Contrôle d’accès

La sécurité de l’information, parfois abrégée en InfoSec, consiste à prévenir l’accès, l’utilisation, la divulgation, la perturbation, la modification, l’inspection, l’enregistrement ou la destruction non autorisés de l’information. Il s’agit d’un terme général qui peut être utilisé quelle que soit la forme des données (par exemple, électronique, physique). Le principal sujet de préoccupation dans le domaine de la sécurité de l’information est la protection équilibrée de la confidentialité, de l’intégrité et de la disponibilité des données, également connue sous le nom de la Triade de l’ICA, tout en se concentrant sur la mise en œuvre efficace des politiques et en évitant d’entraver considérablement la productivité des organisations. Pour uniformiser cette discipline, les universitaires et les professionnels collaborent et cherchent à établir des lignes directrices et des politiques de base sur les mots de passe, les logiciels antivirus, les pare-feu, les logiciels de cryptage, la responsabilité juridique et les normes de formation des utilisateurs et des administrateurs.

Téléchargement gratuit du meilleur logiciel de contrôle d’accès

Si vous n'aimez pas que les gens touchent votre PC quand vous n'êtes pas devant eux, ou si vous avez peur que quelqu'un regarde des documents personnels sur ...

Smart PC Locker est un programme efficace pour Windows avec lequel vous pouvez bloquer l'accès à votre PC à n'importe qui d'autre.

USB PC Lock Pro converts the typical USB memory stick into a physical key to access or lock the PC.

Lockdown Plus PC est une application intéressante et test disponible uniquement pour Windows créée par Y0ys.

Raise My Rights vous donne la possibilité d'exécuter une application en vous identifiant comme un utilisateur différent de celui de la session ouverte. De ...

PC Restrictor is a security program designed for users of operating systems that are not as secure as they seem: Windows 95, Windows 98, and Windows Millennium.

If you're concerned that they can access your PC and touch your stuff while you're not sitting in front of it, this little program can take your worries away.

Ce programme limite l'utilisation d'un ordinateur, vous permettant de personnaliser entièrement les fonctions et commandes que vous souhaitez autoriser, ainsi ...

If you have children, they may spend every night in front of the PC, chatting or playing, and this without homework done. You'll probably want to regain ...

Aperçu général

Sécurité informatique

Parfois appelée sécurité informatique, la sécurité des technologies de l'information (sécurité informatique) est la sécurité de l'information appliquée à la technologie (la plupart du temps une forme quelconque de système informatique). Il vaut la peine de noter qu'un ordinateur ne signifie pas nécessairement un ordinateur de bureau à domicile. Un ordinateur est tout appareil doté d'un processeur et d'un peu de mémoire. Ces dispositifs peuvent aller de dispositifs autonomes non reliés à un réseau, aussi simples que des calculatrices, à des dispositifs informatiques mobiles en réseau, tels que des téléphones intelligents et des tablettes électroniques. Les spécialistes de la sécurité des TI sont presque toujours présents dans toute grande entreprise/établissement en raison de la nature et de la valeur des données au sein des grandes entreprises. Ils sont chargés de protéger toute la technologie de l'entreprise contre les cyberattaques malveillantes qui tentent souvent de s'introduire dans des informations confidentielles critiques ou de contrôler les systèmes internes.

Assurance de l'information

L'acte de fournir la confiance de l'information, que la confidentialité, l'intégrité et la disponibilité (CIA) de l'information ne sont pas violées, par exemple en s'assurant que les données ne sont pas perdues lorsque des problèmes critiques surgissent. Ces problèmes comprennent, sans s' y limiter, les catastrophes naturelles, le mauvais fonctionnement d'un ordinateur/serveur ou le vol physique. Comme la plupart des informations sont stockées sur les ordinateurs à notre époque moderne, l'assurance de l'information est généralement traitée par des spécialistes de la sécurité informatique. Une méthode courante de fournir une assurance d'information consiste à avoir une sauvegarde des données hors site au cas où l'un des problèmes mentionnés se présenterait.

Menaces

Les menaces à la sécurité de l'information prennent de nombreuses formes. Certaines des menaces les plus courantes aujourd'hui sont les attaques logicielles, le vol de propriété intellectuelle, le vol d'identité, le vol d'équipement ou d'information, le sabotage et l'extorsion de renseignements. La plupart des gens ont connu des attaques logicielles. Virus, vers, attaques d'hameçonnage et chevaux de Troie sont quelques exemples courants d'attaques logicielles. Le vol de la propriété intellectuelle a également été un problème important pour de nombreuses entreprises dans le domaine des TI. Le vol d'identité est la tentative d'agir comme quelqu'un d'autre habituellement pour obtenir les renseignements personnels de cette personne ou pour profiter de son accès à des renseignements vitaux. Le vol d'équipements ou d'informations est de plus en plus répandu aujourd'hui du fait que la plupart des appareils sont aujourd'hui mobiles, sont susceptibles d'être volés et sont également devenus beaucoup plus désirables à mesure que la capacité de données augmente. Le sabotage consiste habituellement en la destruction du site Web d'une organisation dans le but d'ébranler la confiance de ses clients. L'extorsion de renseignements consiste en un vol des biens ou des renseignements d'une entreprise dans le but de recevoir un paiement en échange du retour des renseignements ou des biens à leur propriétaire, comme dans le cas d'un logiciel de rançon. Il existe de nombreuses façons de vous protéger contre certaines de ces attaques, mais l'une des précautions les plus fonctionnelles est la prudence de l'utilisateur.Les gouvernements, les militaires, les sociétés, les institutions financières, les hôpitaux et les entreprises privées recueillent une grande quantité d'informations confidentielles sur leurs employés, leurs clients, leurs produits, leurs recherches et leur situation financière. La plupart de ces renseignements sont maintenant recueillis, traités et stockés sur des ordinateurs électroniques et transmis à d'autres ordinateurs par l'entremise de réseaux.Si des renseignements confidentiels sur les clients ou les finances d'une entreprise ou sur une nouvelle gamme de produits tombent entre les mains d'un concurrent ou d'un pirate informatique, une entreprise et ses clients pourraient subir des pertes financières importantes et irréparables, ainsi que des dommages à la réputation de l'entreprise. Du point de vue commercial, la sécurité de l'information doit être mise en balance avec les coûts; le modèle Gordon-Loeb fournit une approche économique mathématique pour répondre à cette préoccupation.Pour l'individu, la sécurité de l'information a un effet important sur la vie privée, qui est perçue de façon très différente selon les cultures.Le domaine de la sécurité de l'information a connu une croissance et une évolution importantes au cours des dernières années. Il offre de nombreux domaines de spécialisation, notamment la sécurisation des réseaux et de l'infrastructure connexe, la sécurisation des applications et des bases de données, les tests de sécurité, la vérification des systèmes d'information, la planification de la continuité des opérations, la découverte des dossiers électroniques et la criminalistique numérique.

