" Beaucoup de systèmes d’information n’ont pas été conçus sûrs. La sécurité qui peut être obtenue par des moyens techniques est limitée, et elle devrait être soutenue par des procédures et une organisation appropriées. "Introduction de l’ISO/IEC 17799:2005(E) Cet article présente une approche globale de la sécurité de l’information, d’où son titre ;-)… Après une courte introduction, nous verrons deux approches, les meilleures pratiques et les normes, pour appréhender les idées principales de la sécurité de l’information sans partir d’une page blanche, puis nous mettrons en lumière quelques éléments pragmatiques de son implémentation au sein d’une organisation.
S’appuyer sur de telles approches, quelles qu’elles soient, permet de s’assurer d’une certaine exhaustivité, cohérence et homogénéité dans sa démarche, et fournit également des éléments communs (vocabulaire, concepts, …) à tous les intervenants dans le projet : décideurs, utilisateurs, personnels de l’informatique, sous-traitants, fournisseurs, partenaires, etc.
En résumé, l’ISO 17799:2005 prend un peu de recul avec les technologies et les techniques, apporte une mise à jour des contrôles présents dans la version précédente, ajoute des contrôles relatifs au management de la sécurité, et accentue l'importance de la gestion des risques. Le tableau 3 met en lumière le fond des modifications apportées par la nouvelle version aux différents domaines de la norme.
1. Le processus de la sécurité de l’information
Tout est dit dans l’introduction de l’ISO 17799 citée ci-dessus : la sécurité de l’information (SI) n’est pas seulement une problématique technique. Certaines entreprises sont désormais conscientes que quelques briques technologiques, logicielles et matérielles, ne suffisent plus à protéger leurs informations critiques, d’ailleurs nous devrions dire " ne suffisent pas " car ils n’ont jamais suffi. Ces entreprises se tournent désormais vers le management de la sécurité, dans une approche globale, aussi bien organisationnelle, technologique que juridique. Rappelons, que l’information n’a de valeur que lorsqu’elle est exploitée, traitée et souvent échangée avec d’autres entités internes ou externes. L’environnement dans lequel l’information évolue et est manipulée est donc complexe. Il est composé d’hommes et de relations humaines, de processus, d’éléments technologiques et d’exigences juridiques, tout ceci en mutation constante. Vouloir s’attaquer à la sécurisation de l’information implique l’obligation de prendre en compte tous ces paramètres. Il en est de même pour la sécurisation des systèmes qui participent à l’exploitation de cette information. La SI se décline donc d’un point de vue humain, l’homme en tant qu’individu mais aussi au niveau des structures et des organisations qu’il met en place. Elle doit également être présente au niveau des processus métiers de l’entreprise et des procédures associées. Enfin, on la retrouve au niveau des éléments techniques constituant le système d’information. De plus, l’environnement de l’information évolue sans cesse. Il sera donc nécessaire de vérifier chaque jour, de surveiller en continu l’adéquation des solutions trouvées hier à la problématique de la SI, et estimer ce qu’elles donneront demain. On voit donc que l’on entre dans un véritable processus de la SI, processus d’amélioration continue, consistant à identifier et mettre en place des mesures préventives et correctives, à surveiller leur performance et à corriger les écarts qui ne manqueront pas d’apparaître. On est loin du simple achat d’un pare-feu supplémentaire…2. Ne pas réinventer la roue… de Deming
Devant l’ampleur et la complexité du processus de la sécurité de l’information, une aide pour sa mise en œuvre est souvent recherchée. Deux voies sont alors classiquement suivies, seules ou de façon complémentaire : les meilleures pratiques et les normes. Par la suite, nous allons classifier ces démarches possibles et les expliciter ensuite.2.1. Classification des approches
Une approche inspirée de meilleures pratiques permet d’espérer bénéficier de l’expérience, des succès et aussi des erreurs de pairs, qui ont déjà dû traiter les mêmes sujets. Pour une entreprise, cette approche lui permet également de se comparer aux pratiques vraisemblablement mises en œuvre par les autres, en espérant faire ce qu’il faut pour être en sécurité, sans en faire trop, et donc sans investir dans des mesures moins rentables. D’un autre côté, l’avantage des normes est d’être… des normes justement, qui constituent, enfin peut-on l’espérer, un consensus, voire au pire un compromis, entre experts internationaux sur la meilleure façon de traiter un sujet. Les meilleures pratiques et les normes abordent la plupart du temps la problématique de la SI avec des orientations différentes. Schématiquement, on peut classifier les approches possibles comme suit :S’appuyer sur de telles approches, quelles qu’elles soient, permet de s’assurer d’une certaine exhaustivité, cohérence et homogénéité dans sa démarche, et fournit également des éléments communs (vocabulaire, concepts, …) à tous les intervenants dans le projet : décideurs, utilisateurs, personnels de l’informatique, sous-traitants, fournisseurs, partenaires, etc.
