Les systèmes d’information prennent de plus en plus une place stratégique au sein des entreprises. Ainsi la notion du risque lié à ces derniers devient une source d’inquiétude et une donnée importante à prendre en compte, ceci en partant de la phase de conception d’un système d’information jusqu’à son implémentation et le suivi de son fonctionnement.
Les pratiques associées à la sécurité des systèmes d’information constituent un point à l’importance croissante dans l’écosystème informatique qui devient ouvert et accessible par utilisateurs, partenaires et fournisseurs de services de l’entreprise. Il devient essentiel pour les entreprises de connaître leurs ressources en matière de système d’information et de définir les périmètres sensibles à protéger afin de garantir une exploitation maîtrisée et raisonnée de ces ressources.
Par ailleurs, les nouvelles tendances de nomadisme et de l’informatique « in the Cloud » permettent, non seulement, aux utilisateurs d’avoir accès aux ressources mais aussi de transporter une partie du système d’information en dehors de l’infrastructure sécurisée de l’entreprise. D’où la nécessité de mettre en place des démarches et des mesures pour évaluer les risques et définir les objectifs de sécurité à atteindre.
Ainsi la sécurité informatique est un ensemble de moyens techniques, organisationnels, juridiques et humains nécessaires pour conserver, rétablir et garantir la sécurité du système d’information [cf. wikipédia].
On peut déduire de ces constats que la démarche de sécurité informatique est une activité managériale des systèmes d’information et qu’il convient aussi d’établir un tableau de bord de pilotage associé à une politique de sécurité comprenant les organes vitaux constituant une entreprise.
Les menaces informatiques
La menace informatique représente le type d’actions susceptibles de nuire dans l’absolu à un système informatique. En termes de sécurité informatique les menaces peuvent être le résultat de diverses actions en provenance de plusieurs origines :
- Origine opérationnel:
- Origine physique:
- Origine humaine:
Ces menaces sont liées à un état du système à un moment donné. Elles peuvent être le résultat d’un bogue logiciel (Buffer Overflows, format string …etc.), d’une erreur de filtrage des entrées utilisateur (typiquement les XSS et SQL injection), d’un dysfonctionnement de la logique de traitement ou d’une erreur de configuration
Elles peuvent être d’origine accidentelle, naturelle ou criminelle. On peut citer notamment les désastres naturels, les pannes ou casses matérielles, le feu ou les coupures électriques.
Ces menaces sont associées directement aux erreurs humaines, que ce soit au niveau de la conception d’un système d’information ou au niveau de la manière dont on l’utilise. Ainsi elles peuvent être le résultat d’une erreur de conception ou de configuration comme d’un manque de sensibilisation des utilisateurs face au risque lié à l’usage d’un système informatique.
Ainsi, devant cette panoplie de menaces, la sécurité informatique vise à définir un schéma directeur pour faire face à ces menaces et garantir un fonctionnement sain et efficace des systèmes d’information.
La sécurité informatique est un processus perpétuel visant à améliorer le niveau de sécurité en instaurant une politique de sécurité au sein des organismes et en palliant à certaines faiblesses à la fois organisationnelles et technologiques.
Enjeux de la sécurité des systèmes d’information
Le système d’information constitue un patrimoine essentiel des entreprises. Constitué d’un ensemble de ressources matérielle et logicielle, il permet de traiter, stocker et transférer les données des entreprises. Ainsi la sécurité des systèmes d’information cherche à apporter une meilleure maîtrise des risques qui pèsent réellement sur l’entreprise et répondre à certains enjeux qu’on peut résumer en 4 lettres « DICA » (disponibilité, intégrité, confidentialité et auditabilité).
- Disponibilité : garantir l’accès aux ressources, au moment voulu, aux personnes habilitées d’accéder à ces ressources.
- Intégrité : garantir que les données échangées sont exactes et complète.
- Confidentialité : garantir que seules les personnes autorisées peuvent avoir accès aux données et aux ressources de l’entreprise.
- Auditabilité : garantir la traçabilité des accès et des tentatives d’accès et la conservation des ces traces comme preuves exploitables
En général, la sécurité informatique consiste à assurer que les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées pour les fins auxquelles elles ont été conçues au début. De plus elle vise à inscrire l’évolution des systèmes informatique dans le cadre d’un processus d’amélioration continue.
Mise en place de la PSSI
La sécurité des systèmes d’information s’appuient sur plusieurs modèles pour répondre aux enjeux liés aux systèmes informatiques des entreprises (DAC, RBAC, BIBA, Bell La Padulla, Muraille de chine …etc.). Ces modèles se cantonnent généralement à formaliser des stratégies de sécurité multi niveaux afin de garantir les droits d’accès aux données et ressources d’un système donné.
Cependant, malgré la diversité de ces modèles, la mise en place d’une politique de sécurité du système d’information passera probablement par une adaptation d’un modèle au cas réel. Celui-ci permettra d’engendrer la création d’un tableau de bord pour mener les différentes démarches de sécurisation de leurs systèmes d’informations. Enfin, le modèle permettra de mettre en place des mécanismes d’authentification et de contrôle permettant d’assurer que les utilisateurs des ressources possèdent uniquement les droits qui leurs ont été octroyés.
