e-securIT - La sécurité des systèmes d'information

ligne

e-securIT - Menu principal
What's new ?!?
Ressources
Le coin des bricoleurs !
Glossaire sécurité
Liens -Mailing lists - Forums
Forums
A propos du site e-securIT !

[Organiser la sécurité]

Cette page présente quelques éléments essentiels en matière d'organisation de la sécurité au sein d'une entreprise. Les points suivants y sont abordés :

- Acteurs de la sécurité.
- Organisation de la sécurité.
- Cadre juridique.

Ligne

[Acteurs de la sécurité]

[RSSI]

« Le Responsable de la Sécurité des Systèmes d’Information (RSSI) est le garant de la sécurité des systèmes d’information de l’entreprise. Ses domaines d’action sont multiples mais ils répondent à un seul objectif : assurer l’intégrité, la cohérence et la confidentialité des données de tous les systèmes d’information de l’entreprise. » (Livre Blanc sur la sécurité des système d’information – 2ème édition, Commission Bancaire).

[Positionnement hiérarchique]

Le RSSI intervient de manière transversale sur l’ensemble du système d’information de l’entreprise, d’un point de vue organisationnel et technique, en synergie avec les différentes directions.
Il est généralement convenu que le RSSI, pour des questions d’indépendance et d’efficacité, doit être rattaché à un niveau hiérarchique élevé (ex. : rattachement au niveau Direction Générale) et disposer d’un budget spécifique.

[Profil]

La fonction essentielle de RSSI requière avant tout :
- Une bonne connaissance de l’ensemble des métiers, et donc une certaine ancienneté dans l’entreprise.
- De bonnes compétences techniques (système et réseau) puisque le RSSI traite directement avec les techniciens et experts des différents domaines du système d’information.
- Un sens avéré de la stratégie et de la communication, du fait de l’importance du domaine dans lequel il évolue.

[Missions]

Le RSSI cumule des fonctions transversales et pointues, parmi lesquelles :
- Analyse des risques.
- Contrôle, audit.
- Architecture, conception.
- Veille technologique.
- Sensibilisation, formation.

[Cellule de contrôle interne]

[Contrôle interne informatique]

Le contrôle interne en informatique est classiquement divisé en 3 niveaux :
- 1er niveau : il s’agit du contrôle permanent, au plus proche de l’utilisateur. Il est parfois divisé en deux étapes appelées classiquement degrés :
     - 1er degré : il s’agit de la politique des « quatre yeux ». Le gestion de la sécurité est assurée par deux personnes, une réalisant les opérations, l’autre les contrôlant (ex. : un exploitant et un administrateur).
     - 2nd degré : il s’agit du contrôle hiérarchique. Le chef de service, ou de l’unité locale, est responsable du contrôle interne des règles de sécurité au sein de son équipe.
- 2ème niveau : le contrôle est effectué par les services internes de l’audit informatique.
- 3ème niveau : le contrôle est effectué par un organisme tiers externe à l’entreprise, par exemple un cabinet d’audit.

[Cellule de contrôle de la sécurité]

Une cellule de contrôle interne a pour but de définir et mettre à jour l’ensemble des moyens techniques et procéduraux pour le contrôle interne de 1er niveau. Elle assiste le chef de service dans la fourniture des outils nécessaires au contrôle de 2nd degré. Elle réalise des analyse de risque afin de surveiller l’évolution du niveau de sécurité.
Pour ce faire, la cellule de contrôle de la sécurité doit être interne au service et composée :
- Du chef de service.
- Du responsable technique du suivi de la sécurité.
Elle peut se faire assister du RSSI et de ses équipes.

