Présentation
EnglishRÉSUMÉ
Qu'entend-on par sécurité des systèmes d'information, dans quels buts et avec quels acteurs ? Cet article commence par énoncer des principes essentiels à la sécurité des systèmes d'information. Puis il aborde le sujet sous l’angle de l’articulation entre la technique et l’organisation, car les moyens techniques sont uniquement là pour arriver à un objectif. Enfin des structures types et des méthodes sont présentées pour illustrer la mise en place d'une politique de sécurité.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Robert LONGEON : Chargé de Mission à la Sécurité des Systèmes d’Information - Direction Générale du CNRS
INTRODUCTION
L’organisation de la SSI peut être vue suivant différents éclairages. On peut la voir, par exemple, sous celui de principes essentiels ; le plus important d’entre eux étant sans conteste de ne jamais oublier que la sécurité passe d’abord par les acteurs du système. Mais énoncer des principes n’est pas suffisant, il faut aussi dire quelles conséquences il convient d’en tirer sur le plan de l’organisation. C’est ce qui est fait dans le premier paragraphe pour les plus importants d’entre eux.
Dans le deuxième paragraphe, on aborde la SSI sous l’angle de l’articulation entre la technique et l’organisation, car les moyens techniques, ainsi que la sécurité, ne sont pas une fin en soi, mais sont au service d’objectifs et dans le cadre d’une entreprise ou d’une administration qui ont leurs atouts et faiblesses propres. Dans le troisième paragraphe, on passe en revue quelques structures et procédures qui, sans les poser en modèle pour tous, permettent de mieux comprendre comment mettre en œuvre une organisation de la sécurité. Enfin, dans le quatrième paragraphe on explique pourquoi on ne peut concevoir, appliquer ou piloter une politique de sécurité sans une approche méthodologique, pourquoi on ne peut mettre en place une organisation de sécurité sans commencer par une analyse de risque et en quoi les normes internationales traitant de l’organisation, de l’administration et de l’audit de la sécurité font partie intégrante de cette approche. On termine ce paragraphe en décrivant le contenu d’un tableau de bord et son rôle dans le pilotage de la politique de sécurité qui sans cela ne pourrait que rester figée.
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
2. Techniques
Nous ne nous arrêterons pas sur les aspects purement techniques qui font l’objet d’autres articles du traité sur la Sécurité des systèmes d’information, mais relevons simplement les concepts suivants.
2.1 Les premières causes des incidents de sécurité ne sont pas d’ordre technique
Quand on recherche les origines des incidents de sécurité dans une entreprise , on s’aperçoit qu’ils sont majoritairement encore d’origine interne et que pour les attaques d’origines externes, les principales vulnérabilités utilisées sont :
-
la présence de logiciels d’écoute des mots de passe sur des réseaux hôtes lors de connexions distantes ;
-
une mauvaise gestion des comptes utilisateurs, comme les mots de passe triviaux ou les comptes restés ouverts après le départ de l’entreprise du titulaire du compte ;
-
une mauvaise configuration du système ou des accès réseaux non contrôlés ;
-
l’utilisation de failles de sécurité connues sur les systèmes parce que les correctifs n’ont pas été appliqués.
D’où le constat que les premières causes des incidents de sécurité sont d’ordre « organisationnel » et humain. Aussi est-ce d’abord sur ces facteurs qu’il faut agir. D’ailleurs, l’expérience montre que les réponses purement techniques aux problèmes de sécurité ne permettent d’apporter que des réponses automatiques à des attaques connues et répertoriées. Elles permettent au mieux de contenir une délinquance qui utilise des outils tout faits, trouvés sur Internet, mais nullement de lutter contre une criminalité informatique autrement plus sérieuse, comme celle provenant de concurrents sans scrupule.
HAUT DE PAGE2.2 Associer organisation et technique pour trouver des solutions spécifiques
Les besoins de sécurité, la capacité à...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Techniques
BIBLIOGRAPHIE
-
(1) - Sécurité informatique : manager et assurer. - AFNOR normes, fév. 2002. http://www.afnor.fr
-
(2) - CLUSIF, MEHARI - * - août 2000. http://www.clusif.asso.fr
-
(3) - CLUSIF - Les indicateurs de sécurité, - juil. 2001. http://www.clusif.asso.fr
-
(4) - DCSSI - La méthode EBIOS - (1996). http://www.ssi.gouv.fr/fr/confiance/ebios.html
-
(5) - DCSSI - Critères Communs - (1999). http://www.ssi.gouv.fr/fr/confiance/cc21.html
-
(6) - Information Security Risk Assessment Guide. – - Practices of Leading Organizations, US General Accounting Office - Exposure Draft.
-
...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(77 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive