Le Portail du Manager Innovant

Syndication, fil RSS du site piloter.org    Je suis aussi  sur facebook    Je suis aussi sur  Linkedin    Actualités Twitter
Syndication, fil RSS du site piloter.org  Je suis aussi  sur facebook  Je suis aussi sur  Linkedin  Actualités Twitter
×
★ TOUS LES ARTICLES ★

Comment sécuriser le Système d'Information ?

02 février 2021  Par   Partagez
Paradoxalement, la question de la sécurité du système d'information est encore aujourd'hui pour bien des entreprises le parent pauvre lorsqu'il s'agit de définir les enveloppes budgétaires. Malgré la multiplication des menaces, malgré l'importance prise par le numérique et donc le SI dans le fonctionnement de l'entreprise, nombre de décideurs s'imaginent protégés par leur bonne étoile. Le jour où celle-ci s'est inscrite aux abonnées absents, c'est la catastrophe. Pourtant, les solutions préventives existent, il suffit de les mettre en oeuvre. Voyons comment.

Définition de la sécurité informatique

Sécurité InformatiqueLa notion de sécurité informatique couvre l'ensemble des moyens outils, techniques et méthodes pour garantir que seules les personnes ou autres systèmes autorisés interviennent sur le système et ont accès aux données, sensibles ou non.

Avec l'ouverture des systèmes informatiques sur l'extérieur et le rôle de support stratégique tenu désormais par ces derniers, la sécurité est un thème majeur bien trop rarement considéré à sa juste valeur.

Les menaces

Elles sont multiples. Avec l'extension de la cybercriminalité, le responsable sécurité informatique doit agir pour prévenir les attaques du type espionnage, vol de données, sabotage, usurpation d'identité et assurer une protection efficace des biens numériques.

Les responsabilités

Une sécurité informatique pleinement assurée est aussi un gage de confiance autant pour les partenaires que pour les clients qui volontairement -ou involontairement- confient des données sensibles à l'entreprise. Personne n'est à l'abri. Les sites de e-commerce pillés et les vols de numéros de cartes bancaires, les sites d'emploi en ligne piratés, les informations personnelles des utilisateurs publiées en ligne, sans parler du vaste domaine de l'espionnage industriel, ne sont pas une légende mais bien une réalité d'une économie désormais fondée sur les technologies de l'information.

La démarche de sécurisation du système d'information

Estimation des enjeux

Une démarche bien conduite de mise en sécurité du système informatique commence classiquement par une estimation des enjeux. Puis, l'identification des risques potentiels est une étape fondamentale. Elle est absolument indispensable. Il est totalement absurde de chercher à mettre en place des méthodes de prévention ou de protection sans avoir au préalable estimer exhaustivement les risques potentiels en terme de probabilité et de gravité.

Identification des solutions de prévention

Une fois les risques potentiels identifiés, quantifiés et qualifiés, il est alors temps de sélectionner les solutions de prévention en comparant le coût d'usage et le risque couvert.

Identification des solutions de détection

Puis, dérouler l'étape de détection avec l'identification exhaustive des moyens pour détecter le plus rapidement possible les attaques et intrusions.

Définition des plans de secours

Enfin, définition des plans secours de sécurité informatique. Comment revenir le plus rapidement possible à la situation précédent l'attaque.

PDCA

Une fois de plus la Roue de Deming et le PDCA est le guide à suivre.

Plan

Planification de la démarche de mise en oeuvre d'un système de sécurité conforme aux besoins spécifiques du système d'information pris dans son contexte "entreprise", c'est à dire vue dans sa globalité en prenant en compte les échanges extérieures.

Do

Étape essentielle de déploiement des actions, mise en oeuvre des incontournables indicateurs de performance, seuls juges de paix de la qualité et de la justesse de la mise en oeuvre des plans préalablement prévus.

Check

Mise en oeuvre d'une logique d'audit, voir à ce sujet COBIT et ITIL.

Act

Prise en compte des résultats de l'audit, lancement des actions correctives.

Et on reboucle sur la première phase, c'est là le principe d'une démarche d'amélioration continue.

Les méthodes de sécurité informatique

MÉHARI

La méthode MEHARI, Méthode Harmonisée d'Analyse des Risques, est proposée par le CLUSIF, Club de la Sécurité de l'Information Français (Réf. plus bas). MEHARI est l'héritière de la méthode MARION (Méthodologie d' Analyse de Risques Informatiques Orientée par Niveaux) plus ancienne. La méthode MEHARI permet d'évaluer la vulnérabilité du système d'information et de préciser les actions correctrices : Les fondamentaux de MÉHARI du CLUSIF.

Voir aussi la méthode EBIOS de l'ANSSI : EBIOS Expression des Besoins et Identification des Objectifs de Sécurité de l'ANSSI.

