Université Pierre Mendès France            Institut dAdministration des Entreprises (IAE) de Grenoble                     ...
DédicaceLes grandes personnes ne comprennent jamais rien toutes seules, et c’est fatigant, pour lesenfants, de toujours et...
RemerciementsJe remercie tout d’abord mes deux directeurs de recherche: Mme. Moufida SADOK, qui m’aapporté sa compréhensio...
Table des matièresListes des figures ........................................................................................
2.2.4    Estimation de la perte potentielle relative à chaque ressource en cas de réalisation      de la menace .............
4.2.2         Rôles du médiateur ............................................................................................
Listes des figuresFigure 1. Démarche générale de la recherche ...............................................................
Liste des tableauxTableau 1. Budgets informatiques des hôpitaux .............................................................
Introduction GénéraleDomaine et Objet de la rechercheChaque jour les entreprises deviennent plus dépendantes des Nouvelles...
travail pour l’efficacité de l’activité des ERI et en mettant l’accent sur les aspects d’organisationet de management liés...
Plan du MasterCette recherche est divisée en cinq chapitres. Le premier chapitre présente les aspectsorganisationnels et d...
Chapitre 1 : Sécurité de l’information : Enjeux et état des pratiques                                                   In...
passer pour des clients (par exemple après le vol didentité) et 6% ont subi une violation deconfidentialité (Department fo...
1.1.1   Dépendance de l’Entreprise par Rapport aux TILes TI sont indispensables aux entreprises pour avoir un avantage con...
Les TI sont considérées comme stratégiques pour la grande majorité des entreprises, tous secteursconfondus et quelle que s...
Pour la connexion à distance du réseau des entreprises en comparant 2008 et 2010 :                           Figure 3. Con...
Dans l’année 2009, l’enquête a ajouté l’extorsion ou le chantage liés à la menace dattaque ou dediffusion des données de v...
Figure 4. Pertes financières des incidents de sécurité par annéeEn Angleterre, le coût global du pire incident dune organi...
Grande organisation   Petite organisation    la défaillance de systèmes ou de corruption des                      4       ...
Pas de                  81-100% of           pertes                                               Pas de pertes           ...
Ils ont besoin pour assurer une gouvernance correcte de lorganisation de déployer un processusde gestion des risques et un...
La mise en place suppose l’utilisation de méthodes et de techniques pour réaliser une détection etune analyse du risque af...
L’Angleterre entre 2% et 5% du budget des entreprises, le pourcentage du budget informatique aété consacré à la sécurité d...
de linformation - Techniques de sécurité - Systèmes de gestion de sécurité de linformation –Exigences) lors de l’étape 2 :...
Figure 11. Attribution de la fonction RSSI                  Figure 12. Prise en charge de la fonction RSSI, lorsqu’il n’ex...
denquête choisi au hasard de professionnels des technologies de linformation (ComputerSecurity Institute CSI, 2009).CLUSIF...
L’intérêt de cette recherche est de proposer un guide de travail pour les Equipes de Réponse auxIncidents de sécurité ERI,...
La détection des signaux faibles ou précoces n’a pas de signification individuellement, si cen’est, à travers un processus...
 Le manager de l’équipe, qui peut être le coordinateur ou le chef technique, coordonne,        supervise et oriente les a...
informations et, maintenant, est un sujet de gestion habituelle car nous verrons ci-dessous que lessolutions techniques ne...
ConclusionDans ce chapitre, nous avons montré à travers des chiffres de rapports d’organisationsspécialisées sur la sécuri...
Chapitre 2 : L’analyse du risque                                              IntroductionCe chapitre présente la première...
 Information d’anticipation : qui permet de voir venir à l’avance certains changements de        son environnement, dans ...
Importance : soutenir la prise de décision stratégique et les opérations au sein de l’entreprise, parexemple, codes daccès...
paiements électroniques, les téléchargements de fichiers ou les clés USB, disques dur etordinateurs portables doivent être...
2.1.3          Détermination des niveaux de barrière d’information liés à l’échange, à               l’accès et ou au stoc...
de la barrière en fonction des exigences de lenvironnement interne ou externe, alors ces niveauxsont dynamiques et non sta...
transferts par internet qu’une entreprise de pêcheurs, mais les pécheurs sont plus vulnérables dansle même cas.L’entrepris...
Les utilisateurs : Pour ces derniers, on doit analyser les vulnérabilités en deux aspects : lescompétences pour la manipul...
 Tremblements de terre, tsunamis, inondations     Lhygiène, lassainissement, et lergonomieCe sont quelques risques physi...
2.2.3            Estimation de la probabilité de l’occurrence des menacesPour notre recherche de classification du niveau ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents ...
Upcoming SlideShare
Loading in …5
×

Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents de sécurité

529 views
452 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
529
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
32
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents de sécurité

  1. 1. Université Pierre Mendès France Institut dAdministration des Entreprises (IAE) de Grenoble Mémoire pour l’obtention du Master Management Spécialité Recherche en Organisation Anticipation et gestion du risque numérique :Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents de sécurité Présenté par Andres PEREZ Directeurs de recherche : Moufida SADOK Institut Supérieur des Etudes Technologiques en Communications de Tunis Humbert LESCA Professeur émérite à l’UPMF de Grenoble 2010
  2. 2. DédicaceLes grandes personnes ne comprennent jamais rien toutes seules, et c’est fatigant, pour lesenfants, de toujours et toujours leur donner des explications. Antoine de Saint-Exupéry « Le petit prince », 1943 Ce mémoire est dédicacé à ma mère qui m’a motivé à accomplir mes rêves, mon père avec ses phrases « les choses faciles ont été déjà faites, celles importantes sont difficiles », ma sœur qui est toujours là pour m’aider, mon petit frère qui va devoir se battre pour ses rêves, Anne pour son soutien et la continuation de nos rêves en Colombie, La Police Nationale de Colombie « Tous avec le même cœur » 2
  3. 3. RemerciementsJe remercie tout d’abord mes deux directeurs de recherche: Mme. Moufida SADOK, qui m’aapporté sa compréhension et qui grâce à sa discipline de travail m’a permis de progresser dansma recherche; M. Humbert LESCA pour l’intérêt qu’il a manifesté pour mon sujet et les conseilsqu’il m’a donné dans ma recherche.Je tiens à remercier M. Christian DEFELIX et M. Daniel LLERENA qui m’ont donnél’opportunité de faire mon master en France à l’IAE de Grenoble.Je remercie également M. Ricardo ROMERO pour m’a montré la manière de monter haut et loi.Mme. Danielle Prevosti, professeur de Français retraitée qui à du faire face à mon écriture.Enfin, merci aux Policiers de Colombie, l’Université Nationale de Colombie, Mme. ValérieMARCHAL, M. Hubert DROUVOT et Mme. Hélène CRUZ pour leurs aide dans les procéduresadministrative qui m’a permis de venir en France pour d’y effectuer mon master.A toutes les personnes qui m’ont aidés. 3
  4. 4. Table des matièresListes des figures ................................................................................................................... 7Liste des tableaux ................................................................................................................. 8Introduction Générale .......................................................................................................... 9Chapitre 1 : Sécurité de l’information : Enjeux et état des pratiques........................... 12Introduction ........................................................................................................................ 12 1.1 Ampleur du Risque Numérique ....................................................................................... 12 1.1.1 Dépendance de l’Entreprise par Rapport aux TI ............................................ 14 1.1.2 Les enjeux du risque numérique..................................................................... 16 1.1.3 Caractéristiques du risque numérique ............................................................ 17 1.2 Gestion et organisation de la sécurité de l’information ................................................... 20 1.2.1 La politique de sécurité .................................................................................. 21 1.2.2 L’analyse du risque ........................................................................................ 23 1.2.3 Le responsable Sécurité des Systèmes d’Information .................................... 24 1.3 Intérêt et pertinence de la recherche ................................................................................ 26 1.3.1 Rôles et activités des ERI ............................................................................... 27 1.3.2 Intérêt managérial .......................................................................................... 29 1.3.3 Intérêt académique ........................................................................................ 29Conclusion ........................................................................................................................... 31Chapitre 2 : L’analyse du risque ...................................................................................... 32Introduction ........................................................................................................................ 32 2.1 Identification des flux informationnels ............................................................................ 32 2.1.1 Classification de l’information ....................................................................... 33 2.1.2 Identification des conditions d’exploitation, de traitement et de production des informations dans la chaîne de valeur de l’entreprise ................................................... 34 2.1.3 Détermination des niveaux de barrière d’information liés à l’échange, à l’accès et ou au stockage ............................................................................................................... 36 2.2 Identification des vulnérabilités et menaces .................................................................... 37 2.2.1 Identification des vulnérabilités liées à l’organisation, à l’opération et à L’échange des flux informationnels ............................................................................................... 38 2.2.2 Identification des menaces qui peuvent affecter les ressources critiques ...... 39 2.2.3 Estimation de la probabilité de l’occurrence des menaces ............................. 41 4
