Академический Документы
Профессиональный Документы
Культура Документы
politique et gestion
de la sécurité
du système d’information
4 introduction
sommaire ■ démarche
■
de mise en œuvre de la Gestion de la Sécurité
■ élaborationd’un centre de pilotage
■ procédures et outils de Gestion de la Sécurité
procédures et référentiels documentaires
■ outils de Gestion de la Sécurité
■ externaliser la Gestion de la Sécurité
30 conclusion
32 bibliographie
2 3
Dans chaque entreprise, le Système d’Information constitue un patrimoine
possédant une valeur financière propre. Tout atteinte au Système d’Information
génère une perte financière et porte atteinte à l’image de l’entreprise1. Les dégâts
dépendent naturellement des actes commis mais plus encore des moyens mis
en oeuvre pour y remédier. C’est pourquoi la sécurité du Système d’Information
a pris une importance considérable depuis :
introduction
investissements sécurité à privilégier.
4 5
Politique de Sécurité
La Politique de Sécurité exprime la stratégie de l’entreprise en matière de sécurité
de l’information. Elle constitue la référence en matière de protection de ses Systèmes
d’Information et traduit les exigences de sécurité en règles pragmatiques.
Il n’existe pas de règles déclinables à tous, chaque entreprise présentant des
particularités. Cela nécessite une étude ad hoc devant aboutir à des préconisations
personnalisées. Celles-ci permettront de choisir les dispositifs de protection adaptés.
Quatre principes constituant le fondement de toute Politique de Sécurité sont
toutefois récurrents :
face à l’évolution
■
responsabilisation collective et individuelle des utilisateurs du SI
des risques ?
les plus critiques
Figure 1 : interactions entre les quatre principes fondateurs de toute Politique de Sécurité
En second lieu, l’entreprise doit se doter d’une organisation et d’une Politique défense : définir un plan de secours
de Sécurité du Système d’Information. Cet objectif consiste à définir les actions à suivre lorsqu’un incident survient, afin de
Cette politique doit ensuite se décliner en un plan d’actions à plusieurs volets : minimiser son impact. L’élaboration d’un PCA – Plan de Continuité d’Activité – permet
mesures organisationnelles, mesures techniques, mesures sociales liées aux de garantir la survie du SI. Ses caractéristiques premières sont rapidité et cohérence
ressources humaines, aspects juridiques. des actions. La rapidité est essentielle pour limiter les impacts et répondre face à la vitesse de
propagation d’une attaque . La cohérence permet d’intervenir de manière complète et homogène
L’organisation quotidienne de la sécurité doit poursuivre les efforts réalisés en sur l’ensemble du périmètre du Système d’Information.
amont en dotant l’entreprise d’outils de mesure et de pilotage des actions de Il convient cependant de rappeler que le niveau de sécurité du Système d’Information demeure
sécurité. toujours équivalent à celui du maillon le plus faible. Le PCA doit donc garantir une coordination
générale des actions telle que la mobilisation de la structure de gestion de crise ou l’activation
des procédures d’escalade pour répondre efficacement aux incidents.
La Gestion de la Sécurité constitue une solution efficace pour atteindre ces objectifs.
Cette organisation est nécessaire, et on perçoit aisément les limites d’une démarche
Figure 2 : démarche globale de protection du SI. «artisanale» dans le domaine. Chaque entreprise doit s’organiser et se doter progres-
sivement d’un centre de pilotage pérenne.
La Gestion de la Sécurité au quotidien permet de pérenniser les bénéfices Ce travail d’organisation doit permettre de maîtriser les coûts générés par la Gestion
des phases amont. de la Sécurité, en optimisant les ressources et les procédures de gestion de risques.
qu’est-ce-que
une démarche méthodologique de maintien du niveau de sécurité souvent laissée
jusqu’alors à l’état d’ébauche.
Sécurité ? Continuité d’Activité, puis à les décliner dans les processus projets et exploitation.
Cela permet de transformer les concepts et les directives en réalisations concrètes
sur le Système d’Information. Cette fonction couvre à la fois les impératifs de
«prévention» et «défense».
contrôle de la sécurité
Elle regroupe l’ensemble des actions permettant de mesurer le niveau de sécurité
de tout ou partie du Système d’Information : identifications objective et exhaustive
des menaces, évaluation de l’efficacité des mesures de protection, suivi des procé-
dures correctrices (mise en conformité). Elle répond ainsi à l’objectif «contrôle».
administration de la sécurité
Cette fonction englobe des actions qui visent la mise en œuvre, la surveillance et
l’application des règles de sécurité aux Systèmes d’Information. Elle couvre les
aspects techniques des objectifs «prévention», «défense» et «détection». Ainsi
les actions de configuration permettent de maintenir les composants du Système
d’Information à un niveau optimal de sécurité. Les actions de supervision
permettent quant à elles de détecter tout événement anormal identifié et d’initier
les actions correctrices.
