La Politique de sécurité

     I.        Introduction:

Un système informatique  désigne tout système dont le fonctionnement fait appel, d'une façon ou d'une autre, à l'électricité et destiné à élaborer, traiter, stocker, acheminer ou présenter de l'information.

De tels systèmes se prêtent à des menaces de types diverses, susceptibles de modifier ou de détruire l'information (on parle d’intégrité de l'information ), ou de la révéler à des tiers qui ne doivent pas en avoir connaissance (on parle de « confidentialité de l'information »), ou bien par exemple de porter atteinte à sa disponibilité (on parle alors de « disponibilité du système »).

   II.        Politique de sécurité :

1.     Définition :

La politique de sécurité est le document de référence définissant les objectifs poursuivis en matière de sécurité et les moyens mis en œuvre pour les assurer.

2.     Mise en place d'une politique de sécurité :

La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système en mettant en place des mécanismes d'authentification et de contrôle.

 la mise en œuvre se fait selon les quatre étapes suivantes :

Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ;

Elaborer des règles et des procédures à mettre en œuvre dans les différents services de l'organisation pour les risques identifiés ;

Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés ;

Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace ;

 III.        Gestion de risques :

La gestion des risques permet de répondre

 à 3 questions essentielles à la mise en place

D’une Politique de sécurité :

Comment résoudre les problèmes de sécurité

A quel endroit les résoudre

Quels types et niveaux de contrôles de sécurité appliquer

3.     Comparaison des approches de la gestion des risques:

a. Approche réactive:

Lorsqu'un problème de sécurité survient, la plupart des professionnels de l'informatique ne trouvent que le temps de contenir le problème, analyser l'événement et intervenir le plus rapidement possible sur les systèmes affectés.

b. Approche proactive:

Plutôt que d'attendre que les problèmes se présentent avant d'y répondre, le principe de cette approche est de minimiser la possibilité qu'ils se produisent dès le départ

4.     Approches du classement des risques:

a. Évaluation quantitative des risques:

L'objectif de cette approche est de calculer des valeurs numériques objectives pour tous les composants collectés lors de l'évaluation des risques et de l'analyse coût/bénéfices.

b. Valorisation des ressources:

Les directeurs d'entreprise se basent souvent sur la valeur d'une ressource pour déterminer le temps et l'argent qu'ils peuvent consacrer à sa protection.

Exemple:

Calculez par exemple l'impact d'une perturbation temporaire de l'activité d'un site Web de commerce électronique accessible 7 jours sur 7 et 24 heures sur 24, dont les commandes client génèrent des revenus moyens de 2 000 euros par heure. Si ce même site Web est inaccessible pendant 6 heures. la société estime devoir dépenser 10 000 euros à l'occasion d'une campagne de marketing visant à revaloriser une image de marque ternie par l’indisponibilité du site. Par ailleurs, elle s'attend également à une perte de 0,01 (1 %) des ventes annuelles, soit 17 520 euros

•  Valeur globale de la ressource pour l'entreprise =2000*24*365=17 520 000 euros
•   Impact financier immédiat de la perte de la ressource: pertes directement imputables à l'indisponibilité du site =6*2000=12000 euros
• Impact commercial indirect lié à la perte de la ressource: la perte indirecte totale=17 520 +10000=27520 euros
•  Détermination du PEU (Perte estimée unique)
•  Calcul de la PEA (Perte estimée annuelle).

Il s'agit du montant total de recettes perdues à la suite d'une occurrence unique du risque. Si une batterie de serveurs Web a une valeur de 150 000 euros et qu'un incendie provoque des dommages estimés à 25 % de sa valeur.

PEU= 150 000*0,25=37 500 euros

Détermination du TAO (Taux annuel d'occurrences)

 Ce taux correspond au nombre de fois qu'un risque peut raisonnablement se réaliser au cours d'une année.

Calcul de la PEA (Perte estimée annuelle).

Il s'agit de la somme totale que l'entreprise perdra en un an si rien n'est fait pour atténuer le risque.

PEA=TAO*PEU

La probabilité (ou taux annuel d'occurrence) d'un incendie est de 0,1 % (une fois en 10 ans):

PEA=37 500 euros × 0,1 = 3 750 euros

IV.        Évaluation des risques:

Un simple système d'évaluation avec les mentions élevé, Moyen ou faible peut représenter un point de départ pour évaluer les risques. Les données peuvent appartenir à diverses catégories:

•   Données administratives. La correspondance ou autres informations relatives aux biens de l'entreprise ainsi que les renseignements de personnel qui sont généralement consultables.
•  Données financières. Les informations sur les budgets et les dépenses relatives aux opérations de l'entreprise.
•   Données de clientèle. Les informations de nature personnelle relatives aux clients ou des renseignements issus de tests.
•  Données propriétaires/recherches...

Les informations qui ne peuvent pas être divulguées au public sans la permission du propriétaire

1.     Evaluation des Menaces et vulnérabilités:

Une menace peut être une personne, un objet ou un événement pouvant potentiellement provoquer des dommages au réseau ou à ses équipements.

Une vulnérabilité est une faiblesse sur un réseau qui peut être exploitée par une menace (ex password)

Par exemple. Un accès, non autorisé (la menace) au réseau peut être commis par un attaquant qui devine un mot de passe trop évident.

La vulnérabilité exploitée ici est un choix médiocre de mot de passe de la part d'un utilisateur.

Les menaces sont généralement classées de la façon suivante:

•   écoute clandestine ou vol d'informations:
•  blocage de l'accès aux ressources du réseau
•  Accès non autorisé

2.     Les Conséquences des Menaces:

•   Compromission de la sécurité des données (Vol d’information par un accès non autorisé à un système ou par écoute passive des échanges)
•   Perte d'intégrité des données
•   Indisponibilité des ressources