[Équipe sécurité]

[Définition et organisation générales]

Au sein de l’entreprise, doit être définie et constituée une équipe sécurité. Celle-ci doit rassembler des spécialistes système et réseau formés aux problématiques de sécurité. Les principales tâches dévolues à cette équipe sont :
- La coordination des activités de sécurité.
- La veille technologique, la recherche et l’évaluation de solutions techniques.
- L’évaluation périodique du niveau de sécurité (audit des vulnérabilités).
- L’élaboration de procédures.
Les rôles et profils techniques des membres de cette équipe sécurité doivent être clairement définis en fonction de la stratégie de sécurité globale, ainsi que les moyens techniques mis à leur disposition (ex. : outil de détection de vulnérabilités, outils d’analyse et de corrélation de logs).
Cette équipe travaille directement en relation hiérarchique avec le RSSI.
Elle constitue l’entité d’expertise sur laquelle peuvent s’appuyer les différentes cellules de contrôle de la sécurité orientée métiers.

[CERT/SIRT]

Il est souvent extrêmement intéressant de développer au sein de l’entreprise une entité de type CERT/SIRT (Computer Emergency Response Team/Security Incident Response Team).
Cette équipe doit être constituée d’opérationnels et de décisionnels, ainsi que d’experts et d’exploitants.
Cet organisme est spécifiquement en charge des procédures de détection et réaction sur incident informatique (ex. : tentative d’intrusion, perte de service essentiel…) ou sur découverte de vulnérabilités.
Les moyens techniques associés à cette fonction sont également essentiels (ex. : outil de vérification de compromission d’un équipement, abonnement à un organisme de publication de failles de sécurité).

Ligne

[Organisation de la sécurité]

[Politique de sécurité]

Une politique de sécurité est classiquement définie comme l’« Ensemble des lois, règlements et pratiques qui régissent la façon de gérer, protéger et diffuser les biens, en particuliers les informations sensibles, au sein de l'organisation » (ITSEC, Commission européenne, juin 1991 §2.10).
Les principaux objectifs d’une politique de sécurité sont classiquement :
- Informer et sensibiliser les individus sur les risques encourus par un système d’information (provenance du risque, risque maximum toléré…).
- Fournir les moyens techniques et organisationnels pour se prémunir des risques identifiés et garantir un niveau de sécurité durable vis-à-vis des clients de l’entreprise, du système bancaire et de l’entreprise elle-même.
- Élaborer un cadre général permettant aux opérationnels et décisionnels de construire et mettre en œuvre l’ensemble des procédures nécessaires à l’application homogène de la politique de sécurité, afin de garantir la protection du système d’information.

Références :
- « Livre blanc de la sécurité des systèmes d’information », 2ème édition, 1er trimestre 1996, rédigé par la Commission Bancaire.
- « Politique de sécurité interne (PSI) », 15 septembre 1994, rédigé par le SCSSI (Service Central de la Sécurité des Systèmes d'Information - http://www.scssi.gouv.fr).
- « La sécurité à l’heure d’Internet », octobre 2000, rédigé par le CIGREF (Club Informatique des Grandes Entreprises Françaises - http://www.cigref.fr).
- « Préconisations pour l’élaboration d’un Code de Déontologie appliqué à la Sécurité des Systèmes d’information », 1999, rédigé par le CLUSIF (CLUb de la Sécurité Informatique Français - http://www.clusif.asso.fr).
- Recommandations du SCSSI et de la CNIL (Commission Nationale Informatique et Libertés - http://www.cnil.fr) sur la protection des informations.
- « Site Security Handbook », RFC 2196, septembre 1997, publié par l’IETF (Internet Engineering Task Force - http://www.ietf.org).
- « Expectations for Computer Security Incident Response », RFC 2350, juin 1998, publié par l’IETF.

[Structuration de la sécurité]

La sécurité doit être structurée : une organisation particulière doit être mise en place afin de gérer les différents composants de la sécurité, les acteurs et leurs évolutions.
En particulier, les responsabilités doivent être partagées entre les différents niveaux hiérarchiques :
- Niveau décisionnel : il conçoit, met en place, et assure le respect de la politique de sécurité.
- Niveau de pilotage : il s’agit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la charge (consignes, directives, contrôle interne, sensibilisation).
- Niveau opérationnel : il s’agit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité.

