La norme ISO 27001 de 2005 décrit les exigences pour la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI). Elle Concerne tous les types d’organisations : entreprise commerciale, administration, ONG…

L’efficacité du SI

Afin de pouvoir établir un tableau de bord permettant d’apprécier la qualité des procédures relatives à l’utilisation du 51, il convient dans un premier temps d’identifier les différents indicateurs de qualité des procédures.

Système d’information

Les dysfonctionnements du SI

La plupart des dysfonctionnements du système d’information proviennent de risques inhérents à sa gestion.

1. La notion de menace

Une menace représente le type d’action susceptible de
nuire à l‘intégrité du SI.

Exemple : les accidents majeurs (incendie, dégât des eaux) ; les phénomènes climatiques ou sismiques (crue…) ; les défaillances de la climatisation et les pertes d’alimentation énergétique ; l’espionnage industriel à distance ; le vol de supports, documents ou matériel ; une altération du logiciel : l’utilisation de copies frauduleuses.

2. La vulnérabilité

La vulnérabilité représente le niveau de faille ou d‘ex-
position d‘un systéme d’information face à la menace.

Exemple : un antivirus non à jour : la fatigue et/ou la négligence des collaborateurs ; la divulgation d’identifiants donnant des droits d’accès à des personnes non autorisées.

3. Les contre-mesures

Ce sont les parades ou actions mises en œuvre en prévention de la menace : des solutions techniques telles que les onduleurs (qui permettent de prolonger l’alimentation électrique des matériels qui utilisent le courant alternatif, lors d’une micro-coupure par exemple), des contrôles administratifs (règles. procédures…) ou bien des moyens de surveillance et de contrôle (identifiant, mot de passe, certificat…).

La sécurité du SI

Le Système de Management de la sécurité de l’information (SMSI) est destiné à choisir les mesures de sécurité capables d’assurer la protection (les biens sensibles d’une entreprise sur un périmètre défini.

La sauvegarde des données

a) La notion de sauvegarde

La sauvegarde (backup en anglais) est l’action de copier et de sécuriser les données contenues dans un système informatique. Elle peut s’effectuer sur des sites distants. Elle assure une fonction d’archivage, c’est-à-dire de conservation des données dans un état correspondant à une date donnée.

b) Les différents types de sauvegarde

Système d’information

e) Les critères du choix des moyens de sauvegarde

Le choix du moyen de sauvegarde prend en compte les données à sauvegarder, la fréquence et le mode de sauvegarde (sous forme de disques ou de bandes).

Exemple : des sauvegardes régulières sont à organiser :

  • Sauvegarde totale hebdomadaire ;
  • sauvegarde incrémentale quotidienne ;
  • sauvegarde système mensuelle.

En outre, la sauvegarde totale du dernier jour de l’année est conservée en tant que sauvegarde annuelle. Il est recommandé de conserver les sauvegardes dans un endroit à l’abri du feu et des inondations, par exemple dans un coffre ignifugé. Enfin, il faut impérativement prévoir une copie sur un site distant.

2. La sécurité des données du SI

a) La méthode EBIOS

La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode établie par la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI) pour identifier les besoins de sécurité d’un système d’information. Elle comporte quatre volets complémentaires :

  • Une étude du contexte ;
  • une expression des besoins ;
  • une étude des risques ;
  • une identification des objectifs de sécurité.

b) Identification, authentification et autorisation

La plupart des systèmes de sécurité informatique reposent sur :

  • L’identification : chaque usager doit être connu du système d’accès aux informations, ce qui suppose un nom d’utilisateur, c’est-à-dire un identifiant (user name) indispensable pour se connecter au système. Les usagers sont répertoriés dans un fichier « utilisateurs » (user file) ;
  • L’authentification : elle sert à vérifier l’identité d’un utilisateur. La configuration des comptes utilisateurs donne alors les autorisations d’accès à un service donné. Deux moyens permettent l’authentification d’une personne : le mot de passe, connu du seul utilisateur, et le certificat électronique, qui peut être délivré par une autorité de certification ;
  • L’autorisation : elle donne à l’utilisateur le droit d’accéder à diverses ressources et d’effectuer une ou plusieurs opérations précises en fonction de son statut.

c) Protection contre les virus, pourriels et logiciels espions

La protection contre les virus est aujourd’hui une démarche courante qui doit s’adapter à la diffusion croissante de nouvelles menaces :

  • Le virus est un programme dont l’objectif est de se propager à d’autres ordinateurs pour empêcher partiellement ou totalement leur bon fonctionnement. Sa propagation s’effectue généralement par les différents moyens d’échange numériques tel qu’Internet et, surtout, par l’intermédiaire des pièces jointes des messages électroniques ;
  • le logiciel espion (mouchard, espiogiciel ou spyware) est un programme qui s’installe sur un ordinateur à l’insu de l’utilisateur ; il recueille des informations relatives à l’utilisateur et les envoie à l’entreprise qui diffuse le mouchard. Celle-ci est alors en mesure de « profiler » des internautes à leur insu ;
  • le hameçonnage (phishing) consiste à obtenir frauduleusement des renseignements personnels dans le but de perpétrer une usurpation d’identité. Les auteurs indélicats misent sur la probabilité de pouvoir tromper les internautes qui auraient l’imprudence de communiquer des renseignements personnels (numéro de carte bancaire ou de compte bancaire). On peut devenir victime de hameçonnage en répondant à un site Web contrefait les informations demandées ;
  • le pourriel (spam) est un envoi massif de courriers électroniques à des destinataires ne l’ayant pas sollicités.
Système d’information

d) pare-feu et serveur mandataire

Un pare-feu est un équipement réseau qui contrôle le trafic réseau. Il utilise les informations d’un paquet IP (Internet Protocol, qui permet un service d’adressage unique pour l’ensemble des terminaux connectés) : adresse source, adresse de destination…, et celles du niveau protocolaire supérieur comme TCP ou UDP (ports source et destination) pour garantir le respect d’une politique de sécurité. Un serveur mandataire (proxy server en anglais) est à l’origine une machine faisant fonction d’intermédiaire entre les ordinateurs d’un réseau d’entreprise et Internet. Il est dit « mandataire » car la configuration du réseau oblige généralement à passer par son intermédiaire.

e) Le nettoyage de disque

Au fil des utilisations, un disque dur s’encombre obligatoirement, ce qui ralentit considérablement la vitesse d’exécution de certaines commandes de l’ordinateur. Il est alors nécessaire de supprimer les fichiers superflus en exécutant un « nettoyage de disque ”.

Exemple : l’utilitaire de nettoyage de Windows (Accessoires / Outils système / Nettoyage de disque) permet d’effectuer un tri. Il offre aussi la possibilité d’effacer des points de restauration système (qui permettent, le cas échéant, de revenir à une configuration telle qu’elle se trouve au jour où le Point a été créé) pour gagner de la place.

Exemple : pour les utilisateurs de PC sous Windows, le disque dur
comporte divers types de fichiers :

  • Les fichiers système, qui ont une extension en «.exe», «.dll», «.bin» ou «.com», et les fichiers d’aide (« .hpl» et «.chm»), qu’il ne faut en aucun cas modifier ou supprimer ;
  • les fichiers texte : «.txt», «.wri », «.doc»; les fichiers image : «.bmp », «.tiff», «.jpg», «.gif», «.Ïmg»; les fichiers personnels de type tableur (« .xls) et les pages Web : «.html» et cookies, qui sont les fichiers parmi lesquels s’effectue le nettoyage.

f) La récupération de données effacées

La perte de données, consécutive à la détérioration du disque dur (usure, choc électrique, mauvaise manipulation…), est encore fréquente. Diverses solutions logicielles permettent de retrouver des données effacées ou perdues lorsque la recherche manuelle d’un fichier s’est avérée infructueuse. Les logiciels de récupération de fichiers ne pourront en aucun cas recréer une partition abîmée : ils permettent simplement d’accéder à une partition « saine » afin de pouvoir récupérer les données. La création régulière d’une image système (GHOST) est une parade qui permet de gagner du temps dans la récupération des données.

Articles complémentaires :

  1. L’anticipation du risque
  2. La mise à jour d’une base d’information
  3. La production, le transfert et le suivi des documents
  4. L’approche quantitative