2.2 Meilleures pratiques
De nombreux guides de meilleures pratiques existent. Ils peuvent être nationaux, comme certains composants de la série 800 du NIST[11], ou réalisés par l’industrie, comme les publications de l’ISF (Information Security Forum)[10], de l’ISACA (Information Systems Audit and Control Association)[13]. Prenons comme exemple le " Standard de bonnes pratiques pour la sécurité de l’information " de l’ISF. Ce document est destiné aux entreprises de moyenne à grande taille, de n’importe quel secteur. Selon l’ISF, une entreprise devrait avoir comme objectif final la mise en œuvre de toutes les mesures mentionnées dans son standard afin de limiter les risques pesant sur l’information à un niveau acceptable. L’ISF a choisi de découper la SI en cinq aspects comme montré dans la figure suivante : Les applications critiques se trouvent au centre de cette approche et reposent sur les soubassements techniques de l’infrastructure informatique et des réseaux. Le développement des systèmes aborde la façon dont de nouvelles applications sont créées, et le management de la sécurité explicite les mesures de gouvernance et de contrôle. Chacun de ces aspects est décliné en domaines (area) qui sont à leur tour déclinés en sections. Enfin, chaque section possède un principe qui spécifie ce qui doit être fait ainsi qu’un objectif qui indique les raisons pour lesquelles quelque chose doit être fait. Ces principes et objectifs haut niveau dans le domaine de la SI sont suivis de mesures à mettre en œuvre pour atteindre les objectifs. Même si l’approche des meilleures pratiques consiste globalement à puiser dans un catalogue de mesures celles qui sont le plus adaptées au contexte de l’organisation, elle n’économise pas l’étude des éléments particuliers à chaque organisation, afin de choisir les mesures les plus pertinentes et de les adapter aux besoins spécifiques de chaque situation. Il ne s’agit pas de remplacer l’analyse par la copie.2.3 Normes et standards
L’approche normative privilégie l’utilisation de normes ou standards reconnus afin de mettre en œuvre une SI globale dans son organisme. Parmi l’ensemble des normes existantes, deux s’intéressent tout particulièrement à ce processus de la SI : la paire BS 7799-2 / ISO 17799 et l’ISO 13335. Pour schématiser, on peut dire que les normes BS 7799-2 et ISO 17799 proposent une approche à la fois technologique, axée sur ce qui doit être fait (ISO 17799) et organisationnelle (BS 7799-2). A contrario, l’ISO 13335 se concentre sur la manière de faire, d’un point de vue organisationnel, juridique et technique. Elle part des concepts et des processus de management de la sécurité pour aboutir in fine à des choix de mesures de protection techniques. Nous allons les présenter rapidement, sans pour autant tomber dans un plagiat de leur contenu.2.3.1 ISO 17799
ISO a adopté le BS 7799 (et pas BS 7799-2 !) sous le nom de ISO 17799:2000 " Code de pratiques pour la gestion de la sécurité de l'information " en procédure " fast track " (c'est-à-dire suite à peu de négociations entre les différents pays membres de l'ISO …) en 2000. Il propose des recommandations pour assurer la sécurité de l'information, sous la forme d'objectifs de contrôles ou de mesures de sécurité répartis en 10 domaines décrits plus bas. Dans le cadre d’un processus d'amélioration de ses documents, l'ISO 17799 a été mis à jour en juin 2005. Cette nouvelle version ISO 17799:2005(E) propose des moyens de contrôle, des mesures dans le but de réduire les risques qui pèsent sur la SI. Ces contrôles sont répartis par domaines, un objectif de sécurité est énoncé pour chaque domaine, définissant le résultat qui doit être obtenu, et des contrôles sont proposés afin d’atteindre l’objectif de contrôle recherché.En résumé, l’ISO 17799:2005 prend un peu de recul avec les technologies et les techniques, apporte une mise à jour des contrôles présents dans la version précédente, ajoute des contrôles relatifs au management de la sécurité, et accentue l'importance de la gestion des risques. Le tableau 3 met en lumière le fond des modifications apportées par la nouvelle version aux différents domaines de la norme.
