Gouvernance
Solutions
Technologies
- Archivage et sauvegarde
- Hardware
- Localisation, traçabilité
- Locaux, sécurité physique
- Programmation, développement
- Réseaux et communications
-
Sécurité logique, virus et intrusions
- La gestion des risques informatiques
- - Virus et antivirus
- - Intrusions : firewall, proxy
- - DoS, DDoS
- - Contrôle d'admission - NAC
- - Phishing, arnaques...
- - Spam
- - Sombre trafic
- - Audit de sécurité
- - Télémaintenance et sécurité
- - Plans de continuité, PCA
- - Télétravailleurs : un comportement à risque
- - Contrôle d'accès aux postes et chiffrement
- - Biométrie
- - Sécurité du Wi-Fi
- - Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001
- - Critères Communs, ISO 15408
- - Sécurité des services web
- - Signature électronique : principe
- - Clé de chiffrement, clé publique
- - Signature: empreinte, hachage
- - Certificats, norme X509, CRL
- - PKI ou IGC
- - SSL - TLS
- - HTTPS / SSL
- - SHTTP
- - S/MIME
- - PGP
- - IPSec
- - Microsoft (Kerberos, Active Directory)
- - SSO
- Site Internet
- Stockage, SAN, NAS
- Systèmes et infrastructure
Marchés
|
|
La gestion des risques informatiques
Sécurité logique, virus et intrusions
Divers épisodes médiatiques ont éveillé les esprits aux risques informatiques qu'encourent les entreprises, sans forcément attribuer à chaque risque la part qu'il mérite.
On peut définir la sécurité d'une entreprise comme l'état de non-risque (ou de risque raisonnablement contenu).
Mais c'est surtout une activité de tous les instants, d'abord une affaire de bon sens : inutile de mettre des barreaux aux fenêtres si on laisse la porte ouverte.
Enjeu de la gestion du risque informatique
Les conséquences du risque informatique portent sur 3 plans :
- opérationnel : même lorsque l'activité de l'entreprise n'est pas directement basée sur un process informatique, l'arrêt du service informatique a généralement pour conséquence un arrêt ou un ralentissement de la production de l'entreprise.
- financier : l'investissement informatique (matériel, logiciel, savoir-faire) constitue une part importante des actifs de l'entreprise,
- légal : une panoplie de réglementations imposent au décideur de veiller à la sécurité de son système d'information (Loi Informatique et Libertés, LCEN, Sarbanes-Oxley Act, LSF...).
Le risque peut être apprécié à l'aide d'un certain nombre d'indicateurs théoriques :
- performance : la performance de l'entreprise est menacée,
- progression, évolutivité : l'entreprise ne sera pas en mesure de répondre à de nouveaux enjeux,
- disponibilité : un élément de richesse de l'entreprise disparaît ou n'est plus accessible,
- conformité : l'entreprise n'est plus en mesure de prouver sa conformité à des règles légales ou éthiques.
Comment limiter les risques ?
Toute activité apporte sa part de risques, mais on dispose d'outils pour les limiter :
- gouvernance, stratégie : c'est bien par une gestion cohérente de l'ensemble des activités de l'entreprise, la motivation et la coordination de tous, que l'on limite le plus efficacement le niveau de risque global, le risque informatique est intégré dans cette démarche,
- standards de qualité, référentiels, meilleures pratiques : BS 7799, ISO 17799, Critères Communs, CMMI, CMM ou SW-CMM, ITIL sont autant de repères précieux,
- engagements, niveaux de services : les engagements de services constituent l'un des moyens d'alerte en cas de baisse de performance du système d'information,
- législation : la législation ne peut pas seulement être appréciée en terme de contrainte. Obtenir la conformité légale c'est aussi répondre à des impératifs de comportement dictés par la société humaine et donc se mettre en partie à l'abri d'un certain nombre de problèmes comme, par exemple, des actions en justice.
Référentiels, normes, standards
Parmi les outils "normalisants" on peut discerner :
- les référentiels de bonnes pratiques, apportant une diminution des risques par la bonne santé du système d'information :
- BS 15000, ISO 20000 : voir ci-dessous ITIL,
- ITIL : dédié à la qualité de fourniture de services informatiques en externe, comme en interne,
- CMMi : référentiel dédié au développement des systèmes et logiciels,
- COBIT : utilisé pour la gouvernance et l'audit des systèmes d'information et acteur important de la conformité à Sarbanes Oxley.
- les normes dédiées à la sécurité, qui définissent des grilles de critères à respecter :
- BS 7799, ISO 17799 : code de bonnes pratiques dédiées à la sécurité des systèmes d'information,
- Critères Communs, ISO 15408 : qui concernent la certification de systèmes directement impliqués dans la sécurité comme les éléments de réseau,
- BSI PAS56 : qui définit les principes de création du BCM (Business Continuity Management), Gestion de la Continuité de Service.
Législation
Il y a seulement quelque années que le législateur s'est inquiété de l'importance stratégique des systèmes d'information. Il a institué une obligation de gérer les risques que courre le SI pour 2 motifs :
- pour sa valeur intrinsèque (actif matériel et immatériel) et pour la valeur de l'entreprise (ou plutôt celle qu'il lui ferait perdre en cas de défaillance) :
- pour son rôle d'outil dans l'évaluation financière de l'entreprise et l'obligation faite désormais au SI de remonter de manière fiable et rapide toutes les informations permettant l'audit financier de l'entreprise :
La mise en conformité du SI à ces dispositions est à l'origine d'une nouvelle préoccupation : la conformance, ou compliance.
Plan de continuité
La notion de PCA (Plan de Continuité d'Activité) ou BCP (Business Continuity Plan) n'a pas été inventée par le législateur, mais par les décideurs soucieux de la sécurité de leur outil de travail. Les entreprises sont toutefois fortement incitées à se doter d'un tel plan par Sarbanes Oxley ou Bâle II.
Dans les situations (majoritaires) où ces législations ne s'appliquent pas, il reste prudent d'en mettre un en place, ne serait-ce que pour prouver en cas d'incident que l'on a mis en oeuvre toutes les dispositions communément considérées comme raisonnables.
Le facteur humain
La majorité des incidents trouvent une part de leur origine au sein des membres de l'entreprise :
- soit une erreur humaine (par ex. cliquer sur un message curieux),
- soit une insuffisance dans la décision (analyse non exhaustive des risques, procédures périmées, formation ou information du personnel négligée...) ,
- soit une malveillance d'un membre du personnel (par ex. salarié mécontent)
Il est constant que les accidents se produisent à la faveur de la combinaison de plusieurs incidents. Par exemple, lorsque l'erreur humaine (cliquer sur un message curieux) se cumule avec une situation dangereuse (par exemple l'arrivée d'un message contenant un virus), parfois avec la combinaison d'autres risques (par exemple un poste individuel non mis à jour).
Ce cas de figure peut devenir probable lorsque l'utilisateur n'est pas un utilisateur "modèle" ou "standard", c'est le cas d'un commercial nomade, d'un intervenant occasionnel ou... du PDG ! toutes personnes susceptibles d'être moins sensibilisées aux risques techniques et dont le statut particulier du poste l'a peut-être mis à l'écart de la dernière mise à jour de sécurité.
Entre souplesse, efficacité et flaire, la dynamique de sécurisation du SI tient donc compte du facteur humain.
Attaques sur les postes individuels
La menace la plus fréquente correspond aux actions extérieures volontaires (délictueuses ou non) sur des postes de travail individuels.
Les conséquences sont généralement faibles et peuvent même passer inaperçues, mais le nombre particulièrement élevé d'attaques de toute sorte rend cette menace particulièrement importante.
L'attaque d'un poste individuel peut précéder l'attaque globale d'une entreprise.
Pour aller plus loin
Les autres dossiers
Cas pratiques
Librairie
Forum
Vous voulez avoir l'avis d'un expert sur ce sujet ?
Les autres sites
Toute l'actu sur ce sujet
-
Le Vade-Mecum juridique de la dématérialisation des documents est paru
Global Security Mag
12 Mai 2008
-
Novadaq appoints John T. Reidy Chief Financial Officer
CNW Group
12 Mai 2008
-
Aladdin rejoint le " J-Partner Solutions Alliance Program " de Juniper Networks
Mag Securs
11 Mai 2008
Gouvernance
Document, connaissances, GEDEmploi informatique
Législation
Licences, open source
Politique informatique
Qualité, certification, référentiels
Solutions
BI, reporting, décisionnelBureautique
Finances, gestion, trésorerie
Gestion commerciale, CRM
Mobilité
Production, logistique, SCM
Solutions globales, ERP
Solutions RH
Technologies
Archivage et sauvegardeHardware
Localisation, traçabilité
Locaux, sécurité physique
Programmation, développement
Réseaux et communications
Sécurité logique, virus et intrusions
Site Internet
Stockage, SAN, NAS
Systèmes et infrastructure
Editorial
ActualitésAgenda
Annuaire
Blogs
Contributeurs
Dictionnaire
Dossiers
Emploi
Forum
Lettre
Libraire