Documente Academic
Documente Profesional
Documente Cultură
DEPARTEMENT DINFORMATIQUE
FILIERE LICENCE PROFESSIONNELLE
Encadr par :
M. Abbes RHARRAB
Remerciements
Jexprime toute ma reconnaissance et gratitude lensemble des enseignants de la Licence Professionnelle - Administration des Systmes Informatiques, de lUniversit Mohammed V Agdal - Facult des Sciences Rabat pour leurs efforts nous fournir une meilleure formation. Je tiens remercier mon encadrant Pr. El Mamoun SOUIDI de mavoir permis daborder ce thme qui ma ouvert de nouvelles options en terme de carrire. Je remercie chaleureusement Mes parents, ma famille, et aussi M.Mohammed EL HARFAOUI pour a prcieuse aide, ainsi que tous ceux qui, dune manire ou dune autre, ont contribu la russite de ce travail et qui nont pas pu tre cits ici.
Rsum
Laudit de la scurit dun systme dinformation est indispensable pour toute organisation qui dcide de changements au sein de son systme dinformation ou de sassurer de son fonctionnement optimal. Comme toute dmarche qualit, il ncessite une mthodologie rigoureuse et une communication idale au sein de lquipe.
Mots clefs
Audit, Scurit, Systme, information, management, Systme dinformation, Systme de management, Systme de Management de la Scurit de lInformation, SMSI.
Sommaire
INTRODUCTION .....................................................................................................................5 CHAPITRE 1 : GENERALITES .......................................................................................................6
I- QUEST-CE QUUN SYSTEMES DINFORMATION ?.............................................................................. 6 1- QUEST-CE QUUN SYSTEMES ? .......................................................................................................... 6 2- QUEST-CE QUUN SYSTEME DINFORMATION ? .................................................................................... 6 3- EN QUOI CONSISTE UN SYSTEME DINFORMATION ? ............................................................................... 6 II- LA SECURITE DE LINFORMATION .................................................................................................... 7 1- CEST QUOI LA SECURITE DE L'INFORMATION ? ................................................................................ 7 2- POURQUOI SE PROTEGER ? ............................................................................................................... 7 3- QUEST-CE QUUNE POLITIQUE DE SECURITE DE LINFORMATION ? ...................................................... 8
Introduction
De nos jours les entreprises sont de plus en plus connectes tant en interne que dans le monde entier, profitant ainsi de lvolution des rseaux informatiques et la dmatrialisation des documents. De ce fait, leur systme dinformation est accessible de lextrieur pour leurs fournisseurs, clients, partenaires et administrations. L'accessibilit par lextrieur entraine la vulnrabilit vis vis les attaques, mais aussi on peut pas ngliger les menaces qui viennent de lintrieur, ce qui rend linvestissement dans des mesures de protection et de scurit indispensable, et la mise en uvre dun plan de scurit issu dun examen mthodique dune situation lie la scurit de linformation en vue de vrifier sa conformit des objectifs, des rgles, et des normes ou rfrentiels, afin de cerner les diffrentes composantes de la scurit du Systme dInformation, et pour atteindre un niveau de scurisation rpondant aux objectifs organisationnels et techniques.
Chapitre 1 : Gnralits
2- Pourquoi se protger ?
Parce que on estime que si la perte des informations, va provoquerait : - Une perte financire (exemple : destruction de fichiers client, rcupration de contrats par un concurrent,...)
- Une perte de l'image de marque (exemple : piratage d'une banque, divulgation d'un numro de tlphone sur liste rouge,...) - Une perte d'efficacit ou de production (exemple : rendre indisponible un serveur de fichiers sur lequel travaillent les collaborateurs)
Laudit de scurit informatique se prsente essentiellement suivant deux parties comme le prsente le prcdent schma : - Laudit organisationnel et physique. - Laudit technique. Une troisime partie optionnelle peut tre galement considre. Il sagit de laudit Intrusif (test dintrusions). Enfin un rapport daudit est tabli lissue de ces tapes. Ce rapport prsente une synthse de laudit. Il prsente galement les recommandations mettre en place pour corriger les dfaillances organisationnelles ou techniques constates.
