Aller au contenu principal

Sécurité des Systèmes d'Informations

La sécurité informatique est l'ensemble des moyens (préventifs, proactifs, et curatifs) mis en oeuvre afin de réduire la vulnérabilité d'un système. La sécurité des systèmes d’information (SSI)  est une discipline de première importance car le système d’information (SI) est pour toute entreprise un élément absolument vital. 

Les menaces contre le système d’information entrent dans l’une des catégories suivantes : atteinte à la disponibilité des systèmes et des données, destruction de données, corruption ou falsification de données, vol ou espionnage de données, usage illicite d’un système ou d’un réseau, usage d’un système compromis pour attaquer d’autres cibles.

Les menaces engendrent des risques et coûts humains et financiers : perte de confidentialité de données sensibles, indisponibilité des infrastructures et des données, dommages pour le patrimoine intellectuel et la notoriété.

Les risques peuvent se réaliser si les systèmes menacés présentent des vulnérabilités. Il est possible de préciser la notion de risque en la décrivant comme le produit d’un préjudice par une probabilité d’occurrence : risque = préjudice × probabilité d’occurrence.

 

DOMAINES D’APPLICATION DE LA SÉCURITÉ INFORMATIQUE

Pour une entreprise, toutes les sphères d’activité de l’informatique et des réseaux de télécommunication sont concernées par la sécurité d’un système d’information. En fonction de son domaine d’application la sécurité informatique se décline en :

  • sécurité physique et environnementale ;

La sécurité physique et environnementale concerne tous les aspects liés à la maîtrise des systèmes et de l’environnement dans lesquels ils se situent.

Sans vouloir être exhaustif, nous retiendrons que la sécurité physique repose essentiellement sur :

  1. la protection des sources énergétiques et de la climatisation (alimentation électrique, refroidissement, etc.) ;
  2. la protection de l’environnement (mesures ad hoc notamment pour faire face aux risques d’incendie, d’inondation ou encore de tremblement de terre… pour respecter les contraintes liées à la température, à l’humidité, etc.) ;
  3. des mesures de gestion et de contrôle des accès physiques aux locaux, équipements et infrastructures (avec entre autres la traçabilité des entrées et une gestion rigoureuse des clés d’accès aux locaux) ;
  4. l’usage d’équipements qui possèdent un bon degré de sûreté de fonctionnement et de fiabilité ;
  5. la redondance physique des infrastructures et sources énergétiques ;
  6. le marquage des matériels pour notamment contribuer à dissuader le vol de matériel et éventuellement le retrouver ;
  7. le plan de maintenance préventive (tests, etc.) et corrective (pièces de rechange, etc.) des équipements ce qui relève également de la sécurité de l’exploitation des environnements.
  • sécurité de l’exploitation ;

La sécurité de l’exploitation doit permettre un bon fonctionnement opérationnel des systèmes informatiques. Cela comprend la mise en place d’outils et de procédures relatifs aux méthodologies d’exploitation, de maintenance, de test, de diagnostic, de gestion des performances, de gestion des changements et des mises à jour.

La sécurité de l’exploitation dépend fortement de son degré d’industrialisation, qui est qualifié par le niveau de supervision des applications et l’automatisation des tâches. Bien que relevant de la responsabilité de l’exploitation, ces conditions concernent très directement la conception et la réalisation des applications elles mêmes et leur intégration dans un système d’information. Les points clés de la sécurité de l’exploitation sont les suivants :

  1. gestion du parc informatique ;
  2. gestion des configurations et des mises à jour ;
  3. gestion des incidents et suivi jusqu’à leur résolution ;
  4. plan de sauvegarde ;
  5. plan de secours ;
  6. plan de continuité ;
  7. plan de tests ;
  8. inventaires réguliers et, si possible, dynamiques ;
  9. automatisation, contrôle et suivi de l’exploitation ;
  10. analyse des fichiers de journalisation et de comptabilité ;
  11. gestion des contrats de maintenance ;
  12. séparation des environnements de développement, d’industrialisation et de production des applicatifs.

La maintenance doit être préventive et régulière, et conduire éventuellement à des actions de réparation, voire de remplacement des matériels défectueux. Au-delà du coût d’une panne entraînant le remplacement des équipements, le risque d’exploitation se traduit par une interruption de service ou une perte de données qui peuvent avoir des conséquences préjudiciables pour l’entreprise. Notons que le domaine de la sécurité de l’exploitation peut, dans une certaine mesure, rejoindre celui des télécommunications, si l’on considère que c’est au niveau des procédures d’exploitation que l’on fixe les paramètres servant à la facturation de l’utilisation des ressources informatiques ou de télécommunication. Toutefois, ceci est plus spécifiquement relatif à la gestion de la comptabilité et à la maîtrise du risque financier. C’est également lors de l’exploitation des ressources que l’on vérifie l’adéquation du niveau de service offert, par rapport à celui spécifié dans un contrat de service et à sa facturation.

Securité
  • sécurité logique, sécurité applicative et sécurité de l’information ;

La sécurité logique fait référence à la réalisation de mécanismes de sécurité par logiciel contribuant au bon fonctionnement des programmes, des services offerts et à la protection des données. Elle s’appuie généralement sur :

  • • la qualité des développements logiciels et des tests de sécurité ;
  • • une mise en oeuvre adéquate de la cryptographie pour assurer intégrité et confidentialité ;
  • • des procédures de contrôle d’accès logique, d’authentification ; 
  • • des procédures de détection de logiciels malveillants, de détection d’intrusions et d’incidents ;
  • • mais aussi sur un dimensionnement suffisant des ressources, une certaine redondance ainsi que sur des procédures de sauvegarde et de restitution des informations sur des supports fiables éventuellement spécialement protégés et conservés dans des lieux sécurisés pour les applications et données critiques.

