×Membres de L'Economiste Qui sommes-nousL'Editorialjustice régions Dossiers Société Culture Brèves International Brèves internationales Courrier des Lecteurs LE CERCLE DES EXPERTS Documents Lois à polémiques Docs de L'Economiste prix-de-la-recherche Prix de L'Economiste Perspective 7,7 Milliards by SparkNews Earth Beats Solutions & Co Impact Journalism Day cop22Spécial Cop22 Communication Financière

Entreprises

La sécurité informatique: méthodologie de conception et de réalisation d'un plan de sécurité

Par L'Economiste | Edition N°:11 Le 09/01/1992 | Partager

L'informatisation croissante des divers services de l'entreprise, l'interconnexion des centres de traitements à de nouveaux réseaux. Tous ces éléments, parmi d'autres, ont des facteurs potentiels de risques, face auquels la sécurité informatique apparaît et apparaîtra de plus en plus un impératif vital pour l'entreprise.


LA sécurité informatique alourdit les charges et ne procure pas de gains directs. Jusqu'à présent les entreprises ont investi surtout pour se prémunir contre des dommages matériels et donc de limiter la probabilité de survenance et des conséquences d'un sinistre.
Les pertes dues à la réalisation de sinistres informatiques ne peuvent laisser indifférents les managers qui doivent prendre conscience et connaissance de l'émergence de risques susceptibles de mettre en jeux la pérennité de leur activité.
La protection du système d'information devient une nécessité impérieuse. Il convient d'insister sur quelques aspects propres à la sécurité informatique:
·le problème est complexe et multiforme. Une étude de sécurité ne peut être menée avec profit que si la Direction Générale est motivée et l'ensemble du personnel collabore au projet. Cette règle de bonne gestion qu'est la plénitude de responsabilités est fondamentale.
·la sécurité totale n'existe pas. Le but visé est de réduire les risques dans les limites acceptables par l'entreprise. Une méthode est donc nécessaire pour mener une telle étude.
La connaissance des méthodes Marion et Melisa peut s'avérer fort utile à ce niveau.
La présente étude est structurée selon l'architecture suivante:
·présentation des types de risques;
·appréciation générale de la sécurité;
·méthodologie de conception et de réalisation d'un plan de sécurité.

Sept types de risques

1) Risque de matériel
Il s'agit des risques matériels accidentels entraînant la destruction partielle ou totale des matériels ou des supports informatiques et de leur environnement.
2) Vol et sabotage de matériel
Le vol concerne essentiellement les petits matériels et les supports informatiques. Le sabotage physique revêt des formes variées (tournevis dans une imprimante par exemple).
3) Pannes et dysfonctionnements de matériel ou de logiciel de base
Les arrêts ou baisses de service d'un centre informatique ne sont pas des événements rares, mais la durée de ces anomalies est courte.
4) Erreurs de saisie, de transmission, d'utilisation des informations
Ce type d'erreurs est par essence considéré comme un risque d'entreprise, c'est à dire inhérent à toute action humaine.
5) Erreurs d'exploitation
Ces erreurs peuvent recouvrir des formes variées: oubli ou écrasement d'un fichier ou d'une sauvegarde, erreur de JCL, erreur de pupitrage, erreur de préparation ou de lancement.
6) Erreurs de conception et de réalisation
Une erreur de conception globale d'application peut avoir des conséquences graves sur la conformité des traitements qui seront ultérieurement réalisés ou sur leurs performances.
Les erreurs de réalisation sont en général moins graves mais plutôt d'ordre technique par rapport à un cahier des charges réputé juste.
7) Fraude, sabotage immatériel
On confond souvent les fraudes informatiques avec le détournement des fonds. La réalité est différente et correspond mieux aux ressources de l'imagination humaine. Le sabotage peut être matériel ou immatériel.

Appréciation générale de la sécurité

Il s'agit de l'ensemble des facteurs de sécurité, hors informatique, qui pèsent sur la sécurité elle-même.
Organisation générale
La Direction Générale doit jouer un rôle primordial en matière de sécurité: elle doit organiser au moins une réunion annuelle spécifique regroupant les responsables de fonctions et ceux de la sécurité.
·Contrôles permanents
Les contrôles visuels en amont permettent souvent d'éliminer de nombreux risques qui seraient passés inaperçus. Ceci exige des responsabilités définies pour des usagers et du personnel compétent.
·Réglementation de l'audit
Les contrôles informatiques ou non informatiques ne peuvent être réalisés que sur la base de règles définies.
Les procédures écrites doivent donc être structurées.
Facteurs socio-économiques
L'homme est un facteur important du risque direct ou indirect. Certaines de ces actions, génératrices de sinistres, sont volontaires ou involontaires, mais toujours influencées par le contexte et l'environnement.

Principes généraux de la sécurité
·Environnement de base: il faut tenir compte des éléments suivants: présence d'égouts, de conduites d'eau, de combustibles et liquides divers, de gaz, accès plus ou moins rapide et facile des moyens de secours, pollution atmosphérique, poussière, qualité de la distribution de l'électricité, qualité du réseau de télécommu-nication, qualité de l'alimentation en eau etc...
·Contrôles des accès
Il doit être cohérent, exhaustif et adapté. Ces contrôles peuvent être humains ou automatiques. Les moyens actifs concernent essentiellement: les contacteurs ou détecteurs, la cellule photo-électrique, les systèmes sous le sol sensible à la pression, les détecteurs soniques basse fréquence ou haute fréquence, géophones, lecteurs de cartes ou badges etc...
·Sécurité des matériels et des logiciels de base
Sécurité des télécommunications, protections complémentaires des données
Il convient de prendre un certain nombre de précautions indispensables:
- protection et surveillance du matériel de télécommunication dans une salle isolée ou salle blanche;
- surveillance permanente des écoutes en ligne
- surveillance et protection du ou des répartiteurs centraux qui ne devront pas avoir de fils affectés;
- les plans d'installation doivent être tenus secrets, les câbles blindés repérés avec un code non trivial.

