//img.uscri.be/pth/de67527cf2dec6fdfecc792b86146dc27463bb06
La lecture en ligne est gratuite
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres
Télécharger Lire

Sécurité des Systèmes d'Information

44 pages
  • fiche - matière potentielle : pratique
  • fiche - matière potentielle : pratiques
  • fiche - matière potentielle : pratiques traitant de manière synthétique des règles élémentaires de ssi
DRIRE Rhône-Alpes – 1 – Sécurité des Systèmes d'Information Guide pratique à l'usage des dirigeants
  • judice potentiel
  • avertit de menaces nouvellement rencontrées
  • applications â redémarrage
  • fichier clients
  • politique de sécurité adéquate
  • dé- â
  • centre de détection précoce des attaques informatiques
  • sécurité informatique dans les pme rhodaniennes
  • accès autorisé pour les personnes contacts
  • personnes autorisées
  • risques
  • préjudice
  • préjudices
  • entreprises
  • informatiques
  • informatique
  • sécurités
  • sécurité
  • donnée
  • données
  • entreprise
Voir plus Voir moins

Sécurité des Systèmes
d’Information
Guide pratique à l’usage
des dirigeants
DRIRE
Rhône-Alpes
– 1 –– 2 –Sommaire
PREAMBULE : La Sécurité des Système d’Information ne se résume pas
à protéger son informatique 4
LES FICHES
1- Evaluer l’importance de ses informations pour mieux les protéger 6
2- Quels outils pour une protection minimum du SI ? 11
3- Sécuriser son SI lors des déplacements professionnels 16
4- Gérer le courrier électronique indésirable 18
5- Comment sauvegarder vos données numériques ? 22
6- Les droits et obligations du chef d’entreprise en matière de SSI 26
7- Externaliser une partie de son activité sans danger 29
8- Gérer et contrôler les accès aux données de l’entreprise 32
9- Prendre en compte et maîtriser le facteur humain dans la SSI 36
10- L’usage des réseaux sociaux dans l’entrepriseI 39
Cont ACt S 43
– 3 –La Sécurité des Système d’Information ne
se résume pas à protéger son informatique
Un dégât des eaux, pas de sauvegarde à l’abri et c’est votre entreprise qui est en péril. Vos procédés de fabrication
piratés, c’est votre bénéfce qui s’envole.
Que vous utilisiez un peu ou beaucoup l’informatique, votre entreprise en est forcément dépendante.
Et si la survie de votre entreprise tenait à la sécurité de votre système d’Information (SI) ?
Pourquoi protéger son SI ?
Usage d’outils nomades (téléphone, PDA, clés USB), accès distants aux données internes de l’entreprise,
connexion sans fl à Internet … : ces nouveaux usages facilitent la dématérialisation et la circulation de
l’information mais génèrent de nouveaux risques.
Selon une étude réalisée par l’Espace Numérique Entreprises auprès de 350 PME du Rhône, plus d’un tiers
des entreprises reconnaissent avoir perdu des données dans l’année. Quelles qu’en soient les causes, ces
pertes engendrent des coûts directs (remplacement des équipements, chômage technique des salariés)
et indirects (perte d’image) ainsi que des conséquences parfois irréversibles pour l’entreprise.
Sécuriser son système d’information ne se résume pas qu’à prendre de nouvelles mesures techniques, c’est
aussi protéger l’information stratégique de l’entreprise (plans, fchiers client, etc.). Le vol ou l’altération de
ces données capitales aura certainement des des conséquences parfois irréversibles pour l’entreprise.
Suivez le guide
Qu’est ce qu’un système d’information ?
A la base de tout fonctionnement d’entreprise, il y a des informations utilisées par une ou plusieurs
personnes. Pour traiter, stocker et transmettre ces informations, les collaborateurs utilisent des outils
(informatiques ou pas) et agissent selon des procédures d’utilisation (envoyer un email, créer ou ar -
chiver un document …).
Cet ensemble organisé de moyens techniques, administratifs, et humains permettant de gérer l’infor-
mation dans l’entreprise s’appelle un système d’information (SI).
– 4 –Par ailleurs, la sécurité des systèmes d’information représente également un avantage concurrentiel
car elle ofre la garantie aux clients et partenaires que les informations confdentielles, confées à votre
entreprise (cahiers des charges, plans), sont protégées.
Pourquoi ce guide ?
Ce guide est le fruit d’une démarche entreprise par les services de l’Etat pour sensibiliser les dirigeants à la
sécurité des systèmes d’information. Il se compose de 10 fches pratiques traitant de manière synthétique
des règles élémentaires de SSI.