10
Dfinition de la charte d'audit Prparation de l'Audit Audit Organisationnel & Physique Audit Technique Test d'intrusions Rapport de synthse & recommandations
Schma du processus daudit
2- Prparation de laudit
Cette phase est aussi appele phase de pr audit. Elle constitue une phase importante pour la ralisation de laudit sur terrain. En effet, cest au cours de cette phase que se dessinent les grands axes qui devront tre suivis lors de laudit sur terrain. Elle se manifeste par des rencontres entre auditeurs et responsables de lorganisme auditer. Au cours de ces entretiens, les esprances des responsables vis--vis de laudit devront tre exprimes. Aussi, le planning de ralisation de la mission de laudit doit tre fix. Les personnes qui seront amenes rpondre au questionnaire concernant laudit organisationnel doivent tre galement identifies. Lauditeur (ou les auditeurs) pourrait galement solliciter les rsultats des prcdents audits. Cette phase sera suivie par laudit organisationnel et physique.
11
4- Audit technique
a. Objectifs Cette tape de laudit sur terrain vient en seconde position aprs celle de laudit organisationnel. Laudit technique est ralis suivant une approche mthodique allant de la dcouverte et la reconnaissance du rseau audit jusquau sondage des services rseaux actifs et vulnrables. Cette analyse devra faire apparatre les failles et les risques, les consquences dintrusions ou de manipulations illicites de donnes. Au cours de cette phase, lauditeur pourra galement apprcier lcart avec les rponses obtenues lors des entretiens. Il testera aussi la robustesse de la scurit du systme dinformation et sa capacit prserver les aspects de confidentialit, dintgrit, de disponibilit et dautorisation. Cependant, lauditeur doit veiller ce que les tests raliss ne mettent pas en cause la continuit de service du systme audit. b. Droulement Vu les objectifs escompts lors de cette tape, leurs aboutissements ne sont possibles que par lutilisation de diffrents outils. Chaque outil commercial qui devra tre utilis, doit bnficier dune licence dutilisation en bonne et due forme.
12
Egalement les outils disponibles dans le monde du logiciel libre sont admis. Lensemble des outils utiliss doit couvrir entirement ou partiellement la liste non exhaustive des catgories ci-aprs : - Outils de sondage et de reconnaissance du rseau. - Outils de test automatique de vulnrabilits du rseau. - Outils spcialiss dans laudit des quipements rseau (routeurs, switchs). - Outils spcialiss dans laudit des systmes dexploitation. - Outils danalyse et dinterception de flux rseaux. - Outils de test de la solidit des objets dauthentification (fichiers de mots cls) - Outils de test de la solidit des outils de scurit rseau (firewalls, IDS, outils dauthentification). - Outils de scanne dexistence de connexions dial-up dangereuses (wardialing). - Outils spcialiss dans laudit des SGBD existants. Chacun des outils utiliser devra faire lobjet dune prsentation de leurs caractristiques et fonctionnalits aux responsables de lorganisme audit pour les assurer de lutilisation de ces outils.
13
6- Rapport daudit
A la fin des prcdentes phases daudit sur terrain, lauditeur est invit rdiger un rapport de synthse sur sa mission daudit. Cette synthse doit tre rvlatrice des dfaillances enregistres. Autant est-il important de dceler un mal, autant il est galement important dy proposer des solutions. Ainsi, lauditeur est galement invit donner ses recommandations, pour pallier aux dfauts quil aura constats. Ces recommandations doivent tenir compte de laudit organisationnel et physique, ainsi que de celui technique et intrusif.
14
2- Les normes
Une norme est, selon le guide ISO/CEI, un document de rfrence approuv par un organisme reconnu, et qui fourni pour des usages communs et rpts, des rgles, des lignes directrices ou des caractristiques, pour des activits, ou leurs rsultats, garantissant un niveau dordre optimal dans un contexte donn . Les entreprises se font certifier pour prouver quelles suivent les recommandations de la norme. Pour tre certifi, il faut, dans un premier temps acheter la norme. Les normes appliques la scurit des systmes dinformation sont gnralement dites par lorganisme ISO. Ensuite lentreprise doit mettre en pratique les recommandations dcrites dans la norme.