Autrement dit, la politique de sécurité des systèmes d’information constitue une implémentation concrète et réelle du principe du moindre privilège.
Les mécanismes de sécurité informatique peuvent être la source de quelques gênes pour les utilisateurs du système d’information. Ainsi la PSSI cherche à trouver un juste milieu pour garantir, d’une part, l’efficacité d’un système d’information et d’autre part évaluer le risque et déterminer son niveau d’acceptabilité pour assurer la satisfaction des utilisateurs.
Ainsi plusieurs méthodes permettent de formaliser la politique de sécurité informatique et définir l’ensemble des orientations suivie par une organisation en terme de sécurité, notamment les méthodes EBIOS, MEHARI et la famille des normes ISO 2700x. Il est possible de retrouver des trames communes à ces méthodes :
- Identifier le besoin en terme de sécurité informatique, étudier le contexte à sécuriser et identifier les risques informatiques liés à ce dernier.
- Élaborer les procédures et les règles à mettre en place pour couvrir les risques identifiés.
- Surveiller et détecter les éventuelles vulnérabilités du système d’information et mettre en place un système de veille en vulnérabilités ainsi qu’une politique de mises à jour des ressources logicielles et matérielles utilisées.
- Définir les actions à entreprendre et les personnes à contacter en cas de détection de menace réelle sur le système d’information.
Bien évidement, une politique de sécurité des systèmes d’information n’empêche pas d’avoir une approche globale sur la sécurité informatique. Cela signifie que la sécurité informatique doit être abordée d’une manière globale afin de prendre en compte certains aspects que la PSSI permet de traiter avec plus de finesse.
La sécurité informatique doit répondre à plusieurs problématiques sur les méthodes raisonnées d’usage d’un système d’information. Ceci en passant de la sensibilisation des utilisateurs aux problèmes de sécurité, puisque « there is no patch for human stupidity » à la réponse aux questions purement techniques qui assurent l’efficacité des mécanismes sécuritaire à implémenter, notamment la sécurité physique et logique d’un système d’information. Dans les phrases emblématiques du milieu de la sécurité informatique, il convient également de citer Bruce Schneier « Security is a process, not a product ». L’idée de fond étant que le processus de sécurité est la pierre angulaire, pas le firewall ou l’antivirus, trop de dirigeants ont cru que s’abriter derrière un produit permettait d’éviter le pire. Une politique de sécurité prévoit aussi le pire et les moyens d’y répondre, ce que ne font pas les produits.
Processus de sécurisation
Comme nous l’avons déjà cité la sécurité informatique est un processus en perpétuelle évolution. Ce processus permet de faire évoluer le système d’information que ce soit au niveau des choix technologiques ou au niveau de l’organisation des ressources utilisées pour assurer son fonctionnement.
En général, la sécurité informatique s’appuie sur le principe de la roue de Deiming ou la méthode PDCA (Plan-Do-Check-Act) pour instaurer une méthode de management de risques informatiques au sein d’un organisme. Ce principe permet de définir la démarche suivie pour l’implémentation d’une politique de sécurité efficace et l’inscrire dans un contexte d’amélioration continue afin de garantir une évolution sereine et maîtrisée d’un système d’information donné.
- L’implémentation d’un tel processus passe tout d’abord par la définition de la politique de sécurité informatique afin d’identifier les risques et élaborer les objectifs de sécurité (Plan).
- Ensuite il faut mettre en place les mesures sécuritaires définies pour atteindre les objectifs fixés par la PSSI (Do).
- Après il faut vérifier que ces mesures couvrent l’essentiel de la chaîne sécuritaire du système d’information sachant que la sécurité de ce dernier est comparée à celle de son maillon le plus faible (Check).
- Enfin analyser les résultats, réagir selon le niveau de sécurité obtenu, identifier les ressources qui nécessitent des modifications et bien entendu suivre l’évolution des nouvelles menaces et les traduire en mesures sécuritaires dans la PSSI (Act).
De plus la majorité des méthodes d’analyse de la sécurité des systèmes d’information visent la mise en place d’un système de management de la sécurité informatique (SMSI) au sein des organismes. En effet, ces méthodes reprennent les grandes lignes du PDCA pour formaliser un SMSI pour ensuite aller plus dans le détail afin de garantir une gouvernance rationnelle de la sécurité informatique au sein des entreprises.
Conclusion
La sécurité des systèmes d’information représente aujourd’hui une tâche de fond à prendre en compte par toute entreprise qui désire disposer d’un ensemble d’outils et de méthodes qui lui permettent et assurent la gouvernance de son système d’information. Ainsi plusieurs méthodes d’analyse des systèmes informatiques proposent des démarches de certification afin de garantir une image pérenne aux entreprises intégrant les processus de sécurité dans la liste de leurs préoccupation managériale.
Bien évidement la sécurité à 100% reste un idéal à atteindre, surtout devant le large éventail des menaces qui mettent en danger l’exploitation d’un système d’information. Ainsi il est important de bien formaliser une politique de sécurité en prenant en compte les risques réelle qu’encourt un système informatique et en évaluant les coûts que peuvent engendrer les problèmes résultants de ces risques par rapport au coût nécessaire à la mise en place des solutions palliative à ces problèmes.
Par Ayoub FIGUIGUI