2.3.2 BS7799-2
Le second document intéressant, le BS 7799-2:2002, propose quant à lui un cadre ou un Système de Management de la Sécurité de l'Information (SMSI). C’est en mettant en place ce SMSI dans son organisation que l’entreprise va pouvoir gérer sa SI selon une méthode qui se veut exhaustive et reconnue. Le SMSI s'appuie principalement sur un cycle de gestion de la SI dit " PDCA ", représentant les quatre phases PLAN-DO,CHECK-ACT de la roue de Deming [9], tel que définis plus en détail dans le paragraphe 3.2.3.3 ISO 13335
L’ISO 13335 intitulé " Management de la sécurité des technologies de l’information et de la communication " offre une autre approche du management de la sécurité des technologies de l’information. Il aborde le sujet à différents niveaux dans ses cinq rapports techniques 13335-1 à 13335-5. Il propose d’abord une approche stratégique (que faire ?) dans ses parties 13335-1, qui présente les concepts et modèles de la sécurité des technologies de l’information, et 13335-2 qui propose une approche du management et de la planification de la sécurité des technologies de l’information. Ces deux parties sont destinées à donner aux dirigeants et aux responsables de la SI d’une organisation, les concepts et méthodes relatifs au management de la sécurité des technologies de l’information. On trouve ensuite une approche pratique (comment faire ?) de la mise en œuvre du management de la sécurité des technologies de l’information. Dans la partie 13335-3 " Techniques pour le management de la sécurité des technologies de l’information ", on trouve des moyens de réaliser les actions énoncées dans la partie 2. La partie 13335-4 " Sélection de mesures de protection " propose un processus de sélection de mesures de protection adaptées aux besoins de sécurité qui auraient été mis en lumière lors d’une analyse des risques menée en partie 3. Même si ces mesures de protection sont générales, des tableaux renvoient à des catalogues tiers de mesures de protection détaillées et de bonnes pratiques, comme :- ISO 17799 ;
- ETSI Baseline Security Standard ;
- IT Baseline Protection Manual du Bundesamt für Sicherheit in der Informationstechnik ;
- NIST Computer Security Handbook ;
- Medical Informatics : Security Categorisation and Protection for Healthcare Information Systems ;
- TC68 Banking and Related Financial Services ;
- Protection of Sensitive Information not covered by the Official Secret Act ;
- Canadian Handbook on Information Technology Security.
Révision
À l’image de ce que nous avons vu pour l’ISO 17799, l’ISO 13335 est en cours de révision. Les rapports techniques 2, 3, 4 et 5 sont assez anciens et le tout va être refondu en deux parties :- une norme ISO 13335 sur la gestion de la sécurité des technologies de l'information et des communications, en deux parties : la 13335-1 " Concepts et modèles pour la gestion de la sécurité des technologies de l'information et des communications " publiée fin 2004 et la 13335-2 " Gestion de risque de la sécurité de l'information " ;
- des rapports techniques, les 13335-4 " Sélection de sauvegardes " et 13335-5 " Guide pour la gestion de sécurité du réseau ".
