Sécurité des Systèmes d’Informations (SSI) : Définitions, Enjeux et Principales Méthodes (EBIOS et MEHARI)

663

Avec l’explosion des nouvelles technologies, les Systèmes d’Informations (SI) sont au cœur des différents métiers qui composent une entreprise et leur disponibilité ainsi que leur sûreté deviennent des enjeux majeurs de la continuité de l’activité mais aussi dans le maintien de la confiance entre le groupe et ses clients.

La sécurisation des systèmes d’information passe par une phase de planification et d’étude des risques rigoureuse qui permettra la mise en place d’objectifs, de moyens de contrôle et d’actions. La méthode de référence est normalisée au sein de la norme ISO/CEI 27001

Les principaux enjeux de la sécurité des systèmes d’informations

L’objectif général de la sécurisation des systèmes d’information est maximiser trois indicateurs : la disponibilité du système d’information, son intégrité et enfin sa confidentialité.

La disponibilité

La disponibilité d’un système d’information se définit comme le pourcentage de temps pendant lequel celui-ci a été accessible dans son état de fonctionnement normal ou dans un état de fonctionnement limité (on parle alors de fonctionnement en mode dégradé).

Un taux de disponibilité bas sous-entend que le service est déficient et ne fonctionne pas de manière optimale et que des pertes économiques peuvent être induites.

L’intégrité

L’intégrité est la propriété définissant l’état de validité d’un système, c’est à dire que celui-ci n’a pas été modifié par un attaquant quelconque et que ses fonctionnalités sont conservées dans l’état originel.

La confidentialité

Enfin, la confidentialité qualifie le fait que les données contenues dans le système d’informations, comme des données clients ou encore relatives à la R&D, soient toujours sous le contrôle total du groupe et qu’aucune d’entre elle n’a pu fuiter auprès d’un attaquant potentiel.

À noter que la sécurité d’un système d’information n’est jamais infaillible, surtout avec la recrudescence de menaces persistantes avancées, dites APT pour Advanced Persistent Threats qui exploitent souvent des Zero-Day, qui sont des failles applicatives connus, et se propageant grâce à des malwares principalement. Il convient donc de connaître les limites de son système de défense afin de définir un modèle de menace (ou threat model en anglais).

La définition, l’audit et l’analyse de la sécurité d’un système d’informations se fait selon quatre étapes fondamentales : la planification (PLAN), la mise en place d’objectifs (DO), la mise en place de moyens de contrôles (CHECK) et enfin la mise en place d’actions (ACT).

Démarche générale de planification

La phase de planification PLAN est fondamentale dans la sécurisation d’un système d’informations et c’est sur elle que reposent les phases suivantes :

La définition d’un périmètre d’action

Jusqu’où s’étend le SI à défendre ?

L’analyse des risques 

Celle-ci peut se faire en suivant diverses méthodes, mais en France on utilise surtout deux méthodes :

  • La première, EBIOS, a été développée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
  • La seconde, MEHARI a elle été développée par Club de la Sécurité de l’Information Français (CLUSIF).

Ces deux méthodes reposent sur l’identification des actifs de la société, des chaînes de responsabilité, des vulnérabilités des différents actifs, des menaces représentées et de leurs impacts potentiels.

On classe souvent les menaces selon deux indicateurs :

  • leur gravité pour l’entreprise (économique, d’image, autre)
  • leur vraisemblance, c’est à dire la probabilité qu’elles se produisent

C’est en mélangeant ces deux indicateurs qu’on obtient une classification du risque.

Le système d’informations étant devenu l’un des facteurs clés de succès pour toute organisation engageant leur transformation numérique, les risques qui le menacent doivent alors être introduit dans la démarche de Risk Management de l’entreprise afin qu’ils soient identifiés pour les minimiser, assumés financièrement pour ceux jugés acceptables, traités par des tiers selon des processus d’externalisation (ex. prestataires de services, Services Provider & Hoster), et enfin transférer certains de ces risques auprès de professionnels de l’assurance qui assureront une garantie financière.

Mise en place de solutions, vérification et correction

Une fois la phase de planification effectuée, il convient de mettre en place les solutions efficaces contre les risques et les menaces identifiés. La phase DO peut ainsi voir la mise en place de sondes de sécurités, d’éléments correctifs, de formation et de sensibilisation du personnel ou d’autres éléments de détection, d’identification et de défense contre les menaces.

La phase de mise en place des moyens de contrôle, CHECK, permet de vérifier la conformité des solutions déployées avec ce qui a été planifié. Cela peut se faire au travers d’audit de sécurité (tests de pénétration, audits de codes, …) et de contrôles internes.

Une fois la phase CHECK effectuée, il est souvent nécessaire de prendre de nouvelles décisions et la phase correspondante à cette étape est appelée ACT. Elle permet la mise en place d’actions correctives et préventives concernant les nouvelles menaces détectées dans la phase précédentes.

Ces quatre étapes : PLAN, DO, CHECK et ACT correspondent à la roue de Deming connu également sous l’acronyme PDCA qui est un moyen mnémotechnique permettant de repérer avec simplicité les étapes à suivre pour améliorer constamment la qualité d’un procédé au sein d’une organisation.

En Conclusion

La sécurisation d’un système d’information est primordiale à notre époque et passe avant tout par une étape d’analyse des risques. La connaissance de ses menaces et des risques associés permet une prise de décision plus efficace quant à leur possible correction et leur possible impact.

Le choix d’une méthode d’analyse de risque est très large et dépend surtout du contexte géographique, la plupart des pays ayant ses propres méthodes et recommandations. Au-delà des deux méthodes françaises citées précédemment, on peut également parler de la norme ISO 27005, qui spécifie une méthode reconnue internationalement d’analyse de risques.

Sources

Norme ISO27001

Méthode EBIOS de l’ANSSI

ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information

Méthode MEHARI du CLUSIF

CLUSIF, Club de la Sécurité de l’Information Français

Disponible dans l'iVstore !

Cet article, ainsi que tous ceux de la plateforme Knowledge Management, sont disponibles en téléchargement dans l’iVstore iVstore_V1

Pour télécharger cet extrait, cliquer sur iVstore – iVee

Vers la technique et au delà !

Découvrez les ressources techniques de l’iVlibrary !

iVlibrary est proposée en partenariat avec ENI Editions et contient tous leurs livres numériques ainsi que leurs vidéos thématiques.

iVLibrary_V1-01

Pour y accéder, cliquer sur iVlibrary