Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Entreprise
  2. Management

politique et gestion de la sécurité du système d`information

publicité 
les cahiers de la sécurité - les cahiers de la sécurité - les cahiers de la sécurité
politique et gestion
de la sécurité
du système d’information
4
6
introduction
quelles solutions face à l’évolution des risques ?
■ Politique
de Sécurité
globale du Système d’Information
■ maîtriser la sécurité du Système d’Information
■ protection
10 qu’est-ce-que la Gestion de la Sécurité ?
■ fonctions
de la Gestion de la Sécurité
contrôle de la sécurité
■ pilotage de la sécurité
■
■ modèle
d’organisation
18 comment construire la Gestion de la Sécurité ?
sommaire
■ démarche
de mise en œuvre de la Gestion de la Sécurité
d’un centre de pilotage
■ procédures et outils de Gestion de la Sécurité
■ élaboration
procédures et référentiels documentaires
outils de Gestion de la Sécurité
■ externaliser la Gestion de la Sécurité
■
■
26 organisation de la Gestion de Sécurité
du Système d’Information au sein
du groupe France Télécom
30 conclusion
32 bibliographie
2
3
Dans chaque entreprise, le Système d’Information constitue un patrimoine
possédant une valeur financière propre. Tout atteinte au Système d’Information
génère une perte financière et porte atteinte à l’image de l’entreprise1. Les dégâts
dépendent naturellement des actes commis mais plus encore des moyens mis
en oeuvre pour y remédier. C’est pourquoi la sécurité du Système d’Information
a pris une importance considérable depuis :
introduction
■
la disparition des opérations manuelles remplacées par des processus
■
informatiques
l’usage du réseau pour fournir de l’information à l’intérieur comme à
l’extérieur de l’entreprise
Confrontées à des risques croissants et à une réglementation de plus en plus
stricte (Lois Informatique et Liberté, Loi sur la Sécurité Financière, SarbaneOxley, Bâle 2), les entreprises doivent désormais prendre en compte la dimension
sécurité des SI dans leurs organisations et leurs moyens. La multiplication
des solutions sécurité conduit les entreprises à s’interroger sur la nature des
investissements sécurité à privilégier.
L’élaboration d’une Politique de Sécurité du SI - et plus encore du système de
Gestion de la Sécurité du SI - devient partie intégrante d’une bonne gouvernance.
Elle est ainsi amenée à occuper un rôle central dans la stratégie des entreprises.
Ce Cahier Technique cherche à mettre en exergue les problématiques relatives
à la Gestion de Sécurité des Systèmes d’Information :
■ comment protéger de manière efficace le patrimoine informationnel ?
■ les mesures de sécurisation mises en œuvre sont-elles cohérentes ?
■ quelles sont les étapes suivantes de la sécurisation ?
■ comment construire une organisation de pilotage ?
■ etc.
1. Entreprise ou organisation à but non lucratif
4
5
Politique de Sécurité
La Politique de Sécurité exprime la stratégie de l’entreprise en matière de sécurité
de l’information. Elle constitue la référence en matière de protection de ses Systèmes
d’Information et traduit les exigences de sécurité en règles pragmatiques.
Il n’existe pas de règles déclinables à tous, chaque entreprise présentant des
particularités. Cela nécessite une étude ad hoc devant aboutir à des préconisations
personnalisées. Celles-ci permettront de choisir les dispositifs de protection adaptés.
Quatre principes constituant le fondement de toute Politique de Sécurité sont
toutefois récurrents :
quelles solutions
face à l’évolution
des risques ?
■
a
dopter une politique de gestion de risques et de sécurité
■
c
réer une structure en charge d’organiser et de piloter
la Gestion de la Sécurité des SI
■
installer un cadre organisationnel et juridique nécessaire à la
responsabilisation collective et individuelle des utilisateurs du SI
■
inventorier et classifier les ressources. Cette démarche doit permettre
d’optimiser les processus de sécurisation en insistant sur ses composants
les plus critiques
Figure 1 : interactions entre les quatre principes fondateurs de toute Politique de Sécurité
la Politique de Sécurité des Systèmes d’Informations reflète
la vision de l’entreprise en matière de sécurité du SI
6
7
protection globale du Système d’Information
maîtriser la sécurité du Système d’Information
Grâce à la médiatisation des attaques informatiques, les Directions Générales ont
pris conscience de l’importance de la sécurité du SI et des moyens à y consacrer.
Le rôle des Responsables du Système d’Information (ou RSI) inclut dorénavant une
dimension de protection du Système d’Information, en agissant à tous les niveaux
de l’entreprise.
Pour maîtriser la sécurité de façon permanente, plusieurs objectifs doivent
être remplis :
prévention : anticiper pour faire face aux nouvelles menaces
Il s’agit de prévoir les mesures capables de limiter la probabilité qu’un incident de sécurité ne se
produise. Une veille sur les points de vulnérabilité devient indispensable pour identifier, analyser les
nouvelles menaces puis décider des actions correctrices à effectuer.