Ligne

[Cadre juridique]

[Organisation]

Toute entreprise doit disposer d’un conseiller juridique, soit interne à l’entreprise soit membre d’un cabinet d’expertise extérieur, spécialiste dans les problématiques juridiques et légales.
Ce conseiller intervient notamment :
- Lors de l’élaboration et du maintien du cadre d’utilisation des ressources de l’entreprise.
- En assistance au contrôleur interne.
- Lors de litiges juridiques liés à l’entreprise (ex. : plainte portée par un employé, un client ou un fournisseur).

[Procédures administratives]

Des procédures administratives spécifiques doivent accompagner l’arrivée et le départ d’un utilisateur des ressources du système d’information (ex. : nouvel employé, intervenant technique extérieur) afin de garantir la bonne prise de connaissance et mise en œuvre des règles, notamment de sécurité, régissant l’usage des moyens informatiques.
En particulier, les points suivants doivent y être abordés :
- Affectation d’un compte de service pour l’utilisation des ressources informatiques.
- Habilitations pour l’accès aux ressources.
- Attribution éventuelle d’un alias pour la messagerie électronique.
- Prise de connaissance et acceptation des règles d’utilisation des moyens informatiques.

[Règles d’utilisation des moyens informatiques de l’entreprise]

Ces règles visent à établir un cadre d’utilisation de l’ensemble des ressources informatiques de l’entreprise. Elles doivent s’appliquer à toute personne utilisant les systèmes informatiques de l’entreprise, ainsi que tout autre système informatique accessible depuis le système d’information de l’entreprise.
Toute utilisateur des ressources du système d’information (ex. : employés, intervenants extérieurs…) doit attester de la bonne prise de connaissance de ce cadre régissant l’usage des moyens informatiques.
Une publication permanente (ex. : sur un site Intranet) permet de rappeler ces éléments fondamentaux. Dans certains cas, les règles les plus importantes sont directement précisées dans le contrat de travail de l’employé (ou dans le contrat de service lors de l’intervention de compétences externes). Généralement, une charte, soumise à approbation, est proposée à l’ensemble des utilisateurs.
Exemples de points essentiels à aborder :
- Condition d’accès aux ressources informatiques :
     Le droit d’accès au système d’information de l’entreprise est personnel et incessible.
     - L’utilisation des ressources informatiques de l’entreprise doit être limitée aux activités strictement professionnelles.
- Respect du caractère confidentiel des informations :
     - Un utilisateur du système d’information ne doit pas tenter de lire ou de s’approprier des données d’un autre utilisateur sans son accord.
     - Un utilisateur du système d’information ne doit pas tenter d’intercepter de manière malveillante des communications privées entre utilisateurs (courrier électronique, flux de données…).
- Licences logicielles :
     - Les utilisateurs du système d’information de l’entreprise doivent n’utiliser que des logiciels pour lesquels l’entreprise dispose d’une licence.
- Respect du cadre d’utilisation des ressources :
     - Un utilisateur ne doit utiliser que les ressources auxquelles il a légitimement accès.
     - Un utilisateur ne doit pas tenter de méprendre une personne ou un système sur son identité réelle. Il ne doit utiliser que le(s) compte(s) qui lui sont légitimement attribués.
     - Un utilisateur ne doit pas tenter d’usurper l’identité d’un autre utilisateur, par exemple en essayant de s’attribuer ou de décrypter le mot de passe d’un tiers.
     - Un utilisateur ne doit pas nuire volontairement au bon fonctionnement d’une ressource informatique ou en limiter/empêcher l’accès à un utilisateur autorisé (déni de service).
- Responsabilités :
     - Tout utilisateur est responsable de son comportement et de l’usage qu’il effectue des ressources informatiques de l’entreprise.
En particulier :
          - Tout utilisateur est responsable des informations qu’il produit et manipule.
          - Tout utilisateur est responsable de son compte informatique permettant l’accès aux ressources du système d’information, en particulier du point de vue sécurité (ex. : qualité des mots de passe).
- Sanctions applicables :
     - Tout utilisateur du système d’information n’ayant pas respecté les dispositions du réglement de l’entreprise est passible de sanctions disciplinaires internes ou de poursuites pénales.
     - Lois de référence :
          - Loi du 06-01-1978 relative à l’informatique, aux fichiers, et aux libertés , et la directive européenne 95/46/CE du 24-10-1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données..
          - Loi du 03-07-1985 sur la protection des logiciels.
          - Loi Godefrain du 05-01-1985 relative à la fraude informatique.