Réponses aux menaces

Les réponses possibles à une menace ou à un risque en matière de sécurité sont les suivantes:
  • réduire/atténuer - mettre en œuvre des mesures de sauvegarde et des contre-mesures pour éliminer les vulnérabilités ou bloquer les menaces
  • cession/transfert - placez le coût de la menace sur une autre entité ou organisation, comme l'achat d'une assurance ou l'impartition.
  • accepter - évaluer si le coût des contre-mesures l'emporte sur le coût éventuel des pertes dues à la menace, ne rien faire.

Définitions

Les définitions d'InfoSec suggérées dans les différentes sources sont résumées ci-dessous (d'après les définitions adoptées).
  1. "Préservation de la confidentialité, de l'intégrité et de la disponibilité des informations. Note: En outre, d'autres biens, tels que l'authenticité, la responsabilité, la non-répudiation et la fiabilité peuvent également être impliqués." (ISO/IEC 27000:2009)
  2. "La protection de l'information et des systèmes d'information contre tout accès, utilisation, divulgation, interruption, modification ou destruction non autorisés afin d'assurer la confidentialité, l'intégrité et la disponibilité." (CNSS, 2010)
  3. "S'assurer que seuls les utilisateurs autorisés (confidentialité) ont accès à des renseignements exacts et complets (intégrité) au besoin (disponibilité). (ISACA, 2008)
  4. "La sécurité de l'information est le processus de protection de la propriété intellectuelle d'une organisation." (Pipkin, 2000)
  5. "... la sécurité de l'information est une discipline de gestion des risques, dont la tâche est de gérer le coût du risque lié à l'information pour l'entreprise." (McDermott et Geer, 2001)
  6. "Un sentiment éclairé d'assurance que les risques et les contrôles de l'information sont équilibrés." (Anderson, J., 2003)
  7. "La sécurité de l'information est la protection des informations et minimise le risque d'exposer l'information à des parties non autorisées." (Venter et Eloff, 2003)
  8. "La sécurité de l'information est un domaine pluridisciplinaire d'étude et d'activité professionnelle qui s'intéresse au développement et à la mise en œuvre de mécanismes de sécurité de tous types (techniques, organisationnels, humains et juridiques) afin de conserver l'information dans tous ses emplacements (à l'intérieur et à l'extérieur du périmètre de l'organisation) et, par conséquent, dans les systèmes d'information où l'information est créée, traitée, stockée, transmise et détruite, à l'abri des menaces.Les menaces qui pèsent sur les systèmes d'information et d'information peuvent être classées par catégories et un objectif de sécurité correspondant peut être défini pour chaque catégorie de menaces. Un ensemble d'objectifs en matière de sécurité, déterminés à la suite d'une analyse des menaces, devrait être révisé périodiquement afin de s'assurer qu'il est adéquat et conforme à l'évolution de l'environnement. L'ensemble d'objectifs de sécurité actuellement pertinents peut comprendre: confidentialité, intégrité, disponibilité, confidentialité, authenticité et fiabilité, non-répudiation, responsabilité et vérifiabilité." (Cherdantseva et Hilton, 2013)

Emploi

La sécurité de l'information est un métier stable et en croissance. Les professionnels de la sécurité de l'information sont très stables dans leur emploi; plus de 80 p. 100 n'ont connu aucun changement d'employeur ou d'emploi au cours de la dernière année, et le nombre de professionnels devrait croître de façon continue de plus de 11 p. 100 par année entre 2014 et 2019.

Principes de base

Concepts clés

La triade de confidentialité, d'intégrité et de disponibilité de la CIA est au cœur de la sécurité de l'information. (Les membres de la triade classique InfoSec - confidentialité, intégrité et disponibilité - sont appelés de façon interchangeable dans la littérature attributs de sécurité, propriétés, objectifs de sécurité, aspects fondamentaux, critères d'information, caractéristiques d'information critiques et éléments de base. Il y a un débat permanent sur l'extension de ce trio classique. D'autres principes tels que la responsabilité ont parfois été proposés pour être ajoutés - on a souligné que des questions comme la non-répudiation ne cadrent pas bien avec les trois concepts fondamentaux.En 1992 et révisées en 2002, les Lignes directrices de l'OCDE sur la sécurité des systèmes et des réseaux d'information ont proposé les neuf principes généralement acceptés: sensibilisation, responsabilité, réponse, éthique, démocratie, évaluation des risques, conception et mise en œuvre de la sécurité, gestion de la sécurité et réévaluation. Sur la base de ces principes, les Principes d'ingénierie pour la sécurité des technologies de l'information du NIST ont proposé 33 principes en 2004. De chacune de ces lignes directrices et pratiques dérivées.En 1998, Donn Parker a proposé un modèle alternatif pour la triade classique de la CIA qu'il a appelé les six éléments atomiques de l'information. Les éléments sont la confidentialité, la possession, l'intégrité, l'authenticité, la disponibilité et l'utilité. Les mérites du Parkerian Hexad font l'objet de débats parmi les professionnels de la sécurité.En 2011, The Open Group a publié la norme O-ISM3 sur la gestion de la sécurité de l'information. Cette norme proposait une définition opérationnelle des concepts clés de la sécurité, assortie d'éléments appelés "objectifs de sécurité", liés au contrôle d'accès (9), à la disponibilité (3), à la qualité des données (1), à la conformité et aux aspects techniques (4). Ce modèle n'est pas encore largement adopté.

