La sécurité informatique

I – Quelques définitions

1er aspect est juridique. L’information est un bien unique et précieux de l’entreprise ; elle est de plus en plus importante et conséquente au sein d’une organisation.

Notion de confidentialité : possibilité d’accorder un accès sélectif aux informations. Les degrés de l’information dépendent de la nature et de ceux qui vont les utiliser. La confidentialité dépend de l’impact financier de l’information.

Notion d’exactitude : l’origine doit être vérifiable et provenir d’une source sure. La qualité de l’information varie dans le temps. La stratégie d’une entreprise dépend de l’exactitude d’une information.

Notion de disponibilité : possibilité d’utiliser une information accessible aux uns et non autres.

La sécurité est un processus de l’entreprise dont le but est de réduire les risques ou la probabilité de subir des dommages. Elle tend à devenir un problème de maillon faible. Elle est un ensemble de compromis établie par rapport à l’importance physique des données et des accès.

L’accès : méthode utilisée pour se procurer des informations. C’est aussi le chemin emprunté par les données pour aller du point de stockage aux utilisateurs.

L’identification : possibilité de distinguer une entité d’une autre sans aucun équivoque. Un système sécurisé doit être capable d’identifier l’individu qui demande une opération. L’identification est le processus fondamental de la sécurité sur lequel sont construits tous les autres processus.

L’authentification : possibilité de prouver que l’entité est bien celle qu’elle prétend être. Elle est associée aux individus mais n’importe quelle entité doit être authentifiée avant l’accès aux informations. L’authentification est la base de la confiance.

L’autorisation est la possibilité de déterminer si telle ou telle entité a le droit d’utiliser l’information. Contrôle l’usage que l’on fait de l’information. Limiter l’autorisation = Restreindre le droit d’accès.

La sécurité est une nécessité de l’entreprise. C’est aussi une obligation légale car le DG est responsable pénalement sur les biens.
La responsabilité : possibilité de créer des liens entre les actions et ceux qui les accomplissent. Doit être assignée à un niveau approprié. On doit savoir qui a fait quoi.

La prise de conscience : façon dont la communauté des utilisateurs comprend la sécurité et la met en pratique.

L’administration : processus de gestion de la sécurité d’un système d’informations.

La mise en place d’une sécurité nécessite l’intégration des mesures de sécurité dans les systèmes et dans les réseaux, ainsi que dans la mise en place de mesures de sécurité physiques.

II – Le plan de sécurité

Doit être pensé de façon globale et il faut avoir une vue systémique de l’entreprise. Doit comprendre l’analyse des risques, d’impact, un plan de secours en cas de désastre et un plan de reprise.
DRP : Disaster Recovery Plan
PRA : Plan de Reprise d’Activité

5 phases dans un plan de sécurité.

1 – L’inspection

Il s’agit d’identifier les fonctionnalités qui sont à la base des activités de l’entreprise. Les capacités qu’elles demandent, à quel moment elles les demandent, comment elles interagissent avec d’autres fonctions. On évalue les besoins en sécurité de l’organisation autant que son niveau actuel de préparation.

Info blanche : tout public
Info grise : possède un niveau de sécurité et de confidentialité qui n’est pas tout public. Celui-ci est restreint et averti.
Info noire : très restreinte, seules quelques personnes ont la possibilité d’y accéder.

Dans cette phase on évalue alors :
 Les ressources : le personnel, la propriété, l’information, l’infrastructure, l’image de marque recherchée.
 La menace : les pannes, désastres naturels, erreur humaine, actes de malveillance.
 Les pertes potentielles : plus de service, divulgation d’informations, destruction ou altération de l’information

 Identification des vulnérabilités : points faibles ; des implémentations défectueuses ; des utilisations abusives ; des actions psychologiques : communication.
 Evaluation du courant : les personnes, le système en place pour vérifier sa fiabilité.



 Réalisation de check-list : donner un inventaire formel de toutes les ressources d’informations : poubelles comprises… ; assigner un processus à chaque ressource selon l’organisation interne de l’entreprise : responsables et coupables ; déterminer la valeur de chaque ressource ; créer des classifications de sécurité pour la disponibilité ; l’intégrité et la confidentialité.
 Sensibilisation : mise en place de périodes de communication et de séances de travail avec les utilisateurs sous forme de JPO (2 périodes par an). SPOF = Single Point Of Failure. La sensibilisation n’a pas forcément un coût énorme.

2 – La protection

Elle implique une réduction dynamique des risques qui doit porter sur tous les processus en place pour éviter des interruptions d’activité. Il faut
 Identifier et qualifier les services secondaires, acquérir des équipements de rechange, effectuer des sauvegardes, mettre en place de la documentation et la faire vivre, recourir à l’out sourcing.
 Veiller aux accès : mise en place de switch : IP, filtrage ; mise en place de routeurs, firewall et proxy.
 Définir les domaines de confiance de l’organisation : quelles données partager avec l’extérieur ; quelles données protéger par rapport aux salariés.
 Définir le niveau de sécurité nécessaire, et toutes les méthodes d’accès autorisés : dans Windows on peut définir des organisations uniques OU.
 Définir le mode d’authentification et le niveau d’autorisation.
 Définir et renforcer les règles de sécurité : contrôler les accès : badge, login ; les accès à l’entreprise : serveurs ; enregistrer tous les accès et sécuriser ces enregistrements : mise en place de logs ; vérifier et définir toutes les méthodes d’accès : physiques ou informatiques ; définir les procédures : sauvegarder ou pas ce qui est mis en salle serveurs.

On commence à mettre en place dans l’entreprise des systèmes de reporting pour montrer les effets de la sécurité (« ce mois-ci tant d’intrusions »)

3 – La détection

C’est une réduction réactive des risques qui englobe tous les processus en place pour minimiser les pertes résultant d’un incident qui peuvent nuire à l’activité de l’entreprise.
 Mise en place d’outils permettant de rechercher d’éventuels problèmes.

4 – La réaction

Mise en place de plans d’actions : on assigne à des techniciens des tâches de secours en cas de problèmes par le biais de procédures. Pour un leader on a deux backup, idéalement 3.
Mise en place de formations adaptées, à rafraîchir tous les ans : stratégie de reprise d’activité.

3 P : People, Process, Product

5 – La réflexion

 Synthétiser les rapports
 Mise en place de plan de correction
 Définir les coûts

Il faut avoir une attitude constructive.

Commentaires

2è cours de SI, je v essayer de mettre tout cke g
Ahlem, le 2007-02-15 à 19h18

Ecrire votre commentaire

Vous devez vous connecter pour pouvoir ajouter un commentaire.

changements | pages | tags | se connecter
Accueil Les Règles du Wiki CASI Communication Interpersonnelle Systèmes d'Information Marketing Exposés et dossiers divers Communication Commerciale Droit Commercial Management Anglais Negociation de Vente (hihi ;) ) Contacts Votre Bordel (espace libre...) Emplois du Temps et Plannings Nouveautés

Tags

casi; euridis; oaJGlDrFjHjfN sciences-u;
MetaWiki : hébergement de wikis, wiki hosting.
diff. hist. edit. admin