LICENCE PROFESSIONNELLE - ADMINISTRATION DE SYSTMES INFORMATIQUES
15
Gnralement, une entreprise peut se faire certifier pour trois raisons : - Pour une raison commerciale. Pour certaines entreprises, tre certifies par des normes de qualit par exemple est un gage de qualit pour les clients et est donc un atout commercial. - Par obligation. En industrie aronautique par exemple, les constructeurs exigent de leurs sous-traitants quils soient certifis par certaines normes. - Il y a aussi des entreprises qui se certifient pour elles-mmes, pour optimiser leur processus en interne.
3- Les mthodes
Une mthode est une dmarche, un processus ou un ensemble de principes qui permettent dappliquer une norme au systme dinformation de lentreprise. La mthode sert aussi faire un audit qui permet de faire, par exemple, un tat de la scurit du systme dinformation. Une mthode est souvent accompagne doutils afin dappuyer son utilisation. Ils peuvent tre disponibles gratuitement auprs des organismes qui les ont produits. Par exemple la mthode MEHARI, que nous verrons plus loin, propose un outil (fichier Microsoft Excel). Le fichier contient un ensemble de questions et de scnarios. Cette base de connaissance permet de ressortir toutes les vulnrabilits du systme dinformation et met des recommandations pour y remdier. La plupart des mthodes sont appliques par des experts en gestion des
risques (EBIOS, MEHARI, OCTAVE).
16
En 1995, le BSI publie la norme BS7799 qui intgre dix chapitres runissant plus de 100 mesures dtailles de scurit de linformation, potentiellement applicables selon lorganisme concern. En 1998, la norme BS7799 change de numrotation et devient la norme BS7799-1. Elle est complte par la norme BS7799-2 qui prcise les exigences auxquelles doit rpondre un organisme pour mettre en place une politique de scurit de linformation. Cette nouvelle norme est fonde sur une approche de la matrise des risques et sur le principe du management de la scurit de linformation. En 2000, la norme BS7799-1, devient la norme de rfrence internationale pour les organismes souhaitant renforcer leur scurit de linformation. Aprs avoir suivi un processus de concertation au niveau international et quelques ajouts, lISO lui attribue un nouveau nom, ISO/IEC 17799: 2000. En 2002, le BSI fait voluer la norme BS7799-2 en sinspirant des normes ISO 9001 :2000 et ISO 14001: 1996. La norme adopte dfinitivement une approche de management de la scurit de linformation. En 2005, lISO/CEI adopte la norme BS7799-2 sous la rfrence ISO/CEI 27001: 2005 en y apportant quelques modifications pour se rapprocher le plus possible du principe de systme de management dvelopp par les normes ISO 9001 et ISO14001. LISO/IEC 27001: 2005 spcifie les exigences pour la mise en place dun SMSI (Systme de Management de la Scurit de lInformation). En 2007, dans un souci de clarification, lISO renomme la norme ISO/IEC 17799 :2005 en changeant sa numrotation pour ISO/IEC 27002. La norme se greffe la famille des normes ISO/IEC 2700x toujours en dveloppement. Aujourdhui les organismes disposent de deux normes qui se sont imposes comme rfrence des SMSI, lISO/CEI 27001 :2005 qui dcrit les exigences pour la mise en place d'un Systme de Management de la Scurit de lInformation et lISO/CEI 27002 qui regroupe un ensemble de bonnes pratiques best practices pour la gestion de la scurit de l'information. Le tableau ci-aprs reprend cet historique.