Confidentialité

Dans le domaine de la sécurité de l'information, la confidentialité "est la propriété, c'est-à-dire que l'information n'est pas rendue accessible ou divulguée à des personnes, entités ou processus non autorisés" (Extrait de la norme ISO27000).

Intégrité

En matière de sécurité de l'information, l'intégrité des données signifie le maintien et la garantie de l'exactitude et de l'exhaustivité des données tout au long de leur cycle de vie. Cela signifie que les données ne peuvent pas être modifiées de manière non autorisée ou non détectées. Ce n'est pas la même chose que l'intégrité référentielle dans les bases de données, bien qu'elle puisse être considérée comme un cas particulier de cohérence tel que compris dans le modèle ACID classique de traitement des transactions. Les systèmes de sécurité de l'information assurent généralement l'intégrité des messages en plus de la confidentialité des données.

Disponibilité

Pour que tout système d'information remplisse sa fonction, les informations doivent être disponibles au moment où elles sont nécessaires. Cela signifie que les systèmes informatiques utilisés pour stocker et traiter l'information, les contrôles de sécurité utilisés pour la protéger et les canaux de communication utilisés pour y accéder doivent fonctionner correctement. Les systèmes à haute disponibilité visent à demeurer disponibles en tout temps, ce qui permet d'éviter les interruptions de service dues aux pannes de courant, aux défaillances matérielles et aux mises à niveau du système. Pour garantir la disponibilité, il faut également prévenir les attaques de déni de service, comme un flot de messages entrants envoyés au système cible, qui l'obligent essentiellement à s'éteindre.

Non-répudiation

En droit, la non-répudiation implique l'intention de remplir ses obligations contractuelles. Il implique également que l'une des parties à une transaction ne peut pas nier avoir reçu une transaction ni l'autre partie ne peut nier avoir envoyé une transaction.Il est important de noter que même si la technologie comme les systèmes cryptographiques peut contribuer aux efforts de non-répudiation, le concept est au cœur même du concept juridique qui transcende le domaine de la technologie. Il n'est pas suffisant, par exemple, de montrer que le message correspond à une signature numérique signée avec la clé privée de l'expéditeur, et donc seul l'expéditeur aurait pu envoyer le message et personne d'autre n'aurait pu le modifier en transit (intégrité des données). L'expéditeur présumé pourrait en retour démontrer que l'algorithme de signature numérique est vulnérable ou défectueux, ou alléguer ou prouver que sa clé de signature a été compromise. La faute de ces violations peut ou non incomber à l'expéditeur lui-même, et de telles assertions peuvent ou non exonérer l'expéditeur de sa responsabilité, mais l'assertion invaliderait la prétention selon laquelle la signature prouve nécessairement l'authenticité et l'intégrité; et, par conséquent, l'expéditeur peut répudier le message (parce que l'authenticité et l'intégrité sont des conditions préalables à la non-répudiation).