En premier lieu, les risques métiers doivent être identifiés et analysés. Puis les
informations doivent être classifiées afin d’adapter les mesures de sécurité aux
enjeux métiers dans le respect des dispositions légales. Directions Métiers,
Direction Générale et Direction Juridique deviennent les donneurs d’ordre en matière de sécurité et doivent également se soumettre à cette démarche.
En second lieu, l’entreprise doit se doter d’une organisation et d’une Politique
de Sécurité du Système d’Information.
Cette politique doit ensuite se décliner en un plan d’actions à plusieurs volets :
mesures organisationnelles, mesures techniques, mesures sociales liées aux
ressources humaines, aspects juridiques.
détection : surveiller l’état de santé du SI
La détection d’une attaque est une information cruciale. En effet, ignorer une attaque interdit tout
déclenchement rapide des mesures de défense destinées à limiter les dégâts. La sophistication
des techniques d’attaques, exige de disposer de moyens permettant de signaler rapidement toute
anomalie du Système d’Information et de stopper ainsi toute tentative d’intrusion.
défense : définir un plan de secours
Cet objectif consiste à définir les actions à suivre lorsqu’un incident survient, afin de
minimiser son impact. L’élaboration d’un PCA – Plan de Continuité d’Activité – permet
de garantir la survie du SI. Ses caractéristiques premières sont rapidité et cohérence
des actions. La rapidité est essentielle pour limiter les impacts et répondre face à la vitesse de
propagation d’une attaque . La cohérence permet d’intervenir de manière complète et homogène
L’organisation quotidienne de la sécurité doit poursuivre les efforts réalisés en
amont en dotant l’entreprise d’outils de mesure et de pilotage des actions de
sécurité.
sur l’ensemble du périmètre du Système d’Information.
Il convient cependant de rappeler que le niveau de sécurité du Système d’Information demeure
toujours équivalent à celui du maillon le plus faible. Le PCA doit donc garantir une coordination
générale des actions telle que la mobilisation de la structure de gestion de crise ou l’activation
des procédures d’escalade pour répondre efficacement aux incidents.
contrôle : adapter en permanence les processus et les moyens de sécurité
Au cours du temps, risques et besoins évoluent. Il convient donc de contrôler régulièrement la
pertinence de la Politique de Sécurité et de surveiller en permanence les processus et les systèmes
de sécurité. Une démarche de pilotage des actions de sécurisation, contrôlée par des indicateurs
quantitatifs, permet sa mise en oeuvre.
Ces indicateurs permettent de fournir à la Direction Générale une mesure sur le niveau de sécurité
global du Système d’Information. Leur incrémentation dans des tableaux de bord aide à apprécier
l’efficacité des processus de sécurité et à discerner des vecteurs d’ajustement. Ils doivent refléter
l’activité liée aux enjeux Business.
Figure 2 : démarche globale de protection du SI.
La Gestion de la Sécurité au quotidien permet de pérenniser les bénéfices
des phases amont.
la Gestion de la Sécurité constitue la clé de voûte
de la protection du SI
8
La Gestion de la Sécurité constitue une solution efficace pour atteindre ces objectifs.
Cette organisation est nécessaire, et on perçoit aisément les limites d’une démarche
«artisanale» dans le domaine. Chaque entreprise doit s’organiser et se doter progressivement d’un centre de pilotage pérenne.
Ce travail d’organisation doit permettre de maîtriser les coûts générés par la Gestion
de la Sécurité, en optimisant les ressources et les procédures de gestion de risques.
l’organisation de la Gestion de la Sécurité
est un facteur de maîtrise des coûts
9
La Gestion de la Sécurité s’intègre généralement dans un dispositif de gouvernance
de la sécurité piloté par le Responsable du Système d’Information (RSI). Ce facteur
rend obligatoire une pluridisciplinarité des RSI :
■ formalisation et suivi de la mise en application de la Politique de Sécurité
■ r elations avec les acteurs métiers, analyse de leurs risques et assistance sécurité
pour leurs projets de SI
■ g
estion des PCA ou «Plans de Continuité d’Activité»
■ o
pérations de sensibilisation et de communication
■ p
ilotages stratégique et budgétaire des plans d’actions sécurité
■ m
ise en conformité avec les exigences légales
qu’est-ce-que
la Gestion de la
Sécurité ?
Mettre en place une organisation de Gestion de la Sécurité permet de structurer
une démarche méthodologique de maintien du niveau de sécurité souvent laissée
jusqu’alors à l’état d’ébauche.
fonctions de la Gestion de la Sécurité
La Gestion de la Sécurité s’organise autour de quatre missions majeures:
études et standards de sécurité
Leur objectif principal consiste à rédiger la Politique de Sécurité ou le Plan de
Continuité d’Activité, puis à les décliner dans les processus projets et exploitation.