Méthodologie de conception et de réalisation d'un plan de sécurité

La méthode Marion(1) permet, au travers d'une démarche structurée et progressive d'aboutir à un avant projet de sécurité informatique planifié sur trois ans.
Celui-ci présenté et discuté au cours d'une réunion de la Direction Générale, qui ensuite prendra éventuellement la décision d'engager la réalisation du plan d'orientation (les mesures techniques, les budgets et charges et le planning...)
Cette méthode intéresse notamment les assureurs pour lesquels elle constitue une base de référence ainsi que de grands utilisateurs préoccupés par les problèmes de sécurité.
La mise en place de la méthode est réalisée grâce à la création d'un comité d'application de la méthode regroupant diverses fonctions de la banque.
La méthode Marion constitue un support méthodologique pour l'entreprise et lui permet d'aboutir à un avant-projet de sécurité informatique. Quant à la méthode Melisa (Méthode d'Evaluation de la Vulnérabilité Résiduelle des Systèmes d'Information), elle contribue à l'évaluation des points faibles du système d'information, cette méthode permet d'atteindre un niveau de vulnérabilité minime tolérable pour l'entreprise.

La présente méthode permet de répondre aux questions suivantes:
- Que risque-t-on?
- Que peut-on risquer?
- Quel est le niveau actuel de la sécurité?
- Quels sont les contraintes?
- Quelles sont les orientations pratiques adoptées?
La méthode permet de mesurer les risques et d'en déduire un plan d'orientation cohérent.
Nous décrivons brièvement les six étapes qui constituent cette méthode:
- analyse de risques
Cette étape permet de déterminer les risques courus et dus à l'informatique.
Il convient de définir la typologie, la hiérarchie et les montants maximaux de ces risques.
- expression de risque maximal admissible
Cette étape permet de calculer la capacité de l'entreprise, c'est à dire la perte maximale qu'elle pourrait subir du fait des événements redoutés sans mettre en péril sa survie.
- analyse des moyens de la sécurité
Cette étape est fondée sur un audit de survol qui permet d'inventorier et de qualifier de manière cohérente et exhaustive les moyens de sécurité.
- évaluation des contraintes
Cette étape a pour but d'identifier et de préciser les différentes contraintes.
Il est loisible dans ces conditions de déduire la proportion minimale du budget supplémentaire à allouer à la sécurité.
- choix des moyens
Cette étape a pour objectif de préciser les moyens de sécurité sur lesquels il est prioritairement nécessaire d'intervenir.
Cette étape fournit la liste des moyens à mettre en oeuvre ou à améliorer.
- orientation et avant projet
Cette dernière aboutit à l'élaboration de l'avant projet qui tient compte des solutions techniques retenues, les coûts actualisés (directs ou indirects), et le planning.
A l'issue de cette étape, la Direction Générale peut alors éventuellement décider de la réalisation des propositions contenues dans l'avant-projet.
La figure suivante illustre la démarche arborescente de la méthode Marion:
Il n'existe pas une seule méthode Marion, mais au moins une dizaine en fonction des applications traitées:
- la méthode Marion-AP qui s'applique à un site donné ou à un ensemble de sites très voisins;
- la méthode Marion-RSX qui s'applique plus spécifiquement aux réseaux;
- la méthode Marion-PME qui répond au même souci de sécurité informatique, à savoir la mise en place dans l'entreprise d'un plan d'orientation cohérent, dans le contexte particulier des PME;
- Marion-PMS, Marion-MS, Marion-Micro+, etc... l'ensemble de ces applications repose sur une démarche cohérente d'analyse des risques: la méthode Marion.

Conclusion:
Le "zéro défaut informatique" est certainement la préoccupation majeure d'une entreprise. La devise de tous managers repose de plus en plus sur le tryplique: diriger, informatiser, sécuriser.
L'élimination des défaillances qui existent aussi bien dans les grandes que dans les petites entreprises passe par une approche méthodo-logique cohérente et efficace du contexte informatique.

Miloud GUERMATHA

* Docteur ès-sciences économiques
organisateur/informaticien chargé des normes et méthodes
Département des Applications Informatiques BMCI



(1) Marion: Méthode d'Analyse des Risques Informatiques et d'optimisation par Niveau. Cette méthode est développée par l'APSAIRD (Assemblée Plénière des Sociétés d'Assurances contre l'Incendie et les Risques Divers et le Clusif (Club de la Sécurité Informatique Français).

Chère lectrice, cher lecteur,

L'article auquel vous tentez d'accéder est réservé à la communauté des grands lecteurs de L'Economiste. Nous vous invitons à vous connecter à l'aide de vos identifiants pour le consulter.
Si vous n'avez pas encore de compte, vous pouvez souscrire à L'Abonnement afin d'accéder à l'intégralité de notre contenu et de profiter de nombreux autres avantages.

Mot de passe oublié?
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.
ABONNEZ-VOUS
  • SUIVEZ-NOUS:

  1. CONTACT

    +212 522 95 36 00
    [email protected]
    [email protected]
    [email protected]
    [email protected]
    [email protected]

    70, Bd Al Massira Khadra
    Casablanca, Maroc

  • Assabah
  • Atlantic Radio
  • Eco-Medias
  • Ecoprint
  • Esjc