10 11
pilotage de la sécurité contrôle de la sécurité
Cette fonction couvre tous les objectifs de sécurité et joue un rôle central dans le Les actions de contrôle de sécurité peuvent prendre différentes formes :
dispositif de Gestion de la Sécurité. Elle représente la «tour de contrôle» en termes
de coordination et d’homogénéité des actions de sécurité au quotidien, de manière ■ actions d’autocontrôle, réalisées de manière autonome par les exploitants
les
proactive et réactive (veille de sécurité, solutions réactives). Elle permet de suivre le du Système d’Information permettent :
niveau de sécurité interne et externe (reporting, tableaux de bords) et d’apporter des - d’adresser à moindre coût un large périmètre, en s’appuyant sur les processus
réponses efficaces aux nouvelles menaces (gestion de crises). locaux de contrôle
- d’impliquer et responsabiliser les acteurs opérationnels en charge de la
maintenance du niveau de sécurité des composants de leur périmètre
- de tirer profit de l’expertise et de la connaissance des contraintes et des
enjeux locaux
12 13
pilotage de la sécurité
La fonction pilotage de la sécurité constitue un point de concentration de l’ensemble
des événements de sécurité survenant sur le Système d’Information. Ces événements
comprennent :
recensement des menaces externes, grâce à une veille de sécurité active
■ le
détection des événements et incidents dans le cadre des actions de supervision
■ la
compilation des résultats des différentes actions de contrôle
■ la
Chaque événement remonté à la fonction de pilotage doit faire l’objet d’une évaluation,
via une analyse de risques. Selon le rique encouru un niveau de priorité sera affecté au
traitement de chaque événement. Une telle analyse nécessite une connaissance précise
de la criticité et du niveau de vulnérabilité de chaque composant du Système d’Information.
Les actions à mener pour limiter les menaces ou pour traiter l’incident sont ensuite
identifiées :
manière proactive : mise à jour des logiciels antivirus, surveillance de l’activité
■ de
Figure 4 : boucle d’amélioration continue
réseau, déploiement des correctifs
cas d’incident : déconnexion des ressources critiques, fermeture des ports de
■ en
réseau, isolation des réseaux locaux Reporting et tableaux de bord sont au cœur de la boucle d’amélioration continue
grâce aux indicateurs (fonctionnels, stratégiques, et opérationnels) qui alimentent
La fonction de pilotage assure le suivi de la réalisation de ces actions afin de le système de pilotage. Leur analyse permet de maîtriser les risques dans le temps,
maîtriser les risques. et en fonction des objectifs définis. Les tableaux de bord constituent ainsi
l’instrument de mesure de la qualité du dispositif de Gestion de la Sécurité.
La constitution d’une cellule de gestion de crise peut être décidée pour traiter Ils sont aussi des outils de sensibilisation et de communication puissants.
les incidents les plus critiques. Elle s’appuie généralement sur les structures et La communication entre la fonction de pilotage de la sécurité et les acteurs qu’elle
les processus existants (déclenchement et pilotage de plan de reprise d’activité, doit mobiliser est un élément essentiel pour garantir la réactivité et l’homogénéité
mobilisation de la cellule de communication au sein de l’entreprise…). des actions entreprises.
14 15
modèle d’organisation
Construire la Gestion de la Sécurité d’une entreprise s’apparente à la réalisation
d’un chantier d’organisation sur trois points essentiels :
■ maîtrise des coûts induits par le système (matériels et logiciels au niveau
la
technique, efforts humains au niveau organisationnel)
■ prise en compte des risques qu’ils soient juridiques ou autres. Ainsi,
la
toute mesure de la cybersurveillance doit être en conformité avec les lois
sur le respect de l’intimité de la vie d’autrui (Article 226-1 du code Pénal)
■ pertinence de la gestion de crises
la
Pour atteindre ces objectifs, il faut créer une cellule centrale assurant le pilotage
de la Gestion de la Sécurité. On parle alors de Comité de Sécurité du Système
d’Information. Il est piloté par un RSI.
comment La démarche repose donc sur une forte implication des divers acteurs, de la Direction
Générale au personnel de l’entreprise.