3. Un système de management de la sécurité de l’information
À l’image de beaucoup d’entreprises, choisissons le standard BS 7799-2 comme guide pour réaliser un système de management de la SI. Dans les paragraphes qui suivent, nous allons d’abord définir la structure d’un tel système avant d’aborder son implémentation.3.1. Structure
du système de management de la SI Comme cela a été dit plus haut, il s’agit de mettre en place au sein de l’entreprise un cycle de gestion de la SI en quatre étapes " PLAN – DO – CHECK – ACT ". À la première étape, il s’agit d’établir les fondements de la SI de l’entreprise, et en particulier la politique de sécurité ainsi que les processus et procédures de gestion de la sécurité de l'information afin d'atteindre les objectifs de sécurité identifiés par l'organisation. Cette étape va également contenir la préparation des éléments nécessaires au pilotage du SMSI, c'est-à-dire la sélection des indicateurs adéquats pour suivre le niveau de sécurité dans les différents domaines traités. Dans la deuxième étape, il va falloir mettre en œuvre les mesures de sécurité choisies dans l’étape précédente. Il est possible de s’appuyer sur des mesures issues de catalogues de bonnes pratiques ou de l’ISO 17799. Ces mesures seront de tous ordres : organisationnelles, humaines, procédurales, techniques, etc. Leur propriété fondamentale commune est de participer à la réduction des risques identifiés précédemment. En ce qui concerne les indicateurs, on veillera à définir leur métrique, quoi mesurer et comment, et à les alimenter. Il convient ensuite de " refermer la boucle ", donc de mesurer les résultats atteints et d’apporter les corrections nécessaires. C’est le but des étapes " CHECK " et " ACT ". L’appréciation des performances des moyens mis en œuvre se fonde sur l’exploitation des indicateurs et leur évolution. Ces indicateurs pourront également servir à montrer l’évolution du système de management de la SI, aux dirigeants par exemple. Enfin, la dernière étape consiste à apporter les corrections nécessaires aux mesures mises en place afin d'amener les performances au niveau objectif qui a été déterminé par l'organisation. Le système de management de la SI étant un processus bouclé, il est important de réexaminer le contenu de chaque étape régulièrement, à un rythme annuel voire tous les deux ans. Pour cela, il est primordial d’avoir établi et maintenu à jour une documentation exhaustive de chaque étape. Cette base documentaire enregistre les directions choisies, les options qui ont été laissées de côté, les décisions et toutes les justifications nécessaires. Même si ce formalisme est lourd lors de sa première mise en place, il prend toute sa valeur lors des bouclages successifs, car il permet de ne plus agir que par différence, et non pas de refaire tout le travail à chaque itération.3.1. Implémentation du système de management de la SI
Nous venons de définir la structure d’un système de management de la SI tel que le propose le standard BS 7799-2. Intéressons-nous maintenant à la façon de mettre en œuvre un tel système de management dans une entreprise. La première phase est la définition exacte des informations qui vont être prises en compte. Choisir un périmètre trop important risque de conduire à un projet sans fin, alors qu’un périmètre trop restreint réduit d’autant l’intérêt de la démarche. Ensuite, il faudra identifier les objectifs de sécurité dans le périmètre retenu, c'est-à-dire savoir comment on veut protéger quelle information, contre qui ou quoi. Il s’agit donc de réaliser une analyse de risques pesant sur le patrimoine informationnel de l’entreprise. Cette analyse de risques est requise par le BS 7799-2, même si le document ne dit pas comment elle doit être réalisée. À chaque entreprise donc de choisir sa méthode, parmi les très nombreuses existantes. Sans vouloir entrer dans une étude exhaustive des différentes méthodes, disons globalement que l’analyse de risques selon l’ISO 17799 et le BS 7799-2 se déroule selon les étapes suivantes :- D’abord, il s’agit d’identifier les informations de l’entreprise les plus sensibles et les processus de traitement de l’information afférents. Le terme de processus doit être pris au sens le plus large, par exemple le processus de gestion des ressources humaines ou celui du recrutement de personnel.
- Ces processus sont mis en œuvre par des ressources humaines, organisationnelles et techniques qui doivent être identifiées à leur tour.
- Nous allons ensuite analyser et apprécier le risque qui pèse sur ces ressources, c’est-à-dire identifier qui ou quoi pourrait mettre en œuvre quelle attaque, pour exploiter quelle vulnérabilité des ressources, avec quelle probabilité et quel impact sur l’entreprise.
- Les risques identifiés sont alors traités : nous pouvons les accepter et ne rien faire, ou les transférer en externalisant une activité par exemple, voire les réduire en agissant sur leurs origines ou leurs conséquences, c'est-à-dire en se fixant des objectifs de sécurité.