Gestion des risques

Le Manuel d'examen 2006 du Vérificateur certifié des systèmes d'information de l'organisme (CISA) fournit la définition suivante de la gestion du risque:"La gestion du risque est le processus qui consiste à identifier les vulnérabilités et les menaces qui pèsent sur les ressources d'information utilisées par une organisation pour atteindre ses objectifs opérationnels, et à décider des contre-mesures, le cas échéant, à prendre pour réduire le risque à un niveau acceptable, en fonction de la valeur de la ressource d'information pour l'organisation".Il y a deux choses dans cette définition qui pourraient nécessiter une clarification. Premièrement, le processus de gestion des risques est un processus itératif et continu. Il doit être répété indéfiniment. L'environnement commercial est en constante évolution et de nouvelles menaces et vulnérabilités émergent chaque jour. Deuxièmement, le choix des contre-mesures (contrôles) utilisées pour gérer les risques doit établir un équilibre entre la productivité, le coût, l'efficacité de la contre-mesure et la valeur de l'actif informationnel protégé.Les processus d'analyse et d'évaluation des risques ont leurs limites car, lorsque des incidents de sécurité se produisent, ils apparaissent dans un contexte et leur rareté et même leur unicité donnent lieu à des menaces imprévisibles. L'analyse de ces phénomènes qui se caractérisent par des pannes, des surprises et des effets secondaires, nécessite une approche théorique capable d'examiner et d'interpréter subjectivement le détail de chaque incident.Le risque est la probabilité que quelque chose de mauvais se produise qui cause du tort à un actif informationnel (ou la perte de l'actif). Une vulnérabilité est une faiblesse qui peut être utilisée pour mettre en danger ou nuire à un actif informationnel. Une menace est tout ce qui a le potentiel de causer un préjudice.La probabilité qu'une menace utilise une vulnérabilité pour causer du tort crée un risque. Lorsqu'une menace utilise une vulnérabilité pour infliger des dommages, elle a un impact. Dans le contexte de la sécurité de l'information, l'impact est une perte de disponibilité, d'intégrité et de confidentialité, et possiblement d'autres pertes (perte de revenu, perte de vie, perte de biens immobiliers). Il convient de souligner qu'il n'est pas possible d'identifier tous les risques et qu'il n'est pas non plus possible d'éliminer tous les risques. Le risque restant est appelé "risque résiduel".L'évaluation des risques est réalisée par une équipe de personnes connaissant des domaines spécifiques de l'entreprise. La composition de l'équipe peut varier au fil du temps à mesure que différentes parties de l'entreprise sont évaluées. L'évaluation peut faire appel à une analyse qualitative subjective fondée sur une opinion éclairée ou, lorsqu'on dispose de données financières et historiques fiables, à une analyse quantitative.La recherche a montré que le point le plus vulnérable de la plupart des systèmes d'information est l'utilisateur humain, l'opérateur, le concepteur ou tout autre être humain. Le Code de pratique ISO/CEI 27002:2005 pour la gestion de la sécurité de l'information recommande que les points suivants soient examinés au cours d'une évaluation des risques:
  • politique de sécurité,
  • organisation de la sécurité de l'information,
  • gestion d'actifs,
  • la sécurité des ressources humaines,
  • la sécurité physique et environnementale,
  • la gestion des communications et des opérations,
  • contrôle d'accès,
  • acquisition, développement et maintenance de systèmes d'information,
  • la gestion des incidents de sécurité de l'information,
  • la gestion de la continuité des opérations, et
  • conformité réglementaire.
D'une manière générale, le processus de gestion des risques comprend:
  1. Identification des actifs et estimation de leur valeur. Inclure: personnes, bâtiments, matériel, logiciels, données (électroniques, imprimés, autres), fournitures.
  2. Effectuer une évaluation de la menace. Inclure: Actes de la nature, actes de guerre, accidents, actes malveillants provenant de l'intérieur ou de l'extérieur de l'organisation.
  3. Effectuer une évaluation de la vulnérabilité, et pour chaque vulnérabilité, calculer la probabilité qu'elle soit exploitée. Évaluer les politiques, procédures, normes, formation, sécurité physique, contrôle de la qualité, sécurité technique.
  4. Calculez l'impact que chaque menace aurait sur chaque bien. Utiliser une analyse qualitative ou quantitative.
  5. Identifier, sélectionner et mettre en œuvre les contrôles appropriés. Fournir une réponse proportionnelle. Tenez compte de la productivité, du rapport coût-efficacité et de la valeur de l'actif.
  6. Évaluer l'efficacité des mesures de contrôle. Veillez à ce que les commandes fournissent la protection rentable requise sans perte de productivité perceptible.
Pour un risque donné, la direction peut choisir d'accepter le risque en fonction de la valeur relativement faible de l'actif, de la fréquence relativement faible de la survenance et de l'incidence relativement faible sur l'entreprise. Ou encore, les dirigeants peuvent choisir d'atténuer le risque en choisissant et en mettant en œuvre des mesures de contrôle appropriées pour réduire le risque. Dans certains cas, le risque peut être transféré à une autre entreprise en achetant de l'assurance ou en faisant appel à une autre entreprise. La réalité de certains risques peut être contestée. Dans ce cas, les dirigeants peuvent choisir de nier le risque.

Contrôles

Le choix de contrôles appropriés et leur mise en œuvre aidera d'abord l'organisation à ramener le risque à des niveaux acceptables. La sélection des témoins devrait suivre et être fondée sur l'évaluation des risques. Les contrôles peuvent être de nature variable, mais ils sont fondamentalement des moyens de protéger la confidentialité, l'intégrité ou la disponibilité de l'information. La norme ISO/CEI 27001:2005 a défini 133 contrôles dans différents domaines, mais cette liste n'est pas exhaustive. Les organisations peuvent mettre en place des contrôles supplémentaires selon les besoins de l'organisation. ISO 27001:2013 a réduit le nombre de contrôles à 113. A partir du 08.11.2013, la norme technique de sécurité de l'information en vigueur est: ABNT NBR ISO/IEC 27002:2013.

Administratif

Les contrôles administratifs consistent en des politiques, procédures, normes et lignes directrices écrites approuvées. Les contrôles administratifs constituent le cadre de gestion de l'entreprise et des ressources humaines. Ils informent les gens sur la façon dont l'entreprise doit être gérée et sur la façon dont les opérations quotidiennes doivent être menées. Les lois et règlements créés par les organismes gouvernementaux sont également une sorte de contrôle administratif car ils informent l'entreprise. Certains secteurs de l'industrie ont des politiques, des procédures, des normes et des lignes directrices qui doivent être suivies - le Payment Card Industry Data Security Standard (PCI DSS) exigé par Visa et MasterCard en est un exemple. D'autres exemples de contrôles administratifs comprennent la politique de l'entreprise en matière de sécurité, la politique sur les mots de passe, les politiques d'embauche et les politiques disciplinaires.Les contrôles administratifs constituent la base du choix et de la mise en œuvre des contrôles logiques et physiques. Les contrôles logiques et physiques sont des manifestations des contrôles administratifs. Les contrôles administratifs sont d'une importance capitale.

Logique

Les contrôles logiques (également appelés contrôles techniques) utilisent des logiciels et des données pour surveiller et contrôler l'accès à l'information et aux systèmes informatiques. Par exemple: les mots de passe, les pare-feu réseau et hôte, les systèmes de détection d'intrusion réseau, les listes de contrôle d'accès et le cryptage des données sont des contrôles logiques.Le principe du moindre privilège est un contrôle logique important qui est souvent négligé. Le principe du moindre privilège exige qu'une personne, un programme ou un système n'obtienne pas plus de privilèges d'accès qu'il n'en faut pour accomplir la tâche. Un exemple flagrant du non-respect du principe du moindre privilège est la connexion à Windows en tant qu'administrateur utilisateur pour lire les e-mails et surfer sur le web. Des violations de ce principe peuvent également se produire lorsqu'une personne obtient des privilèges d'accès supplémentaires au fil du temps. Cela se produit lorsque les tâches de l'employé changent, qu'il est promu à un nouveau poste ou qu'il est muté à un autre ministère. Les privilèges d'accès exigés par leurs nouvelles fonctions viennent souvent s'ajouter aux privilèges d'accès déjà existants, qui ne sont peut-être plus nécessaires ou appropriés.

Physique

Les contrôles physiques surveillent et contrôlent l'environnement du lieu de travail et des installations informatiques. Ils surveillent et contrôlent également l'accès à de telles installations. Par exemple: portes, serrures, chauffage et climatisation, avertisseurs de fumée et d'incendie, systèmes d'extinction d'incendie, caméras, barricades, clôtures, gardes de sécurité, serrures à câble, etc. Séparer le réseau et le lieu de travail en zones fonctionnelles sont également des contrôles physiques.Un contrôle physique important qui est souvent négligé est la séparation des tâches, qui garantit qu'une personne ne peut pas accomplir seule une tâche critique. Par exemple, un salarié qui soumet une demande de remboursement ne doit pas non plus pouvoir autoriser le paiement ou imprimer le chèque. Un programmeur d'applications ne devrait pas non plus être l'administrateur du serveur ou de la base de données - ces rôles et responsabilités doivent être séparés les uns des autres.

Défense en profondeur

Le modèle oignon de la défense en profondeurLa sécurité de l'information doit protéger l'information tout au long de sa durée de vie, depuis la création initiale de l'information jusqu' à son élimination finale. L'information doit être protégée en mouvement et au repos. Au cours de sa durée de vie, l'information peut passer par de nombreux systèmes de traitement de l'information et passer par de nombreux éléments différents des systèmes de traitement de l'information. Il existe de nombreuses façons de menacer les systèmes d'information et d'information. Afin de protéger pleinement l'information pendant sa durée de vie, chaque composant du système de traitement de l'information doit avoir ses propres mécanismes de protection. La construction, la superposition et le chevauchement des mesures de sécurité est appelée défense en profondeur. Contrairement à une chaîne métallique, qui n'est réputée que pour être aussi forte que son maillon le plus faible, la défense en profondeur vise une structure où, en cas d'échec d'une mesure défensive, d'autres mesures continueront à assurer la protection.Rappelez-vous la discussion précédente sur les contrôles administratifs, les contrôles logiques et les contrôles physiques. Les trois types de contrôles peuvent servir de base à l'élaboration d'une stratégie de défense en profondeur. Avec cette approche, la défense en profondeur peut être conceptualisée sous forme de trois couches ou plans distincts superposés. Il est possible d'avoir une meilleure idée de la défense en profondeur en pensant qu'elle forme les couches d'un oignon, avec des données au cœur de l'oignon, les gens la couche extérieure suivante de l'oignon, et la sécurité du réseau, la sécurité basée sur l'hôte et la sécurité des applications formant les couches extérieures de l'oignon. Les deux perspectives sont tout aussi valables l'une que l'autre et chacune apporte un éclairage précieux sur la mise en œuvre d'une bonne stratégie de défense en profondeur.

Classification de sécurité des informations

Un aspect important de la sécurité de l'information et de la gestion des risques consiste à reconnaître la valeur de l'information et à définir les procédures appropriées et les exigences de protection de l'information. Toutes les informations ne sont pas égales et, par conséquent, toutes les informations ne requièrent pas le même degré de protection. Pour ce faire, une classification de sécurité doit être attribuée aux informations.La première étape de la classification de l'information consiste à désigner un membre de la haute direction comme propriétaire de l'information à classifier. Ensuite, élaborez une politique de classification. La politique devrait décrire les différentes étiquettes de classification, définir les critères d'attribution d'une étiquette particulière et énumérer les contrôles de sécurité requis pour chaque classification.Parmi les facteurs qui influent sur l'attribution de l'information de classification, mentionnons la valeur de cette information pour l'organisation, son ancienneté et le fait que l'information est devenue obsolète ou non. Les lois et autres exigences réglementaires sont également des considérations importantes lors de la classification de l'information.Le Business Model for Information Security (Modèle d'affaires pour la sécurité de l'information) permet aux professionnels de la sécurité d'examiner la sécurité du point de vue des systèmes, créant ainsi un environnement dans lequel la sécurité peut être gérée de manière holistique.Le type d'étiquettes de classification de la sécurité de l'information choisies et utilisées dépendra de la nature de l'organisation, par exemple:
  • Dans le secteur des entreprises, des labels tels que: Public, Sensible, Privé, Confidentiel.
  • Dans le secteur gouvernemental, les étiquettes telles que: Non classifié, Non officiel, Protégé, Confidentiel, Secret, Très secret et leurs équivalents non anglais.
  • Dans les formations intersectorielles, le Protocole des feux tricolores, qui comprend: Blanc, Vert, Ambre et Rouge.
Tous les employés de l'organisation, ainsi que les partenaires commerciaux, doivent être formés sur le schéma de classification et comprendre les contrôles de sécurité et les procédures de manutention requis pour chaque classification. La classification d'un bien d'information particulier qui a été attribué devrait faire l'objet d'un examen périodique afin de s'assurer que la classification est toujours appropriée pour l'information et que les mesures de sécurité requises par la classification sont en place et respectées dans le cadre des procédures appropriées.

Contrôle d'accès

L'accès aux renseignements protégés doit être restreint aux personnes autorisées à y accéder. Les programmes informatiques, et dans bien des cas les ordinateurs qui traitent l'information, doivent également être autorisés. Cela exige la mise en place de mécanismes pour contrôler l'accès aux renseignements protégés. La sophistication des mécanismes de contrôle d'accès devrait être à la hauteur de la valeur de l'information protégée - plus l'information est sensible ou précieuse, plus les mécanismes de contrôle doivent être solides. Les fondements sur lesquels reposent les mécanismes de contrôle d'accès commencent par l'identification et l'authentification.Le contrôle d'accès est généralement envisagé en trois étapes: identification, authentification et autorisation.

Identification

L'identification est une affirmation de qui est quelqu'un ou de quoi il s'agit. Si une personne fait la déclaration "Bonjour, je m'appelle John Doe", elle dit qui elle est. Cependant, leur allégation peut être vraie ou fausse. Avant que l'on puisse accorder à John Doe l'accès aux renseignements protégés, il sera nécessaire de vérifier que la personne qui prétend être un inconnu est bien John Doe. En général, la réclamation prend la forme d'un nom d'utilisateur. En entrant ce nom d'utilisateur, vous dites "Je suis la personne à qui appartient le nom d'utilisateur".

Authentification

L'authentification est l'acte de vérifier une revendication d'identité. Lorsque John Doe se rend dans une banque pour faire un retrait, il dit au caissier qu'il est John Doe-une déclaration d'identité. Le caissier demande à voir une pièce d'identité avec photo, alors il remet son permis de conduire au caissier. Le caissier de banque vérifie le permis pour s'assurer qu'il y a bien John Doe et compare la photo sur le permis avec la personne qui prétend être John Doe. Si la photo et le nom correspondent à la personne, le caissier a authentifié que l'inconnu est bien celui qu'il prétend être. De même, en saisissant le mot de passe correct, l'utilisateur apporte la preuve qu'il est bien la personne à qui appartient son nom d'utilisateur.Il existe trois types d'informations différentes qui peuvent être utilisées pour l'authentification:
  • Quelque chose que vous connaissez: des choses comme un NIP, un mot de passe ou le nom de jeune fille de votre mère.
  • Quelque chose que vous avez: un permis de conduire ou une carte magnétique.
  • Quelque chose que vous êtes: la biométrie, y compris les empreintes de paume, les empreintes digitales, les empreintes vocales et les scans rétiniens (yeux).
Une authentification forte nécessite la fourniture de plusieurs types d'informations d'authentification (authentification à deux facteurs). Le nom d'utilisateur est la forme la plus courante d'identification sur les systèmes informatiques aujourd'hui et le mot de passe est la forme la plus courante d'authentification. Les noms d'utilisateur et les mots de passe ont rempli leur fonction, mais dans notre monde moderne, ils ne sont plus adéquats. Les noms d'utilisateur et les mots de passe sont progressivement remplacés par des mécanismes d'authentification plus sophistiqués.

Autorisation

Une fois qu'une personne, un programme ou un ordinateur a été identifié et authentifié avec succès, il faut déterminer les ressources informationnelles auxquelles ils ont accès et les actions qu'ils seront autorisés à exécuter (exécuter, afficher, créer, supprimer ou modifier). C'est ce qu'on appelle une autorisation. L'autorisation d'accéder à l'information et à d'autres services informatiques commence par des politiques et procédures administratives. Les politiques prescrivent quels services informatiques et d'information sont accessibles, par qui et dans quelles conditions. Les mécanismes de contrôle d'accès sont ensuite configurés pour appliquer ces politiques. Différents systèmes informatiques sont équipés de différents types de mécanismes de contrôle d'accès - certains peuvent même offrir un choix parmi différents mécanismes de contrôle d'accès. Le mécanisme de contrôle d'accès qu'un système offre sera fondé sur l'une des trois approches de contrôle d'accès ou il peut découler d'une combinaison de ces trois approches.L'approche non discrétionnaire consolide tous les contrôles d'accès sous une administration centralisée. L'accès à l'information et à d'autres ressources est habituellement fondé sur la fonction (rôle) de l'individu dans l'organisation ou sur les tâches qu'il doit accomplir. L'approche discrétionnaire permet au créateur ou au propriétaire de la ressource d'information de contrôler l'accès à ces ressources. Dans l'approche de contrôle d'accès obligatoire, l'accès est accordé ou refusé en fonction de la classification de sécurité attribuée à la ressource d'information.Parmi les exemples de mécanismes de contrôle d'accès courants utilisés aujourd'hui, on peut citer le contrôle d'accès basé sur les rôles, disponible dans de nombreux systèmes de gestion de bases de données avancés, les autorisations de fichiers simples fournies dans les systèmes d'exploitation UNIX et Windows, les objets de stratégie de groupe fournis dans les systèmes réseau Windows, Kerberos, RADIUS, TACACS et les listes d'accès simples utilisées dans de nombreux pare-feu et routeurs.Pour être efficaces, les politiques et autres contrôles de sécurité doivent être exécutoires et respectés. Des politiques efficaces garantissent que les gens sont tenus responsables de leurs actes. Les lignes directrices du Trésor américain pour les systèmes traitant des informations sensibles ou exclusives stipulent que toutes les tentatives d'authentification et d'accès échouées et réussies doivent être consignées et que tout accès à l'information doit laisser un certain type de piste d'audit.De plus, le principe du besoin de savoir doit être appliqué lorsque l'on parle de contrôle d'accès. Le principe du besoin de savoir donne des droits d'accès à une personne pour qu'elle puisse exercer ses fonctions professionnelles. Ce principe est utilisé par le gouvernement lorsqu'il s'agit d'éliminer les différences. Même si deux employés de ministères différents détiennent une cote de sécurité très secrète, ils doivent avoir un besoin d'en connaître pour échanger de l'information. Dans le cadre du principe du besoin d'en connaître, les administrateurs réseau accordent à l'employé le moins de privilèges pour empêcher les employés d'accéder et de faire plus que ce qu'ils sont censés faire. Le besoin de savoir aide à faire respecter la triade confidentialité-intégrité-disponibilité (C-I-A). Le besoin de savoir a un impact direct sur la zone confidentielle de la triade.

Cryptographie

La sécurité de l'information utilise la cryptographie pour transformer les informations utilisables sous une forme qui les rend inutilisables par toute personne autre qu'un utilisateur autorisé; ce processus est appelé cryptage. Les informations qui ont été cryptées (rendues inutilisables) peuvent être transformées à nouveau dans leur forme originale par un utilisateur autorisé, qui possède la clé cryptographique, par le biais du processus de décryptage. La cryptographie est utilisée dans la sécurité de l'information pour protéger l'information contre la divulgation non autorisée ou accidentelle pendant que l'information est en transit (électronique ou physique) et pendant que l'information est stockée.La cryptographie assure la sécurité de l'information avec d'autres applications utiles, y compris des méthodes d'authentification améliorées, des résumés de messages, des signatures numériques, la non-répudiation et des communications réseau chiffrées. Les anciennes applications moins sécurisées, telles que telnet et ftp, sont progressivement remplacées par des applications plus sécurisées telles que ssh, qui utilisent des communications réseau cryptées. Les communications sans fil peuvent être cryptées à l'aide de protocoles tels que WPA/WPA2 ou WEP plus anciens (et moins sécurisés). Les communications filaires (telles que ITU-T G. hn) sont sécurisées à l'aide d'AES pour le cryptage et de X. 1035 pour l'authentification et l'échange de clés. Les applications logicielles telles que GnuPG ou PGP peuvent être utilisées pour chiffrer les fichiers de données et les e-mails.La cryptographie peut présenter des problèmes de sécurité lorsqu'elle n'est pas correctement mise en œuvre. Les solutions cryptographiques doivent être mises en œuvre à l'aide de solutions acceptées par l'industrie qui ont fait l'objet d'un examen rigoureux par des experts indépendants en cryptographie. La longueur et la force de la clé de cryptage est également une considération importante. Une clé faible ou trop courte produira un faible cryptage. Les clés utilisées pour le chiffrement et le déchiffrement doivent être protégées avec le même degré de rigueur que toute autre information confidentielle. Ils doivent être protégés contre la divulgation et la destruction non autorisées et doivent être disponibles au besoin. Les solutions d'infrastructure à clé publique (ICP) abordent bon nombre des problèmes qui entourent la gestion des clés.

Processus

Les termes personne raisonnable et prudente, diligence raisonnable et due diligence ont été utilisés dans les domaines des finances, des valeurs mobilières et du droit depuis de nombreuses années. Ces dernières années, ces termes ont trouvé leur place dans les domaines de l'informatique et de la sécurité de l'information. Les Federal Sentencing Guidelines des États-Unis permettent désormais de tenir les dirigeants d'entreprises responsables de ne pas avoir fait preuve de diligence et de diligence raisonnable dans la gestion de leurs systèmes d'information.Dans le monde des affaires, les actionnaires, les clients, les partenaires commerciaux et les gouvernements s'attendent à ce que les dirigeants d'entreprise dirigent l'entreprise conformément aux pratiques commerciales reconnues et aux lois et autres exigences réglementaires. Cela est souvent décrit comme la règle de la "personne raisonnable et prudente". Une personne prudente prend soin de s'assurer que tout ce qui est nécessaire est fait pour faire fonctionner l'entreprise selon des principes commerciaux sains et d'une manière éthique et légale. Une personne prudente est également consciencieuse (attentive, attentive et continue) dans ses responsabilités envers l'entreprise.Dans le domaine de la sécurité de l'information, Harris propose les définitions suivantes de diligence raisonnable et de diligence raisonnable:
On entend par "diligence raisonnable" les mesures qui sont prises pour montrer qu'une entreprise a pris la responsabilité des activités qui ont lieu au sein de l'entreprise et a pris les mesures nécessaires pour aider à protéger l'entreprise, ses ressources et ses employés. Et,"des activités continues qui s'assurent que les mécanismes de protection sont continuellement maintenus et opérationnels.
Il convient de prêter attention à deux points importants de ces définitions. Tout d'abord, en faisant preuve de prudence, des mesures sont prises pour montrer - ce qui signifie que les mesures peuvent être vérifiées, mesurées ou même produire des artefacts tangibles. Deuxièmement, dans le cadre de la diligence raisonnable, il y a des activités continues - cela signifie que les gens font effectivement des choses pour surveiller et maintenir les mécanismes de protection, et ces activités sont continues.

Gouvernance de la sécurité

Le Software Engineering Institute de l'Université Carnegie Mellon, dans une publication intitulée "Governing for Enterprise Security (GES)", définit les caractéristiques d'une gouvernance efficace de la sécurité. Celles-ci incluent:
  • Un enjeu à l'échelle de l'entreprise
  • Les dirigeants sont responsables
  • Considéré comme une exigence métier
  • Risque fondé sur le risque
  • Définition des rôles, des responsabilités et de la séparation des tâches
  • Prise en compte et application de la politique
  • Ressources suffisantes engagées
  • Sensibilisation et formation du personnel
  • Une exigence de cycle de vie du développement
  • Planifié, géré, mesurable et mesuré
  • Examiné et vérifié

Plans d'intervention en cas d'incident

1 à 3 paragraphes (non techniques) qui discutent:
  • Sélection des membres de l'équipe
  • Définir les rôles, les responsabilités et les lignes d'autorité
  • Définir un incident de sécurité
  • Définir un incident à signaler
  • Formation
  • Détection
  • Classification
  • Escalade
  • Confinement
  • Éradication
  • Documentation