La figure ci-dessous présente le cheminement nécessaire pour mettre en place la
Gestion de la Sécurité.
construire
la Gestion
de la Sécurité ? Figure 5 : démarche de construction de la Gestion de la Sécurité
18 19
élaboration d’un centre de pilotage procédures et outils de Gestion de la Sécurité
La réussite d’une démarche de construction de la Gestion de la Sécurité repose sur la Le fonctionnement d’un Comité de Sécurité, et plus largement de celui de la Gestion
création d’un Comité de Sécurité. Certains facteurs contribuent à la réussite de cette de la Sécurité nécessite un outillage adapté. Chaque action réalisée par le Comité de
création : Sécurité doit être formalisée dans un rapport et suivre des procédures spécifiques
reconnues de tous les acteurs impliqués.
1. disposer d’un appui du management
Son soutien légitime le rôle du Comité de Sécurité et contribue à la réelle satisfaction
procédures et référentiels documentaires
des objectifs de sécurité de l’entreprise. La valorisation de la Gestion de la Sécurité
Procédures et documents nécessaires au fonctionnement du Comité de Sécurité sont
tant au niveau du SI que de la maîtrise des coûts ou du retour sur investissements
présentés dans la figure ci-dessous :
favorise cet appui.
20 21
outils de Gestion de la Sécurité les outils de configuration et de corrélation des journaux (SIM – Security Information
Le dispositif de Gestion de la Sécurité doit s’appuyer sur un outillage technique lui Management) :
permettant de mener à bien ses missions. Leur objectif principal réside dans le contrôle en temps réel du niveau de sécurité
des composants du SI. Ces outils proposent les fonctions suivantes :
Les entreprises disposent d’outils de protection, de surveillance et de gestion de leur ■ centralisation des journaux de sécurité issus de différents composants comme
infrastructure qui contribuent à maintenir le niveau global de la sécurité du Système les firewalls, sondes de détection/prévention d’intrusion, antivirus, routeurs,
d’Information : serveurs, postes de travail
■ les outils d’inventaire et de gestion de parc ■ corrélation des journaux afin de fournir une vision unitaire d’un événement de
■ les outils de supervision des systèmes et des réseaux sécurité : chaque trace est interprétée et mise en relation avec les alertes issues
■ les outils de traitement des demandes et des incidents des autres composants
■ conservation de traces, tant pour leur valeur légale de preuve que pour leur
Cependant la Gestion de la Sécurité doit être complétée par des outils spécifiques, conformité aux réglementations
proches du cœur de métier de la Gestion de la Sécurité. Le Comité de Sécurité met La valeur ajoutée apportée par ces outils en termes de Gestion de la Sécurité se tra-
en œuvre les outils ci-dessous pour améliorer l’efficacité de la Gestion de Sécurité : duit directement par une réduction du nombre des alertes et une optimisation de leur
traitement et diagnostic.
les platesformes de gestion de la protection antivirale :
Elles donnent une vision de l’ensemble du parc de gestion antivirus (niveau de les platesformes centrales de Gestion de la Sécurité (ESM – Entreprise Security
signature, résultats des analyses planifiées…), garantissent la mise à jour rapide Management)
et complète de ce parc et permettent de traiter rapidement tout incident viral Les platesformes centrales de Gestion de la Sécurité doivent centraliser dans un même
(identification des foyers, des canaux de propagation…) outil l’ensemble des fonctions unitaires de sécurité présentées dans les chapitres
précédents. Ces platesformes complètes de Gestion de la Sécurité
les outils de déploiement des correctifs : agissent tant au niveau des actions proactives que lors de la gestion des incidents :
Essentiels dans la lutte antivirale, ils permettent d’automatiser et de suivre ■ reconnaissance du périmètre : inventaire des composants, définition de la
le déploiement des mises à jour de sécurité des composants vulnérables configuration type, gestion de parc...
du SI. Ils réduisent ainsi la charge d’exploitation induite. Qualifier et valider ■ détection des vulnérabilités
les mises à jour avant tout déploiement massif s’avère une opération d’autant ■ correction des vulnérabilités : modification de configuration, déploiement
plus complexe que l’environnement technique est hétérogène. des correctifs
■ vérification de la bonne application des actions correctrices
les outils de contrôle de configuration et de vulnérabilité : ■ reporting
Ils permettent de contrôler le niveau de sécurité des composants du SI (détection Cette plateforme fournit ainsi une vision d’ensemble sur les actions
des écarts par rapport à la politique et aux référentiels de sécurité) et de suivre la et les événements intervenant sur le Système d’Information.
mise en œuvre des actions correctives requises par le Comité de Sécurité.