Cela permet de transformer les concepts et les directives en réalisations concrètes
sur le Système d’Information. Cette fonction couvre à la fois les impératifs de
«prévention» et «défense».
contrôle de la sécurité
Elle regroupe l’ensemble des actions permettant de mesurer le niveau de sécurité
de tout ou partie du Système d’Information : identifications objective et exhaustive
des menaces, évaluation de l’efficacité des mesures de protection, suivi des procédures correctrices (mise en conformité). Elle répond ainsi à l’objectif «contrôle».
administration de la sécurité
Cette fonction englobe des actions qui visent la mise en œuvre, la surveillance et
l’application des règles de sécurité aux Systèmes d’Information. Elle couvre les
aspects techniques des objectifs «prévention», «défense» et «détection». Ainsi
les actions de configuration permettent de maintenir les composants du Système
d’Information à un niveau optimal de sécurité. Les actions de supervision
permettent quant à elles de détecter tout événement anormal identifié et d’initier
les actions correctrices.
10
11
pilotage de la sécurité
Cette fonction couvre tous les objectifs de sécurité et joue un rôle central dans le
dispositif de Gestion de la Sécurité. Elle représente la «tour de contrôle» en termes
de coordination et d’homogénéité des actions de sécurité au quotidien, de manière
proactive et réactive (veille de sécurité, solutions réactives). Elle permet de suivre le
niveau de sécurité interne et externe (reporting, tableaux de bords) et d’apporter des
réponses efficaces aux nouvelles menaces (gestion de crises).
contrôle de la sécurité
Les actions de contrôle de sécurité peuvent prendre différentes formes :
■
les
actions d’autocontrôle, réalisées de manière autonome par les exploitants
du Système d’Information permettent :
- d’adresser à moindre coût un large périmètre, en s’appuyant sur les processus
locaux de contrôle
- d’impliquer et responsabiliser les acteurs opérationnels en charge de la
maintenance du niveau de sécurité des composants de leur périmètre
- de tirer profit de l’expertise et de la connaissance des contraintes et des
enjeux locaux
■
les analyses techniques indépendantes et ponctuelles permettent de réaliser
des mesures ciblées selon des critères précis. Elles complètent ainsi les actions
d’autocontrôle. On peut alors mesurer le niveau de déploiement d’un correctif avec
un scanner de vulnérabilité
■
d
es contrôles complets peuvent également être conduits par la réalisation d’audits
lorsque les enjeux le justifient. Ces contrôles permettent un état des lieux exhaustif
des mesures techniques et organisationnelles d’une partie sensible du Système
d’Information (application critique ou zone d’infrastructure sensible…)
■
d
es contrôles de conformité permettent de vérifier le respect des normes (comme
l’ISO 27001), mais aussi les réglementations afin de se conformer aux dispositions
légales
Les actions de contrôle constituent la pierre angulaire du dispositif de Gestion de
Sécurité. Elles doivent être structurées, ce qui implique généralement la constitution et
la déclinaison d’un plan de contrôle. Elles doivent aboutir à la définition et la mise en
application de plans d’actions de mises en conformité afin de contribuer au maintien
du niveau de sécurité dans le temps.
Figure 3 : vue d’ensemble des fonctions de la Gestion de la Sécurité
Ces différentes fonctions s’exercent sur l’ensemble des composants du Système
d’Information : des postes de travail aux applications métiers en passant par les
composants d’infrastructure et de sécurité. Ces fonctions interagissent très
fortement entre elles.
Analysons de plus près deux fonctions essentielles de la Gestion de la Sécurité :
le contrôle de la sécurité et le pilotage de la sécurité.
12
les contrôles réalisés dans le cadre de la Gestion de la Sécurité
permettent un suivi opérationnel du niveau de sécurité du SI.
Ils peuvent être intégrés dans une démarche plus large de
contrôle et d’audit : évaluation de la conformité à la Politique
de Sécurité, certification (ISO 27001)
les résultats de ces contrôles constituent les données utiles à la
consolidation d’indicateurs dans les tableaux de bord sécurité
13
pilotage de la sécurité
La fonction pilotage de la sécurité constitue un point de concentration de l’ensemble
des événements de sécurité survenant sur le Système d’Information. Ces événements
comprennent :
■ le
recensement des menaces externes, grâce à une veille de sécurité active
■ la
détection des événements et incidents dans le cadre des actions de supervision
■ la
compilation des résultats des différentes actions de contrôle
Chaque événement remonté à la fonction de pilotage doit faire l’objet d’une évaluation,
via une analyse de risques. Selon le rique encouru un niveau de priorité sera affecté au
traitement de chaque événement. Une telle analyse nécessite une connaissance précise
de la criticité et du niveau de vulnérabilité de chaque composant du Système d’Information.
Les actions à mener pour limiter les menaces ou pour traiter l’incident sont ensuite
identifiées :
■ de
manière proactive : mise à jour des logiciels antivirus, surveillance de l’activité
réseau, déploiement des correctifs
■ en
cas d’incident : déconnexion des ressources critiques, fermeture des ports de
réseau, isolation des réseaux locaux
La fonction de pilotage assure le suivi de la réalisation de ces actions afin de
maîtriser les risques.
