Sécurité du système d'information

La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information.

Présentation

Le terme « système informatique » désigne ici tout système dont le fonctionnement fait appel, d'une façon ou d'une autre, à l'électricité et destiné à élaborer, traiter, stocker, acheminer ou présenter de l'information. Les systèmes d'information s'appuient en règle générale sur des systèmes informatiques pour leur mise en œuvre. Ils comprennent les données de télécommunications (voix analogique, voix sur IP…) et dans certains cas, les données sur papier.

De tels systèmes se prêtent à des menaces de types divers, susceptibles d'altérer ou de détruire l'information (on parle d'« intégrité de l'information »), ou de la révéler à des tiers qui ne doivent pas en avoir connaissance (on parle de « confidentialité de l'information »), ou bien par exemple de porter atteinte à sa disponibilité (on parle alors de « disponibilité du système »). Depuis les années 1970, l'accès rapide aux informations, la rapidité et l'efficacité des traitements, les partages de données et l'interactivité ont augmenté de façon considérable — mais c'est également le cas des pannes — indisponibilités, incidents, erreurs, négligences et malveillances en particulier avec l'ouverture sur internet.

Certaines de ces menaces peuvent aussi, indirectement, causer d'importants dommages financiers. Par exemple, bien qu'il soit relativement difficile de les estimer, des sommes de l'ordre de plusieurs milliards de dollars US ont été avancées suite à des dommages causés par des programmes malveillants comme le ver Code Red. D'autres dommages substantiels, comme ceux liés au vol de numéros de cartes de crédit, ont été déterminés plus précisément.

Outre les aspects financiers, des bris de sécurité informatique peuvent causer du tort à la vie privée d'une personne en diffusant des informations confidentielles sur elle (entre autres ses coordonnées postales ou bancaires), et peuvent pour cette raison être sanctionnés lorsqu'une négligence de l'hébergeur est établie : si, par exemple, celui-ci n'a pas appliqué un correctif dans des délais raisonnables.

Indirectement aussi, certaines menaces peuvent nuire à l'image même du propriétaire du système d'information. Des techniques répandues de « defacing » (une refonte d'un site web) permettent à une personne mal intentionnée de mettre en évidence des failles de sécurité sur un serveur web. Ces personnes peuvent aussi profiter de ces vulnérabilités pour diffuser de fausses informations sur son propriétaire (on parle alors de désinformation).

Le cas le plus répandu, et sans aucun doute les précurseurs en matière de sécurité de l'information, reste la sécurisation de l'information stratégique et plus particulièrement militaire. Le TCSEC, ouvrage de référence en la matière, est issu du Department of Defense (DoD) des États-Unis. Le principe de sécurité multiniveau trouve ses origines dans les recherches de résolution des problèmes de sécurité de l'information militaire. Aujourd'hui, plusieurs mécanismes sont étudiés ; citons les leurres reposant sur l'argument que interdire explicitement l'accès à une donnée consiste à fournir une information sur cette dernière… ce qui sous-tend à l'hypothèse réaliste que la sécurité à 100% n'est pas atteinte.

Évaluation des risques

Tenter de sécuriser un système d'information revient à essayer de se protéger contre les risques liés à l'informatique pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite.

Méthodes d'évaluation

Différentes méthodes d'évaluation des risques sur le système d'information existent. Voici les six principales méthodes d'évaluation disponibles sur le marché :

• la méthode Ebios (Expression des besoins et identification des objectifs de sécurité), développée par la DCSSI ;
• la méthode Feros (Fiche d'expression rationnelle des objectifs de sécurité des systèmes d'information), développée par la DCSSI ;
• la méthode Méhari (Méthode harmonisée d'analyse des risques), développée par le CLUSIF ;
• la méthode Marion (Méthode d'analyse de risques informatiques optimisée par niveau), développée par le CLUSIF ;
• la méthode Melisa (Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'information) développée par la DGA;
• la méthode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), développée par la Carnegie Mellon University (US).

La société MITRE, qui travaille pour le Département de la Défense des États-Unis, a aussi développé en 1998 une méthode d'évaluation des menacess et des vulnérabilité appliquée à l'industrie aérospatiale, et pouvant être généralisée aux infrastructuress critique : NIMS (NAS Infrastructure Management System, NAS signifiant National Aerospace).

