FI/SP/00

Stratégie et protection des systèmes d'information

Solange Ghernaouti-Hélie, Professeur à l'Institut d'informatique et d'organisation, HEC-Lausanne

Objectif central de la sécurité des systèmes d'information

L'objectif de la sécurité des systèmes d'information est de garantir qu'aucun préjudice ne puisse mettre en péril la pérennité de l'entreprise. Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour à un fonctionnement normal à des coûts et des délais acceptables en cas de sinistre

La sécurité ne permet pas directement de gagner de l'argent mais évite d'en perdre. Ce n'est rien d'autre qu'une stratégie préventive qui s'inscrit dans une approche d'intelligence économique.

Pour ce qui concerne les données et les logiciels, la sécurité informatique implique qu'il faille assurer les propriétés suivantes:


Ces propriétés, en fonction de la valeur des ressources et de leur cycle de vie, doivent être garanties par des mesures de sécurité. Celles-ci, sont mises en oeuvre au travers d'outils particuliers, de procédures adaptées et de personnes. Elles sont gérées et validées par des procédures de gestion et d'audit. La sécurité repose donc sur un ensemble cohérent de mesures, procédures, personnes et outils.

Quelques constats
  • La sécurité est l'affaire de tous.
  • Trop de sécurité est aussi problématique que pas assez.
  • Le plus dur n'est pas de décider quelle est la technologie de sécurité à appliquer mais d'identifier pourquoi on doit l'appliquer et sur quoi.
  • La sécurité doit être fonction des risques et proportionnelle aux enjeux.
  • La sécurité n'est jamais acquise définitivement, elle se vit au quotidien.
  • La qualité des outils de sécurité dépend de la politique de sécurité qu'ils servent.
  • Une politique de sécurité ne doit pas être conçue à partir de limitations particulières de certains systèmes (systèmes d'exploitation, applicatifs, etc.).
  • Plus grande est la récompense, plus grand est le risque de pénétration d'un système (notion d'attractibilité de l'entreprise en tant que cible).

La mission de sécurité informatique

La mission de la sécurité se résume en cinq types d'actions génériques. Elle consiste à:

L'efficacité de la sécurité d'un système d'information ne repose pas uniquement sur les outils de sécurité mais également sur une stratégie, une organisation et des procédures cohérentes. Cela nécessite une structure de gestion adéquate dont la mission est de gérer, mettre en place, valider, contrôler et faire comprendre à l'ensemble des acteurs de l'entreprise l'importance de la sécurité. Elle détermine également le comportement, les privilèges, les responsabilités de chacun. Elle spécifie, en fonction de facteurs critiques de succès qui permettent d'atteindre les objectifs de l'entreprise, les mesures et directives sécuritaires appropriées. Ces dernières doivent être cohérentes par rapport aux plans d'entreprise et informatique. Pour cela, une vision stratégique de la sécurité globale de l'entreprise est nécessaire.

Le choix des mesures de sécurité à mettre en place au sein des organisations, résulte généralement d'un compromis entre le coût du risque et celui de sa réduction. Il dérive de l'analyse à long, moyen et court termes des besoins et des moyens sécuritaires.

Définir une stratégie sécuritaire

La gestion de la sécurité est spécifique à la structure organisationnelle de l'entreprise et dépend de sa stratégie. Il existe donc autant de politiques, de procédures, d'outils de sécurité que d'entreprises et de besoins sécuritaires.

La direction générale de l'entreprise est responsable de l'évaluation des risques, de l'établissement de la politique de sécurité et de la mise en place de la structure organisationnelle qui la mettra en oeuvre. Risques et politique font l'objet d'une évaluation et d'une actualisation.

Une politique de sécurité offre une réponse graduée à un problème sécuritaire spécifique, en fonction de l'analyse des risques qui en est faite. Elle doit exprimer l'équilibre entre les besoins de production et de protection.

Des questions simples, des réponses précises

Les interrogations suivantes sont à prendre en considération pour réaliser une démarche sécurité. Elles sont simples et relèvent du bon sens:

Réaliser une politique de sécurité

Une entreprise détermine des normes générales de sécurité qui s'appliquent à l'ensemble de ses systèmes et de son personnel. La démarche sécurité est un projet d'entreprise. Dans la mesure où chacun est concerné par sa réalisation, elle est analogue à celle de qualité totale. Sa validité sera renforcée si l'organisation développe une éthique d'entreprise et si elle stipule également ses exigences de sécurité envers ses partenaires externes.