Qu’est ce que la sécurité des systèmes d’information ?
L’informatique n’étant fnalement qu’un moyen de faciliter la gestion de l’information, il serait donc
réducteur de considérer que protéger ses outils, c’est protéger l’information de l’entreprise. La sécurité
des systèmes d’information (SSI) prend en compte tous les éléments qui composent le SI : les utilisa-
teurs, les procédures et les outils.
Protéger son SI, c’est donc aussi sensibiliser les utilisateurs à la sécurité ou revoir certaines procédures
comportant des risques pour le patrimoine informationnel de l’entreprise.
– 5 –Evaluer l’importance de ses
informations pour mieux les protéger
Ce n’était qu’un fchier parmi tant d’autres mais
mises à disposition d’un concurrent, les données sont
Voici les points clés à retenir :devenues des informations stratégiques.
 Réaliser un état des lieux afin d’avoir une vision
Tous les éléments d’un système d’information
d’ensemble de son système d’information et
n’ont pas besoin d’être sécurisés de la même ma-
élaborer une classification des données.
nière.
Protéger l’ensemble de son système d’informa-
 Formaliser et faire connaître les règles géné-
tion à un même niveau de sécurité se révèlerait
rales de sécurité à tous les acteurs du système
d’ailleurs extrêmement coûteux. Certaines infor -
d’information.
mations stratégiques nécessitent une protection
importante mais elles ne représentent pas la ma-
 Etre sélectif : il est impossible de protéger toute
jorité des données d’une entreprise.
l’information à un fort niveau de sécurité.
C’est pourquoi la Sécurité d’un Système d’Informa-
tion (SSI) implique une réflexion au préalable sur
la valeur de l’information avant de mettre en place
des outils de protection. Le but est de trouver le
meilleur compromis entre les moyens que l’on est Sommaire
prêt à consacrer pour se protéger et la volonté de
parer les menaces identifiées.
1 - Comment identifier ce qui doit être
protégé ?Cette fiche pratique vous explique comment hié-
rarchiser les données à protéger en fonction de 2 - Hiérarchiser la valeur des informations
leur importance stratégique et comment mettre 3 - Evaluer les risques
en place une politique de sécurité adéquate.
4 - Bâtir une politique de sécurité adéquate
5 - Pour aller plus loinAvertissement : cette fiche est le fruit d’un travail
de vulgarisation et comporte par conséquent une
information générale et non exhaustive. Elle ne
saurait engager la responsabilité de l’éditeur (Di-
reccte, ENE) et de ses diffuseurs.
– 6 –Attribuez ensuite des droits d’accès aux docu-1 - Comment identifer ce qui doit
ments à l’aide de profils utilisateurs selon leur de-être protégé ?
gré de responsabilité dans l’entreprise. Il est préfé-
rable de désigner une personne responsable pour
La première étape est de réaliser un état des lieux
ce type d’activité.
afn d’avoir une vision d’ensemble de son système
d’information.
Pour vous aider dans la démarche de classification
Il n’est pas toujours facile pour un dirigeant de me-
de vos données, vous pouvez vous inspirer libre-
surer l’étendue de l’information détenue par son
ment du tableau ci-dessous.
entreprise car elle n’est généralement pas stockée
dans un lieu unique.
En voici la légende :
1 Information sensible : information susceptible Dans un premier temps, commencez par recenser :
de causer des préjudices à l’entreprise si elle est ré-Â les ressources internes de votre entreprise :
vélée à des personnes mal intentionnées pouvant messagerie électronique (emails, contacts,
entraîner la perte d’un avantage compétitif ou une agenda), données stratégiques, fchier clients,
dégradation du niveau de sécurité. données techniques…
 les ressources de l’entreprise exploitées ou dé-
2 Information stratégique : information essentielle
tenues par un prestataire extérieur ou un tiers.
et critique contenant la valeur ajoutée de l’entre-
 les ressources appartenant à un prestataire ex-
prise (savoir-faire, procédures, méthodes de fabri-
térieur exploitées par lui au proft de votre en-
cation…).
treprise.
Voici quelques exemples donnés à titre indicatif 2 - Hiérarchiser la valeur des
permettant de remplir le tableau :informations
 La divulgation d’une proposition commerciale
peut permettre à un concurrent de remporter Pour défnir le degré de valeur ajoutée de chaque type
un appel d’offre en proposant un meilleur prix. de données, hiérarchisez la valeur des informations selon
(information sensible)l’importance de leur disponibilité et de leur intégrité.