ISO 27000

ISO 27000 est une norme d'origine britannique dédiée au système de management de la sécurité informatique. Déclinée en plusieurs sous-normes indicées, thématiques et sectorielles, elle traite aussi bien de la gestion des risques que du pilotage de la fonction. La norme ISO 27000 est orientée processus et propose en toute logique une démarche d'amélioration continue PDCA.

Tableau de bord de la sécurité informatique

La sécurité des systèmes d'information est plus que jamais un thème d'une importance cruciale qu'il s'agit de considérer à sa juste valeur. L'ouverture des systèmes et la collecte étendue des données personnelles (salariés, clients, prospects...) et stratégiques (produits, projets, veille...) ne peuvent souffrir la moindre défaillance, la moindre intrusion.

C'est justement la finalité d'une démarche sécurité : "Garantir que tous les accès sont sous contrôle". Aucun système, aucune personne non autorisé ne peut accéder et mettre en péril l'intégrité des systèmes et la confidentialité des données conservées.

Une démarche de mise en place de la politique sécurité ne se déroule pas en un temps unique. C'est un processus d'amélioration continue. Le responsable de la sécurité disposera d'un tableau de bord de pilotage afin d'assurer la conduite optimale de ses actions et de mesurer sa performance en relation avec les objectifs fixés lors de l'établissement de la politique sécurité. Cette dernière recommandation est bien souvent traitée un peu par dessus la jambe, c'est une erreur.

La sécurité des données et la sécurité des communications

La garantie de l'intégrité et de l'inviolabilité des données conservées et échangées est essentielle au développement d'une économie internationalisée fondée sur les technologies de l'information. Voyons comment la mettre en oeuvre.

La confiance indispensable au fonctionnement de l'entreprise étendue aux partenaires, aux clients et aux prospects est indissociable de la garantie sans faille aucune d'une sécurité des données et des échanges.

Ce sont là notamment les fondements inconditionnels d'une supply chain parfaitement opérationnelle. Les données échangées entre les partenaires de la réalisation ou de la conception d'un même produit sont non seulement confidentielles mais elles ne doivent subir aucune altération. C'est un impératif. D'où l'importance d'établir un canal de communication parfaitement sécurisé.

Technologiquement parlant, toutes les solutions pour répondre à cet enjeu existe. Nous verrons en deuxième partie de cet article les notions de chiffrement des communications.

Les exigences de la sécurité des données échangées

Pour garantir un niveau de sécurité des données acceptable, le système d'information "sécurisé" se doit de garantir les quatre impératifs suivants C.A.I.D :

  • Confidentialité

    Lors d'un échange de message, par celui-là ne doit être lu que par son ou ses destinataires.
  • Authenticité

    Les interlocuteurs, émetteur et récepteur(s) doivent pouvoir être identifiés sans qu'il puisse exister le moindre doute sur leur identité.
  • Intégrité

    Le message reçu est bien celui qui a été envoyé. Il n'a en aucune manière pu être modifié en cours de transfert.
  • Disponibilité

    Il est indispensable que l'accès aux ressources soient disponibles pour les personnes autorisées aux heures où ils en ont besoin.

Solutions pour sécuriser les communications de données

Il existe des solutions technologiques pour garantir et sécuriser les communications avec un niveau de sécurité acceptable en respectant l'intégrité des messages, l'authenticité des correspondants et la confidentialité des échanges : le chiffrement des données par clés asymétriques, les certificats d'authenticité et les signatures.

Principe de chiffrement par clés asymétriques

Le codage par clés asymétriques utilise 2 clés de codage associées : une clé publique et une clé privée. Elles sont liées mais ne sont pas interchangeables :

La clé publique ne peut que coder le message. Elle peut être diffusée sans risque.
La clé privée est la clé de décodage. Elle est à conserver précieusement et doit rester secrète. Elle appartient en propre à l'initiateur de l'échange.

Il est impossible de retrouver la clé privée à partir de la clé publique. Il n'y a donc aucun risque à diffuser cette dernière.

Certificats

Pour envoyer une message en toute sécurité, il suffit donc de demander à votre correspondant qu'il vous transmette sa clé publique. Ainsi vous pourrez coder le message. Lui seul pourra le décoder à l'aide de sa clé privée.

Encore faut-il que la clé publique soit bien celle du correspondant et non d'un usurpateur. Pour cela, un tiers de confiance délivre un certificat d'authenticité associé à la clé publique. Ce certificat garantit l'identité du détenteur. Il contient les coordonnées de son détenteur, la date de validité du certificat et la valeur des clés publiques associées.

Protocole SSL

SSL, Secure Sockets Layer, a été conçu par Nescape pour sécuriser les transactions sur Internet. Fondé sur un principe de chiffrement à double clé et échange de certificats, SSL garantit l'authenticité des correspondants, l'intégrité et la confidentialité des échanges. SSL est une brique fondamentale du commerce électronique. SSL a été rebaptisé TLS, Transport Layer Security, depuis qu'il a été repris par l'IETF (Internet Engineering Task Force).