  5. 5. 2.2.4 Estimation de la perte potentielle relative à chaque ressource en cas de réalisation de la menace .................................................................................................................. 42 2.2.5 Estimation du coût des actions d’audit et de surveillance des systèmes afin de réduire le risque............................................................................................................. 42 2.3 Définition des mesures de protection .............................................................................. 43 2.3.1 Contrôles d’information et chiffrement dinformation ................................... 44 2.3.2 Temps de destruction et de diminution de niveau .......................................... 46 2.3.3 Identification de l’émetteur et du récepteur dinformation ............................. 47 2.3.4 Sécurité physique ........................................................................................... 49 2.3.5 Mesures de sécurité spéciales ......................................................................... 49Conclusion ........................................................................................................................... 50Chapitre 3 : Techniques de monitoring et vérification de l’efficacité des mesures deprotection ............................................................................................................................ 51Introduction ........................................................................................................................ 51 3.1 Identification des points de contrôle ................................................................................ 51 3.1.1 Identification des ressources informatiques et des réseaux de communication53 3.1.1 Temps dutilisation des applications et temps de manipulation des informations 54 3.1.3 Contrôle de limites des utilisateurs ................................................................ 55 3.2 Définition des métriques .................................................................................................. 56 3.2.1 Typologie des métriques ................................................................................ 56 3.2.2 Test d’opérabilité et du fonctionnement du système qui gère la métrique ..... 59 3.2.3 Coût du système d’alarme .............................................................................. 59 3.3 Détermination des moyens de protection ........................................................................ 60 3.3.1 Vérification de l’efficacité des mesures de protection ................................... 60 3.3.2 Activation de l’alarme .................................................................................... 60Conclusion ........................................................................................................................... 61Chapitre 4 : Amplification des alarmes et réponse aux incidents de sécurité .............. 62Introduction ........................................................................................................................ 62 4.1 Processus d’amplification ................................................................................................ 62 4.1.1 Détection signaux faibles ............................................................................... 63 4.1.2 Amplification et création des liens ................................................................ 64 4.1.3 Représentation Figure du modèle conceptuel ................................................ 65 4.2 Rôle de la médiation ........................................................................................................ 67 4.2.1 Médiation et création collective de sens......................................................... 68 5
  6. 6. 4.2.2 Rôles du médiateur ......................................................................................... 69 4.2.3 Heuristiques pour assister l’activité du médiateur ....................................... 70 4.3 Scenarios d’attaque ......................................................................................................... 71Conclusion ........................................................................................................................... 72Chapitre 5 : Réparation et mise à jour du système de protection ................................. 73Introduction ........................................................................................................................ 73 5.1 Réparation des dégâts occasionnés par les incidents de sécurité ..................................... 73 5.1.1 Dégâts directs et indirects............................................................................... 73 5.1.2 Dégâts matériels et immatériels ..................................................................... 73 5.2 Anticipation des protections nécessaires pour réduire le risque d’être attaqué de nouveau dans le futur ................................................................................................................................ 74 5.2.1 Solutions techniques ..................................................................................... 74 5.2.2 Solutions managériales .................................................................................. 74 5.2.3 Solutions humaines ....................................................................................... 75 5.3 Constitution d’une base de données et de connaissances ................................................ 75 5.3.1 Mémorisation des événements ...................................................................... 75 5.3.2 Base des connaissances pour le stockage des scenarios d’attaques .............. 75 5.4 Changements opérés au niveau de l’organisation et le traitement des flux informationnels 76 5.4.1 Les processus d’exploitation et de manipulation de l’information ............... 76 5.4.2 L’analyse du risque ....................................................................................... 76 5.4.3 Le processus de monitoring.......................................................................... 76 5.4.4 Le processus d’amplification........................................................................ 77 5.5.5 Communication aux employés et aux partenaires ......................................... 77Conclusion ........................................................................................................................... 77Conclusion générale ........................................................................................................... 78Bibliographie ....................................................................................................................... 79Annexe ................................................................................................................................. 82 6
  7. 7. Listes des figuresFigure 1. Démarche générale de la recherche ................................................................................ 10Figure 2. Dépendance des entreprises à linformatique .................................................................. 14Figure 3. Connexion à distance aux réseaux d’entreprises ............................................................ 16Figure 4. Pertes financières des incidents de sécurité par année .................................................... 18Figure 5. Pourcentage des incidents ............................................................................................... 19Figure 6. Malveillants et Non-malveillants .................................................................................... 20Figure 8. Appui de la PSI entreprise sur une « norme » de sécurité .............................................. 22Figure 9. Budget informatique pour la sécurité de linformation ................................................... 23Figure 10. Part du budget informatique consacrée à la SSI ........................................................... 23Figure 11. Méthode danalyse des risques utilisée ......................................................................... 24Figure 12. Attribution de la fonction RSSI .................................................................................... 25Figure 13. Prise en charge de la fonction RSSI, lorsqu’il n’existe pas de RSSI ............................ 25Figure 14. Répartition des missions du RSSI ................................................................................. 26Figure 15. Trois flux d’information de l’entreprise ....................................................................... 33Figure 16. Phases du guide proposé ............................................................................................... 43Figure 17. Cycle de vie de linformation ........................................................................................ 46Figure 18. Classification de barrière .............................................................................................. 46Figure 19. Composants des Anneaux de sécurité ........................................................................... 52Figure 20. Cycle du monitoring des Ressources informatiques, réseaux, trafic dinformation...... 53Figure 21. Cycle de monitoring des applications et des manipulations ......................................... 55Figure 22. Cycle de monitoring des limites des utilisateurs .......................................................... 55Figure 23. Cycle des métriques quantitatives ................................................................................. 57Figure 24. Zones des analyses ........................................................................................................ 58Figure 25. Cycle des métriques qualitatives ................................................................................... 58Figure 26. Les phases de MARRAN .............................................................................................. 62Figure 27. Chemin de raisonnement .............................................................................................. 65Figure 28. Exemple raisonnement conceptuel pour les ERI .......................................................... 66 7