Même si le but de ces méthodes est identique, les termes et les expressions utilisés peuvent varier. Ceux utilisés ci-dessous sont globalement inspirés de la méthode Feros.

Paradoxalement, dans les entreprises, la définition d'indicateurs 'sécurité du SI' mesurables, pertinents et permettant de définir ensuite des objectifs dans le temps, raisonnables à atteindre, s'avère délicate. S'il s'agit d'indicateurs de performances,on peut désigner comme indicateurs les états d'installation d'outils ou de procédures, mais les indicateurs de résultats sont plus complexes à définir et à apprécier, à preuve ceux sur les 'alertes virales'.

Informations sensibles

Avant de tenter de se protéger, il convient de déterminer quelles sont les informations sensibles de l'entreprise, qui peuvent être des donnéess, ou plus généralement des actif représentés par des données. Chaque élément pourra avoir une sensibilité différente.

Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise, qui constitue un patrimoine informationnel à protéger.

Il faut évaluer les menaces et déterminer les vulnérabilités pour ces éléments sensibles.

Critères d'évaluation

La vulnérabilité peut s'évaluer suivant plusieurs critères :

• Disponibilité : l'élément a-t-il besoin d'une disponibilité importante pour ne pas nuire au système d'information ?
• Intégrité : l'élément a-t-il besoin d'une intégrité importante pour ne pas nuire au fonctionnement du système d'information ?
• Confidentialité : l'élément a-t-il besoin d'une confidentialité importante pour ne pas nuire au système d'information ?
• Imputabilité (ou « Preuve ») : l'élément a-t-il besoin d'une gestion de la preuve importante pour ne pas nuire à l'organisation ?
• Contrôle d'accès : l'élément a-t-il besoin d'un contrôle d'accès important pour ne pas nuire au système d'information ?

Une fois les éléments sensibles déterminés, les risques sur chacun de ces éléments peuvent être évalués en fonction des menaces qui pèsent sur les éléments à protéger. Il faut pour cela évaluer :

• l'impact de chaque menace sur chaque élément,
• la probabilité d'occurrence de ces impacts (ou la potentialité)

Dans la méthode Mehari, le produit de l'impact et de la potentialité est appelé « gravité ».

Menaces

Les principales menaces effectives auxquelles un système d’information peut être confronté sont :

• Un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité d'un système d'information est l'utilisateur, généralement insouciant ;
• Une personne malveillante : une personne parvient à s'introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes auxquels elle n'est pas censée avoir accès ;
• Un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données ; des données personnelles peuvent être collectées à l'insu de l'utilisateur et être réutilisées à des fins malveillantes ou commerciales ;
• Un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données.

Objectifs

Une fois les risques énoncés, il est souhaitable de déterminer des objectifs de sécurité. Ces objectifs sont l'expression de l'intention de contrer des risques identifiés et/ou de satisfaire à des politiques de sécurité organisationnelle. Un objectif peut porter sur le système cible, sur son environnement de développement ou sur son environnement opérationnel. Ces objectifs pourront ensuite être déclinés en fonctions de sécurité, implémentables sur le système d'information.

Moyens de sécurisation d'un système

Conception globale

La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.

Ainsi, la sécurité du système d'information doit être abordée dans un contexte global :

• la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de conscience » (les Anglais disent awareness) ;
• la sécurité de l'information ;
• la sécurité des données, liée aux questions d'interopérabilité, et aux besoins de cohérence des données en univers réparti ;
• la sécurité des réseaux ;
• la sécurité des systèmes d'exploitation ;
• la sécurité des télécommunications ;
• la sécurité des applications (débordement de tampon), cela passe par exemple par la programmation sécurisée ;
• la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la « stratégie de reprise »).

Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …).

Défense en profondeur

Tout droit sorti d'une pratique militaire ancienne et toujours d'actualité, le principe de défense en profondeur revient à sécuriser chaque sous-ensemble du système, et s'oppose à la vision d'une sécurisation du système uniquement en périphérie…

Politique de sécurité

La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leurs ont été octroyés.

La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire :

• élaborer des règles et des procédures, installer des outils techniques dans les différents services de l'organisation (autour de l'informatique) ;
• définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ;
• sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations.

