2 Smsi
2 Smsi
2 Smsi
sécurité informatique
(Système de Management de la Sécurité de
l’Information)
université d’Alger 1 -
Benyoucef Benkhedda
Introduction:
2
information security management system :
- Techtarget.com
3
Intégration de la sécurité :
4
1.Intégrer la sécurité au sein d’une
organisation
5
1. Intégrer la sécurité au sein d’une organisation
Afin d’évaluer le niveau de sécurité attendue, les questions suivantes peuvent être
posées :
• Qu’est ce que je veux protéger ?
• De quoi je veux me protéger ?
• A quel type de risques mon organisation est exposée ?
• Qu’est ce que je redoute ?
• Quelles sont les normes qui s’appliquent à mon organisation ?
6
1. Intégrer la sécurité au sein d’une organisation
L’organisation peut s’inspirer de la famille de norme internationale ISO 2700x et des
guides nationaux (référentiel de sécurité informatique 2016)
… • …
7
1. Intégrer la sécurité au sein d’une organisation
Classification des informations
Intitulé Explication Exemple Risque
C1 Accès libre Tout le monde peut y accéder Informations publiées sur le site Aucun
internet
C2 Accès à Seul le personnel de l’organisation est Nom, adresse des partenaires et Atteinte à l’image, gêne
l’organisation autorisé à accéder à l’information fournisseurs de l’organisation passagère
C3 Diffusion limitée Au sein de l’organisation, seul un groupe de Plan technique d’un nouveau Situation à risques ;
personnes est autorisé comme les membres laboratoire ; Listes der personnes pertes financières
du même projet admissibles avant publication acceptables
officielle…
C4 Confidentiel L’information est accessible à une liste très Contenu des brevets déposés ; Pertes financières
restreinte d’utilisateurs à titre individuel Recherche en cours ; N° de sécurité inacceptables,
sociale et noms… poursuites judiciaires
8
1. Intégrer la sécurité au sein d’une organisation
Classification des informations
Sur la base des niveaux de confidentialité définis, les mesures suivantes peuvent être
implémentées :
• Une politique de gestion des informations est définie :
• Création d’un modèle de document indiquant le niveau de confidentialité ;
• Sensibilisation du personnel et des partenaires à cette politique.
• Les informations de niveau « Diffusion limitée » doivent être échangées au travers au travers
d’un système documentaire collaboratif ayant des accès nominatifs contrôlés, par exemple MS
SharePoint.
9
2. Intégrer la sécurité au niveau du projet
10
2. Intégrer la sécurité au niveau du projet
Il s’agit de bien distinguer entre la sécurité du système d’information qui est un des objets du projet
et la sécurité du projet en lui-même (diffusion et traitement des informations).
• Isoler les traitements de données sensibles au sein de projet pour avoir une meilleure maîtrise
des risques et des mesures de sécurité à mettre en œuvre pour réduire ces risques.
La sécurité doit être prise en compte dans toutes les étapes d’un projet
11
2. Intégrer la sécurité au niveau du projet
Exemple d’intégration
• Perception d’un besoin • Formalisation de besoins • Développement logiciel ou • Déploiement dans • Libération des ressources
Phases
1Open 12
Web Application Security Project
2. Intégrer la sécurité au niveau du projet
Différentes approches d’intégration
Les mesures ainsi identifiées peuvent constituer un cahier de charges sécurité pour le projet qui soit réalisé en
interne ou externalisé.
14
2. Intégrer la sécurité au niveau du projet
Différentes approches d’intégration
Niveau de risque
Risque 2
Gravité
Risque 3
Seuil de prise
Menaces en compte du
Probabilité Risque 4 risque
d’occurrence
Risque 5
15
2. Intégrer la sécurité au niveau du projet
Différentes approches d’intégration
16
2. Intégrer la sécurité au niveau du projet
Différentes approches d’intégration
Sécurité
Gardiens, verrous, contrôle d’accès… physique
DMZ
Pare-feu, VPN, Zone démilitarisée…
Réseau
Interne
Sous-réseau, NIDS, VLAN…
Machine
Antivirus, Correctifs de sécurité, HIDS, Authentification
19
3. Politique de sécurité de système d’information (PSSI):
20
3. Politique de sécurité de système d’information (PSSI):
22
3. Politique de sécurité de système d’information (PSSI):
23
PSSI (phase 0): préalables
24
PSSI (phase 0): tache 1 - Organisation du projet
üconsiste à définir l'organisation du "projet PSSI" afin d'élaborer le cadre
de réalisation.