[Avertissement (disclaimer)]

Classiquement (et même si la valeur légale n’est pas complètement établie[1]), il convient de protéger l’entreprise de l’utilisation faite de ses ressources informatiques par les utilisateurs, en les avertissant directement (voire en avertissement plus généralement les interlocuteurs, c’est à dire les éventuels correspondants externes).

[Messagerie électronique]

L’image de l’entreprise, et au-delà sa responsabilité légale en tant que personne morale, peut être engagée par une utilisation abusive ou mauvaise de la messagerie électronique par l’un de ses employés (ex. : diffamation, propos racistes…).
L’entreprise doit se dégager de toute responsabilité lors de l’utilisation de la messagerie électronique de ses employés, en dehors de leur cadre de travail. L’un des moyens utilisé consiste à ajouter, en fin de chaque message émis vers l’extérieur de l’entreprise, un avertissement spécifique.
Exemple d’avertissement utilisé par CIS Consultants :

-----------------------------
Ce message et les éventuelles pièces jointes sont confidentiels ou appartenant à Nom_Entreprise et établis à l'intention exclusive de ses destinataires.
Toute divulgation, utilisation, diffusion ou reproduction (totale ou partielle) non-autorisée de ce message, ou des informations qu'il contient, est interdite.
Tout message électronique est susceptible d'altération. Nom_Entreprise décline toute responsabilité au titre de ce message s'il a été modifié ou falsifié.
----
This e-mail and any attachments contain confidential information belonging to Nom_Entreprise and are intended solely for the addressees.
Any unauthorised disclosure, use, dissemination or copying (either whole or partial) of this e-mail, or any information it contains, is prohibited.
E-mails are susceptible to alteration. Neither Nom_Entreprise shall be liable for the message if altered or falsified.
-----------------------------

Remarque technique :
Certains serveurs de messagerie (ex. : Sendmail) ne permettent pas d’ajouter, en standard, des avertissements à l’ensemble des messages émis vers l’extérieur (problème de support des messages de type MIME).

[Accès aux ressources informatiques]

L’accès aux ressources informatiques communicantes de l’entreprise doit également faire l’objet d’un avertissement.
En particulier, la publication d’une bannière d’information à l’ouverture d’une session utilisateur sur un système, local ou distribué, est souvent mise en œuvre (ex. : ouverture de session bureautique sous Windows NT).

[Droits et obligations]

[Droits et obligations de l’employé]

Le droit de l’employé est classiquement régi par le code du travail et les conventions collectives de l’entreprise. En particulier, l’employé étant une personne, les droits définis par la loi du 6 janvier 1978 sont appliqués. Notamment :
- Droit à l’information préalable. 
Tout contrôle de l’activité d’un utilisateur, et a fortiori, tout enregistrement de cette activité dans un fichier, doit faire l’objet d’une communication claire et préalable envers les personnes concernées.
- Droit d’accès direct. 
Une personne dispose du droit d’accès direct à toute information nominative le concernant. En particulier, un employé a le droit d’accéder aux informations collectées par son employeur.
- Droit de rectification. 
Si une personne constate des erreurs dans les informations nominatives le concernant, elle dispose d’un droit de rectification.
- Droit d’opposition. 
Si une personne dispose de raisons légitimes, elle peut s’opposer aux informations la concernant, soit au moment de la collecte de ces informations (la personne refuse d’être fichée), soit pour être retirée d’un fichier.