- Enfin, nous allons choisir des mesures à mettre en œuvre pour atteindre ces objectifs de sécurité. Elles vont être le fondement de la politique de sécurité de l’entreprise.
- Il s’agit ensuite de faire le bilan des mesures de sécurité déjà en place dans l’entreprise. Un plan de travail sera alors mis en place pour réaliser les mesures manquantes.
5. Retours d’expériences
Parmi les enseignements d’implémentation de SMSI réussies, on peut identifier quelques éléments clé de succès, des facteurs déterminants sans lesquels un projet de SMSI n’a que peu de chances d’aboutir.5.1 Engagement des dirigeants
Un premier facteur déterminant pour la réussite d’un projet de SMSI est l’engagement réel et affiché des dirigeants et des managers intermédiaires de l’organisation. Un projet de SMSI est une démarche de gestion des risques qui pèsent sur le patrimoine informationnel de l’organisation. À ce titre, il s’agit donc d’un projet stratégique pour l’organisation qui dépasse la seule compétence de la direction des systèmes d’information, et qui doit émaner, ou au moins recevoir le soutien et la participation, de l’exécutif. De plus, les conséquences de la démarche dépasseront largement le simple cadre des systèmes d’information, et auront vraisemblablement un impact sur toute l’organisation. La démarche doit donc être soutenue au plus haut niveau afin d’obtenir les moyens humains et financiers nécessaires à sa mise en pratique.5.2 Sensibilisation des utilisateurs
Pour obtenir le soutien et la participation du management, mais aussi de tous les acteurs de l’organisation, encore faut-il les avoir sensibilisés aux risques et aux enjeux de la SI. Il s’agit là d’une modification de leur sensibilité, de leur culture et de leurs habitudes, ce qui ne se fait pas en quelques jours. De véritables campagnes de communication doivent être organisées sur le thème de la sensibilisation à la SI, avec le soutien de professionnels de la communication. Nous voyons une nouvelle fois que les personnes sont au centre de notre démarche. Après avoir converti les dirigeants ;-), attaquons-nous aux autres acteurs de l’organisation, à savoir les utilisateurs mais aussi une autre catégorie de personnels parfois difficiles, les responsables techniques des systèmes d’information. Les utilisateurs doivent être convaincus de l’utilité de faire des efforts au jour le jour, d’accepter les quelques lourdeurs de certaines mesures de sécurité, et de changer eux aussi leur culture et leurs habitudes. Souvent, ils n’acceptent pas facilement ces efforts. C’est dans ces circonstances que le soutien des dirigeants est nécessaire afin de motiver les utilisateurs, sans lesquels le SMSI ne pourra fonctionner. Concernant les responsables techniques et autres administrateurs système ou réseau, nous avons souvent rencontré des problèmes liés à une mauvaise évaluation de leur part des problématiques de sécurité. Même si toute généralisation est fausse, risquons-nous à dire que les concepts de sécurité ne font pas toujours partie de leurs connaissances générales et cela souvent à l’opposé de leur croyance. Il faut alors montrer, et souvent prouver, à ces professionnels que leurs pratiques ne sont pas sécurisées comme elles devraient l’être, avant de leur proposer de nouvelles façons de mieux faire leur métier.5.3 Classification selon les stades d’apprentissage
Pour résumer le travail de sensibilisation, d’information et de formation à faire, on peut s’inspirer des stades d’apprentissage de l’adulte et les calquer à notre problème. Nous allons donc devoir faire cheminer les acteurs dans le domaine de la SI du stade 1 au stade 3, voire au stade 4 : cf. tableau ci-dessus. Attention tout de même, car parfois certaines personnes peuvent être au stade 1 et croire (ou vouloir faire croire) être au stade 4, comme quand elles expliquent que " les procédures relatives à la sécurité ne sont pas écrites car elles font partie intégrante de la façon de travailler de tout le monde … " ;-)5.4 Prise en compte des objectifs métiers
