types de réseaux plus ou moins sécurisés ainsi que l’accès à l’Internet (bien souvent moins onéreux) pour le transport de données.

- L’Outil : caractérisant les éléments de la chaîne qui effectuent des traitements sur la Donnée (modification, contrôle, exploitation …).

- L’Humain : qui intervient lors de certaines étapes du traitement de la Donnée et qui représente un risque important : vol d’information (82% des fuites d’informations provenant de l’interne, source Medef), malveillance, mauvaise manipulation…


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants