Sécurité des systèmes d`information
Sécurité des systèmes d'information
Un article de Wikipédia, l'encyclopédie libre.
Aller à : Navigation, Rechercher
La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques,
organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et
garantir la sécurité de l'information et du système d'information.
Sommaire
[masquer]
1 Présentation
2 Évaluation des risques
o 2.1 Méthodes d'évaluation
o 2.2 Informations sensibles
o 2.3 Critères d'évaluation
o 2.4 Menaces
o 2.5 Objectifs
3 Moyens de sécurisation d'un système
o 3.1 Conception globale
o 3.2 Défense en profondeur
o 3.3 Politique de sécurité
o 3.4 Responsable de la sécurité du système d'information
o 3.5 Modèles formels de sécurité
o 3.6 Plan de continuité d'activité
o 3.7 Moyens techniques
o 3.8 Exemples d'applications de protection de la sécurité
4 Normes et méthodes
5 Acteurs
o 5.1 Organismes officiels
o 5.2 Technologies commerciales
o 5.3 Associations
o 5.4 Groupes de hackers
o 5.5 Personnalités
6 Événements autour du thème
7 Annexes
o 7.1 Voir aussi
o 7.2 Publications
o 7.3 Liens externes
Présentation [modifier]
Le terme « système informatique » désigne ici tout système dont le fonctionnement fait appel,
d'une façon ou d'une autre, à l'électricité et destiné à élaborer, traiter, stocker, acheminer ou
présenter de l'information. Les systèmes d'information s'appuient en règle générale sur des
systèmes informatiques pour leur mise en œuvre. Ils comprennent les données de
télécommunications (voix analogique, voix sur IP…) et dans certains cas, les données sur
papier.
De tels systèmes se prêtent à des menaces de types divers, susceptibles d'altérer ou de détruire
l'information (on parle d'« intégrité de l'information »), ou de la révéler à des tiers qui ne
doivent pas en avoir connaissance (on parle de « confidentialité de l'information »), ou bien
par exemple de porter atteinte à sa disponibilité (on parle alors de « disponibilité du
système »). Depuis les années 1970, l'accès rapide aux informations, la rapidité et l'efficacité
des traitements, les partages de données et l'interactivité ont augmenté de façon considérable
— mais c'est également le cas des pannes — indisponibilités, incidents, erreurs, négligences
et malveillances en particulier avec l'ouverture sur internet.
Certaines de ces menaces peuvent aussi, indirectement, causer d'importants dommages
financiers. Par exemple, bien qu'il soit relativement difficile de les estimer, des sommes de
l'ordre de plusieurs milliards de dollars US ont été avancées suite à des dommages causés par
des programmes malveillants comme le ver Code Red. D'autres dommages substantiels,
comme ceux liés au vol de numéros de cartes de crédit, ont été déterminés plus précisément.
Outre les aspects financiers, des bris de sécurité informatique peuvent causer du tort à la vie
privée d'une personne en diffusant des informations confidentielles sur elle (entre autres ses
coordonnées postales ou bancaires), et peuvent pour cette raison être sanctionnés lorsqu'une
négligence de l'hébergeur est établie : si, par exemple, celui-ci n'a pas appliqué un correctif
dans des délais raisonnables.
Indirectement aussi, certaines menaces peuvent nuire à l'image même du propriétaire du
système d'information. Des techniques répandues de « defacing » (une refonte d'un site web)
permettent à une personne mal intentionnée de mettre en évidence des failles de sécurité sur
un serveur web. Ces personnes peuvent aussi profiter de ces vulnérabilités pour diffuser de
fausses informations sur son propriétaire (on parle alors de désinformation).
Le cas le plus répandu, et sans aucun doute les précurseurs en matière de sécurité de
l'information, reste la sécurisation de l'information stratégique et plus particulièrement
militaire. Le TCSEC, ouvrage de référence en la matière, est issu du Department of Defense
(DoD) des États-Unis. Le principe de sécurité multiniveau trouve ses origines dans les
recherches de résolution des problèmes de sécurité de l'information militaire. Aujourd'hui,
plusieurs mécanismes sont étudiés ; citons les leurres reposant sur l'argument que interdire
explicitement l'accès à une donnée consiste à fournir une information sur cette dernière… ce
qui sous-tend à l'hypothèse réaliste que la sécurité à 100% n'est pas atteinte.
Évaluation des risques [modifier]
Tenter de sécuriser un système d'information revient à essayer de se protéger contre les
risques liés à l'informatique pouvant avoir un impact sur la sécurité de celui-ci, ou des
informations qu'il traite.
Méthodes d'évaluation [modifier]
Différentes méthodes d'évaluation des risques sur le système d'information existent. Voici les
cinq principales méthodes d'évaluation disponibles sur le marché :
la méthode Ebios (Expression des besoins et identification des objectifs de sécurité),
développée par la DCSSI ;
la méthode Feros (Fiche d'expression rationnelle des objectifs de sécurité des systèmes
d'information), développée par la DCSSI ;
la méthode Méhari (Méthode harmonisée d'analyse des risques), développée par le
CLUSIF ;
la méthode Marion (Méthode d'analyse de risques informatiques optimisée par
niveau), développée par le CLUSIF ;
la méthode Melisa (Méthode d'évaluation de la vulnérabilité résiduelle des systèmes
d'information).
La société MITRE, qui travaille pour le Département de la Défense des États-Unis, a aussi
développé en 1998 une méthode d'évaluation des menaces et des vulnérabilités appliquée à
l'industrie aérospatiale, et pouvant être généralisée aux infrastructures critiques : NIMS (NAS
Infrastructure Management System, NAS signifiant National Aerospace).
Même si le but de ces méthodes est identique, les termes et les expressions utilisés peuvent
varier. Ceux utilisés ci-dessous sont globalement inspirés de la méthode Feros.
Paradoxalement, dans les entreprises, la définition d'indicateurs "sécurité du SI" mesurables,
pertinents et permettant de définir ensuite des objectifs dans le temps, raisonnables à atteindre,
s'avère délicate. S'il s'agit d'indicateurs de performances,on peut désigner comme indicateurs
les états d'installation d'outils ou de procédures, mais les indicateurs de résultats sont plus
complexes à définir et à apprécier, à preuve ceux sur les "alertes virales".
Informations sensibles [modifier]
Voir l’article Sécurité des données.
Avant de tenter de se protéger, il convient de déterminer quelles sont les informations
sensibles de l'entreprise, qui peuvent être des données, ou plus généralement des actifs
représentés par des données. Chaque élément pourra avoir une sensibilité différente.
Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise, qui constitue un
patrimoine informationnel à protéger.
Il faut évaluer les menaces et déterminer les vulnérabilité pour ces éléments sensibles.
Critères d'évaluation [modifier]
La vulnérabilité peut s'évaluer suivant plusieurs critères :
Disponibilité : l'élément a-t-il besoin d'une disponibilité importante pour ne pas nuire
au système d'information ?
Intégrité : l'élément a-t-il besoin d'une intégrité importante pour ne pas nuire au
fonctionnement du système d'information ?
Confidentialité : l'élément a-t-il besoin d'une confidentialité importante pour ne pas
nuire au système d'information ?
Imputabilité (ou « Preuve ») : l'élément a-t-il besoin d'une gestion de la preuve
importante pour ne pas nuire à l'organisation ?
Contrôle d'accès : l'élément a-t-il besoin d'un contrôle d'accès important pour ne pas
nuire au système d'information ?
Une fois les éléments sensibles déterminés, les risques sur chacun de ces éléments peuvent
être évalués en fonction des menaces qui pèsent sur les éléments à protéger. Il faut pour cela
évaluer :
l'impact de chaque menace sur chaque élément,
la probabilité d'occurrence de ces impacts (ou la potentialité)
Dans la méthode Mehari, le produit de l'impact et de la potentialité est appelé « gravité ».
Menaces [modifier]
Voir l’article Risques en sécurité informatique.
Les principales menaces effectives auxquelles un système d’information peut être confronté
sont :
Un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité d'un
système d'information est l'utilisateur, généralement insouciant ;
Une personne malveillante : une personne parvient à s'introduire sur le système,
légitimement ou non, et à accéder ensuite à des données ou à des programmes
auxquels elle n'est pas censée avoir accès ;
Un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du
système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte
à des intrusions ou modifiant les données ; des données personnelles peuvent être
collectées à l'insu de l'utilisateur et être réutilisées à des fins malveillantes ou
commerciales ;
Un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une
malveillance entraînant une perte de matériel et/ou de données.
Objectifs [modifier]
Une fois les risques énoncés, il est souhaitable de déterminer des objectifs de sécurité. Ces
objectifs sont l'expression de l'intention de contrer des risques identifiés et/ou de satisfaire à
des politiques de sécurité organisationnelle. Un objectif peut porter sur le système cible, sur
son environnement de développement ou sur son environnement opérationnel. Ces objectifs
pourront ensuite être déclinés en fonctions de sécurité, implémentables sur le système
d'information.
Moyens de sécurisation d'un système [modifier]
Conception globale [modifier]
La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou
moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.
Ainsi, la sécurité du système d'information doit être abordée dans un contexte global :
la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas
« prise de conscience » (les Anglais disent awareness) ;
la sécurité de l'information ;
la sécurité des données, liée aux questions d'interopérabilité, et aux besoins de
cohérence des données en univers réparti ;
la sécurité des réseaux ;
la sécurité des systèmes d'exploitation ;
la sécurité des télécommunications ;
la sécurité des applications (débordement de tampon), cela passe par exemple par la
programmation sécurisée ;
la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la
« stratégie de reprise »).
Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information,
car tous les systèmes utilisent des données, et les données communes sont souvent très
hétérogènes (format, structure, occurrences, …).
Défense en profondeur [modifier]
Tout droit sorti d'une pratique militaire ancienne et toujours d'actualité, le principe de défense
en profondeur revient à sécuriser chaque sous-ensemble du système, et s'oppose à la vision
d'une sécurisation du système uniquement en périphérie…
Politique de sécurité [modifier]
Voir l’article Politique de sécurité informatique.
La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès
aux données et ressources d'un système, en mettant en place des mécanismes
d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des
dites ressources possèdent uniquement les droits qui leurs ont été octroyés.
La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les
utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils
puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est
nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire :
élaborer des règles et des procédures, installer des outils techniques dans les différents
services de l'organisation (autour de l'informatique) ;
définir les actions à entreprendre et les personnes à contacter en cas de détection d'une
intrusion ;
sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes
d'informations.
6
7
8
9
10
11
12
13
1
/
13
100%