  8. 8. Liste des tableauxTableau 1. Budgets informatiques des hôpitaux ............................................................................ 15Tableau 2. Le coût global du pire incident dune organisation ....................................................... 18Tableau 3. Le nombre médian de violations subies ....................................................................... 19Tableau 4. Orientation de linformation ......................................................................................... 33Tableau 5. Matrice d’identification type et raison ......................................................................... 39Tableau 6. Analyses de probabilité ................................................................................................ 41Tableau 7. Contrôle didentification de l’émetteur et du récepteur ................................................ 47 8
  9. 9. Introduction GénéraleDomaine et Objet de la rechercheChaque jour les entreprises deviennent plus dépendantes des Nouvelles Technologies del’Information et de la Communication (NTIC), notamment l’Internet afin de réduire les coûts,améliorer la qualité, fournir de meilleurs services aux clients et ainsi développer et maintenir unavantage concurrentiel.Cependant, cette dépendance expose l’entreprise aux agressions ou attaques numériques contreses ressources informationnelles. Ces actions sont de plus en plus complexes et dangereuses. Lavisibilité des agressions numériques n’est clairement possible que lorsqu’elles sont terminées, deplus une entreprise peut être victime d’une agression sans en avoir conscience. La complexités’accroît dans la mesure où les pirates sont de plus en plus inventifs. Les enjeux stratégiques desagressions numériques pour une entreprise ne se limitent pas à des pertes financières. Ils peuventconcerner également son image de marque ou son capital client ainsi que son efficacité et lacontinuité de son activité.Ainsi, l’entreprise devrait développer un ensemble de mesures techniques et managériales afin degérer et réduire le risque numérique. Notre recherche concerne un aspect particulier de la fonctionsécurité à travers le travail des équipes de réponse aux incidents (ERI) de sécurité. Nousproposons un guide de travail pour planifier, organiser et contrôler l’intervention de ces équipesafin de maintenir un niveau de sécurité acceptable.Intérêt et objectifs de la RechercheD’un point de vue managérial, ce travail soulève un problème important lié à la gestion de lasécurité au sein de l’entreprise. En effet, l’insuffisance des solutions techniques de sécurité face àla complexité et l’imprévisibilité croissantes des attaques numériques obligent les entreprises àvaloriser le rôle des ERI. L’analyse de l’état des pratiques des entreprises montre un manque deméthodes appropriées afin de soutenir leur travail ainsi que de capitaliser leurs expériences etconnaissances.Comme apport académique, ce travail intègre différents concepts dans un domaineprincipalement dominé par les informaticiens et les ingénieurs réseaux en proposant un guide de 9
  10. 10. travail pour l’efficacité de l’activité des ERI et en mettant l’accent sur les aspects d’organisationet de management liés à la sécurité des informations au sein de l’entreprise. De plus, le présenttravail prend la suite d’un travail de recherche élaboré au sein de l’équipe de Professeur Lesca(CERAG, CNRS UMR 5820 UPMF) dans le domaine de la veille anticipative stratégique pourréduire le risque des agressions numériques (Sadok, 2004).Ainsi, les objectifs à travers ce travail peuvent être articulés autour des axes suivants : 1. Analyse des états pratiques des entreprises en matière de gestion de la sécurité 2. Identification et définition des activités nécessaires dans le travail des ERI 3. Elaboration d’un guide de travail pour assister le travail des ERI de sécurité.MéthodologieCe travail est de nature exploratoire où le chercheur peut intégrer des connaissances théoriques àtravers des articulations de connaissances disponibles dans une étude bibliographique enpermettant la création de nouvelles connaissances actionnables pour des organisations pourmodéliser un guide de travail pour l’anticipation et la gestion du risque numérique.Pour répondre aux objectifs de la recherche, un entretien a été réalisé avec à un experte dans ledomaine de la sécurité des réseaux afin de comprendre et de définir le rôle et les activitésaccomplis par les ERI. De même, nous avons étudié et analysé les résultats empiriques desrapports spécialisés dans la sécurité de l’information et publiés récemment par le commeComputer Security Institute aux Etats Unis (CSI), Information Security Breaches Survey auRoyaume Uni et le Club de la Sécurité de l’Information Français (CLUSIF). Articulation des connaissances •Connaissances Théoriques •Limites • Rapports Spécialisés •Identification des activités •Futures Recherches du guide •Entretien avec un Expert •Identification des tâches liées à chaque activité •Elaboration du guide Conception du Proposition du Guide de Travail Guide Figure 1. Démarche générale de la recherche 10
  11. 11. Plan du MasterCette recherche est divisée en cinq chapitres. Le premier chapitre présente les aspectsorganisationnels et de management de la fonction la sécurité de l’information à travers l’étudedes rapports officiels publiés par des organismes internationaux spécialisés. Les quatre chapitresdécrivent les activités du guide de travail des ERI. Ainsi, le deuxième chapitre traite l’analyse durisque. Le troisième chapitre sera consacré aux techniques de monitoring et de vérification del’efficacité des mesures de sécurité implémentées. Le quatrième chapitre fait la relation entre laméthode MARRAN (Sadok, 2004) et le guide de travail proposé lors de l’activité d’amplificationdes alarmes et de réponse aux incidents de sécurité. Le cinquième chapitre présentera les mesuresde réparation des dégâts occasionnés par les incidents de sécurité et de mise à jour du système deprotection. 11
  12. 12. Chapitre 1 : Sécurité de l’information : Enjeux et état des pratiques IntroductionLes objectifs de ce chapitre sont, premièrement, mettre l’accent sur l’importance de la sécurité del’information pour l’entreprise à l’ère numérique, deuxièmement, présenter les résultats desétudes réalisées dans ce domaine (Club de la Sécurité de lInformation Français CLUSIF, 2010 ;Computer Security Institute CSI, 2009 ; Europe & PricewaterhouseCoopers, 2010 ; Departmentfor Business, Enterprise & Regulatory Reform (BERR), 2008) ;troisièmement, mettre l’accent surla nécessité de l’intervention humaine (à travers le travail de l’ERI1) dans le processus de réponseet d’anticipation du risque numérique. Ainsi, nous montrons d’une part comment les entreprisesdeviennent plus dépendantes des TI et la situation actuelle des risques numériques selon lespertes financières, ainsi que l’importance qu’elles acquièrent dans les agendas de la hautedirection. D’autre part, nous décrivons l’état des pratiques des entreprises en matière de gestionde la sécurité de l’information, notamment la politique de sécurité, l’analyse du risque et ladéfinition du rôle du RSSI2.1.1 Ampleur du Risque NumériqueComme définition du risque numérique, nous avons cette éventualité qui empêche lesorganisations d’arriver au but, également le risque de la probabilité qu’une menace se matérialise,une menace qui utilise des vulnérabilités qui existent d’une manière active, générant pertes etdommages.Au Royaume Uni, pendant l’année 2008, les grandes entreprises ont eu 96% d’incidents desécurité, nombre moyen d’incidents >400 (>1,300) et ses coûts du pire incident de lannée de£1m à £2m ; également 13% ont détecté des étrangers non autorisés au sein de leur réseau, 9%de faux (phishing) e-mails envoyés à leurs clients pour demander des données, 9% avaient fait1 Equipe de Réponse aux Incidents de Sécurité2 Responsable de la Sécurité des Systèmes d’Information 12
  13. 13. passer pour des clients (par exemple après le vol didentité) et 6% ont subi une violation deconfidentialité (Department for Business, Enterprise & Regulatory Reform (BERR), 2008).Selon l’étude de Computer Crime and Security Survey faite par Computer Security Institute CSIen décembre 2009, parmi 443 entreprises dans plusieurs secteurs industriels des Etats-Unis, 102entreprises ont eu des pertes par $234.000. En 2009, il y a eu une réduction par rapport à 2008qui a eu $289.000 ; la troisième part des organisations interrogées ont été représentées de façonfrauduleuse : lexpéditeur dun message de phishing (Computer Security Institute CSI, 2009).Dans cette enquête, les principaux types d’attaques ont été de 64,3% avec malware infection,42,2% avec Ordinateur portable ou vol ou perte de matériel mobile, 34% représentés de façonfrauduleuse par lexpéditeur dun message de phishing, 30% avec des abus daccès Internet ou e-mail, 29% avec service déni, 23% avec Bots / zombies au sein de lorganisation, 20% avecfraude financière.Les dernières entreprises ont eu en moyenne $450.000 de pertes par organisation ; après unincident de sécurité, 22% des réponses d’envoi de notification aux personnes infectées et 17%acquièrent de nouveaux services de sécurité.Ce rapport montre que 25% des répondants estiment que plus de 60% de leurs pertes financièressont dues à des actions malveillantes; La plupart des répondants estiment que leur investissementdans la formation et les mesures de sécurité était adéquate mais la sensibilisation des utilisateurs àla sécurité était inadéquate.Les entreprises montraient une diminution de la sous-traitance des services de sécurité, 71% desentreprises ne le faisaient pas en comparaison avec l’année 2008 où 59% ne le faisait pas. Lesrépondants ne sont pas tout à fait contents des solutions techniques, mais les ont expérimentées,aussi ils demandent une solution depuis le management.67,8% a expérimenté l’usage du Retour Sur investissement (ROI), outre la Valeur Présent Net(VPN) ou Taux de Rendement Interne (IRR), ceux-ci comme métrique pour la sécurité. Engénéral, les organisations considéraient les efforts de sécurité comme ayant un effet positif dansl’organisation.Alors, le risque numérique est à lordre du jour des entreprises pour les dommages financiers qu’ilcause et pour la croissante dépendance en IT. Aussi ces rapports montrent chaque fois davantageque les entreprises ont des faiblesses au niveau de la sécurisation des systèmes d’information. 13