La constitution d’une cellule de gestion de crise peut être décidée pour traiter
les incidents les plus critiques. Elle s’appuie généralement sur les structures et
les processus existants (déclenchement et pilotage de plan de reprise d’activité,
mobilisation de la cellule de communication au sein de l’entreprise…).
Figure 4 : boucle d’amélioration continue
Reporting et tableaux de bord sont au cœur de la boucle d’amélioration continue
grâce aux indicateurs (fonctionnels, stratégiques, et opérationnels) qui alimentent
le système de pilotage. Leur analyse permet de maîtriser les risques dans le temps,
et en fonction des objectifs définis. Les tableaux de bord constituent ainsi
l’instrument de mesure de la qualité du dispositif de Gestion de la Sécurité.
Ils sont aussi des outils de sensibilisation et de communication puissants.
La communication entre la fonction de pilotage de la sécurité et les acteurs qu’elle
doit mobiliser est un élément essentiel pour garantir la réactivité et l’homogénéité
des actions entreprises.
La fonction de pilotage permet de capitaliser sur l’expérience acquise à chaque
incident grâce à la définition et la mise en œuvre de différents plans d’actions :
■ organisationnel
(mise à jour de processus d’exploitation, habilitations…)
■ technique
(reconfiguration de composants du Système d’Information…)
■ humain
(sensibilisation et formation des acteurs…)
le pilotage de la sécurité inscrit la Gestion de la Sécurité
dans une boucle d’amélioration continue
14
15
modèle d’organisation
Construire la Gestion de la Sécurité d’une entreprise s’apparente à la réalisation
d’un chantier d’organisation sur trois points essentiels :
■
■
■
la
maîtrise des coûts induits par le système (matériels et logiciels au niveau
technique, efforts humains au niveau organisationnel)
la
prise en compte des risques qu’ils soient juridiques ou autres. Ainsi,
toute mesure de la cybersurveillance doit être en conformité avec les lois
sur le respect de l’intimité de la vie d’autrui (Article 226-1 du code Pénal)
la
pertinence de la gestion de crises
Quelques mesures doivent être prises afin d’en assurer la réussite :
■ l’organisation cible doit couvrir l’ensemble des missions de la Gestion de la Sécurité
■
■
■
(Figure 3 : vue d’ensemble des fonctions de la Gestion de la Sécurité)
l’organisation cible doit offrir une vision d’ensemble du Système d’Information et de
son niveau de sécurité
les différents acteurs de la Gestion de la Sécurité doivent se connaître et agir de
manière coordonnée
le dispositif de Gestion de la Sécurité doit s’appuyer sur des moyens techniques
spécifiques et des compétences pointues. Le niveau d’expertise requis et la
complexité des outils impliquent généralement la mutualisation des ressources
Pour atteindre ces objectifs, il faut créer une cellule centrale assurant le pilotage
de la Gestion de la Sécurité. On parle alors de Comité de Sécurité du Système
d’Information. Il est piloté par un RSI.
Le Comité de Sécurité s’insère dans le réseau d’acteurs couvrant l’ensemble
du périmètre de la Gestion de la Sécurité du Système d’Information et pilote
l’ensemble de la sécurité. Il assure aussi l’animation et la coordination de ce
réseau, en centralisant les initiatives et en mutualisant les ressources
essentielles. Le Comité de Sécurité collabore avec la Direction de l’Audit pour le
contrôle de la sécurité et avec les architectes du SI pour l’étude et l’implémentation
des standards de sécurité. L’administration de la sécurité reste généralement
placée sous la responsabilité des équipes de production ou d’exploitation.
Dans certaines entreprises l’organisation complexe ou l’existence de sites
distants nécessitent la création de «Comités de Sécurité de proximité» travaillant
en étroite relation avec le Comité Central. Ce dernier jouera un rôle essentiel
d’animation et contribuera ainsi à définir et mettre en œuvre uniformément les
paramètres et politiques de sécurité dans l’entreprise.
l’organisation de la Gestion de la Sécurité s’appuie sur une
cellule centrale de pilotage adaptée à chaque contexte
16
17
démarche de mise en œuvre de la Gestion de la Sécurité
La définition d’un système de Gestion de la Sécurité suppose la mise en oeuvre de
chantiers structurants suivant une démarche rigoureuse et prenant en compte :
■ les
contraintes organisationnelles (découpage des fonctions par métier, par secteur
géographique ou par degré d’autonomie, gestion des habilitations…)
■ les
contraintes techniques (architecture réseau, outillage existant…)
■ les
contraintes légales (réglementations relatives à la cryptologie, respect de la vie
privée, droits de surveillance des utilisateurs…)
■ les
structures actuelles : processus, outils en place…
comment
construire
la Gestion
de la Sécurité ?
18
La démarche repose donc sur une forte implication des divers acteurs, de la Direction
Générale au personnel de l’entreprise.
La figure ci-dessous présente le cheminement nécessaire pour mettre en place la
Gestion de la Sécurité.
Figure 5 : démarche de construction de la Gestion de la Sécurité
19
élaboration d’un centre de pilotage
procédures et outils de Gestion de la Sécurité
La réussite d’une démarche de construction de la Gestion de la Sécurité repose sur la
création d’un Comité de Sécurité. Certains facteurs contribuent à la réussite de cette
création :
Le fonctionnement d’un Comité de Sécurité, et plus largement de celui de la Gestion
de la Sécurité nécessite un outillage adapté. Chaque action réalisée par le Comité de
Sécurité doit être formalisée dans un rapport et suivre des procédures spécifiques
reconnues de tous les acteurs impliqués.
1. disposer d’un appui du management
Son soutien légitime le rôle du Comité de Sécurité et contribue à la réelle satisfaction
des objectifs de sécurité de l’entreprise. La valorisation de la Gestion de la Sécurité
tant au niveau du SI que de la maîtrise des coûts ou du retour sur investissements
favorise cet appui.
procédures et référentiels documentaires
Procédures et documents nécessaires au fonctionnement du Comité de Sécurité sont
présentés dans la figure ci-dessous :
2. sélectionner avec soin les ressources humaines de la fonction de pilotage
Les membres du Comité de Sécurité doivent allier compétences techniques
et connaissance des activités et des enjeux métiers (experts en sécurité,
administrateurs des systèmes d’information, responsables métier). Facultés d’écoute,
de communication et de coordination leur sont indispensables lors de la résolution
d’incidents et de la gestion de crises.
3. éviter «l’effet tunnel» de la phase de construction
La constitution du Comité de Sécurité (définition des procédures, sélection des outils,
sensibilisation des acteurs…) peut s’étaler sur plusieurs mois. Afin d’éviter «l’effet
tunnel», le Comité de Sécurité doit être rapidement opérationnel, même si son champ
d’intervention ne s’applique, dans un premier temps, qu’à un périmètre restreint. Sa
montée en charge progressive lui permet d’être visible et de légitimer son existence
par des premières actions concrètes.
4. assurer une montée en charge progressive du Comité de Sécurité
L’extension progressive des activités du Comité de Sécurité peut s’effectuer selon
deux axes :
■ le périmètre des menaces couvertes : la menace virale est souvent traitée en
priorité car elle représente la majorité des incidents visibles. Un Comité de
Sécurité nouvellement opérationnel peut jouer un rôle catalyseur dans les actions
de déploiement des correctifs. Dans un second temps il étendra son périmètre
à la détection d’intrusion, la mise en conformité…
■ le périmètre adressé par le Comité de Sécurité : le champ d’action du Comité
de Sécurité doit couvrir en priorité les composants les plus vulnérables, les plus
critiques ou les plus exposés du SI. Le périmètre doit ensuite s’étendre
progressivement à l’ensemble des composants du Système d’Information
Figure 6 : principaux documents utiles au fonctionnement d’un Comité de Sécurité
5. initier rapidement le cycle continu de progrès
Des actions de contrôle et de suivi doivent être rapidement initiées par le Comité de
Sécurité, et des indicateurs de qualité sur le fonctionnement des processus mis en
place. Ces actions revêtent un double intérêt :
■ renforcer la légitimité et la notoriété du Comité de Sécurité au travers de tableaux
de bord opérationnels formalisant les résultats concrets des actions entreprises
■ améliorer et optimiser le dispositif de la Gestion de la Sécurité
20
21
outils de Gestion de la Sécurité
Le dispositif de Gestion de la Sécurité doit s’appuyer sur un outillage technique lui
permettant de mener à bien ses missions.
Les entreprises disposent d’outils de protection, de surveillance et de gestion de leur
infrastructure qui contribuent à maintenir le niveau global de la sécurité du Système
d’Information :
■ les outils d’inventaire et de gestion de parc
■ les outils de supervision des systèmes et des réseaux
■ les outils de traitement des demandes et des incidents
Cependant la Gestion de la Sécurité doit être complétée par des outils spécifiques,
proches du cœur de métier de la Gestion de la Sécurité. Le Comité de Sécurité met
en œuvre les outils ci-dessous pour améliorer l’efficacité de la Gestion de Sécurité :
les platesformes de gestion de la protection antivirale :
Elles donnent une vision de l’ensemble du parc de gestion antivirus (niveau de
signature, résultats des analyses planifiées…), garantissent la mise à jour rapide
et complète de ce parc et permettent de traiter rapidement tout incident viral
(identification des foyers, des canaux de propagation…)
les outils de déploiement des correctifs :
Essentiels dans la lutte antivirale, ils permettent d’automatiser et de suivre
le déploiement des mises à jour de sécurité des composants vulnérables
du SI. Ils réduisent ainsi la charge d’exploitation induite. Qualifier et valider
les mises à jour avant tout déploiement massif s’avère une opération d’autant
plus complexe que l’environnement technique est hétérogène.
les outils de contrôle de configuration et de vulnérabilité :
Ils permettent de contrôler le niveau de sécurité des composants du SI (détection
des écarts par rapport à la politique et aux référentiels de sécurité) et de suivre la
mise en œuvre des actions correctives requises par le Comité de Sécurité.
les outils de configuration et de corrélation des journaux (SIM – Security Information
Management) :
Leur objectif principal réside dans le contrôle en temps réel du niveau de sécurité
des composants du SI. Ces outils proposent les fonctions suivantes :
■ centralisation des journaux de sécurité issus de différents composants comme
les firewalls, sondes de détection/prévention d’intrusion, antivirus, routeurs,
serveurs, postes de travail
■ corrélation des journaux afin de fournir une vision unitaire d’un événement de
sécurité : chaque trace est interprétée et mise en relation avec les alertes issues
des autres composants
■ conservation de traces, tant pour leur valeur légale de preuve que pour leur
conformité aux réglementations
La valeur ajoutée apportée par ces outils en termes de Gestion de la Sécurité se traduit directement par une réduction du nombre des alertes et une optimisation de leur
traitement et diagnostic.
les platesformes centrales de Gestion de la Sécurité (ESM – Entreprise Security
Management)
Les platesformes centrales de Gestion de la Sécurité doivent centraliser dans un même
outil l’ensemble des fonctions unitaires de sécurité présentées dans les chapitres
précédents. Ces platesformes complètes de Gestion de la Sécurité
agissent tant au niveau des actions proactives que lors de la gestion des incidents :
■ reconnaissance du périmètre : inventaire des composants, définition de la
configuration type, gestion de parc...
■ détection des vulnérabilités
■ correction des vulnérabilités : modification de configuration, déploiement
des correctifs
■ vérification de la bonne application des actions correctrices
■ reporting
Cette plateforme fournit ainsi une vision d’ensemble sur les actions
et les événements intervenant sur le Système d’Information.
les outils de configuration et de supervision de l’infrastructure de sécurité :
Il s’agit le plus souvent de consoles d’administration propriétaires utilisées pour
chaque brique d’infrastructure de sécurité.
22
23
infogérance en sécurité
Devant le besoin croissant d’outillage et de ressources nécessaires pour gérer
la sécurité du Système d’Information, de nouveaux acteurs sont apparus depuis
quelques années. Ce sont les fournisseurs de services d’infogérance en sécurité
(MSSP – Managed Security Service Providers).
L’intérêt des entreprises pour l’infogérance en sécurité s’explique par le double
avantage proposé : maîtrise des coûts relatifs aux effectifs internes et possibilité
de bénéficier d’expertises mutualisées (ex : veille de sécurité, supervision 24h/24
et 7j/7). Les MSSP proposent donc des services de Gestion de la Sécurité, qui
peuvent compléter ou se substituer aux outils et ressources internes. Toutefois ils
doivent appliquer la Politique de Sécurité préalablement établie et déployée par
l’entreprise.
L’opportunité d’externaliser une partie de la fonction de Gestion de la Sécurité
peut être étudiée dès la phase d’organisation et de dimensionnement du Comité
de Sécurité. Le marché des MSSP est très fragmenté et composé d’acteurs
divers, allant des opérateurs aux intégrateurs, en passant par les éditeurs, les SSII,
les sociétés de conseil et les sociétés spécialisées dans ce type de services.
Les services proposés par les MSSP sont variés, tant en termes de couverture
fonctionnelle que de périmètre technique :
■ la couverture fonctionnelle permet d’externaliser totalement ou partiellement
différentes fonctions : veille sécurité, contrôle de certains niveaux de sécurité
(audit, certification), surveillance de configuration des composants du SI
■ le périmètre technique des produits et de la technologie tend à s’accroître,
les principales solutions du marché peuvent être prises en compte nativement
par la plupart des offres MSSP
Cependant l’externalisation de la fonction de sécurité à un MSSP est un processus
structurant qui nécessite une réelle vigilance. Voici quelques principes directeurs
pour réussir une telle opération :
bien choisir son prestataire
La sélection d’un infogérant en sécurité est une étape très importante. Elle nécessite
une expression claire des besoins et un processus d’évaluation rigoureux car le
Système d’Information s’expose alors aux risques liés à ce mode d’exploitation.
Il est crucial de bien déterminer le périmètre, les engagements, les coûts, les
évolutivités des services…
être prudent, externaliser par étapes
L’externalisation massive de l’ensemble des fonctions de sécurité sur un large
périmètre peut s’avérer dangereuse car incontrôlable. C’est pourquoi il convient
de tester les services du MSSP sur un périmètre restreint, parfois en redondance
avec un service interne, avant d’étendre progressivement leur périmètre.
ne pas trop écarter les offres standards
Préférer un service sur mesure proposé par un infogérant en sécurité, comporte
des risques d’insatisfaction qui peuvent se traduire tant en termes de coût que de
qualité du service offert (temps de réponse insatisfaisant, diagnostics erronés…).
Une offre standard éprouvée vaut souvent mieux qu’un service sur mesure
expérimental.
soigner le contrat de service avec l’infogérant
Le contrat entre l’entreprise et l’infogérant en sécurité constitue un levier
dans le pilotage de la production du service. Les frontières des responsabilités
organisationnelles et techniques doivent y être clairement établies et les
niveaux de services attendus formalisés avec précision. Le contrat permet
aussi à l’entreprise de se protéger contre les atteintes à la confidentialité,
éléments sensibles lorsqu’on parle d’externalisation de services de sécurité.
L’entreprise peut faire procéder à un audit pour vérifier que le niveau de
sécurité assuré par l’infogérant est conforme aux exigences contractuelles.
conserver un organe de décision et de coordination interne
Quel que soit le périmètre technique et fonctionnel confié à un infogérant en
sécurité, ce dernier ne dispose que d’une connaissance partielle de l’organisation
interne et des enjeux métiers. Il n’a donc pas la capacité de prendre des
décisions et de coordonner les acteurs internes de l’entreprise.
La réussite de l’externalisation de la Gestion de Sécurité exige des réunions de
suivi et des mises à jour de procédures. Seul un acteur interne à l’entreprise,
point d’entrée privilégié de l’infogérant en sécurité, peut jouer ce rôle et relayer les
préconisations et alertes internes. Le Comité de Sécurité interne chargé de piloter
la sécurité, est idéalement bien placé pour accomplir ce rôle.
Une collaboration étroite entre l’infogérant en sécurité, le Comité de Sécurité
et les acteurs internes doit s’installer, afin d’assurer une réaction rapide et
coordonnée en cas d’incident. L’infogérant en sécurité fera donc partie
intégrante du réseau d’acteurs de la Gestion de la Sécurité.
l’externalisation de la sécurité n’est pas une solution alternative
mais une nouvelle attribution dévolue au Comité de Sécurité
24
25
organisation
de la Gestion
de Sécurité
du Système
d’Information
au sein du groupe
France Télécom
26
La sécurité du Système d’Information est un enjeu majeur pour le Groupe France
Télécom : protection du patrimoine informationnel, maîtrise des technologies
avancées, confiance de nos clients… C’est pourquoi l’organisation de la Gestion
de la Sécurité du SI s’imbrique totalement dans la Politique de Sécurité du Système
d’Information, qui elle-même découle de la Politique de Sécurité du Groupe.
Les entités responsables des Réseaux et du Système d’Information définissent
l’urbanisme et l’infrastructure du SI et des réseaux. Cette définition fait l’objet d’un
processus de validation spécifique.
Les entités doivent s’assurer sur leurs domaines respectifs :
■ que les moyens déployés sont cohérents avec les objectifs sécurité du groupe
■ que l’organisation de la sécurité du SI couvre l’ensemble des paramètres qu’ils
soient humains, matériels, logiciels ou informationnels
■ que les processus de formation intègrent les notions de sécurité et que l’ensemble
du personnel est sensibilisé à la sécurité
■ qu’elles sont dotées d’une veille sécurité. Celle-ci devra permettre la mise en œuvre
de plans d’actions destinés à maintenir, à améliorer et à faire évoluer la sécurité
du Réseau et du Système d’Information, en intégrant les évolutions réglementaires
et comportementales. En cela elles doivent se conformer aux exigences des entités
de contrôle et d’audit
Les entités responsables des Réseaux et du Système d’Information assurent aussi :
■ le pilotage et le contrôle de la sécurité du Réseau et du Système d’Information afin
de fournir les informations en temps réel comme en temps différé. A cette fin elles
sont dotées d’une cartographie des ressources, de tableaux de bord et d’outils
techniques qui permettent de contrôler l’application des règles et d’évaluer la
gravité des événements. L’outillage utilisé doit évoluer en fonction de l’état de l’art
■ la remontée des informations nécessaires à l’évolution de la Politique de Sécurité
et à son respect
■ la traçabilité des décisions majeures concernant la sécurité
■ le reporting stratégique de la sécurité du Réseau et du Système d’Information
auprès de la Direction du Groupe France Télécom
27
La sécurité de tous les médias supportant des informations est étudiée pour être maîtrisée. L’accès de tous les collaborateurs aux ressources fait l’objet d’une habilitation.
Les entités du Groupe définissent leurs besoins de sécurité grâce à une analyse de
risques. Chaque entité est responsable de l’efficacité des mesures mises en œuvre
sur son périmètre. Une délégation de service peut être faite entre entités au moyen
d’un contrat interne.
Toute externalisation d’une partie du Système d’Information fait l’objet d’un contrat
intégrant les impératifs en matière de sécurité.
Tout accès au Système d’Information ou toute connexion aux réseaux du Groupe fait
l’objet d’une analyse de risque préalable pour déterminer les exigences de sécurité,
les mesures à mettre en œuvre et les contrôles requis.
L’architecture des Réseaux et du Système d’Information, prend en compte les
éléments susceptibles d’interrompre le service. Des mécanismes de protection sont
mis en œuvre pour garantir la disponibilité. La continuité d’activité est étudiée pour
chaque service.
Une supervision des actifs est instaurée afin de garantir la qualité du service.
Un processus d’amélioration continue est mis en œuvre afin de capitaliser sur
les incidents et leur gestion.
28
29
La Gestion de la Sécurité permet d’instaurer une sécurité durable et alignée sur
les objectifs métiers d’une entreprise. Elle contribue ainsi à garantir la pérennité
des entreprises. En outre, elle représente un véritable indicateur de la qualité de la
gouvernance des Systèmes d’Information, un baromètre du bon fonctionnement de
l’entreprise.
De plus en plus d’entreprises adoptent une démarche structurée pour organiser la
Gestion de Sécurité faisant appel aux divers acteurs (décideurs, personnels métiers,
experts en sécurité des systèmes d’information…). La Gestion de Sécurité étant
un processus d’amélioration continue, l’entreprise doit ainsi disposer d’une entité
spécifique, nommée Comité de Sécurité, qui pilote ce processus, anime, coordonne et
contrôle les actions de sécurité dans une démarche transverse et cohérente.
conclusion
La mise en place de la Gestion de la Sécurité peut se baser sur des référentiels reconnus comme la norme ISO 27001. L’application des bonnes pratiques définies dans
cette norme (on parlera de démarche de conformité) leur permet ainsi :
■ de maîtriser les coûts liés à la sécurité de l’information grâce à l’identification des
mesures inefficaces, à la rationalisation des processus existants et leur alignement
sur les objectifs métiers
■ de faciliter les démarches liées à la sécurité de l’information (comme la mise en
conformité avec le Sarbane Oxley Act)
L’entreprise pourra alors s’engager dans une démarche de certification en regard de
cette norme afin de :
■ répondre aux exigences clients
■ renforcer l’image de marque de la société dans le domaine de la sécurité
30
31
■ Best
Practices for Building a Security Operations Center - White Paper - April 2005.
■ Démarche
de Conception d’un Tableau de Bord Qualité Appliqué à la Sécurité CLUSIF - Commission Méthodes – Juin 1997
■ Fiche
2 –Connaître la législation en vigueur et la jurisprudence - Guide SSI - MEDEF
(Mouvement des Entreprises de France) – Mai 2005
■ Fiche
10 - Externaliser la mise en œuvre et la maintenance des politiques de
sécurité - Guide SSI - MEDEF (Mouvement des Entreprises de France) - Mai 2005
■ ISO
2700x : une famille de normes pour la gouvernance sécurité - MISC n° 30.
■ Livre
ouvert sur la sécurité - ETNA (European Telecom & Networks Association) 2004 (http://www.etnafrance.org/ressources/securiteip/booklet-etna.pdf.).
■ Organiser
bibliographie
la supervision de la sécurité informatique - MISC n° 22.
■ Plan
de Continuité d’Activité - Stratégie et solutions de secours du SI - CLUSIF Commission Techniques de Sécurité Logique - Septembre 2003
■ Politique
de Sécurité Groupe - France Télécom - Secrétariat Général - Direction
de la Sécurité de l’information - Mars 2004.
■ Reporting
et procédure de réaction - MISC n° 22.
■ Sécurité
de l’information : élaboration et gestion de la politique de l’entreprise
suivant l’ISO 17799 / D.Linlaud. - Paris, FR : Afnor, 2003.
■ Sécurité
des réseaux et systèmes répartis / sous la direction de Y.Deswarte et L.Mé.
- Paris, FR : Hermès, Lavoisier, 2002.
32
33
notes
34
35
France Télécom - 6 place d’Alleray 75505 Paris Cedex 15 - SA au capital de 10 426 692 520 euros - 380 129 866 RCS Paris - document non contractuel - Code EAN 3699690005195 - novembre 2007
Documents connexes
Chasse aux périmètres
Chasse aux périmètres
Réglement local de publicité Plan des protections
Réglement local de publicité Plan des protections
CLASSE DE Mme Julie 4A
CLASSE DE Mme Julie 4A
Mathématiques
Mathématiques
Résumé Diagnostic de la gestion de l`eau sur le périmètre rizicole
Résumé Diagnostic de la gestion de l`eau sur le périmètre rizicole
FICHE DE POSTE Administrateur de bases de données
FICHE DE POSTE Administrateur de bases de données
Le périmètre de protection modifié
Le périmètre de protection modifié
CONVENTION exemple indicatif
CONVENTION exemple indicatif
version Word - page d`accueil du site nvogel
version Word - page d`accueil du site nvogel
Pre-information notice - services
Pre-information notice - services
Téléchargement
publicité