üDémarche:
nommer un chef de projet.
constituer un comité de pilotage.
constituer un groupe d’experts.
attribuer un budget.
formaliser des objectifs détaillés.
établir un calendrier.
25
PSSI (phase 0): tache 2 - Constitution du
référentiel
üIdentifier le référentiel documentaire de l'organisme.
üDémarche sert à construir:
Aspects légaux et réglementaires.
Grands principes d'éthique.
Le référentiel de sécurité interne.
Obligations contractuelles engagé par l’organisme vis à vis de ses clients ou
partenaires spécifiques.
26
PSSI (phase 1): élaboration des éléments
stratégiques
27
PSSI (phase 1): tache 1 - Définition du périmètre
üDécrire les domaines d'activités à couvrir et à affiner le périmètre,
notamment les échanges entre les domaines et l’extérieur du périmètre
üDémarche:
lister l’ensemble des domaines d'activités jouant un rôle dans le système
sélectionner et décrire les domaines d'activités essentiels au fonctionnement de
l'organisme.
identifier ceux qui constituent le périmètre de la PSSI et ceux qui en sont exclus.
28
PSSI (phase 1): tache 2 - Détermination des
enjeux et orientations stratégiques
üprésenter les enjeux et orientations stratégiques liés au périmètre de la
PSSI.
29
PSSI (phase 1): tache 3 - Prise en compte des
aspects légaux et réglementaires
üprésenter l'ensemble du référentiel légal, réglementaire et contractuel
applicable au périmètre de la PSSI.
30
PSSI (phase 1): tache 4 - Elaboration d'une
échelle de besoins
üdéfinir une échelle de mesure utile à l'expression des besoins de
sécurité pour les domaines d'activités identifiés.
üDémarche:
sélectionner les critères de sécurité à prendre en compte
(disponibilité, l'intégrité et la confidentialité). par exemple: une échelle de
confidentialité comme suit:
31
PSSI (phase 1): tache 5 - Expression des besoins
de sécurité
üidentifier de manière générale les besoins de sécurité associés à
chaque domaine d'activités
32
PSSI (phase 1): tache 6 - Identification des
origines des menaces
üidentifier et caractériser les origines des menaces qui pèsent sur le
périmètre de la PSSI.
33
PSSI (phase 2): sélection des principes et
rédaction des règles
34
PSSI (phase 2): tache 1 - Choix des principes de
sécurité
üSélectionner les principes de sécurité à utiliser.
üDémarche: un choix qui doit être effectuer sur la base de:
le référentiel du système d’information
la définition du périmètre de la PSSI
la liste de besoins de sécurité identifiés
la liste des origines de menaces retenues.
35
PSSI (phase 2): tache 2 - Elaboration des règles
de sécurité
üInstancier les principes retenues en règles de sécurité en se basant sur
les éléments déclarés dans la note de cadrage et celle de la statégie.
36
PSSI (phase 2): tache 3 - Elaboration des notes
de synthèse
üconsiste à synthétiser le travail déja établi afin de le valider et finaliser
le document de la PPSI.
üDémarche: élaborer une note de synthèse justifiant les principes choisis ainsi que
la déclinaison des règles.
37
PSSI (phase 3): finalisation
38
PSSI (phase 3): tache 1 - Finalisation et validation
de la PSSI
üProduire un document déscriptif de la PSSI et validé par l’hiérarchie
üDémarche: consiste à vérifier:
la cohérence des règles énoncées.
l’exhaustivité de la couverture des risques jugés comme significatifs.
la traduction complète de l’ensemble des principes et règles, jugés pertinents
pour l’organisme et énoncés dans le référentiel .
l’applicabilité des exigences et règles en fonction des pratiques en vigueur au
sein de l’organisme.
39
PSSI (phase 3): tache 2 - Elaboration et validation
du plan d’action
üAssurer l’application de la politique sur le système étudié.