Tableau de classification des informations de l’entreprise selon leur degré d’importance
1Information Information sensible Information Accès autorisé pour
2divulgable (moyenne valeur stratégique les personnes
(faible valeur ajoutée) ajoutée) (forte valeur ajoutée)
Contacts et dossiers du personnel
Factures clients
Factures fournisseurs
Listes fournisseurs
Données comptables
Relevés de compte
Propositions commerciales
Contrats commerciaux
Contrats de travail
Données de production
Grille tarifaire des produits
Procédés de fabrication
Veille concurrentielle
Autre
– 7 –Â La diffusion d’un catalogue de produits ac - 3.1. Quelles sont les menaces ?
compagnée des prix permet à des prospects
de faire appel aux services de l’entreprise. (in- Une menace est une action susceptible de nuire et
formation ouverte) de causer des dommages à un système d’informa-
tion ou à une entreprise.
En général, dans les entreprises : Elle peut être d’origine humaine (maladresse, at-
 5% de l’information est stratégique : toute in- taque) ou technique (panne) et être interne ou ex-
formation permettant de mettre à nu la valeur terne à l’entreprise.
ajoutée de l’entreprise ou divulguant ses avan-
tages compétitifs. Le CLUSIF (Club de la Sécurité de l’Information
 15 % de l’information est sensible : ensemble Français) a établi une grille des menaces types et
des données qui, associées et mises en cohé- de leurs conséquences dans un document intitulé
rence, peuvent révéler une partie de l’informa- Plan de continuité d’activité – Stratégie et solu-
tion stratégique. 1tions de secours du SI et publié en 2003 .
 80% de l’information est divulgable (ouverte) :
ensemble des données diffusables à l’exté- 3.2. Quelle est la probabilité
rieur de l’entreprise sans pour autant lui être
qu’une menace se materialise ?préjudiciable.
Pour chaque menace, il convient ensuite d’estimer
la probabilité qu’elle se concrétise.
5%
Information Voici, à titre indicatif, un état des causes de perte
stratégique de données les plus fréquentes chez les entrepri-
ses du Rhône :15%
Information
sensible
85%
Information divulgable
(ouverte)
Source : Observatoire des usages TIC – La sécurité informatique
Remarque : dans les PME rhodaniennes. Espace Numérique Entreprises, 2008.
Il est courant de dire qu’en matière de SSI, 80%
de l’effort en matière de sécurité (budget, res-
sources) doit être consacré à sécuriser les 20 % 3.3. Quels impacts pour l’entreprise ?
de données qui contiennent 80% de l’informa-
tion stratégique de l’entreprise.
L’analyse d’impact consiste à mesurer les consé-
quences d’un risque qui se matérialise.
A titre d’exemple, l’Afnor a établi un système de
3 - Evaluer les risques classification des risques liés aux informations (Ta-
bleau ci-après).
La phase d’évaluation des risques internes et ex-
ternes permet d’identifier les différentes failles,
d’estimer leur probabilité et d’étudier leur impact
en estimant le coût des dommages qu’elles cau-
1seraient. Ce dossier est téléchargeable sur le site www.clusif.fr
– 8 –Tableau de classification des risqueselon le degré d’importance des informations (Afnor)
3 : secret 2 : confidentiel 1 : diffusion contrôlée
Préjudice potentiel Préjudice grave Préjudice faible Perturbation Préjudice faible Perturbation
Séquelles compromettant l’action ponctuelles ponctuelles
à court et moyen terme
Risques tolérés Aucun risque même résiduel n’est Des risques très limités peuvent Des risques sont pris en connais-
acceptable être pris sance de cause
Protection Recherche d’une protection Prise en compte de la notion de La fréquence et le coût du pré-
maximale probabilité d’occurrence judice potentiel déterminent les
mesures prises
Vous pouvez également vous aider de méthodes  Stratégique : définition des objectifs globaux
d’analyse de risques approfondies et reconnues de sécurité, définition qui découle du travail
en France telles que : d’état des lieux, de hiérarchisation des don-
 EBIOS (Expression des Besoins et Identifcation nées selon leur importance stratégique et
des Objectifs de Sécurité). Elaborée par la DCSSI d’analyse des risques.
(Direction Centrale de la Sécurité des Systèmes
d’Information) (renvoi vers le site web ?), cette  Organisationnel : plan de secours , charte uti-
méthode s’appuie sur une étude du contexte et lisateur, défnition du rôle de chaque membre
sur l’expression des besoins de sécurité en vue du personnel, sessions de sensibilisation des
d’identifer les objectifs de sécurité. collaborateurs à la SSI.
 MEHARI (Méthode Harmonisée d’Analyse de  Technique : mise en place des moyens de pro-
Risques). Elaborée par le CLUSIF (Club de la tection (antivirus, mot de passe…).