  14. 14. 1.1.1 Dépendance de l’Entreprise par Rapport aux TILes TI sont indispensables aux entreprises pour avoir un avantage concurrentiel ou rester dans unmarché compétitif. Les organisations sont de plus en plus interconnectés à Internet, ainsi enAngleterre durant l’année 2008, 97% des entreprises ont eu une connexion haut débit à Internet,93% ont eu un site Web corporatif, 54% permettent au personnel daccéder à leurs systèmes àdistance et 84% sont fortement dépendants de leurs systèmes de TI (Department for Business,Enterprise & Regulatory Reform (BERR), 2008).Dailleurs, cette enquête montre qu’en 2008 les services financiers, les télécommunications et lessociétés dénergie sont les plus préoccupées par la corruption des documents alors que leur chiffredaffaires dépend en grande partie de documents électroniques.Au cours de l’année 2010, en Angleterre, le taux dadoption de nouvelles technologies sestaccéléré les deux dernières années. En conséquence, la plupart des répondants utilisentmaintenant des réseaux sans fil, 85% utilisent le réseau Wireless (42% en 2008), accès à distanceet 47% (17% en 2008) utilise la téléphonie Voix sur IP (VoIP), 32% envisagent lutilisation desites de réseaux sociaux comme important pour leurs affaires, et les logiciels en tant que serviceont déplacé lutilisation dInternet au-delà des sites Web et e-mail. L’enquête sur les résultats delexercice montre que lenvironnement des entreprises est en pleine mutation, 34% desentreprises dépendent essentiellement de lextérieur des services hébergés de logiciels accessiblessur Internet (Europe & PricewaterhouseCoopers, 2010).Quant à la France, la dépendance à l’informatique peut s’observer dans le schéma suivantillustration du CLUSIF: Figure 2. Dépendance des entreprises à linformatique 14
  15. 15. Les TI sont considérées comme stratégiques pour la grande majorité des entreprises, tous secteursconfondus et quelle que soit leur taille, 73% dentre elles jugent lourde de conséquences uneindisponibilité de moins de 24 h de leurs outils informatiques (avec un maximum de 83% pour lesecteur du commerce) (Club de la Sécurité de lInformation Français CLUSIF, 2010).Ce rapport montre un budget informatique moyen à €1,45 million, lorsquon les interroge sur leurbudget informatique, 51% des entreprises répondent (soit 2 fois plus qu’en 2008). Ainsi, 58% ontun budget inférieur à 1 million deuros, 20% compris entre 1 et 2 millions deuros et 15% entre 2et 5 millions deuros. Enfin, 7% des budgets sont supérieurs à 5 millions deuros pour unmaximum de 20 millions deuros.CLUSIF a étudié le budget informatique dans les hôpitaux français, Il doit être noté que, dans ledomaine hospitalier, une partie non négligeable des investissements informatiques est réaliséedirectement dans les services qui sont représentés dans le tableau : Tableau 1. Budgets informatiques des hôpitauxDans le cas des internautes, CLUSIF montre que les foyers ont augmentés de 5% les deuxdernières années, leurs budget informatique. La connexion à Internet est permanente (dès quel’ordinateur est allumé) pour 80% des internautes, ce qui est stable, 58% déclarent établir desconnexions en déplacement hors de leur domicile (23% souvent et 35% plus rarement) parexemple 3G/EDGE, iPhone, Blackberry ; souvent, ils sont en train de changer les connexionsfamilières par wifi.Les usages de l’internaute sont : 96% stockent et manipulent des photos ou des vidéos, 90%traitent des documents personnels (courriers, comptabilité, etc.), seuls 42% traitent desdocuments professionnels (ce chiffre est en baisse par rapport aux 49% de l’enquête 2008).L’enquête confirme bien que l’ordinateur familial est utilisé uniquement pour un usage privé par70% des personnes, 23% faisant un usage mixte et 2% un usage strictement professionnel. Lesjeunes (15-24 ans) étant deux fois plus nombreux (46%) à déclarer panacher un usage privé et «professionnel ». 15
  16. 16. Pour la connexion à distance du réseau des entreprises en comparant 2008 et 2010 : Figure 3. Connexion à distance aux réseaux d’entreprisesEgalement 42% utilisent l’ordinateur familial pour stocker et manipuler des documentsprofessionnels ou de travail. Les TI sont présentes dans toutes les activités sociales, culturelles,de travail, pour les organisations ou les internautes. Ces outils sont en train de changer la viesociale de l’humanité et ils créent une dépendance pour faciliter l’accès à l’information, auxachats ou simplement l’interaction avec les autres. 1.1.2 Les enjeux du risque numériqueL’environnement des risques numériques est en constant évolution, les pirates informatiquescréent de nouvelles façon d’attaquer les systèmes d’information, les risques cohabitentconstamment dans le travail quotidien. Ils sont tout le temps latents, même lorsqu’ils ne sont paspossibles ou qu’on ne peut pas les identifier donc l’unique manière d’éviter un risque est dedétruire l’activité qu’elle a générée (Sena & Tenzer, 2004).L’évolution des menaces de sécurité est rapide, par exemple CSI a ajouté en 2007 dans sesrapports quatre types d’attaques et le pourcentage des entreprises touchées selon le rapport 2009,qui ont eu l’expérience des entreprises Bots / zombies au sein de lorganisation avec 23%, l’Êtrereprésentée frauduleusement comme expéditeur de messages de Phishing avec 34%, Mot depasse reniflant avec 17%, Exploit du serveur DNS avec 7%, abus de messagerie instant avec 8%.Pour l’année 2008, il a ajouté le vol ou laccès non autorisé à des informations personnellesidentifiables (PII sigle Anglais) ou de vol dinformations personnelles de santé (PHI sigleAnglais) en raison du vol dispositif mobile ou pertes avec 6%, le vol ou laccès non autorisé à lapropriété intellectuelle suite à un vol d’ appareil mobile ou de pertes avec 6%, le vol ou laccèsnon autorisé à PII ou causes PHI en raison de tous les autres 10%, le vol ou laccès non autorisé àla propriété intellectuelle en raison de toutes les autres causes avec 8%. 16
  17. 17. Dans l’année 2009, l’enquête a ajouté l’extorsion ou le chantage liés à la menace dattaque ou dediffusion des données de vol avec 3%, lexploitation dautres des partenariats public-face site Webavec 6%, l’exploitation du profil de lutilisateur du réseau social avec 7%, laccès non autorisé ouélévation de privilèges par un initié avec 15%, la pénétration du système par outsider avec 8%.Ci-dessus s’explique le dynamisme des pirates pour profiter de chaque avance technologique etfaire le mal ; cette tendance semble constituer chaque année l’occurrence de nouvelles menaces,qui génèrent des coûts financiers pour les entreprises. C’est pour cette raison que les entreprisesaméliorent ses systèmes de sécurité d’information afin de les adapter à l’environnement enmutation.Les enjeux du risque numérique poussent les entreprises au développement de politiques et destratégies de sécurité, l’augmentation de la capacité d’anticipation et la réponse aux attaques àtravers des solutions plus sophistiquées : des techniques, une méthodologie et des processus detravail. 1.1.3 Caractéristiques du risque numériquePour le cas de notre étude, nous allons identifier les caractéristiques principales des risquesnumériques (Ghernaouti-Hélie, 2002) :  Ils pourraient causer des dégâts pouvant être importants  Son occurrence est plus ou moins probable  Son origine peut être accidentelle ou volontaireLa possibilité des dégâts par exemple financiers, les attaques affectent les pays : les répondantsont subi aux Etats Unis, en moyenne, $234,000 dans les pertes dues à des incidents de sécuritéentre Juillet 2009 à Juin 2008. Il sagit dune baisse de 19 pour cent de la moyenne de lan dernierde $289,000;qui était une baisse de 16 pour cent à partir de 2007 la moyenne de $345.000(Computer Security Institute CSI, 2009, p. 11) : 17
  18. 18. Figure 4. Pertes financières des incidents de sécurité par annéeEn Angleterre, le coût global du pire incident dune organisation de lannée 2009, Le coût totalmoyen vari entre £ 27,500 et £ 55.000. Une tendance similaire est observée parmi les répondantsdes grandes entreprises, avec le coût total moyen du pire incident se maintenant entre £ 280 000et £ 690 000 (Europe & PricewaterhouseCoopers, 2010) : Grande organisation Petite organisation £15,000 - £30,000 £200,000 - £380,000 Linterruption des activités sur 2-4 jours sur 2-5 jours £600 - £1,500 £6,000 - £12,000 Le temps passé à répondre aux incidents 2-5 jours-homme 15-30 jours-homme Trésorerie directe consacrée à répondre à £4,000 £7,000 £25,000 lincident Pertes financières directes (par exemple la £3,000 £5,000 £25,000 perte dactifs, amendes, etc.) Perte indirecte financière (par exemple le vol £5,000 £10,000 £15,000 de la propriété intellectuelle) Atteinte à la réputation £100 £1,000 £15,000 Coût total du pire incident en moyenne £27,500 £55,000 £280,000 comparative 2008 £10,000 £20,000 £90,000 Tableau 2. Le coût global du pire incident dune organisationDans le cas, son occurrence pour l’année 2010 : 92% des grands entreprises >250 employés etdes petit entreprises <50 employés 83%. Ils ont eu des incidents de sécurité la dernière année ;46% des répondants avaient de grandes attaques personnelles pertes ou fuites de donnéesconfidentielles, 45% des violations de la confidentialité ont été très graves ou extrêmementgraves (contre seulement 15% dautres types dinfractions), Le nombre moyen des violationssubies par les organisations concernées dans l’année 2009 en Angleterre, statistiques équivalentescomparées à 2008, elles sont indiquées entre parenthèses (Europe & PricewaterhouseCoopers,2010): 18
  19. 19. Grande organisation Petite organisation la défaillance de systèmes ou de corruption des 4 2 données (3) (1) Infection par des virus ou autres logiciels 2 1 malveillants (3) (2) 4 8 Vol ou fraude impliquant des ordinateurs (2) (1) 20 7 Dautres incidents causés par le personnel (9) (6) Attaques par un étranger non autorisé (y compris 28 13 les tentatives de piratage) (11) (6) 45 14 Tout incident de sécurité (15) (6) Tableau 3. Le nombre médian de violations subies Tout incident de sécurité Un incident de sécurité accidentelle Un incident de sécurité malveillant Un incident grave ISBS 2010 Grande organisation ISBS 2010 Petite organisation ISBS 2008 Global Figure 5. Pourcentage des incidentsSelon ces données, plus de 80% des organisations par année ont au moins un incident de sécuritéet les pourcentages hauts sont graves, c’est-à-dire que les risques numériques sont d’uneprobabilité forte et des organisations ont besoin de plusieurs outils pour combattre, réduire etanticiper.Pour sa caractéristique d’origine peut-être accidentelle ou volontaire, aux Etats Unis lepourcentage de pertes dues à des incidents selon CSI dans son rapport 2009, malveillants et nonmalveillants, deux types différents de menaces sont posés par lemployé malveillant qui tire partid’ informations à lintérieur pour mener une attaque ciblée avec un effet très grand et ceux quisont posés par le bien intentionné utilisateur moyen qui divulgue des données à un ingénieursocial simplement parce quils ne savent pas mieux : 19
