[PDF] PSSI «Politique de Sécurité des Systèmes dInformation» & CAPSEC «

View - Download PSSI «Politique de Sécurité des Systèmes dInformation» & CAPSEC «

Previous PDF

Next PDF

CAPSEC - ND, AF, GF, FG, OS- 1 -

PSSI "?Politique de Sécurité des Systèmes d'Information?» CAPSEC "?Comment Adapter une Politique de Sécurité pour les Entités du CNRS

Nicole Dausque (CNRS/UREC)

pour le groupe CAPSEC

23 mars 2005

L'objectif de cet article est de tenter de démytifier le concept "?Politique de Sécurité des

Systèmes d'Information?» (PSSI). Que ce soit en environnement recherche, administration ou entreprise lorsque l'on aborde les problèmes de sécurité des systèmes d'information on

trouve à présent très souvent mentionné?: "?se référer à la PSSI?», "?suivre la PSSI?»,

conformément à la PSSI définie définir une PSSI

En voici trois exemples

ÿ "??3.1 Respecter la politique de sécurité?: Quoique puisse suggérer ce document, la politique de sécurité en vigueur dans votre service doit primer.?»? Extrait de

Bulletin d'actualité du CERTA [REF_CERTA]

ÿ "?Formuler une politique de sécurité de l'information?: C'est faire partager à l'ensemble du groupe un ensemble de principes d'organisation et de comportement.

» [REF_RDFT]

ÿ "?Se doter d'une politique de sécurité de l'information afin de protéger ses biens.?»

[REF_YSO] De plus en plus le Système d'Information (SI) devient "?la pierre angulaire?» de tout organisme, de part le fait que l'information en elle-même est une des ressources stratégiques. Il est alors plus aisé d'en admettre l'importance, d'en organiser sa protection en établissant des PSSI. Aussi trouve-t-on sous la dénomination "?Politique de Sécurité des Systèmes d'Information

» non pas une, mais des définitions?:

ÿ "?ensemble de règles définissant le comportement des utilisateurs?»?; ÿ "?document de référence permettant de décrire les mesures élémentaires de protection et d'utilisation du système d'information, afin que tout le monde puisse les respecter

ÿ "?une politique de sécurité est perçue comme une réglementation particulière dont

l'objectif est de décrire la façon de gérer, protéger et diffuser les informations etautres ressources sensibles au sein d'un système informatique?»?;

ÿ "?une politique de sécurité sera bien souvent tout à la fois le manuel de savoir- vivre de l'utilisateur, son règlement intérieur pour l'informatique et une base solide pour assurer la sécurité du système d'information ÿ "?La politique de sécurité des systèmes informatiques est un ensemble de règles définissant le comportement des utilisateurs. L'objectif de cette politique est la préservation et la sécurisation de l'intégralité du système informatique avec ses bases de données ÿ "?Les données collectées permettent alors de définir une politique de sécurité consignée dans un document appelé "schéma directeur"

CAPSEC - ND, AF, GF, FG, OS- 2 -

La définition que nous utilisons est la suivante?: une politique de sécurité doit déterminer les

objets à sécuriser?; elle identifie les menaces à prendre en compte?; elle définit le périmètre de

sécurité ; elle spécifie l'ensemble des lois, règlements et pratiques qui régissent la façon de

gérer, protéger et diffuser les informations et autres ressources sensibles au sein d'un système

spécifique, d'une entité [REF_PSEC]. Ainsi la PSSI permet d'avoir une approche méthodique et systématique pour garantir une sécurité homogène de son SI. Dans cette définition apparaît entre autres le terme "?informations et autres ressources sensibles », qu'entend-on par "?informations et autres ressources sensibles?»??

Une information, une ressource est sensible (dans le sens emprunté à l'anglais), c'est-à-dire

qui requiert une attention, des précautions particulières, ...?» (Le Petit Robert? - 2003)?; cette

sensibilité » l'est aux yeux de la personne propriétaire de cette information, de l'entité pour qui elle représente un savoir-faire. Dans cette approche nous pouvons citer comme exemple d'information sensible?: pour un chercheur, la synthèse de travaux ayant demandé des années d'études et de collaboration internationale est considérée comme une information sensible. Pour le gestionnaire la base de

données contenant le montant des primes allouées et les noms des bénéficiaires est, dans sa

globalité, une information sensible. Le résultat de test d'un nouveau produit fait, sous contrat

avec partenaire industriel, est pour l'équipe projet une information sensible. Et pourquoi pas, pour tout utilisateur final d'un système d'information, le fichier carnet d'adresses personnelles est à ses yeux une information sensible. Cependant cette approche n'est pas la seule, dans d'autres contextes, la définition est la suivante : "?Les informations sensibles sont celles dont la divulgation ou l'altération peut

porter atteinte aux intérêts de l'État ou à ceux de l'organisme pour lequel un préjudice

financier pourrait par exemple le conduire à la faillite. Il faut par conséquent, assurer principalement leur confidentialité et, assez souvent, répondre à un besoin important

d'intégrité [REF_DCSSI]. Ces exigences de sécurité : confidentialité et intégrité ainsi que

disponibilité sont abordées plus avant dans l'article. Si à présent nous parlons de ressource sensible il est possible de citer comme exemple?: un équipement informatique pilotant une manipulation en temps réel. Cependant, normalement

un équipement, s'il est considéré comme sensible devrait avoir son double pour pallier toutes

pannes, alors il ne devient peut-être plus tout aussi sensible au sens disponibilité. Ces informations sensibles au sein du SI peuvent être prises individuellement ou plus globalement ; à quel niveau d'agrégat doit-on prendre l'information ?

Ce peut être toutes les données constituant un projet, alors le projet doit être pris dans sa

globalité, et par là même, il faut être capable de l'isoler, de le repérer dans le SI. Le niveau

d'agrégat se détermine par rapport à la possibilité, en cas de menaces ayant aboutie, de restituer une information cohérente?; il y a donc nécessité d'isoler, de sérialiser les

informations au sein du SI?; ce dernier étant constitué en plus de l'information, des matériels,

des logiciels et de tous les éléments du réseau qui permettent de manipuler automatiquement l'information. Pour identifier finement une information et lui donner une valeur, valeur au

sens protection, la recherche et l'évaluation des enjeux qui y sont attachés est nécessaire.

On s'aperçoit alors bien souvent, qu'une évaluation précise des enjeux, qu'ils soient d'ordre

financiers, politique ou techniques, permet de diminuer le nombre d'information à protéger et

aide à trouver le bon compromis entre coûts de sécurité et information protégée. Par enjeux on

entend par exemple?: aboutissement d'une recherche à l'obtention d'un brevet, préservation

des informations nominatives dans le respect de la vie privée, voire carrément la sécurité du

CAPSEC - ND, AF, GF, FG, OS- 3 -

système d'information lui-même qui peut être considéré comme l'un des enjeux majeurs.

Généralement les valeurs de l'information, au sens protection, sont associées à des exigences

de sécurité que la PSSI doit permettre de prendre en compte. Ces exigences sont

habituellement au nombre de trois et se définissent ainsi?: la confidentialité, c'est la propriété

d'une information, voire d'une fonction de n'être accessible qu'aux utilisateurs autorisés?; la

disponibilité de l'information, de la ressource, d'une fonction ou d'un service correspond à la

propriété d'accessibilité au moment voulu par les utilisateurs autorisés?; l'intégrité, c'est la

propriété d'exactitude et de complétude d'une information ou d'une fonction, dans le cas de

l'information il y a non altération, pour une fonction il y a absence de résultats incorrects ou

incomplets. À cette trilogie on ajoute parfois la traçabilité qui correspond au suivi et à la

journalisation des évènements liés aux systèmes et aux activités sur le réseau, permettant de

déceler les événements susceptibles de constituer une menace pour la sécurité.

