E.1. Politique de la sécurité informatique :
Une politique de sécurité informatique est un plan d’actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration, état, unions d’états …) en matière de sécurité informatique.
E.1.1. Présentation :
La politique de sécurité informatique est un des éléments de la politique de sécurité du système d’information. Elle est donc, de la même manière, intrinsèquement liée à la sécurité de l’information.
Elle définit les objectifs de sécurité des systèmes informatiques d’une organisation.
La définition peut être formelle ou informelle. Les politiques de sécurité sont mises en vigueur par des procédures techniques ou organisationnelles. Une mise en oeuvre technique définit si un système informatique est sûr ou non sûr.
E.1.2. Description formelle :
Si un système informatique est considéré comme un automate d’état fini avec un ensemble de transitions (opérations) qui changent l’état du système, alors une politique de sécurité peut être vue comme un moyen qui partitionne ces états en autorisés et non autorisés.
E.1.3. Déclinaisons :
D’une politique de sécurité informatique globale et généraliste sur les systèmes informatiques, il est possible de décliner des politiques de sécurité techniques par métier, activités ou systèmes.
Ainsi, on peut retrouver comme différents types de politique de sécurité liés à la sécurité informatique :
• Politique de sécurité du réseau informatique.
• Politique de sécurité système
E.1.4. Organismes officiels de sécurité :
En sécurité informatique, il existe des organismes officiels chargés d’assurer des services de prévention des risques et d’assistance aux traitements d’incidents. Ces CERT (Computer Emergency Response Team) sont des centres d’alerte et de réaction aux attaques informatiques, destinés aux entreprises et/ou aux administrations, mais dont les informations sont généralement accessibles à tous.
Les tâches prioritaires d’un CERT sont les suivantes :
• Centralisation des demandes d’assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents.
• Traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d’informations avec d’autres CERTs, contribution à des études techniques spécifiques.
• Etablissement et maintenance d’une base de donnée des vulnérabilités.
• Prévention par diffusion d’informations sur les précautions à prendre pour minimiser les risques d’incident.
• Coordination éventuelle avec les autres entités (hors du domaine d’action) : centres de compétence réseaux, opérateurs et fournisseurs d’accès à Internet CERTs nationaux et internationaux.
E.1.5. La nécessité d’une approche globale :
La sécurité d’un système informatique fait souvent l’objet de métaphores. En effet, on la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d’un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue.
Cela signifie que la sécurité doit être abordée dans un contexte global :
• La sensibilisation des utilisateurs aux problèmes de sécurité.
• La sécurité logique, c’est-à-dire la sécurité au niveau des données.
• La sécurité des télécommunications.
• La sécurité des applications.
• La sécurité physique, soit la sécurité au niveau des infrastructures matérielles.
E.2. Mise en place de la politique de la sécurité de données :
La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d’accès aux données et ressources d’un système en mettant en place des mécanismes d’authentification et de contrôle permettant d’assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés.
La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu’ils puissent utiliser le système d’information en toute confiance.
C’est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, c’est-à-dire :
• Elaborer des règles et des procédures à mettre en œuvre dans les différents services de l’organisation
• Définir les actions à entreprendre et les personnes à contacter en cas de détection d’une intrusion
• Sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d’informations
La politique de sécurité est donc l’ensemble des orientations suivies par une organisation (à prendre au sens large) en terme de sécurité. A ce titre elle se doit d’être élaborée au niveau de la direction de l’organisation concernée, car elle concerne tous les utilisateurs du système.
Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d’accès des utilisateurs mais aux responsables hiérarchiques de ces derniers. Le rôle de l’administrateur informatique est donc de faire en sorte que les ressources informatiques et les droits d’accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De plus, étant donné qu’il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de la conseiller sur les stratégies à mettre en œuvre, ainsi que d’être le point d’entrée concernant la communication aux utilisateurs des problèmes et recommandations en terme de sécurité.