  20. 20. Pas de 81-100% of pertes Pas de pertes 81-100% of Losses (56.8%) (34.2%) Losses (0.7%) (16.1%) 61-80% 1-20% des 61-80% des 1-20% des des pertes pertes pertes pertes (4.3%) (24.1%) (8.9%) (26.6%) 21-40% des 21-40% des pertes (9.3%) pertes (8.9%) Figure 6. Malveillants et Non-malveillantsCeux-ci créent un risque accidentel ou involontaire qui pourrait générer des dégâts avec unehaute probabilité. Il est intéressant de noter que 43.2% des répondants ont déclaré quau moinsune partie de leurs pertes étaient imputables à des initiés malveillants ; mais les initiés clairementnon-malveillants sont les plus grands problèmes.1.2 Gestion et organisation de la sécurité de l’informationL’anticipation du risque numérique a besoin d’une très bonne gestion de la fonction sécurité del’information au sein de l’entreprise. Dans notre proposition de guide, il y a trois phases degestion de l’information qui sont l’identification des flux organisationnels, l’analyse du risque,l’initialisation du monitoring et la vérification de l’efficacité, ceux-ci nous les considéronscomme les principales techniques de gestion d’informations sans oublier d’autres phases quigèrent aussi l’information, ce sont des phases d’ Amplification des alertes et de réponse auxincidents, mitigation et mise à jour du système de protection.Les organisations devraient mettre en place un processus de gouvernance de la sécurité delinformation, notamment pour protéger lorganisation de linformation des actifs (Humphreys,2008) ; c’est la raison pour laquelle, dans lenquête de l’année 2010, l’ISBS en Angleterremontre que l’information de sécurité pour la haute direction des grandes entreprises a 28% de trèshaute priorité, 41 % de hautes priorités et seulement 6% de faibles priorités, 1% sans priorité.Pour le cas des petites entreprises. 41% considèrent l’information de sécurité de très hautepriorité, 36% de haute priorité et seulement 7% de faible priorité et 1% sans priorité. 20
  21. 21. Ils ont besoin pour assurer une gouvernance correcte de lorganisation de déployer un processusde gestion des risques et un système efficace de contrôles internes, en place pour soutenir ceprocessus de gestion des risques. Lhistoire de linformation de la sécurité est une série de défauts(parfois profondément viciés) et de succès. La communauté déplore que les attaquants possèdentun avantage tactique ; on ne peut nier que les pare-feu partout et une couverture de logiciels anti-virus ont réduit un certain nombre dattaques dévastatrices, une fois largement hors de propos(Humphreys, 2008)Le guide proposé est un outil de gestion qui permet la gestion de l’information de toutel’organisation, la gestion de l’information de sécurité et l’anticipation aux attaques numériques,comme il est écrit plus loin dans le document. Nous expliquons chaque phase de la gestion del’information. 1.2.1 La politique de sécuritéLa politique de sécurité détermine d’une façon claire, précise les règles, les limites et lesautorisations assignées aux utilisateurs du système d’information ; la détection et la réponse sonttrès difficiles à cause de l’ambiguïté des informations, pour réduire le risque à un niveauacceptable par l’utilisation des solutions de sécurité adaptées à leurs besoins et en fonction descaractéristiques de leurs services offerts pour assurer la confidentialité, l’intégrité et ladisponibilité des informations. La politique de sécurité tient compte de la taille de l’entreprise, desa nature et de ses besoins d’activité, du degré d’ouverture du réseau de l’entreprise et del’organisation de ses services (Sadok, Impact des lois de la sécurité financière sur la gestion dusystème dinformation). Elle comprend des documents et des guides décrivant de manièreformelle les principes ou les règles auxquelles se conforment les personnes qui ont le droitd’accès au système d’information de l’entreprise (Sadok, Veille anticipative stratégique pourréduire le risque des agressions numériques, 2004).Aux Etats Unis, selon le rapport ISBS 2010, 90% des grandes organisations ont une politique desécurité de linformation documentée officiellement et les petites organisations, 67%, en Franceselon le CLUSIF 63% formalisent sa Politique de Sécurité de lInformation (PSI).Les objectifs de la politique de sécurité sont constitués d’une suite de règles et de principesrépondant aux besoins de sécurité de l’entreprise et sont explicités dans un document écrit. 21
  22. 22. La mise en place suppose l’utilisation de méthodes et de techniques pour réaliser une détection etune analyse du risque afin de choisir par conséquent des solutions. Des pratiques appropriées enmatière de sécurité visent tout à la fois à définir les besoins de l’entreprise, à élaborer desstratégies de sécurité afin de protéger les biens les plus critiques et à définir le référentiel descontrôles de sécurité. Cela fait partie intégrante de la stratégie globale de l’entreprise dans lamesure où la stratégie de lentreprise existe.Par exemple, en Angleterre, la politique de sécurité de l’information des entreprises s’appuie surdes normes de sécurité, pour le cas de l’implémentation en 2010. ’ISO/CEI 27001 est une normeinternationale de Système de Management de la sécurité de l’Information ; en pourcentaged’implémentation, les grandes entreprises 26% complètement, 42% partialement et 13% Plan aucours des 12 prochains mois ; les petites entreprises 20% complètement, 31% partiellement et13% dans le plan au cours des 12 prochains mois.En France CLUSIF spécifique : différentes normes pour les années 2010 et 2008 dans le suivi del’illustration: Figure 7. Appui de la PSI entreprise sur une « norme » de sécuritéElle est également décrite selon un certain nombre de procédures à caractère opérationnel ettechnique et explicitant d’une manière concise les étapes à suivre pour atteindre un objectif desécurité donné. Efficace et appropriée, elle nécessite l’étude préalable du risque afin d’optimiserles investissements en matière de solutions et de mesures de sécurité.Le rapport de CSI aux Etat Unis, selon un pourcentage du budget de sécurité consacré àlutilisateur final : formation à la sûreté de sensibilisation et de linvestissement, a considéré54,9% comme trop peu, 44,4% adéquate et 0,4% comme trop. 22
  23. 23. L’Angleterre entre 2% et 5% du budget des entreprises, le pourcentage du budget informatique aété consacré à la sécurité de linformation pour l’année 2010. Plus que 25% Entre 11% et 25% Entre 6% et 10% Entre 2% et 5% 1% ou moins Aucun 8% 26% Petit Organisations 22% 29% 13% 2% 3% 13% Grands Organisations-2010 24% 41% 17% 2% Figure 8. Budget informatique pour la sécurité de linformationEn France, pour l’année 2010, le pourcentage représente le budget sécurité par rapport au budgetinformatique total, qui est aussi de 26% la dépense est de plus de 3% à 6% du budgetd’informatique à la sécurité. Figure 9. Part du budget informatique consacrée à la SSIC’est dans ce cadre que la composition dune ERI apparaît comme étant une solutioncomplémentaire et adoptée de plus en plus par les entreprises. Elle comprend trois bases : laprévention, la détection et la réponse doivent évoluer au fur et à mesure de la croissance del’entreprise (son implantation géographique) ou de ses choix stratégiques (son développement àl’international) ou technologiques (extension de son réseau local, interconnexion de sites distantspar VPN). 1.2.2 L’analyse du risqueDans la gestion et l’organisation de la sécurité de l’information, l’analyse du risque indiqué dansnotre recherche a des éléments communs avec la norme BS ISO / IEC 27001:2005(Technologies 23
  24. 24. de linformation - Techniques de sécurité - Systèmes de gestion de sécurité de linformation –Exigences) lors de l’étape 2 : Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité Identifier les personnes responsables, Identifier les vulnérabilités, Identifier les menaces, Identifier les impacts, Evaluer la vraisemblance, Estimer les niveaux de risque; mais comme notre guide est là pour anticiper des attaques plus ses conséquences possibles, c’est-à-dire pas seulement comme ISO / IEC 27001:2005 , qui pour ce contrôle, supprime, partage ou accepte des risques sans anticiper comment les attaques pourraient profiter de ces risques à travers la méthode MARRAN.Ceci est très important car selon le rapport du CLUSIF 2010 seulement 38% des entreprisesréalisent des analyses de risques avec une méthode formelle, 20% le font sur une partie duSystème d’Information et 3% sur des activités qui ne dépendent pas uniquement du Systèmed’Information. L’illustration suivante montre les méthodes que les entreprises en France utilisentpour l’analyse du risque : Figure 10. Méthode danalyse des risques utiliséeLe guide proposé comprend la mise en place d’un ensemble de mesures de protection avec seséléments : le contrôles et le chiffrement des informations, le temps de destruction, le temps dediminution de niveau, l’identification de la source dinformation et lidentification du récepteurd’information. 1.2.3 Le responsable Sécurité des Systèmes d’InformationLe responsable Sécurité des Systèmes d’Information (RSSI) n’a pas une fonction clairementidentifié et définie au sein de la structure organisationnelle. Dans le rapport CLUSIF 2010, 51%des entreprises interrogées répondent à cette observation. 24
  25. 25. Figure 11. Attribution de la fonction RSSI Figure 12. Prise en charge de la fonction RSSI, lorsqu’il n’existe pas de RSSICette fonction est de plus en plus clairement identifiée et attribuée au sein des entreprises, ce quimarque un net progrès par rapport aux années précédentes comme l’indique CLUSIF dans sonrapport 2010 : l’évolution du nombre de Responsables de la SSI (RSSI) (49%, + 12% vs 2008) ;avec toutefois une baisse quant à son rattachement à la Direction Générale (34%, - 11% vs 2008),certainement liée au fait que les RSSI « récents » proviennent souvent de la Direction desSystèmes d’Information (DSI). L’utilisation des « normes » est également en hausse. Celui-ci arépondu pour 29% (21% en 2008) des entreprises interrogées, mais plus de 40% dans les plus de1 000 salariés. Toutes tailles et secteurs confondus, les personnes sondées sont à 72% des DSI(Directeur des Systèmes d’Information), des Directeurs ou Responsables informatiques ou desRSSI (Club de la Sécurité de lInformation Français CLUSIF, 2010)Aux Etats-Unis, selon le rapport CSI 2009 sur lenquête, classe les répondants également par titredemploi : 31,5 % sont des hauts-chef de la direction des cadres (8,8 %) directeur de linformation(6,6 %), chef de la sécurité (3,2 %) et chef de la sécurité de linformation (12,9 %). Ces chiffressont conformes à ceux de ces dernières années. Un répondant seul lui-même identifié commechef de la protection, qui est également conforme au fil du temps. Il est clair qu’au moins 39%des répondants (OSC, RSSI, et les agents de sécurité combinés) ont le temps plein deresponsabilités de sécurité. En outre, comme indiqué précédemment, la piscine enquête est tiréede la communauté CSI, et ils sont donc censés être plus avisés de sécurité » que serait un bassin 25
  26. 26. denquête choisi au hasard de professionnels des technologies de linformation (ComputerSecurity Institute CSI, 2009).CLUSIF 2010 dans la question le cadre de ses missions, quel pourcentage de son temps le RSSIconsacre-t-il ? Quelques aspects du travail des RSSI : Figure 13. Répartition des missions du RSSIL’importance d’avoir un responsable des systèmes d’information est de plus en nécessaire avecl’utilisation croissante des technologies de l’information ainsi que les risques associés à cetteutilisation.1.3 Intérêt et pertinence de la rechercheDans cette section, nous expliquons comment la recherche, dans le champ des systèmesd’information, prend plus dimportance puisque, chaque fois, les nouvelles technologies del’information et la communication NTIC, jouent un rôle plus important dans le travail desentreprises quelles que soient leur taille ou leur secteur, les entreprises doivent utiliser cestechnologies pour améliorer leurs processus productifs, la diminution de coût, la relation avec desclients et fournisseurs, tout cela pour défendre ou augmenter leurs position dans le marche.Mais les criminels sont chaque fois plus inventifs ou innovateurs pour menacer et attaquer desentreprises ; des erreurs humaines peuvent, également, causer des pertes financières, desdégradations d’image. Des résultats opérationnels ne sont atteints que difficilement car ils ne sontpas quantifiables ou calculables.Prenant en compte que les NTIC et, principalement internet, sont les systèmes de communicationque les entreprises ne peuvent jamais mettre à l’écart, si elles veulent être dans le marchécompétitif, mais, entrer dans leurs utilisations, entraîne des risques, c’est pourquoi les entreprisesdoivent avoir des outils pour sécuriser et protéger leurs secrets industriels, l’information de leursclients, les transactions bancaires ou simplement leurs pages web . 26
  27. 27. L’intérêt de cette recherche est de proposer un guide de travail pour les Equipes de Réponse auxIncidents de sécurité ERI, afin d’anticiper les attaques et de gérer les risques, c’est-à-dire que larecherche travaille sur le domaine de la sécurité de l’information.Alors, réduire l’incertitude à travers un guide qui permet aux ERI de sécuriser des informationsdes attaques de l’extérieur ou de l’intérieur, qu’ils sont causés par des erreurs humaines.Généralement, ce modèle donne un outil qui analyse tout le processus de sécurisation desinformations d’une façon pratique.Cette recherche se tient sur la Méthode d’Analyse et de Réduction du Risque des AgressionsNumériques MARRAN (Sadok, Veille anticipative stratégique pour réduire le risque desagressions numériques, 2004), celle-ci qui, grâce à la construction collective de connaissances,qui se base sur Internet pour réduire le risque numérique. Cette méthode constitue unetransposition et une adaptation de la méthode L.E.SCAnning® dans un domaine nouveau, àsavoir la sécurité informationnelle à l’égard des agressions numériques.Avec tous ces éléments, le guide propose un design de processus et d’activités pour implémenterdans les organisations et sécuriser des informations qui doivent gérer. 1.3.1 Rôles et activités des ERILes ERI font le travail d’anticipation et de réduction du risque numérique, principalementcomme une activité d’interprétation collective pour anticiper, avec, pour but, d’élaborer desréponses techniques et managériales appropriées d’informations, des signaux faibles et /ousignes, qui ont été obtenus dans un contexte d’incertitude, en tenant compte d’une variable trèsimportante comme est le temps (Sadok, Veille anticipative stratégique pour réduire le risque desagressions numériques, 2004, p. 46).Mettre en œuvre des ERI est de plus en plus important, dans la mesure où l’évolution de lacybercriminalité ne semble pas s’arrêter. Malheureusement, chaque fois, l’innovation de cesactes est plus complexe et dangereuse. Egalement, parce que, dans quelques cas, les entreprisesne savent qu’elles sont attaquées ou qu’elles courent des risques.En effet, les solutions contre la cybercriminalité ne sont pas seulement techniques mais aussiintégrées dans la gestion et la stratégie de sécurité de l’organisation. 27
  28. 28. La détection des signaux faibles ou précoces n’a pas de signification individuellement, si cen’est, à travers un processus collectif. Pour les comprendre, il faut tenir compte de toutel’organisation qu’elle soit interne ou externe, et de toutes les autres équipes. Aussi, les ERIoffrent trois types de services : les réactifs qui sont là pour diffuser l’information sur toutes lesactivités de sécurité, les proactifs qui anticipent toute activité contre le système d’information del’organisation et les services de gestion qui sont gérés par un département mais intègrent toutel’organisation pour améliorer les pratiques de sécurité.Le travail des ERI consiste à analyser les signaux et/ou signes faibles qui sont collectés, pouranticiper les attaques et réduire les risques numériques de l’organisation ; cette activité estintégrée dans la stratégie de sécurité. Les activités plus importantes que les ERI, selon Sadok(2004), sont les suivantes : 1. La notification (mémorisation temporaire): chaque incident doit être identifié à temps et communiqué aux personnes ou aux départements concernés. 2. L’analyse qui détermine les causes et les conséquences de l’incident de sécurité ainsi que les éventuels liens avec les précédents incidents. 3. La réaction afin de stopper ou limiter l’impact de l’incident en tenant compte des spécificités et des contraintes de l’activité de l’entreprise. Cette réaction doit être rapide, efficace et réalisée collectivement. 4. La documentation et la traçabilité (la mémorisation): chaque incident de sécurité doit être documenté selon un format spécifique et publié sur des sites Web de façon à être accessible à tout moment. 5. L’investigation qui vise la détection précoce de problèmes de sécurité ou la détection précoce des intrusions ou des tentatives d’intrusions.Pour la réponse à une attaque ou une agression, les ERI ont sept étapes : 1. Préparation 2. Identification 3. Notification 4. Analyses de l’agression 5. Réparation 6. Recouvrement 7. ApprentissageLes ERI n’ont pas une structure unique, elles s’adaptent selon les problèmes de sécurité, lasituation géographique, la structure organisationnelle. Comme une structure basique, les ERIpeuvent être composées de la façon suivante : 28
  29. 29.  Le manager de l’équipe, qui peut être le coordinateur ou le chef technique, coordonne, supervise et oriente les activités de l’équipe.  Le staff technique fournit un support à la manipulation d’un incident grâce à son expertise dans le domaine de la sécurité (le staff peut être interne ou externe).  Les assistants au bureau ou le staff en garde sont les premiers à reporter des informations relatives à une agression.  Les experts en sécurité informatique, spécialistes en plate-forme ou en réseau, peuvent fournir des conseils ou des orientations lors du traitement de l’incident.  Les autres professionnels peuvent appartenir à plusieurs départements comme le département informatique, ressources humaines, relations publiques ou des responsables en management qui assistent l’ERI.  Le personnel administratif de support.1.3.2 Intérêt managérialDu point de vue managérial, cette recherche est très importante pour donner de nouveaux outilsqui permettent aux entreprises l’identification des flux informationnels, l’analyse du risque, lemonitoring, l’amplification des alertes et la réponse aux incidents, la mitigation et la mise à jourdu système de protection. Cela permet aux entreprises et aux organisations à travers le guideproposé d’anticiper des attaques et de gérer des informations.Le guide proposé est une solution managériale depuis les sciences de gestion contre un problèmequi a été considéré comme technique, de plus, il a intégré la gestion de l’information de sécurité,l’information des entreprises.Notre contribution principale est de fournir un outil de gestion pour les entreprises à modifier leurposition réactive, proactive et anticipative contre les risques numériques, avec lintégration de laméthodologie MARRAN et la gestion intégrale des informations et des risques.1.3.3 Intérêt académiqueComme apport académique, cette recherche intègre différents concepts en un domaine nouveauqui, auparavant, avait été seulement la technique des informaticiens pour la sécurité des 29
  30. 30. informations et, maintenant, est un sujet de gestion habituelle car nous verrons ci-dessous que lessolutions techniques ne sont pas suffisantes pour sécuriser les informations et, aussi, quebeaucoup d’autres problèmes de sécurité sont dus à des erreurs humaines qui, sans doute, sont duchamp de la gestion.Il y a l’existence de différentes connaissances actionnables pour analyser le risque numérique etla gestion des informations, mais peu pour anticiper, ce guide a proposé l’ articulation de laméthode MARRAN qui travaille le lien avec la veille stratégique pour anticiper à travers ladétection de signal et/ou signaux faibles Elle se base sur certains aspects de la méthodeLESCAnning® orientée davantage vers l’anticipation et qui a été conçue, réalisée et validée enprenant en compte la nature des informations anticipatives et en utilisant l’intelligence collectivepour l’interprétation de ces informations.Cette recherche utilise des rapports spécialisés sur la sécurité informatique d’études en trois paysen France le Club de la Sécurité de lInformation Français CLUSIF, rapport 2010, aux Etats- Unisle Computer Security Institute CSI, rapport 2009 et en Angleterre le Department for Business,Enterprise & Regulatory Reform (BERR), rapport 2008 et Europe & PricewaterhouseCoopers,rapport 2010.Egalement cette recherche prend en compte la variable du temps, donc le temps limite desréponses aux attaques, si cette donnée n’est pas bien gérée elle peut incrémenter des pertes,dommages et performances des systèmes d’information. 30