Pour assurer les exigences de sécurité il est nécessaire de fixer les objectifs de sécurité qui

leur sont adaptés. Un objectif de sécurité exprime l'intention de contrer des menaces

identifiées et/ou de satisfaire à des hypothèses, de ce fait la sécurité qui en découle n'est pas

définie dans l'absolu mais bien relative à un but que l'on veut atteindre. Ces objectifs ou cibles à atteindre le sont en fonction des moyens que l'on peut et/ou veut mettre en oeuvre. Deux exemples pour illustrer ces propos?: ne pas demander une disponibilité des ressources,

d'un service (messagerie, restitution de données...) 24 heures sur 24 et 7 jours sur 7 si l'entité

n'a pas mis en oeuvre un système d'astreinte cohérent et des ressources matérielles redondantes. Ne pas oublier qu'il faudra se donner les moyens techniques et organisationnels

d'atteindre le niveau de sécurité préconisé sur l'ensemble du cycle de l'information et ne pas

s'obliger, par exemple, à un niveau de confidentialité maximal s'il ne se justifie pas. Ce qui

veut également dire qu'il faut avoir étudié avec soin le besoin et le justifier pleinement. De ce

fait si l'impact stratégique de l'information est connu précisément alors l'importance

d'organiser sa protection est mieux admise. C'est à partir des objectifs de sécurité que l'on

peut définir les menaces qui seront prises en compte?; celles-ci auront les caractéristiques d'être soient accidentelles, soient intentionnelles et d'origine interne ou externe.

Des référentiels de normalisation de la sécurité existent. Ils permettent de bâtir une PSSI

cohérente, qui prend en compte les aspects humains, organisationnels et juridiques. La PSSI

est alors un cadre de référence sous forme de document de référence. Parmi ces référentiels on

peut citer l'ISO/IEC 17799 [REF_ISO17799] dérivé de la norme BS 7799 (origine Royaume

Uni) qui est un Code des bonnes pratiques pour la gestion de la sécurité de l'information?; une

nouvelle version doit paraître en 2005. En France la DCSSI "?Direction Centrale de la Sécurité des Systèmes d'Information?» fournit l'outil EBIOS " Expression des Besoins et

Identification des Objectifs de Sécurité ». Cet outil offre une base de connaissance associée à

une démarche et des techniques. Pour élaborer une PSSI, à cet outil il est possible d'associer

le guide DCSSI?: PSSI " Politique de Sécurité de Système d'Information » qui contient une

approche méthodologique, un plan-type, un catalogue de principes de sécurité et des

références SSI " Sécurité des Systèmes d'Information » [REF_DCSSI]. Les principes de

sécurité sont ensuite déclinés en règles de sécurité pour constituer un document

complémentaire. La méthode EBIOS a fait l'objet d'un article dans le numéro 47 de la revue

Sécurité Informatique [REF_SECSYS].

CAPSEC - ND, AF, GF, FG, OS- 4 -

Périmètre de la PSSI

Enjeux et orientations

stratégiques

Aspects légaux et

réglementaires

Échelle de besoins

Besoins de sécurité

Menaces

Thème 1

Thème N

Éléments stratégiques

Règles de sécurité

EBIOSPSSI

Étude de l'organisme

Étude du

système-cible

Détermination de la cible

de l'étude

Réalisation des fiches de

besoins

Synthèse des besoins de

sécurité

Détermination du mode

d'exploitation

Étude des origines des

menaces

Étude des vulnérabilités

Détermination des menaces

Étude du contexte

Expression des besoins de sécurité

Étude des menaces

Confrontation des menaces

aux besoins

Détermination des objectifs

de sécurité

Identification des objectifs de sécurité

Détermination des niveaux

de sécurité

Détermination des

exigences fonctionnelles

Détermination des

exigences d'assurance

Détermination des exigences de sécurité

Schéma principes d'EBIOS

Cet outil et ce document ont été utilisés dans le cadre du projet CAPSEC "?Comment Adapter une Politique de Sécurité pour les Entités du CNRS

». Ils ont permis de

ÿ délimiter le champ d'application de la PSSI?; ÿ établir les liaisons entre les domaines d'activité?; ÿ répertorier les éléments essentiels?;

ÿ définir les échelles de besoin?;

ÿ associer à chaque éléments sensibles les besoins de sécurité?; ÿ déterminer et caractériser les menaces retenues et non retenues?; ÿ identifier le référentiel législatif applicable?;

ÿ rédiger les principes de sécurité?;

ÿ décliner les principes de sécurité en règles d'application.

CAPSEC - ND, AF, GF, FG, OS- 5 -

Conformément à cette liste les principales étapes suivies ont été

Premièrement, une reconnaissance du "?terrain?», c'est-à-dire déterminer quel est le champ

d'application de la PSSI?; cette étude se fait par exemple en répertoriant les différents domaines d'activités et les systèmes d'information concernés par ceux-ci?; par exemple dans le contexte CAPSEC le champ d'application peut être une "?UNITE DE RECHERCHE?» (URA, UMR, UPA...) possédant une ou plusieurs tutelles (organismes publiques?: CNRS, Éducation Nationale...) où l'on trouve des domaines d'activité tels que administration, enseignement, recherche, valorisation de la recherche (définie ainsi?: incubateurs, transfert de

technologie, activités de service), et des acteurs externes qui peuvent être une entité cliente à

laquelle on fournit un service (gestionnaire de listes, espaces web, DNS secondaire, relais de messagerie, synchronisation d'horloge, utilisation de plateforme d'expérimentation,...).

À partir de cette présentation il est possible de déterminer le cheminement des données et les

circuits de diffusion. (cf. schéma de circulation des informations)

Schéma de circulation des informations

Deuxièmement, on réalise d'une part la présentation du système-cible c'est-à-dire le

Périmètre du Système, qui dans notre contexte CAPSEC se définit ainsi?: "?C'est le système

d'information de l'entité, de son réseau filaire ou non filaire, de ses serveurs, de ses services,

de ses postes nomades, dans un contexte très ouvert sur l'extérieur.?» Le terme entité correspond à un laboratoire, une unité, une équipe de recherche ou un institut du CNRS?; ce terme peut également s'appliquer pour une entreprise, une PMI, une PME.

CAPSEC - ND, AF, GF, FG, OS- 6 -

D'autre part on détermine les éléments essentiels à prendre en compte ÿ les informations (..., contrats industriels..., expérimentales, comptables financières et administratives..., enseignement par exemple : sujets d?'examen..., scientifiques ou techniques d'intérêt défense...) ÿ les fonctions (communication..., publication-rédaction...).

Troisièmement, il faut s'intéresser aux enjeux et orientations stratégiques. On formalise les

enjeux et contraintes liés au périmètre défini précédemment. Si on se réfère toujours au

contexte CAPSEC les enjeux cités seront d'ordre?: financiers (contrats pouvant être dénoncés

car les expérimentations n'ont pas abouti en raison de problèmes de sécurité matériels ou

logiciels), politiques (image de marque, visibilité de l'organisme, crédibilité en rapport avec

les plans stratégiques des organismes), techniques (recherche spécifique et de pointe,

protection et maîtrise des résultats liés aux découvertes, confidentialité et conservation des

savoir-faire techniques). À ces enjeux, s'ajoutent des contraintes pesant sur l'entité, par exemple : une contrainte d'ordre culturel que l'on nomme "?nomadisme?» et qui est décrite comme : "?prise en compte du nomadisme, de la mobilité, du télé-travail, des missions, des lieux hostiles (cyber-café, autres laboratoires, autres prestataires...)

Quatrièmement, on définit une échelle des besoins, si pour des ressources de type "?gestions

financières

» il est parfois facile de déterminer le coût de son indisponibilité, dans la majorité

des cas pour les trois exigences de sécurité disponibilité, confidentialité et intégrité on a

recours à une échelle des besoins. Besoin de sécuritéConfidentialitéDisponibilitéIntégrité

0Sans conséquenceSans conséquenceSans conséquence

1Conséquences

défavorables

Long terme

(8 heures à 1 semaine)

Conséquences

défavorables

2Conséquences

dommageables

Moyen terme

(4 heures à 8 heures)

Conséquences

dommageables

3Conséquences

graves

Court terme

(temps réel à 4 heures)

Conséquences

graves

À chaque domaine d'activités ou éléments sensibles on affecte une valeur, exemple?: pour la

fonction " communication

» on admet le triplet {0,2,1}.

