Gestion de la sécurité des systèmes d’information

Le système d’information d’une entreprise lui permet de centraliser, stocker et redistribuer des informations la concernant. Sa sécurité est importante de part la nature des informations que ce système contient.

Celle-ci repose sur 5 concepts :

• l’intégrité des données – celles-ci ne doivent pas être altérées ;
• la confidentialité de l’information et des échanges – les droits d’accès au système d’information doivent être définis afin d’éviter toute communication non souhaitée ;
• l’authentification des utilisateurs – l’accès au système doit être sécurisé ;
• la disponibilité des services – l’accès au système d’information doit être garanti sans faille avec le temps de réponse prévu ;
• la non-contestation des actions – aucun utilisateur ne doit pouvoir contester les opérations qu’il a réalisées ou s’attribuer les actions d’un tiers.

 

La démarche de sécurisation du système d’information passe par 4 étapes :

• définir le périmètre à protéger ;
• spécifier la nature des menaces ;
• déterminer l’impact sur le système d’information ;
• élaborer des mesures à mettre en place.

 

Les normes BS¹7799, ISO 27001-2005 et ISO 27002-2007 :

Différents organismes ont élaboré des standards afin de définir la sécurité des systèmes de management de l’information.

La norme BS 7799 « Information security management systems. Guidelines for information security risk management », créée en 1995 par le BSI², établit une liste détaillée des mesures de sécurité du système d’information. Depuis 2005, il est possible d’obtenir une certification garantissant la mise en place et la maîtrise du système d’information des entreprises concernées. Cependant, peu d’organismes français délivrent une telle certification³.

La norme ISO 27001-2005 « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences » décrit les exigences concernant la mise en place d’un système de management de la sécurité de l’information et de son amélioration continue.

La norme ISO 27002-2007 « Code de bonnes pratiques pour la gestion de la sécurité de l’information » est, comme son nom l’indique, davantage un code pratique qu’une véritable norme, elle ne donne pas de certification contrairement à l’ISO 27001. La norme ISO 27002-2007 présente une série de contrôles en 39 points qui permet de gérer les risques de sécurité des informations relatives à la confidentialité, l’intégrité et les aspects de disponibilité.

Les avantages d’une certification concernant le système de management de la sécurité de l’information sont variés :

• renforcement de la confiance entre les partenaires ;
• meilleure protection des informations concernant l’entreprise ;
• réduction des risques d’attaque ;
• récupération plus rapide et plus facile en cas de problème ;
• conformité avec les spécificités légales et contractuelles…

 

La norme ne fixe aucune méthode d’évaluation du risque, cependant quatre modèles peuvent aider à ces certifications :

• le modèle COBIT ;
• la méthode EBIOS ;
• la méthode CRAMM ;
• la méthode MEHARI.

¹ : British Standard
² : British Standard Institute
³ : LTSI est le principal acteur dans ce domaine

Copyright : INFOQUALITE

Partager cet article