Remarques importantes :
- L’adresse IP est considérée comme un information semi-nominative puisqu’elle peut permettre, par recoupement avec d’autres informations (ex. : fichier de logs des ouvertures de session utilisateur, affectation des baux DHCP) d’identifier l’utilisateur humain.
- Le droit d’accès direct et le droit de rectification concernent l’ensemble des informations liées à un utilisateur. 
En particulier, si une entreprise archive des informations nominatives sur ses employés, elle doit disposer d’une solution technique pour permettre l’extraction (et éventuellement la modification) des informations concernant un individu. 
En conséquence, il est classiquement conseillé de ne pas conserver des archives de manière indéfinie et d’évaluer avec précision la durée de conservation et la disponibilité des moyens techniques nécessaires au traitement des archives.
Les obligations de l’employé doivent être régies par le cadre d’utilisation des ressources informatiques portées à sa connaissance et à son approbation.

[Obligations de l’employeur]

Les obligations de l’employeur vis-à-vis des contrôles effectués auprès des utilisateurs du système d’information de l’entreprise sont majoritairement régis par la loi du 6 janvier 1978 sur l’informatique et les libertés.
En particulier, le devoir d’information et de transparence est essentiel : chaque utilisateur doit être informé et conscient des contrôles qui sont effectués sur son utilisation des ressources.

[Applications concrètes]

[Service de messagerie électronique]

Les récentes affaires, notamment la condamnation de l'ESPCI face à l'un de ses élèves, montre que la législation en matière de contrôle des messages électroniques est délicate et se rapproche souvent, dans les cas de jurisprudence, de celle de la messagerie papier.
Un contrôle antivirus sur les pièces jointes à un message électronique ne pose aucun problème. Par contre, l'ouverture du message et la prise de connaissance du contenu est souvent prohibée.
Si l'entreprise le souhaite et si elle communique auprès de ses employés et des utilisateurs du service, elle peut effectuer un filtrage basé sur les adresses SMTP sources et destinations pour interdire, par exemple :
- Les échanges de messages avec des concurrents commerciaux directs.
- Les abonnements à certaines listes de diffusion.

Attention cependant, ne redirigez/copiez jamais les messages filtrés vers une adresse particulière (par exemple d'un administrateur). Émettez simplement un message d'alerte à l'émetteur et à la personne chargée du contrôle.

[Accès à des sites Web]

L'accès au Web depuis le réseau interne de l'entreprise est en général problématique dans le sens où on constate souvent des dérives dans les comportements des utilisateurs (improductivité, visite de sites pornographiques...).
A noter que cela peut engager la responsabilité de l'entreprise. En tous cas, en France, la consultation de sites à caractère révisionniste ou pédophile est strictement interdite.

On utilise souvent des solutions à base de proxy-cache et de filtres d'URLs pour effectuer un contrôle d'accès sur l'activité des utilisateurs. En général, les proxy-cache permettent également de collecter et de publier des statistiques sur l'usage de l'accès Internet. Si l'authentification est mise en oeuvre, où le suivi effectué sur l'adresse IP, on peut même récolter des informations nominatives (sites Web visités, heures de connexion, données transmises...).
Dans ce cas, il convient de faire extrêmement attention à l'usage qui est fait de ces données.
Dans tous les cas, l'utilisateur doit être averti des contrôles effectués, des moyens utilisés et de ses droits.
L'employeur doit éviter la publication d'informations sur un utilisateur particulier. Mieux vaut concaténer les informations par groupe d'utilisateur (ex. : un service entier).

[1] Se référer à ce sujet à un célèbre procès perdu par IBM contre l’un de ses employés. 

ligne
 securIT@free.fr - Plein accès