Les impacts tels que?: interruption de service, atteinte à la sécurité du personnel et des usagers, perte d'avance technologique, pertes d'image de marque (sur article de presse diffamatoire) ... sont également déterminés. Cinquièmement, partant du référentiel de menaces, une menace est retenue ou non et il y a justification de son impact. Par exemple dans le cas de "?Écoute passive?» celle-ci peut avoir lieu sur installation par jeu ou par curiosité, de programmes permettant d'écouter ce qui se

passe sur le réseau de l'entité?; cette installation pouvant être faite par un pirate, du personnel

temporaire, des visiteurs. Exemple ÿ en local, avec un portable sur un réseau sans fil ou sur une partie de réseau non commuté, avec des outils trouvés sur Internet ÿ lors des déplacements externes dans un environnement hostile, il est aussi facile pour des pirates de voler compte et mot de passe ÿ des pirates depuis l'extérieur, utilisent les failles de sécurité des systèmes ou

CAPSEC - ND, AF, GF, FG, OS- 7 -

logiciels des ordinateurs du laboratoire afin d'installer des logiciels d'écoute réseau.

Cette menace est caractérisée ainsi?:

ÿ atteintes : confidentialité?;

ÿ causes d'élément menaçant : délibérée?; ÿ types d'éléments menaçants : humain?; ÿ potentiel d'attaque : opportunités ou ressources limitées.

Remarque: les instances de direction peuvent décider de "transférer le risque» à un tiers

(assurance, sous-traitance...) ou décider "d'accepter le risque» (le coût des protections étant

supérieur aux risques réels encourus, par exemple); c'est dans ce cas une décision réfléchie et

voulue du niveau stratégique, apparaissant explicitement comme telle dans la politique de sécurité.

Sixièmement, les aspects légaux et réglementaires sont à considérés et il faut prendre en

compte leurs impacts dans la mise en oeuvre de la sécurité, en particulier pour tout ce qui concerne la LCEN et la CNIL. Les recommandations de la direction de l'organisme et des organismes comme la DCSSI, la CNIL doivent également être retenues.

Septièmement, on réalise la rédaction des principes de sécurité, d'une part par sélection de

principes donnés dans le référentiel PSSI, d'autre part par extraction de données à partir de

l'étude EBIOS effectuée dans les étapes précédentes. Le référentiel couvre 16 domaines répartis sous 3 sections ÿ Principes Organisationnels (Évolutions de la PSSI..., Modalités d'utilisation des réseaux de télécommunications externes...) ÿ Principes de Mise en oeuvre (Mise en place d'un réseau de détection et alerte des incidents de sécurité..., Règles spécifiques de filtrage aux accès...) ÿ Principes Techniques (Délivrance et recouvrement des moyens d'authentification..., Moyens de journalisation des intrusions ou des utilisations frauduleuses...)

Huitièmement, à partir des principes de sécurité, les règles d'application sont écrites et

donnent entre autres les informations techniques permettant de satisfaire les principes de sécurité. Que peut-on conclure sur l'intérêt de la méthode?? ÿ vue synthétique pour se poser les bonnes questions?; ÿ outil permettant à l'ensemble des partenaires actifs du SI de travailler ensemble?; ÿ démarche partagée entre les différents acteurs ce qui favorise la discussion?; ÿ sensibilisation des acteurs dès l'expression des besoins?;

ÿ architecture et vision globale du SI.