22 23
infogérance en sécurité être prudent, externaliser par étapes
Devant le besoin croissant d’outillage et de ressources nécessaires pour gérer L’externalisation massive de l’ensemble des fonctions de sécurité sur un large
la sécurité du Système d’Information, de nouveaux acteurs sont apparus depuis périmètre peut s’avérer dangereuse car incontrôlable. C’est pourquoi il convient
quelques années. Ce sont les fournisseurs de services d’infogérance en sécurité de tester les services du MSSP sur un périmètre restreint, parfois en redondance
(MSSP – Managed Security Service Providers). avec un service interne, avant d’étendre progressivement leur périmètre.
L’intérêt des entreprises pour l’infogérance en sécurité s’explique par le double ne pas trop écarter les offres standards
avantage proposé : maîtrise des coûts relatifs aux effectifs internes et possibilité Préférer un service sur mesure proposé par un infogérant en sécurité, comporte
de bénéficier d’expertises mutualisées (ex : veille de sécurité, supervision 24h/24 des risques d’insatisfaction qui peuvent se traduire tant en termes de coût que de
et 7j/7). Les MSSP proposent donc des services de Gestion de la Sécurité, qui qualité du service offert (temps de réponse insatisfaisant, diagnostics erronés…).
peuvent compléter ou se substituer aux outils et ressources internes. Toutefois ils Une offre standard éprouvée vaut souvent mieux qu’un service sur mesure
doivent appliquer la Politique de Sécurité préalablement établie et déployée par expérimental.
l’entreprise.
soigner le contrat de service avec l’infogérant
Le contrat entre l’entreprise et l’infogérant en sécurité constitue un levier
L’opportunité d’externaliser une partie de la fonction de Gestion de la Sécurité dans le pilotage de la production du service. Les frontières des responsabilités
peut être étudiée dès la phase d’organisation et de dimensionnement du Comité organisationnelles et techniques doivent y être clairement établies et les
de Sécurité. Le marché des MSSP est très fragmenté et composé d’acteurs niveaux de services attendus formalisés avec précision. Le contrat permet
divers, allant des opérateurs aux intégrateurs, en passant par les éditeurs, les SSII, aussi à l’entreprise de se protéger contre les atteintes à la confidentialité,
les sociétés de conseil et les sociétés spécialisées dans ce type de services. éléments sensibles lorsqu’on parle d’externalisation de services de sécurité.
Les services proposés par les MSSP sont variés, tant en termes de couverture L’entreprise peut faire procéder à un audit pour vérifier que le niveau de
fonctionnelle que de périmètre technique : sécurité assuré par l’infogérant est conforme aux exigences contractuelles.
■ la couverture fonctionnelle permet d’externaliser totalement ou partiellement
différentes fonctions : veille sécurité, contrôle de certains niveaux de sécurité conserver un organe de décision et de coordination interne
(audit, certification), surveillance de configuration des composants du SI Quel que soit le périmètre technique et fonctionnel confié à un infogérant en
■ le périmètre technique des produits et de la technologie tend à s’accroître, sécurité, ce dernier ne dispose que d’une connaissance partielle de l’organisation
les principales solutions du marché peuvent être prises en compte nativement interne et des enjeux métiers. Il n’a donc pas la capacité de prendre des
par la plupart des offres MSSP décisions et de coordonner les acteurs internes de l’entreprise.
Cependant l’externalisation de la fonction de sécurité à un MSSP est un processus La réussite de l’externalisation de la Gestion de Sécurité exige des réunions de
structurant qui nécessite une réelle vigilance. Voici quelques principes directeurs suivi et des mises à jour de procédures. Seul un acteur interne à l’entreprise,
pour réussir une telle opération : point d’entrée privilégié de l’infogérant en sécurité, peut jouer ce rôle et relayer les
préconisations et alertes internes. Le Comité de Sécurité interne chargé de piloter
bien choisir son prestataire la sécurité, est idéalement bien placé pour accomplir ce rôle.
La sélection d’un infogérant en sécurité est une étape très importante. Elle nécessite Une collaboration étroite entre l’infogérant en sécurité, le Comité de Sécurité
une expression claire des besoins et un processus d’évaluation rigoureux car le et les acteurs internes doit s’installer, afin d’assurer une réaction rapide et
Système d’Information s’expose alors aux risques liés à ce mode d’exploitation. coordonnée en cas d’incident. L’infogérant en sécurité fera donc partie
Il est crucial de bien déterminer le périmètre, les engagements, les coûts, les intégrante du réseau d’acteurs de la Gestion de la Sécurité.