  31. 31. ConclusionDans ce chapitre, nous avons montré à travers des chiffres de rapports d’organisationsspécialisées sur la sécurité informatique, comment le risque numérique affecte des organisationset a généré des pertes financières, également comme chaque fois les entreprises ont plus dedépendance des IT pour avoir une participation dans le marché.D’une les organisations ont besoin d’outils pour anticiper et gérer des informations de sécurité etd’autre part de mettre en place d’adopter des mesures de protection pour leurs systèmesd’information.Nous avons expliqué l’intérêt et la pertinence de la recherche pour des entreprises et l’académie,et, comme notre question de recherche a commencé par répondre à la conception de la créationd’un guide de travail pour les Equipes de Réponse aux Incidents de sécurité qui s’appuie sur laméthode MARRAN et la veille stratégique. 31
  32. 32. Chapitre 2 : L’analyse du risque IntroductionCe chapitre présente la première activité du guide de travail à savoir l’analyse du risque. Celle-ciest d’une importance considérable dans le travail d’une ERI et nécessite une classification et uneorganisation des informations au sein de l’entreprise en fonction de leur importanceopérationnelle et stratégique. L’analyse du risque suppose également l’identification desprincipales menaces et vulnérabilités, les probabilités d’occurrence des attaques numériques et lescoûts des mesures de sécurité.2.1 Identification des flux informationnelsLes organisations doivent classifier des informations et identifier les flux d’informations avantque celles-ci soient sécurisées dans tous les départements et les dépendances du systèmeinformatique. Il convient de noter que les flux informationnels que gère l’entreprise sontdifférents des flux que gère le système informatique.Ce dernier doit représenter un support pour que linformation puisse circuler librement danslorganisation selon les nécessités. Le système informatique ne peut pas devenir une contraintedans le processus de l’entreprise.C’est pourquoi quand les organisations qui tiennent organisés leurs informations ont plus facile àgérer l’information dans le système informatique et donc à les sécuriser.La classification ci-dessous présente les pré-requis afin de pouvoir sécuriser l’information.Comme l’explique Lesca & Lesca (1995), les organisations doivent identifier trois typesd’informations :  Information de fonctionnement : Indispensable au fonctionnement, c’est l’information liée à l’activité opérationnelle de l’entreprise et elle est liée à des tâches répétitives.  Information d’influence : sa finalité est d’influer sur le comportement des acteurs internes et externes. 32
  33. 33.  Information d’anticipation : qui permet de voir venir à l’avance certains changements de son environnement, dans le but d’en tirer un avantage ou bien d’éviter un risque.Egalement, identifier des flux d’information de l’entreprise : Informations de l’intérieur vers l’intérieur Informations de l’extérieur Informations vers l’intérieur de l’intérieur vers l’extérieur Figure 14. Trois flux d’information de l’entreprisePour finir la classification des informations organisationnelles se trouvent dans le tableau ci-dessous : Tableau 4. Orientation de linformationLes neuf cases de ce tableau nous permettent de situer l’information dont nous parlons à unmoment donné. Cette grille est un peu la carte qui va nous permettre de nous orienter dans lemonde de l’information de l’entreprise (Lesca & Lesca, Gestion de linformation, 1995).Quand l’entreprise a ses informations organisées, on peut l’entrer dans la classification selon lesystème de sécurité que le guide a proposé, on identifie plus facilement le flux d’informations sursa chaîne de valeur.2.1.1 Classification de l’informationAprès l’identification des flux de l’information, nous procédons à la classification desinformations pour les sécuriser en fonction de leur importance, priorité et urgence. 33
  34. 34. Importance : soutenir la prise de décision stratégique et les opérations au sein de l’entreprise, parexemple, codes daccès pour les voûtes dune banque (système de clé de rotation); ou destransactions bancaires internationales, autre caractéristique c’est qu’ils n’ ont pas de traitementconstant.Les tâches mise en place sont d’identifier des informations en relation avec lactivitéopérationnelle et stratégique de lentreprise, d’importance vitale pour l’entreprise, selon laclassification des types et flux d’informations, dont un catalogue d’informations permet laclassification.Priorité : certaines informations sont prioritaires pour l’activité opérationnelle de l’entreprise, cene sont pas les plus importantes mais les problèmes pourraient affecter les activités normales desprocessus tels que la paie ou le retard dune ordonnance.Les tâches d’implémentation doivent identifier la fréquence de traitement/utilisation desinformations, par exemple, chaque journée, dans une entreprise de déménagement, doit donnerune équipe de déménagement, la fiche du travail, les lieux, les adresses ; chaque année, lecomptable fait le bilan général de l’entreprise.Urgence : certains changements de l’environnement, interne ou externe, de l’entrepriseimpliquent des modifications de l’importance ou de la priorité des informations. Par exemple, undéversement de pétrole dans le sud de la Floride aux Etats- Unis, une chute brutale de la bourseou des questions de la haute direction pour une décision.La mise en place des mesures de sécurité a besoin d’un système d’identification claire desutilisateurs et un endroit de stockage de l’information, pour rendre linformation disponible, pourrépondre dune façon efficace à des problèmes de gestion imprévisibles.2.1.2 Identification des conditions d’exploitation, de traitement et de production des informations dans la chaîne de valeur de l’entrepriseLes flux d’informations sont inclus dans une chaîne de valeur, qui s’étend depuis les fournisseursjusqu’aux consommateurs finaux. Lorsque l’entreprise a identifié les flux d’informations, elledoit protéger la transmission et la réception des informations. Par exemple, les courriers et les 34
  35. 35. paiements électroniques, les téléchargements de fichiers ou les clés USB, disques dur etordinateurs portables doivent être protégés.Pour procéder à l’identification de ces flux, on doit suivre quatre étapes :D’abord, on fait l’Identification des points d’entrée et de sortie : les entrées et sortiesd’information dans le système à travers la saisie, le téléchargement, l’e-mail, le disque dur, lesclés USB, les accès de lextérieur. Pour l’exécution de tout type de réseaux physiques et virtuels,il faut avoir identifié au préalable d’où entre et sort linformation, le nombre de serveurs, lesdirections IP, l’utilisateur, l’ordinateur, les comptes de courriel électronique, l’habilitation desports USB, etc.Les applications en exécution : quels sont les différents logiciels et applicationsinformatiques utilisés pour le traitement de l’information ? Ex. Word de programmation, plates-formes virtuelles (Blackboard) ou spécialisées. Installer dans les ordinateurs des réseaux delogiciels accrédités pour le traitement des informations.Canaux de communication des informations : Comment l’organisation gère ses informations eninterne et externe ?A travers par exemple lutilisation des réseaux Internet, VPN ou Intranet. De cette façon lesbanques permettent de faire des transactions bancaires par les téléphones mobiles. Pour mettre enplace les réseaux, la haute direction doit déterminer quels sont les canaux de communication pourchaque transfert ou réception dinformation à l’intérieur comme à l’extérieur de lorganisation,selon la classe d’information ou le niveau de barrière comme nous l’expliquerons dans la suite denotre guide.Différentes procédures de gestion du système informatique : Procédures formelles utilisées pourspécifier et coordonner le travail au sein de lorganisation grâce à la standardisation dans lachaîne de valeur, des informations à donner et à recevoir de la part des différents partenaires, quiont été identifiés dans le flux et le type d’informations ; c’est-à-dire ils sont des processus dusystème informatique pour l’accomplissement des procédures dans la chaîne de valeur, parexemple l’assignation de mot de passe pour l’entrée d’un fournisseur dans le réseau, la réparationou l’actualisation des logiciels dans les ordinateurs. 35
  36. 36. 2.1.3 Détermination des niveaux de barrière d’information liés à l’échange, à l’accès et ou au stockageDans le guide proposé, nous réalisons la distinction de niveaux dimportance de l’information quenous appelons de « Barrière », car celui-ci permet d’identifier quelles informations sont deslimites pour l’accès, la manipulation de l’information (Policía Nacional de Colombia , 2008),également sa classification ; le mauvais usage de linformation peut causer la perte de vieshumaines, des dommages à limage organisationnel ou mettre en danger la survivance delentreprise. Ils ont six niveaux de barrière de l’information:Ultrasecret: Celui-ci peut occasionner des pertes de vies humaine, des catastrophes naturelles, ladisparition de lorganisation. Il nest pas possible que toutes les organisations aient desinformations de ce type ; informations qui sont déjà transformées ou finies. Par exemple, desrecherches sur l’énergie nucléaire, une nouvelle molécule chimique, la recette de coca-cola.Secret: Informations qui sont déjà transformées ou dans un processus de production, mais, quandelles finissent, étant en relation avec l’innovation ou le changement dans le marché. Par exemplelinnovation dans les processeurs des ordinateurs.Réservé : Informations en processus qui se traitent dans le niveau secret, mais elles se donnent enfraction jamais de façon complète, ceux-ci sont en train de rechercher pour devenir ultrasecretsou secrets déjà transformés.Restreint : Informations qui ne sont pas connues de tous les employés, comme l’histoire dutravail des employés, processus de contrôle interne en cours, une investigation disciplinaire.Confidentiel : Label pour des informations dintérêts destinés seulement aux employés desentreprises, par exemple données à caractère personnel de certains fournisseurs ou de clients-clésde lorganisation, ou que la juridiction ne devrait pas connaître.Public : Linformation que tout le monde peut consulter dans la page web, bilan financier,structure organisationnelle, etc.Cette classification se fait pour établir selon chaque niveau de barrière, les canaux decommunication, l’endroit du stockage et la gestion des informations selon leur cycle de vie, c’est-à-dire, chaque information est comme un être vivant qui naît, grandit, se reproduit et meurt ; touteinformation doit avoir un cycle de vie clair. Donc, l’information augmente ou diminue le niveau 36
  37. 37. de la barrière en fonction des exigences de lenvironnement interne ou externe, alors ces niveauxsont dynamiques et non statiques.De plus, il est nécessaire d’identifier les différentes personnes intervenant dans les fluxinformationnels liés à l’échange, à l’accès et au stockage qui ont inclus des personnes quimanipulent l’information où ils ont quelques responsabilités pour la confidentialité, l’intégrité, ladisponibilité. Les intervenants sont de deux sortes :Responsabilités des utilisateurs : Chaque employé doit avoir dans ses fonctions des informationsqu’il peut trahir car il a accès à la confidentialité et sa responsabilité pour quelque problème estengagée, une responsabilité claire pour protéger, emporter, faire le stockage, modifier, actualiserou faire les tâches que lui assigne la hiérarchie.Les attributions des utilisateurs : Pour les employés qui doivent avoir des limites dans lesresponsabilités de traitement des informations comme le temps, l’endroit laccès, les réseaux, lesordinateurs et les logiciels, selon sa classification. Des limites pour l’utilisation, les transferts, lamodification. Le temps d’utilisation où les responsabilités sont restreintes ainsi quel’information, par exemple, un employé a la responsabilité ou l’autorisation pour modifierl’information, mais ses attributions sont pour changer dans les ordinateurs de l’entreprise,seulement en heures de matinée, sans pouvoir transférer vers une adresse physiquement ouvirtuellement.2.2 Identification des vulnérabilités et menacesDans cette étape, l’ERI identifie les menaces et les vulnérabilités liés aux flux informationnels,par exemple, une menace de raison intentionnelle de type interne, externe ou interne-externe devol d’information.Mais, d’abord, nous avons besoin de connaitre l’architecture des réseaux avec tous sescomposants comme nombre d’utilisateurs, la technologie qui s’utilise pour le chiffre, latransmission de données, les logiciels, le hardware, etc. celui-ci est comme la carte de navigationpour un militaire.Avant d’identifier les vulnérabilités, on doit connaitre les menaces, se placer sur les prémissesdes activités industrielles de l’entreprise, c’est-à-dire une banque est plus menacée dans ses 37
  38. 38. transferts par internet qu’une entreprise de pêcheurs, mais les pécheurs sont plus vulnérables dansle même cas.L’entreprise et les spécialistes informatiques doivent identifier selon les caractéristiques de latechnologie mise en place, les menaces et les vulnérabilités, pour assurer la continuité etl’efficacité du travail au sein de l’entreprise.2.2.1 Identification des vulnérabilités liées à l’organisation, à l’opération et à L’échange des flux informationnelsLa vulnérabilité est de considérer la capacité ou la propension aux dégâts ou aux dommages quele système informatique subirait, surtout dans certaines zones . Notre classification de niveau devulnérabilité est : insignifiant « Il ny a pas de conditions », faible « Il y a des conditions quirendent de très loin la possibilité », moyenne « Il existe des conditions qui rendent peu probableune attaque dans le court terme, mais pas suffisamment pour empêcher à long terme », forte« Lachèvement de lattaque est imminente. Il y a des conditions internes et externes quifavorisent le développement de lattaque » (Gestión de Riesgo en la Seguridad Informática).Pour identifier des vulnérabilités, le guide distingue des trois composants pour analyser lesressources informatiques et les réseaux, les processus de gestion et les utilisateurs.Les ressources informatiques et réseaux : ceux-ci sont liés à l’architecture des réseaux et à tout lesystème physique de hardware, ordinateurs, modems, logiciels et à l’échange d’informations àtravers ’Internet ou les réseaux internes ou naturels (inondation).Le travail d’identification des vulnérabilités se fait avec des spécialistes en informatique, selonles procédures de gestion qui sont déterminantes pour l’utilisation du système informatique.Notre propos est d’analyser l’ensemble des ressources informatiques et les réseaux avec lesprocédures de gestion, parce que ce sont ces derniers qui déterminent comment se communiquel’information dans le système informatique, et, comment sont identifiés les endroits plusvulnérables à travers le flux d’informations.Par exemple, une entreprise de bourse qui doit télécharger sur Internet (les ressourcesinformatiques et réseau) chaque journée, différents rapports internationaux (processus degestion), un virus peut être téléchargé (la menace), mais certains virus naffectent pas le système. 38
  39. 39. Les utilisateurs : Pour ces derniers, on doit analyser les vulnérabilités en deux aspects : lescompétences pour la manipulation du système, la motivation et la loyauté.Les vulnérabilités des utilisateurs, dans notre exemple : l’utilisateur peut télécharger le viruspour le libre-arbitre (sabotage), le manque de connaissances de leurs travaux (incompétence) ; oule paiement pour faire du dommage (faute de loyauté.)2.2.2 Identification des menaces qui peuvent affecter les ressources critiquesLes menaces sont internes (ex. employés) et externes (ex. criminels, lespionnage industriel),intentionnelles (le vol de données, différences personnelles, lignorance délibérée des règles) ouaccidentelles (la connaissance insuffisante du système, le stress, le manque réel de connaissancesdes règles). Des conséquences maléfiques pour l’opération du système, les réseaux de données ethardware (Magklaras & Furnell, 2002). Une matrice qu’on peut utiliser pour identifier le type etla raison des menaces dont nous avons parlé : Type dévénement internes Externes Intentionnelles Raisons Accidentelles Tableau 5. Matrice d’identification type et raisonD’abord identifier les menaces du système d’informatique intégralement selon les critères ci-dessus, ainsi que proposé, afin de reconnaitre des menaces de type (BASC, 2007):Contre les ressources physiques et la sécurité industrielle : Il existe des endroits physiques oùrésident linfrastructure comme des voûtes ou bureaux, aussi des éléments de stockage commedes disques durs portables, c’est-à-dire quelques éléments physiques en relation avec le systèmeinformatique, y compris les bâtiments, également un fort composant d’ergonomie« compréhension des interactions entre les humains et dautres éléments dun système, trouver queles êtres humains et le travail technique sont en parfaite harmonie ».  Menace de choc électrique : les niveaux élevés de tension.  Menace dincendie : Les matières inflammables.  Niveaux insuffisants de lélectricité.  Dangers des rayonnements : Vagues de bruit, de laser et les ultrasons.  Risques mécaniques : Instabilité les pièces électriques. 39
  40. 40.  Tremblements de terre, tsunamis, inondations  Lhygiène, lassainissement, et lergonomieCe sont quelques risques physiques plus communs, mais, selon l’endroit géoFigure, il existed’autres différences.Contre l’information : Les menaces de modification, le vol, laltération, la transformationabusive, la publication, accès non autorisé au système, la transformation, etc. sont des freins àl’utilisation positive de l’outil informatique.Spéciales : Dautres risques qui affectent la sécurité informatique, qu’on appelle spéciales, carils augmentent les points de vulnérabilité des systèmes, et, comme caractéristique, ils n’ont pas derelation directe avec l’entreprise ou l’entreprise dépend d’autres facteurs. Politique, juridique, laconcentration du traitement des demandes est de plus en plus complexe : la dépendance despersonnes clés, la disparition et lentrée de nouveaux contrôles, les grèves, le terrorisme etlinstabilité sociale, le stockage ou d’autres activités de sécurité en outsourcing. Donc l’entrepriseassume les risques que connaît la personne qui fournit le service.Après la révision intégrale, l’organisation fait le Catalogue des ressources critiques,L’organisation a des informations très importantes et des ressources qui donnent un support auxactivités principales ou aux clés pour la productivité, l’expansion dans le marché et la crédibilité ;si il y a des défauts de fonctionnement, cela peut paralyser lactivité de lorganisation.La page web d’une entreprise de jeux sur Internet, une inondation ou un choc électrique,devraient inclure toutes les ressources système, car les critiques sont importantes.Nous ferons la liste de toutes les ressources critiques de lorganisation ; il faut identifierl’emplacement, également le type dinformation qui passe par cet endroit, ses fournisseurs et sesclients, ses utilisateurs, ses responsables.Les menaces de fait : elles sont les menaces de l’organisation évoquée ci-dessus qui a un certainniveau de persévérance de façon directe ou indirecte. Dans un moment du temps, ils sontmenaces, donc il doit être pris en compte pour la protection. Par exemple : la tentative des piratespour tenter de violer les systèmes de sécurité du Pentagone. Cela classifie le niveau de menaceen : insignifiant, faible, moyen, fort. 40
  41. 41. 2.2.3 Estimation de la probabilité de l’occurrence des menacesPour notre recherche de classification du niveau des menaces identifiées, qu’on peut appeler aussiniveaux de probabilité, ils sont : insignifiants, faibles, moyens, forts. Voici cette classification :Des données historiques collectées par l’entreprise : Pour ses propres enquêtes externes dechaque incident de sécurité, ce sont des informations qu’a obtenu lorganisation par rapport à sesactivités à travers son histoire. Il donne un niveau de probabilité.Les appréciations de certains experts dans le domaine de la sécurité informatique : commel’organisation par elle-même ne peut pas interpréter toutes les données collectées, elle fait appel àun cabinet de conseil ou à d’autres experts pour pouvoir établir son niveau de probabilité. Ildonne un niveau de probabilité.Situation contextuelle : c’est l’analyse par rapport à des nouvelles d’environnement. Parexemple : le mouvement dun virus informatique dans le monde entier. Il donne un niveau deprobabilité.Aussi, on prend en compte les menaces de fait, mais cette menace a déjà un niveau de probabilité,si elle n’est pas une menace de fait, elle est évaluée comme insignifiante.A chaque niveau de probabilité on assignée une valeur numérique :Insignifiant = 1, faible = 2, moyenne = 3, forte = 4Le tableau suivant montre comment faire l’analyse, il doit exister une tableau par chaque type demenace : Description Données Appréciations Situation Menaces de fait Résultat menace historiques des experts contextuelle Tableau 6. Analyses de probabilitéLe résultat est la somme de toutes les variables, pour établir un niveau de probabilité, Il est classécomme suit:Occurrence faible (1 – 6), Occurrence moyenne (7 – 11), Occurrence haute (12 – 16). 41

×