üDémarche: chaque responsable d’unité opérationnelle ainsi que le responsable
de la sécurité doit construire un document déscriptif d’un plan d’action permettant
de citer le actions prioritaires, par rapport à l’existant, à implémenter
üLa priorité est fixée pour s’assurer la prise en compte des risques les plus
significatifs.
üLe plan d’action sera soumis pour validation au comité de sécurité chargé de la
validation et de l’évolution de la politique.
40
4. Difficultés liées à la prise en compte
de la sécurité
41
4. Difficultés liées à la prise en compte de la sécurité
Une compréhension insuffisante des enjeux…
42
4. Difficultés liées à la prise en compte de la sécurité
Une compréhension insuffisante des enjeux…
43
4. Difficultés liées à la prise en compte de la sécurité
Une compréhension insuffisante des enjeux…
• Indisponibilité de services ;
• Perte de crédibilité ;
• Divulgation d’informations sensibles ;
• Risques de conflits avec d’autres États…
44
4. Difficultés liées à la prise en compte de la sécurité
L’implication nécessaire de la direction
Le chef d’entreprise doit être conscient des enjeux de sécurité pour l’avenir de son entreprise :
• Être proactif plutôt que réactif. La PSSI est une réflexion stratégique : Elle permet de prévoir l’avenir de
l’organisation ;
• Prendre le temps de comprendre, ne pas être absorbé que par ses marchés, ses clients, ses concurrents, son
relationnel ;
La sécurité :
• va au-delà de la technique. L’humain joue un rôle central ;
• ne doit pas rester un domaine d’experts. La sécurité est l’affaire de tous et une préoccupation de tous les
responsables ;
• n’est pas seulement une contrainte coûteuse mais elle est aussi un investissement, un atout
supplémentaire pour l’organisation.
45
4. Difficultés liées à la prise en compte de la sécurité
Difficulté pour faire des choix en toute confiance
Il est important de faire des choix éclairés en prenant en compte la sécurité.
46
4. Difficultés liées à la prise en compte de la sécurité
Difficulté pour faire des choix en toute confiance
Il est important de faire des choix éclairés en prenant en compte la sécurité.
Quels sont aujourd’hui les matériels ou logiciels de confiance ?
• Ceux issus de l’industrie nationale vs ceux de nos partenaires de confiance : alliés, fournisseurs ;
• Ceux issus du monde libre (« open source ») ;
• Les matériels qualifiés par l’ANSSI (ARPT en Algérie).
47
4. Difficultés liées à la prise en compte de la sécurité
Le délicat équilibre entre productivité et sécurité
Utiliser une application de chiffrement pour partager les fichiers chiffrés avec des partenaires
• Problème pour l’utilisateur : l’interface de Crypt&Share n’est pas ergonomique.
• Réaction de l’utilisateur : « Je vais utiliser Box ou DropBox pour partager les informations avec mes partenaires ».
Les informations classifiées au niveau 4 (niveau de sensibilité le plus élevé) ne doivent pas sortir du S.I.
• Problème pour l’utilisateur : J’ai besoin de l’avis d’un prestataire extérieur sur certaines informations de niveau 4.
• Réaction de l’utilisateur : Déclassification des informations de manière à ne jamais avoir de niveau 4 mais uniquement des
niveaux 3 ou 2.
48
4. Difficultés liées à la prise en compte de la sécurité
Le délicat équilibre entre productivité et sécurité
• Écouter les utilisateurs et prendre en compte leurs besoins lors de l’étude de solutions de sécurité :
• Proposer des mesures en concertation et avec l’adhésion des utilisateurs concernés autant que possible ;
• Former les utilisateurs pour les aider à prendre en main les nouveaux outils et à bien appliquer les mesures.
• Tester les procédures, dans le but d’évaluer son efficacité (applicabilité, réalisation des objectifs, risques
encourues) :
• Éviter de multiplier les moyens de protection si ceux-ci ne sont pas respectés ;
• il faut parfois investir moins dans la sécurité mais avoir des procédures efficaces.
• Confier la responsabilité de la sécurité à un collaborateur qui a le pouvoir ou les ressources pour la faire
appliquer.
• Choisir les solutions les plus adaptées à sa propre structure, à son fonctionnement, au niveau de maturité
l’entreprise.
49
Cartographie des métiers et compétence en SSI
Phases
Investigateur numérique
Métiers
Auditeur organisationnel
Auditeur technique
Consultant
50