E.3. Intégrité de données de départs :
Assurance que le contenu de l’information n’a pas été altéré ou modifié au cours d’un échange (par exemple, suite à un transfert sur un réseau).
L’intégrité des données est l’ensemble de mesures destinées à éviter la perte ou l’altération accidentelle ou intentionnelle des données.
Il s’agit de mesures physiques, logiques, réglementaires et légales.
Intégrité de données de départs
L’intégrité des données d’une application doit toujours être préservée et trop souvent cette tâche est laissée aux contraintes d’intégrité de la base de données.
L’intégrité des données est cruciale pour toutes les entreprises. Quelle que soit leur taille ou leur secteur d’activité, l’information est un de leurs atouts les plus précieux. À mesure que les entreprises traitent une quantité croissante de données et qu’elles automatisent des processus complexes, l’intégrité des données devient une nécessité absolue.
Cependant, elles ont souvent du mal à évaluer la fiabilité de leurs données, surtout en cas de processus d’affaires et d’applications complexes.
Comme les entreprises dépendent énormément de l’information produite par leurs systèmes, obtenir l’assurance de la qualité des données revêt une importance critique. Les données qui sont entrées, converties, stockées ou produites doivent répondre aux normes les plus élevées de qualité et d’intégrité.
L’intégrité des données est l’ensemble des mesures qui doivent être prises pour assurer la sauvegarde et l’emploi judicieux des données.
L’intégrité des données est cruciale pour toutes les entreprises. Quelle que soit leur taille ou leur secteur d’activité, l’information est un de leurs atouts les plus précieux. À mesure que les entreprises traitent une quantité croissante de données et qu’elles automatisent des processus complexes, l’intégrité des données devient une nécessité absolue.
Cependant, elles ont souvent du mal à évaluer la fiabilité de leurs données, surtout en cas de processus d’affaires et d’applications complexes.
Comme les entreprises dépendent énormément de l’information produite par leurs systèmes, obtenir l’assurance de la qualité des données revêt une importance critique. Les données qui sont entrées, converties, stockées ou produites doivent répondre aux normes les plus élevées de qualité et d’intégrité.
Grâce à des techniques sophistiquées d’interrogation et d’analyse, d’échantillonnage statistique et de régression, on peut évaluer l’exactitude et l’intégrité des données des systèmes, de manière rapide et économique.
L’intégrité des données est l’ensemble de mesures destinées à éviter la perte ou l’altération accidentelle ou intentionnelle des données.
Il s’agit de mesures physiques, logiques, réglementaires et légales.
Intégrité de données de départs
L’intégrité des données d’une application doit toujours être préservée et trop souvent cette tâche est laissée aux contraintes d’intégrité de la base de données.
L’intégrité des données est cruciale pour toutes les entreprises. Quelle que soit leur taille ou leur secteur d’activité, l’information est un de leurs atouts les plus précieux. À mesure que les entreprises traitent une quantité croissante de données et qu’elles automatisent des processus complexes, l’intégrité des données devient une nécessité absolue.
Cependant, elles ont souvent du mal à évaluer la fiabilité de leurs données, surtout en cas de processus d’affaires et d’applications complexes.
Comme les entreprises dépendent énormément de l’information produite par leurs systèmes, obtenir l’assurance de la qualité des données revêt une importance critique. Les données qui sont entrées, converties, stockées ou produites doivent répondre aux normes les plus élevées de qualité et d’intégrité.
L’intégrité des données est l’ensemble des mesures qui doivent être prises pour assurer la sauvegarde et l’emploi judicieux des données.
L’intégrité des données est cruciale pour toutes les entreprises. Quelle que soit leur taille ou leur secteur d’activité, l’information est un de leurs atouts les plus précieux. À mesure que les entreprises traitent une quantité croissante de données et qu’elles automatisent des processus complexes, l’intégrité des données devient une nécessité absolue.
Cependant, elles ont souvent du mal à évaluer la fiabilité de leurs données, surtout en cas de processus d’affaires et d’applications complexes.