Gestion du changement

La gestion du changement est un processus formel de direction et de contrôle des modifications apportées à l'environnement de traitement de l'information. Cela comprend les modifications apportées aux ordinateurs de bureau, au réseau, aux serveurs et aux logiciels. Les objectifs de la gestion du changement sont de réduire les risques posés par les changements dans l'environnement de traitement de l'information et d'améliorer la stabilité et la fiabilité de l'environnement de traitement au fur et à mesure des changements. L'objectif de la gestion du changement n'est pas d'empêcher ou d'entraver la mise en œuvre des changements nécessaires.Toute modification de l'environnement informatique introduit un élément de risque. Même des changements apparemment simples peuvent avoir des effets inattendus. L'une des nombreuses responsabilités de la direction consiste à gérer les risques. La gestion du changement est un outil de gestion des risques liés aux changements apportés à l'environnement de traitement de l'information. Une partie du processus de gestion des changements garantit que les changements ne sont pas mis en œuvre à des moments inopportuns où ils peuvent perturber les processus opérationnels critiques ou interférer avec d'autres changements en cours de mise en œuvre.Il n'est pas nécessaire de gérer tous les changements. Certains types de modifications font partie de la routine quotidienne du traitement de l'information et suivent une procédure prédéfinie, ce qui réduit le niveau global de risque pour l'environnement de traitement. La création d'un nouveau compte utilisateur ou le déploiement d'un nouvel ordinateur de bureau sont des exemples de changements qui ne nécessitent généralement pas de gestion des changements. Cependant, la relocalisation des partages de fichiers d'utilisateurs ou la mise à niveau du serveur de courrier électronique présentent un niveau de risque beaucoup plus élevé pour l'environnement de traitement et ne constituent pas une activité quotidienne normale. Les premières étapes cruciales de la gestion du changement sont: a) définir le changement (et communiquer cette définition) et b) définir la portée du système de changement.La gestion du changement est généralement supervisée par un comité d'examen des changements composé de représentants des principaux secteurs d'activité, de la sécurité, du réseautage, des administrateurs système, de l'administration de la base de données, du développement d'applications. Les tâches du comité de révision des modifications peuvent être facilitées par l'utilisation d'une application automatisée de flux de travail. La responsabilité du Comité d'examen des changements consiste à s'assurer que les procédures documentées de gestion des changements des organisations sont suivies. Le processus de gestion du changement est le suivant:
  • Demandé: N'importe qui peut demander une modification. La personne qui fait la demande de modification peut être ou non la même personne que celle qui effectue l'analyse ou met en œuvre la modification. Lorsqu'une demande de changement est reçue, elle peut faire l'objet d'un examen préliminaire afin de déterminer si le changement demandé est compatible avec le modèle opérationnel et les pratiques de l'organisation et de déterminer le montant des ressources nécessaires pour mettre en œuvre le changement.
  • Approuvé: La direction gère l'entreprise et contrôle l'affectation des ressources; par conséquent, la direction doit approuver les demandes de modification et attribuer une priorité à chaque changement. La direction peut choisir de rejeter une demande de modification si le changement n'est pas compatible avec le modèle d'affaires, les normes de l'industrie ou les pratiques exemplaires. La direction peut également choisir de refuser une demande de modification si la modification nécessite plus de ressources que celles qui peuvent être affectées à la modification.
  • Planifié: La planification d'un changement comprend la détermination de la portée et de l'incidence du changement proposé, l'analyse de la complexité du changement, l'affectation des ressources et l'élaboration, la mise à l'essai et la documentation des plans de mise en œuvre et d'intervention. Nécessité de définir les critères sur lesquels se fondera la décision de faire marche arrière.
  • Testé: Chaque changement doit être testé dans un environnement d'essai sûr, qui reflète étroitement l'environnement de production réel, avant que le changement ne soit appliqué à l'environnement de production. Le plan de dépannage doit également être mis à l'essai.
  • Calendrier: Une partie de la responsabilité du comité d'examen des changements consiste à aider à l'établissement du calendrier des changements en examinant la date de mise en œuvre proposée pour les conflits éventuels avec d'autres changements prévus ou les activités opérationnelles essentielles.
  • Communiqué: Une fois qu'un changement a été planifié, il doit être communiqué. La communication vise à donner aux autres l'occasion de rappeler au comité d'examen des changements d'autres changements ou activités commerciales critiques qui auraient pu être négligés lors de la planification du changement. La communication sert également à informer le service d'assistance et les utilisateurs qu'un changement est sur le point de se produire. Une autre responsabilité du comité d'examen des changements est de s'assurer que les changements prévus ont été communiqués de façon appropriée aux personnes qui seront touchées par le changement ou qui ont un intérêt quelconque dans le changement.
  • Mise en œuvre: À la date et à l'heure prévues, les changements doivent être mis en œuvre. Une partie du processus de planification consistait à élaborer un plan de mise en œuvre, un plan d'essai et un plan de retrait. Si la mise en œuvre du changement devait échouer ou si le test post-implémentation échoue ou si d'autres critères de " dépôt mort " sont respectés, le plan de retrait devrait être mis en œuvre.
  • Documenté: Toutes les modifications doivent être documentées. La documentation comprend la demande initiale de changement, son approbation, la priorité qui lui a été attribuée, la mise en œuvre, les plans de mise à l'essai et de retrait, les résultats de la critique du comité d'examen des changements, la date et l'heure de la mise en œuvre du changement, les personnes qui l'ont mis en œuvre et la question de savoir si le changement a été mis en œuvre avec succès, échoué ou reporté.
  • Examen après le changement: Le comité d'examen des changements devrait procéder à un examen après la mise en œuvre des changements. Il est particulièrement important d'examiner les changements qui ont échoué et qui ont été annulés. La commission d'examen devrait essayer de comprendre les problèmes qui ont été rencontrés et de trouver des pistes d'amélioration.
Des procédures de gestion du changement simples à suivre et faciles à utiliser peuvent réduire considérablement les risques globaux engendrés lorsque des changements sont apportés à l'environnement de traitement de l'information. De bonnes procédures de gestion du changement améliorent la qualité générale et le succès des changements à mesure qu'ils sont mis en œuvre. Cela se fait par la planification, l'examen par les pairs, la documentation et la communication.ISO/CEI 20000, Le Manuel OPS visible: Mise en œuvre de l'ITIL en 4 étapes pratiques et vérifiables (résumé complet du livre), et la Bibliothèque de l'infrastructure des technologies de l'information fournissent tous des conseils précieux sur la mise en œuvre d'un programme de gestion du changement efficace et efficient de sécurité de l'information.
Nettoyage PC