La sécurité logique fait également référence à la sécurité applicative qui doit tenir compte des besoins de sécurité et de robustesse développement des logiciels, des applications et de leur contrôle qualité. Le cycle de vie des logiciels, comme leur intégration dans des environnements de production doit également satisfaire aux exigences de sécurité en termes de disponibilité, de continuité des services, d’intégrité ou de confidentialité.

La sécurité applicative comprend le développement pertinent de solutions logicielles (ingénierie du logiciel, qualité du logiciel) ainsi que leur intégration et exécution harmonieuses dans des environnements opérationnels. Elle repose essentiellement sur l’ensemble des facteurs suivants :

  1. • une méthodologie de développement (en particulier le respect des normes de développement propre à la technologie employée et aux contraintes d’exploitabilité) ;
  2. • la robustesse des applications ;
  3. • des contrôles programmés ;
  4. • des jeux de tests ;
  5. • des procédures de recettes ;
  6. • l’intégration de mécanismes de sécurité, d’outils d’administration et de contrôle de qualité dans les applications ;
  7. • la sécurité des progiciels (choix des fournisseurs, interface sécurité, etc.) ;
  8. • l’élaboration et la gestion des contrats (les relations avec des sous-traitants éventuels comprenant des clauses d’engagement de responsabilité) ;
  9. • un plan de migration des applications critiques ;
  10. • la validation et l’audit des programmes ;
  11. • la qualité et la pertinence des données ;
  12. • un plan d’assurance sécurité.

Bien protéger l’information, c’est avant tout comprendre son rôle, son importance stratégique et l’impact des décisions qui la concernent. C’est également assurer son exactitude et sa pérennité pour le temps nécessaire à son exploitation et à son archivage. Cela nécessite de déterminer le niveau de protection nécessaire aux informations manipulées, par une classification des données qui permet de qualifier leur degré de sensibilité (normale, confidentielle, etc.) et de les protéger en fonction de ce dernier. Ainsi, à partir d’un tableau mettant en relation le type de données et leur degré de sensibilité, la nature et le nombre de verrous logiques à y affecter peuvent être déterminés et des mesures de sécurité ad hoc développées. Par ailleurs, du point de vue de l’utilisateur, une bonne sécurité doit lui assurer le respect de son intimité numérique (privacy) et de ses données personnelles.

  • sécurité des infrastructures informatique et de télécommunication (sécurité des réseaux, sécurité Internet et cybersécurité).

La sécurité des télécommunications consiste à offrir à l’utilisateur final et aux applications communicantes, une connectivité fiable de « bout en bout ». Cela passe par la réalisation d’une infrastructure réseau sécurisée au niveau des accès au réseau et du transport de l’information (sécurité de la gestion des noms et des adresses, sécurité du routage, sécurité des transmissions à proprement parler) et cela s’appuie sur des mesures architecturales adaptées, l’usage de plates-formes matérielles et logicielles sécurisées et une gestion de réseau de qualité.

La sécurité des télécommunications ne peut à elle seule garantir la sécurité des informations. Elle ne constitue qu’un maillon de la chaîne sécuritaire car il est également impératif de sécuriser l’infrastructure informatique dans laquelle s’exécutent les programmes. Pris au sens large, cela comprend la sécurité physique et environnementale des systèmes (poste de travail de l’utilisateur, serveur ou système d’information).

Pour que les infrastructures informatiques et télécoms soient cohérentes, performantes et sécurisées de manière optimale, l’infrastructure de sécurité (outils, procédures, mesures) et la gestion de la sécurité doivent être réalisées de manière sécurisée. Les solutions de sécurité doivent être également sécurisées (notion de récursivité de la sécurité).

La sécurité des télécommunications est peu différente de celle que l’on doit mettre en oeuvre pour protéger les systèmes. Bien que vulnérables, les réseaux de télécommunication ne le sont pas plus que les systèmes d’extrémité ou que les personnes qui les conçoivent, les gèrent ou les utilisent.

Un environnement informatique et de télécommunication sécurisé implique la sécurisation de tous les éléments qui le compose. La sécurité est toujours celle du maillon le plus faible. Implanter des mécanismes de chiffrement pour rendre les données transférées confidentielles est de peu d’utilité si d’aucun peut y accéder lorsqu’elles sont manipulées par des plates-formes matérielles et logicielles non correctement sécurisées. L’implantation de mesures de sécurité doit répondre à des besoins de sécurité clairement identifiés à la suite d’une analyse des risques spécifiquement encourus par une organisation.

Les besoins s’expriment en termes d’exigences de sécurité à satisfaire au travers d’une politique de sécurité. De plus, un système sécurisé, mobilisant d’importants moyens sécuritaires, aussi pertinents soient-ils, ne pourra être efficace que s’il s’appuie sur des personnes intègres et sur un code d’utilisation adéquat des ressources informatiques pouvant être formalisé par une charte de sécurité. Souplesse et confiance réciproque ne peuvent se substituer à la rigueur et au contrôle imposés par le caractère stratégique des enjeux économiques et politiques que doivent satisfaire les systèmes d’information et les réseaux de télécommunications.