évolutivités des services…
24 25
La sécurité du Système d’Information est un enjeu majeur pour le Groupe France
Télécom : protection du patrimoine informationnel, maîtrise des technologies
avancées, confiance de nos clients… C’est pourquoi l’organisation de la Gestion
de la Sécurité du SI s’imbrique totalement dans la Politique de Sécurité du Système
de la Gestion
processus de validation spécifique.
Les entités doivent s’assurer sur leurs domaines respectifs :
■ que les moyens déployés sont cohérents avec les objectifs sécurité du groupe
■ que l’organisation de la sécurité du SI couvre l’ensemble des paramètres qu’ils
de Sécurité
soient humains, matériels, logiciels ou informationnels
■ que les processus de formation intègrent les notions de sécurité et que l’ensemble
du personnel est sensibilisé à la sécurité
■ qu’elles sont dotées d’une veille sécurité. Celle-ci devra permettre la mise en œuvre
du Système
de plans d’actions destinés à maintenir, à améliorer et à faire évoluer la sécurité
du Réseau et du Système d’Information, en intégrant les évolutions réglementaires
et comportementales. En cela elles doivent se conformer aux exigences des entités
de contrôle et d’audit
d’Information Les entités responsables des Réseaux et du Système d’Information assurent aussi :
■ le pilotage et le contrôle de la sécurité du Réseau et du Système d’Information afin
de fournir les informations en temps réel comme en temps différé. A cette fin elles
au sein du groupe
sont dotées d’une cartographie des ressources, de tableaux de bord et d’outils
techniques qui permettent de contrôler l’application des règles et d’évaluer la
gravité des événements. L’outillage utilisé doit évoluer en fonction de l’état de l’art
■ la remontée des informations nécessaires à l’évolution de la Politique de Sécurité
et à son respect
26 27
La sécurité de tous les médias supportant des informations est étudiée pour être maî-
trisée. L’accès de tous les collaborateurs aux ressources fait l’objet d’une habilitation.
Les entités du Groupe définissent leurs besoins de sécurité grâce à une analyse de
risques. Chaque entité est responsable de l’efficacité des mesures mises en œuvre
sur son périmètre. Une délégation de service peut être faite entre entités au moyen
d’un contrat interne.
Toute externalisation d’une partie du Système d’Information fait l’objet d’un contrat
intégrant les impératifs en matière de sécurité.
Tout accès au Système d’Information ou toute connexion aux réseaux du Groupe fait
l’objet d’une analyse de risque préalable pour déterminer les exigences de sécurité,
les mesures à mettre en œuvre et les contrôles requis.
28 29
La Gestion de la Sécurité permet d’instaurer une sécurité durable et alignée sur
les objectifs métiers d’une entreprise. Elle contribue ainsi à garantir la pérennité
des entreprises. En outre, elle représente un véritable indicateur de la qualité de la
gouvernance des Systèmes d’Information, un baromètre du bon fonctionnement de
l’entreprise.
La mise en place de la Gestion de la Sécurité peut se baser sur des référentiels recon-
nus comme la norme ISO 27001. L’application des bonnes pratiques définies dans
cette norme (on parlera de démarche de conformité) leur permet ainsi :
■ de maîtriser les coûts liés à la sécurité de l’information grâce à l’identification des
conclusion
mesures inefficaces, à la rationalisation des processus existants et leur alignement
sur les objectifs métiers
■ de faciliter les démarches liées à la sécurité de l’information (comme la mise en
conformité avec le Sarbane Oxley Act)
30 31
■ Best Practices for Building a Security Operations Center - White Paper - April 2005.
■ Fiche
2 –Connaître la législation en vigueur et la jurisprudence - Guide SSI - MEDEF
(Mouvement des Entreprises de France) – Mai 2005
■ Fiche
10 - Externaliser la mise en œuvre et la maintenance des politiques de
sécurité - Guide SSI - MEDEF (Mouvement des Entreprises de France) - Mai 2005
■ ISO 2700x : une famille de normes pour la gouvernance sécurité - MISC n° 30.
■ Livre
ouvert sur la sécurité - ETNA (European Telecom & Networks Association) -
2004 (http://www.etnafrance.org/ressources/securiteip/booklet-etna.pdf.).
bibliographie
■ Plan
de Continuité d’Activité - Stratégie et solutions de secours du SI - CLUSIF -
Commission Techniques de Sécurité Logique - Septembre 2003
■ Politique
de Sécurité Groupe - France Télécom - Secrétariat Général - Direction
de la Sécurité de l’information - Mars 2004.
32 33
notes
34 35
France Télécom - 6 place d’Alleray 75505 Paris Cedex 15 - SA au capital de 10 426 692 520 euros - 380 129 866 RCS Paris - document non contractuel - Code EAN 3699690005195 - novembre 2007