La politique de sécurité est donc l'ensemble des orientations suivies par une entité en terme de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.

Responsable de la sécurité du système d'information

Cela étant, en France, ce sont principalement les grandes sociétés, entreprises du secteur public et administrations qui ont désigné et emploient, à plein temps ou non, des 'responsables de la sécurité des systèmes d'information'. Les tâches de la fonction dépendent du volontarisme politique ; les cadres ou techniciens concernés ont en général une bonne expérience informatique alliée à des qualités de pédagogie, conviction, etc. Peu à peu, le management de la sécurité informatique s'organise en domaines ou sous-domaines des services informatiques ou d'état-major ; ils sont dotés de moyens financiers et humains et intègrent les contrats de plan ou de programmes de l'entreprise.

Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers ou au RSSI (Responsable de la sécurité des systèmes d'information), si ce poste existe au sein de l'organisation. Le rôle de l'administrateur informatique est donc de faire en sorte que les ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de la conseiller sur les stratégies à mettre en œuvre, ainsi que d'être le point d'entrée concernant la communication aux utilisateurs des problèmes et recommandations en terme de sécurité.

Modèles formels de sécurité

Afin d'atteindre une cible d'évaluation avec un bon degré de confiance (niveau E4 de TCSEC au minimum), nous définissons formellement le concept de sécurité dans un modèle dont les objectifs sont les suivants :

• exprimer les besoins de sécurités intégrées dans un contexte informatique,
• fournir des moyens pour justifier que le modèle est cohérent,
• fournir des moyens permettant de convaincre que les besoins sont satisfaits,
• fournir des méthodes permettant de concevoir et d'implanter le système.

Il existe plusieurs modèles formels de sécurité :

• Le modèle de Bell-LaPadula (gestion d'accès par mandat, confidentialité, statique) modèle qui a été le plus utilisé pour vérifier la sécurité des systèmes informatiques. Les concepteurs de ce modèle ont démontré un théorème appelé Basic Security Theorem (BST). De ce modèle furent dérivés d'autres modèles : celui de Biba (gestion d'accès par mandat, intégrité, statique), celui de Dion (gestion d'accès par mandat, confidentialité et intégrité, statique), de Jajodia et Sandhu (gestion d'accès par mandat, confidentialité, statique).

• Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique) modélisant le flux d'informations en utilisant des concepts de la logique. Les modèles de sécurité basés sur le principe de flux d'informations ont leur utilité dans le contrôle des accès indirects à l'information : ils mettent en évidence le problème des canaux cachés.

• Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle Take-Grant et le modèle SPM.

Plan de continuité d'activité

Plus aucune entreprise ne peut se passer de l’outil informatique, d’où la nécessité d’un plan de continuité de l’informatique, appelé aussi 'plan de reprise d'activité'. Ce plan a pour but de redémarrer l'activité informatique après une catastrophe et ce, de la manière la plus efficace possible (perte minimale de données, de temps et de matériel), pour un coût raisonnable.

Moyens techniques

De nombreux moyens techniques peuvent être mis en œuvre pour assurer une sécurité du système d'information. Il convient de choisir les moyens nécessaires, suffisants, et justes. Voici une liste non exhaustive de moyens techniques pouvant répondre à certains besoins en terme de sécurité du système d'information :

• Contrôle des accès au système d'information ;
• Surveillance du réseau : sniffer, système de détection d'intrusion ;
• Sécurité applicative : séparation des privilèges, audit de code, rétro-ingénierie ;
• Emploi de technologies ad-hoc : pare-feu, anti-logiciels malveillants (antivirus, antipourriel (SPAM), antiespiogiciel (spyware), antitrojan) ;
• Cryptographie : authentification forte, infrastructure à clés publiques, stéganographie.

Annexes

Voir aussi

• Insécurité du système d'information
• Politique de sécurité du système d'information
• Sécurité de l'information

Publications

• Manager la sécurité du SI : Planifier, Déployer, Contrôler, Améliorer, Bennasar, Champenois, Arnould, Rivat, Dunod 2007, ISBN 9782100506866.
• OCTO Technology, ouvrage collectif , Gestion des Identités : Une Politique pour le Système d'Information, OCTO Technology , 2007, ISBN 9782952589512.

Liens externes