Un autre facteur déterminant est la prise en compte des objectifs métiers de l’organisation dans la démarche. Il est souvent difficile mais fondamental de montrer en quoi les mesures qui font parties du SMSI ne sont pas des freins supplémentaires aux activités de l’entreprise, mais bien des éléments qui permettront de travailler mieux : plus vite, de façon moins risquée, voire d’économiser à court, moyen ou long terme des sommes importantes. Nous imaginons bien le petit sourire que ces phrases pourront générer dans les rangs des plus " techniciens " d’entre nous. Plus haut, nous parlions d’un effort à faire pour inculquer un peu de culture sécurité dans les préoccupations des dirigeants et des utilisateurs. Nous parlons ici d’un autre effort que nous, les " techniciens ", devrions faire pour comprendre un peu plus le fonctionnement des " autres " afin de présenter nos convictions sous la forme la plus adaptée possible, dans le but qu’elles soient comprises et acceptées de tous. C’est seulement au prix de cet effort que les mesures que nous pensons indispensables à la SI seront finalement implémentées.5.5 Approche pragmatique
Enfin, terminons par quelques mots relatifs à un autre standard en préparation, l'ISO 27799. Ce document propose une approche pragmatique pour implémenter le BS 7799-2 dans le domaine hospitalier, en tenant compte d’erreurs et d’expériences passées. Il peut néanmoins être intéressant pour toutes les entreprises même hors du domaine de la santé, car il propose également une partie en forme de guide d’implémentation de la démarche BS 7799-2. Cette future norme préconise en particulier :- la sélection d’un premier périmètre limité à une dizaine de processus, ayant prouvé qu’il permettait de réaliser concrètement un SMSI dans des délais raisonnables, puis une itération sur des périmètres plus vastes ou d’autres processus ;
- la mise en place d’une organisation humaine particulière afin d’implémenter un SMSI qui vient en complément de l’organisation humaine proposée par l’ISO 13335-2 pour gérer un SMSI ;
- l’utilisation d’un outil d’aide à la réalisation d’un SMSI et d’aide à l’analyse de risques.
6. Conclusion
La sécurité de l’information ne peut pas être traitée par une approche uniquement technique, comme c’est encore trop souvent le cas. Le niveau de sécurité de l’information adaptée à chaque organisation ne peut être atteint et conservé qu’en impliquant tous les acteurs et les processus de cette organisation. À l’image de la qualité qui a transformé radicalement le fonctionnement des organisations dans les années 80, le patrimoine informationnel de toute organisation ne pourra être sécurisé qu’après un changement de culture et de méthodes de travail de cette l’organisation. Un tel processus sera sans doute long à mettre en œuvre, mais des guides et des compétences existent pour aider chaque organisation dans sa mutation. Mais comme en montagne, le guide ne fait que donner la direction, c’est aux randonneurs de faire chaque pas. Notes et liens- [1] EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité, www.ssi.gouv.fr/fr/confiance/ebios.html
- [2] Méthode MEHARI : https://www.clusif.asso.fr/fr/production/mehari/
- [3] OCTAVE : Operationally Critical Threat, Asset, and Vulnerability Evaluation, www.cert.org/octave/
- [4] ISO : International Organization for Standardization, www.iso.org/
- [5] BSI : British Standards Institution, www.bsi-global.com/Global/bs7799.xalter
- [6] ITIL : IT Infrastructure Library, www.itil.co.uk/
- [7] COBIT : Control Objectives for Information and related Technology, www.isaca.org/cobit.htm
- [8] BSI : Bundesamt für Sicherheit in der Informationstechnik, www.bsi.de
- [9] La roue de Deming originale est formée des 4 étapes Plan-Do-Study-Act :http://fr.wikipedia.org/wiki/Roue_de_Deming
- [10] ISF : Information Security Forum, www.isfsecuritystandard.com/index_ns.htm
- [11] NIST : National Institute of Standards and Technology, (http://csrc.nist.gov/publications/nistpubs/) qui a publié, entre autres, les documents suivants : • 800-14 Generally Accepted Principles and Practices for 14 • 800- 12 The computer Security Handbook • 800 800-18 Guide for Developing Security Plans • 800 800-26 Self Assessment Guide for IT Systems
- [12] ISACA : Information Systems Audit and Control Association, http://www.isaca.org/
source: http://www.unixgarden.com Accueil
Aucun commentaire:
Enregistrer un commentaire
ajouter votre commentaire: n'oubliez pas votre commentaire nous intéresse