Conclusion

L'élaboration de la PSSI permet de recenser, classifier (en fonction d'un niveau stratégique défini : les objectifs) les ressources (humaines, informations, logicielles, matérielles). Elle permet d'identifier les menaces potentielles (internes, externes). Elle débouche sur la

définition de règles d'application spécifiant les autorisations, interdictions et obligations des

agents (notion incluant à la fois les utilisateurs et les applications pouvant accéder au SI).

CAPSEC - ND, AF, GF, FG, OS- 8 -

Pour mener à bien l'élaboration de la PSSI, il convient donc en tout premier lieu de constituer

un comité réunissant les différents acteurs du SI. Les objectifs sécurité que l'on se donne

devront tenir compte des deux principes?: faire en sorte de ne pas entraver le travail des

utilisateurs et que ceux-ci puissent utiliser le SI en toute confiance. Les besoins des différents

acteurs actifs du SI seront pris en compte (ceux qui sont vraiment essentiels pour tous, car aux

yeux de chaque acteur, l'événement qui le concerne directement est toujours le plus essentiel).

À l'issue de ce dialogue, un consensus doit se dégager autour de la PSSI afin de définir une

gestion des risques en fonction des moyens et des coûts que l'entité est prête à investir. La

validation de la PSSI, auprès du conseil de laboratoire par exemple, permet de sensibiliser les

membres de l'entité à la sécurité du SI et faire en sorte qu'ils s'approprient les éléments de

sécurité.

À ce jour, l'application de la méthode élaborée par le groupe de travail CAPSEC est en test

dans les laboratoires des protagonistes, et se poursuivra ensuite dans des laboratoires cobayes.

Ces tests permettront de dire si la méthode est généralisable dans la majorité des entités du

CNRS.

Références :

[REF_UREC] : http://www.urec.cnrs.fr/securite/CNRS/ [REF_CERTA] : http://www.certa.ssi.gouv.fr/ [REF_RDFT] : http://www.rd.francetelecom.com/fr/conseil/mento20/chap1b.html [REF_YSO] : http://www.ysosecure.com/politique-securite/politique-securite-information.asp [REF_PSEC] : http://www.urec.cnrs.fr/securite/CNRS/vCARS/programme.html [REF_DCSSI] : http://www.ssi.gouv.fr/ [REF_ISO17799] : http://www.securite.teamlog.com/publication/4/5/168/ et http://www.rd.francetelecom.com/fr/conseil/mento20/chap5a.html [REF_SECSYS] : http://www.sg.cnrs.fr/FSD/securite-systemes/revue-2003.htm

Membres du groupe de travail CAPSEC?:

Nicole Dausque (UREC - UPS) nicole.dausque@urec.cnrs.fr Anne Facq (CRPP - UPR) annefacq@crpp.u-bordeaux.fr Gabrielle Feltin (LORIA - UMR) Gabrielle.Feltin@loria.fr Françoise Gazelle (Observatoire Besançon) fg@obs-besancon.fr Olivier Servas (ATILF - UMR) Olivier.Servas@atilf.fr Avec l'aide précieuse de Matthieu Grall (DCSSI).quotesdbs_dbs29.pdfusesText_35

[PDF] Les politiques structurelles - Oeconomianet

[PDF] Guide pratique du Projet pour l 'enfant - ODPE

[PDF] PPRE EIP

[PDF] Guide Élève - Rapport de stage en entreprise - Metiersdelautocom

[PDF] Présentation PowerPoint - Projet d 'organisation administrative et

[PDF] Animation d une émission de radio

[PDF] Modele de Presentation - Schneider Electric

[PDF] Présentation du projet - ppt - GIP-Ecofor

[PDF] Exemple de présentation orale - Europa EU

[PDF] -1- PRESENTATION DE SOUTENANCE REMERCIEMENTS Avant

[PDF] Modèle de présentation Stage Initiation et Perfectionnement Génie

[PDF] concours de technicien territorial

[PDF] problèmes éthiques médicaux d 'actualité - Revues et Congrès

[PDF] Ingénierie de projet en conception - Page perso de Dominique

[PDF] Annexe 11 Procédure Gestion des Déchets - Côtes d 'Armor