Sécurité de l’Information Français), cette mé-
thode d’audit permet d’élaborer des scénarios 4.2. Sécuriser son SI
de risques.
Il s’agit de mettre en place des mesures préventi-
ves et curatives.4 - Bâtir une politique de sécurité
Certaines reposent sur des outils et d’autres sur le adéquate
comportement des utilisateurs.
4.1. Les grands principes
Mais avant de mettre en place ces mesures, l’entre-
prise doit d’abord statuer sur 2 questions :La SSI repose sur trois finalités :
 Quelle est la quantité maximale d’informa- L’intégrité du SI : s’assurer de son bon fonction-
tions qui peut être perdue sans compromettre nement, de l’exactitude des données et de leur
l’activité de l’entreprise ?intégrité.
 Quel est le délai maximum de reprise d’activité  La confidentialité SI : s’assurer que seules les
acceptable sans menacer le fonctionnement de personnes autorisées ont accès aux données.
la société ?
 La disponibilité du SI : s’assurer que les dif-
férentes ressources (ordinateurs, réseaux, pé- La réponse à ces questions va permettre d’évaluer
riphériques, applications) sont accessibles au le niveau de sécurité que l’entreprise devra mettre
moment voulu par les personnes autorisées. en place et de déterminer les informations qui de-
vront être protégées et rétablies en priorité en cas
En fonction de ces objectifs, la politique de sécuri- de sinistre pour générer un minimum de pertes, y
té de l’entreprise va se décliner de trois manières : compris financières.
– 9 – Les mesures préventives Les plus importantes sont :
Elles permettent d’éviter une interruption de l’activité. Â ISO 27000 (série de normes dédiées à la sécu-
rité de l’information)
Voici les principaux points de vigilance : Â ISO 17799 (code de bonnes pratiques)
 Plan de sauvegarde : il s’agit de déterminer la  ISO TR 13335 (guide d’administration de la sé-
fréquence et le type de sauvegarde (complè- curité des systèmes d’information « Sécurité
te, différentielle, incrémentale) pour chaque informatique : manager et assurer »)
catégorie d’information (basique, sensible, http://www.afnor.fr
stratégique).
CLUSIF : (Club de la Sécurité de l’Information
 Sécurité logique : il convient de mettre en Français)
place des outils de protection de base (anti-vi- Le Club de la Sécurité de l’Information Français
rus, firewall, anti-spam) et de les mettre à jour. (CLUSIF) est une association œuvrant pour la sécu-
A cela peuvent s’ajouter des contrôles d’accès rité de l’information dans les organisations.
aux données par mot de passe ou certificat Il publie régulièrement des documents techniques
électronique. et méthodologiques sur le sujet.
http://www.clusif.asso.fr
 Sécurité physique : il s’agit de la sécurité des
locaux. Une attention particulière doit être ANSSI : Agence Nationale de la Sécurité des
portée à la sécurité du serveur de l’entreprise. Systèmes d’Information
L’ANSSI représente l’autorité nationale en matière  Le facteur humain : la sécurité des systèmes
de sécurité des systèmes d’information. A ce titre, d’information n’est pas qu’une affaire d’outils
elle est chargée de proposer les règles à appliquer mais dépend aussi et surtout d’une informa-
pour la protection des systèmes d’information tion régulière aux utilisateurs de l’informati-
de l’État et de vérifier l’application des mesures que dans l’entreprise. Des règles élémentaires
adoptées. (comme ne pas noter son mot de passe sur un
papier) doivent être ainsi rappelées. Dans le domaine de la défense informatique, elle as-
sure un service de veille, de détection, d’alerte et de
Mesures curatives réaction aux attaques informatiques, notamment
Ces mesures sont nécessaires car aucune mesure sur les réseaux de l’État. L’agence va créer un centre
préventive n’est efficace à 100%. Elles sont mises de détection précoce des attaques informatiques.
en œuvre lorsqu’un sinistre survient :
http://www.ssi.gouv.fr Restauration des dernières sauvegardes
 Redémarrage des applications
Portail de la sécurité informatique (SGDN) Â Redémarrage des machines (ordinateurs…)
Ce portail propose des fiches pratiques et des
conseils destinés à tous les publics (particuliers, 5. Pour aller plus loin
professionnels, PME). Il comporte également des
actualités et avertit de menaces nouvellement AFNOR : (Association française de normali-
rencontrées qui appellent une action rapide des sation)
utilisateurs pour en limiter les effets.La sécurité des Systèmes d’Information et son mana-
gement s’appuient sur des normes de la sécurité. http://www.securite-informatique.gouv.fr
– 10 –