Comme les entreprises dépendent énormément de l’information produite par leurs systèmes, obtenir l’assurance de la qualité des données revêt une importance critique. Les données qui sont entrées, converties, stockées ou produites doivent répondre aux normes les plus élevées de qualité et d’intégrité.
Grâce à des techniques sophistiquées d’interrogation et d’analyse, d’échantillonnage statistique et de régression, on peut évaluer l’exactitude et l’intégrité des données des systèmes, de manière rapide et économique.
E.3.2.Sécuritéde données:
(Selon Norme SN 612 010, Mensuration, Sécurité des données dans la mensuration officielle, 1987)
La sécurité des données comporte toutes les mesures destinées à éviter la perte ou l’altération accidentelle des données.
Il s’agit de mesures physiques telles que l’établissement de copies de sauvegarde (back up). Elles doivent permettre de garantir à long terme la sûreté des données.
E.3.3.But des mesures :
• utilisation des données possible à long terme
• correction possible en tout temps
• corrections tardives possibles (correction d’erreurs de logiciels par exemple)
E.3.4.Dangers :
• perte des données par destruction ou altération du support
o dégâts dus aux éléments naturels
o destruction volontaire
o destruction involontaire ou désordre
o altération du support
• destruction ou falsification due à un traitement erroné
o destruction involontaire due à l’utilisateur
o destruction ou falsification par des tiers
o force externe sur l’installation
o traitement correct de données fausses
o dysfonctionnement du matériel
o erreurs dans les programmes
• accès aux données impossible par défaillance des mécanismes d’accès
o perte du logiciel d’accès
o défaillance ou indisponibilité du matériel
o défaillance du personnel
• combinaison des 3 cas ci-dessus
E.4. Plan de recouvrement de données :
E.4.1.Mesures de sécurité :
• copies de sécurité (supports différents, décentralisation, journal des opérations)
• limitations d’accès au système et aux copies (physiques, à distance, mots de passe)
• protection physique (eau, feu, magnétisme)
• contrôles (consistance)
• structure des programmes
• formation des utilisateurs
• documentation sur matériel et logiciel
• système compatible disponible
• ordre et organisation des responsabilités
E.4.2.Validité :
Les contrôles de validité contribuent à assurer la cohérence sémantique de la base de données. Ils doivent permettre d’éviter d’introduire des données non conformes dans la base (âge négatif, 13ème mois de l’année, etc.). Ces contrôles permettent aussi de vérifier que la base n’a pas subi d’altérations de ce type.
E.4.3.Protection et Précautions:
La protection des données englobe l’ensemble des mesures devant limiter l’accès des données aux seules personnes qualifiées et dûment autorisées.
L’intégrité des données est conditionnée par la prise de trois types de précautions :
• physiques : garantie de la stabilité dans le temps et dans les procédures des supports physiques des données
• sémantiques : qui veillent à la sauvegarde du contenu des données, indépendamment des moyens matériels utilisés
• juridiques : qui contrôlent l’accès aux informations (Clefs)
E.4.4. Qualité des données :
La qualité des données est une information qui doit permettre à l’utilisateur d’utiliser de manière opportune et justifiable les données qu’il a obtenues d’un tiers.
La qualité d’une information se base sur :
• sa précision
• sa fiabilité
• sa source (indiquée)
• sa date
• sa validité (projet, en vigueur, radiée, …)
Cette information qui devrait nécessairement accompagner chaque donnée est une garantie envers l’utilisateur.
E.4.5. Chaîne de confiance sur les données :
Chaîne de confiance sur les données
E.4.6.Mesure de contrôle d’accès aux données :
Quelque soit le système informatique Les services de sécurité à assurer:
Authentification des utilisateurs
Contrôle d’accès local
Intégrité des données
Confidentialité des données
Disponibilité de service
Plus dans le cas particulier des réseaux informatiques :
Authentification du correspondant et de l’origine des données
Contrôle d’accès au service distant
Non-répudiation
Protection contre l’analyse du trafic