La réalisation d'un inventaire complet, sous forme d'enquêtes et de questionnaires de tous les éléments matériels, logiciels, organisationnel, économiques et humains intervenant dans la chaîne sécuritaire, contribue à réaliser la politique de sécurité.

Il faut identifier:

Parallèlement, il est nécessaire d'effectuer une classification des ressources pour déterminer leur degré de sensibilité. Ce dernier, indique leur importance en cas de perte, d'altération ou de divulgation des données. Plus les conséquences sont graves pour l'entreprise, plus la ressource est sensible, possède de la valeur et est à protéger.

Conditions de succès d'une démarche sécurité

La mise en place d'une démarche sécurité passe par la réalisation des points:

Dimension multidisciplinaire des solutions de sécurité

La sécurité informatique exige une démarche globale de maîtrise des risques liés à l'usage de systèmes informatiques et de télécommunication et contribue à la protection des valeurs (ressources informatiques, informations).

La difficulté de mise en oeuvre de solutions efficaces de sécurité provient du fait qu'elles doivent être à la fois d'ordre technologique, procédural, réglementaire, organisationnel, humain et managérial. Ces multiples facettes sont donc à intégrer de façon cohérente et doivent être acceptées et gérées efficacement par l'ensemble des acteurs intervenant dans une opération commerciale. Ces derniers sont nombreux, voire répartis au niveau international et possèdent des systèmes hétérogènes. Il est primordial que le même niveau de sécurité soit offert tout au long de la transaction commerciale.

Au-delà des aspects purement techniques de compatibilité de systèmes et de réalisation de services à distance, la technologie ne peut suppléer au manque de rigueur de gestion et de cohérence de la mise en oeuvre des outils. En effet, c'est du ressort des dimensions organisationnelle et managériale que dépendent la qualité et la sécurité du service client: identification des données sensibles, procédures de sauvegarde, de secours, de reprise, choix technologiques, paramétrage des systèmes, mises à jour logicielles, exactitude des informations, exécution des obligations du vendeur, logistique, livraison, etc.

Conclusion

La politique de sécurité permet de transcrire le travail de modélisation effectué pour comprendre les risques et leurs impacts, en des mesures concrètes de sécurité. Sa spécification est un des garants du bon dimensionnement des mesures de sécurité et d'une gestion efficace. Elle donne de la cohérence à la gestion et permet d'adopter vis à vis des risques et menaces, une attitude préventive et pro-active et pas seulement réactive.

Elle permet de lier la stratégie de sécurité de l'entreprise à sa réalisation opérationnelle. Elle doit être dynamique et remise en question de manière permanente afin de suivre l'évolution des systèmes, de l'environnement et des risques.

La bonne réalisation d'une politique de sécurité permet au mieux, de maîtriser les risques informatiques, tout en réduisant leur probabilité d'apparition. Toutefois, il ne faut pas perdre de vue que même un bon gestionnaire de la sécurité, tout en anticipant et prévenant certains accidents volontaires ou non, n'est pas devin. L'on évoque couramment l'intégrité des données, moins souvent celle des hommes. Nul service de sécurité, aussi perfectionné soit-il, ne tient si l'intégrité des administrateurs, responsables réseau, hommes systèmes ou utilisateur se trouve mise en cause. Ne perdons pas de vue que le maillon faible de la sécurité est l'homme.

Ndr: Solange Ghernaouti-Hélie est l'auteur du livre à paraître: Sécurité Internet; Stratégies et technologies, Dunod (octobre 2000)

>Sinistre: erreur (de saisie, de transmission, d'exploitation, d'utilisation), accidents naturels (dégât des eaux, incendie, etc.), malveillance (vol, détérioration, etc.). Les normes générales de sécurité ou encore référentiels de sécurité définissent les règles de sécurité communes à tous les acteurs de la sécurité et qui concernent notamment le contrôle d'accès, les permissions, l'imputabilité, l'audit, etc.


retour au sommaire du Flash informatique spécial été 2000
retour à la page principale des Flash informatique
Vos commentaires
© FI spécial été 2000 du 5 septembre 2000