Sécurité internet, les principales menaces, les protections

Pour sécuriser son site internet d'entreprise, il est essentiel de connaître dès à présent le sens propre des principaux concepts utilisés : les menaces et les protections. Les virus informatiques à la dangerosité variable côtoient les chevaux de Troie qui n'ont d'autres ambitions que de s'immiscer dans l'intimité du SI afin de capter les données les plus confidentielles... bien trop souvent faciles d'accès !

FireWall

Le FireWall, pare-feu, est un système électronique ou un logiciel chargé de protéger un ordinateur ou un réseau d'ordinateurs des tentatives d'accès extérieurs non autorisés. Le rôle du firewall est un peu plus complexe qu'il n'y paraît. Appliquer la politique de sécurité et établir une zone de confiance imposent un contrôle rigoureux des accès (contrôle des IP, filtrage de paquets, vérification de l'usage des ports...). Les tentatives pour tromper les protections sont en effet multiformes.

Si un Firewall bien paramétré assure un niveau de sécurité acceptable, chaque entreprise aussi petite soit-elle ne peut faire l'impasse d'un audit sécurité complet avant d'adopter les procédures de travail adéquates aux menaces et de choisir les équipements de protection opportuns.

Virus informatique

Un virus informatique est un programme malveillant de petite taille s'insérant dans des programmes sains. Il est capable de se reproduire et se propage d'un ordinateur à l'autre, d'un réseau à l'autre. Sa finalité n'est autre que la destruction de données ou l'endommagement de fichiers systèmes. Les virus diffèrent selon leur virulence et leur résistance à la détection.

Back Door

Une back door, ou porte dérobée, est un point d'entrée dans un système ou un ordinateur inconnu de ou des utilisateurs. Un poste distant et mal intentionné peut ainsi entrer dans le système et prélever des données ou prendre le contrôle sans que les utilisateurs ne s'en rendent compte.

Cheval de Troie

Le cheval de Troie ou Trojan Horse est un programme insignifiant en apparence qui attend son moment pour déclencher son attaque. Celle-ci peut être de communiquer les accès de l'ordinateur ou du système à un poste distant afin que celui-là puisse en prendre le contrôle.

Phishing

Phishing, ou hameçonnage, est une technique de tromperie afin de récupérer les codes d'accès privés d'un système. Vous recevez un email de votre banque vous annonçant que votre compte en ligne a été piraté et vous demandant de vous connecter rapidement afin de vérifier immédiatement les soldes. Ce message est un piège. Vous serez dirigé vers un site factice afin que le fraudeur puisse récupérer vos accès. Le phishing est aussi utilisé pour forcer les accès aux systèmes d'information d'entreprises à des fins d'espionnage ou de sabotage.

Ressources web

À ce sujet, voir aussi

  • ISO 27001 Système de Management de la sécurité de l'information
    ISO 27001 SMSI Système de Management de la sécurité de l'Information. ISO 27001 est une norme d'origine britannique dédiée au système de management de la sécurité de l'information. L'ensemble ISO 27000 est décliné en plusieurs sous-normes indicées, thématiques et sectorielles.
  • Le métier de Responsable Sécurité du Systèmes d'Information (RSSI)
    RSSI Responsable Sécurité du Système d'Information : Rôle, métiers et fonctions, prévention et amélioration continue. Le Responsable de la Sécurité des Systèmes d'Information, le RSSI (Chief Information Security Officer, CISO) détient désormais un rôle de première importance. Le fonctionnement de l'entreprise intégrée est totalement dépendant...
  • Gestion des risques et sécurité du projet
    La gestion des risques bien conduite se complète d'une gestion de la sécurité : confidentialité & intégrité. Au cours de la réalisation d'un projet, une multitude de documents circulent. Des documents courants dont la divulgation ne prête pas à conséquence, mais aussi des documents plus confidentiels destinés à un nombre de destinataires restreint et bien identifiés. Exemple pratique...

À lire...

Mise en place de la norme 27001, de nombreux exemples et cas concrets, un ouvrage de référence...

Management de la sécurité de l'informationManagement de la sécurité de l'information
Alexandre Fernandez Toro
Eyrolles
4ème édition 2018
263 pages

Dispo : www.amazon.fr


Une bonne introduction sur les techniques du hacking (ouvrage en anglais)...

Techniques de hacking Techniques de hacking
Jon Erickson
Pearson Education Campus Press
2ème édition octobre 2017
500 pages

Dispo : www.amazon.fr


Un ouvrage particulièrement complet pour bien saisir le Système d'Information de l'entreprise dans toute sa complexité...

Management des systèmes d'informationManagement des systèmes d'information
Kenneth Laudon, Jane Laudon
Pearson
16ème édition 2020
636 pages

Dispo : www.amazon.fr & Format Kindle



Partagez cet article...

Envoyer le lien de cet article par e-mail   
(total partages cumulés > 65)

Sur le même thème...