Anne 1995 1998 2000 2002 2005 2005 2007 Norme BS 7799:1995 BS 7799-2:1998 ISO 17799:2000 BS 7799-2:2002 ISO 17799:2005 ISO 27001:2005 ISO 27002 Traite des SMSI Non Oui Non Oui Non Oui Non Remplace la norme
BS 7799 :1995 BS 7799-2 :1998 ISO 17799 :2000 BS 7799-2 :2002 ISO 17799 :2005
17
18
19
La scurit de l'information est dfinie au sein de la norme comme la prservation de la confidentialit, de l'intgrit et de la disponibilit de l'information . Cette norme n'a pas de caractre obligatoire pour les entreprises. Son respect peut toutefois tre mentionn dans un contrat : un prestataire de services pourrait ainsi s'engager respecter les pratiques normalises dans ses relations avec un client. Objectifs ISO/IEC 27002 est plus un code de pratique, quune vritable norme ou quune spcification formelle telle que lISO/IEC 27001. Elle prsente une srie de contrles (39 objectifs de contrle) qui suggrent de tenir compte des risques de scurit des informations relatives la confidentialit, l'intgrit et les aspects de disponibilit. Les entreprises qui adoptent l'ISO/CEI 27002 doivent valuer leurs propres risques de scurit de l'information et appliquer les contrles appropris, en utilisant la norme pour orienter lentreprise. La norme ISO 27002 n'est pas une norme au sens habituel du terme. En effet, ce nest pas une norme de nature technique, technologique ou oriente produit, ou une mthodologie d'valuation d'quipement telle que les critres communs CC/ISO 15408. Elle na pas de caractre d'obligation, elle namne pas de certification, ce domaine tant couvert par la norme ISO/IEC 27001.
ISO/CEI 27003 : Lignes directrices pour la mise en uvre du systme de management de la scurit de l'information
La norme ISO/CEI 27003 fournit une approche oriente processus pour la russite de la mise en uvre dun SMSI conformment lISO 27001. Objectifs Le but de l'ISO / CEI 27003 est de fournir aide et les conseils mettre en uvre un Systme de Management de la Scurit de l'Information. ISO / IEC 27003 guide la conception d'une norme ISO / IEC 27001-SGSI conforme, conduisant l'ouverture d'un SMSI [la mise en uvre du projet]. Il dcrit le processus du SMSI et la spcification de conception, du dbut jusqu' la production des plans d'excution des projets, couvrant la prparation et la planification des activits pralables la mise en uvre effective, et en prenant des lments cls tels que: Approbation de la direction et l'autorisation dfinitive de procder l'excution des projets; Dtermination de la porte et la dfinition des limites en termes de TIC et les lieux physiques; L'valuation des risques scurit de l'information et de la planification des traitements de risque appropris, le cas chant en dfinissant des exigences de contrle de scurit de l'information;
20
21
ISO/CEI 27006 : Exigences pour les organismes procdant l'audit et la certification des systmes de management de la scurit de l'information
ISO/CEI 27006 est un standard de scurit de l'information publi conjointement par l'ISO et la CEI, afin de fixer les exigences pour les organismes ralisant l'audit et la certification de SMSI. Objectifs Son objet est de fournir les prrequis pour les organismes d'audit et de certification la norme ISO 27001 pour les Systmes de Management de la Scurit de l'Information. Cette norme a t remise jour en 2011 et porte la rfrence ISO/IEC 27006.
ISO/CEI 27007 : Lignes directrices pour l'audit des systmes de management de la scurit de l'information
Cette norme fournit les lignes directrices pour les audits des systmes de management de la scurit de l'information, ainsi que des conseils sur la comptence des auditeurs des SMSI. Elle inclue aussi les lignes directrices contenues dans la norme ISO 19011.
22
III-
23
Rfrentiel
ISO 9001 ISO 14001 ISO 27001 ISO 20000 ISO 22000 OHSAS 18001
Domaine
Qualit Environnement Scurit de linformation Services informatiques Scurit alimentaire Sant/Scurit du personnel
Nous constatons que la majorit de ces rfrentiels sont normaliss par lISO (Organisation internationale de normalisation). Cependant, dautres organismes privs ou nationaux peuvent proposer leurs propres rfrentiels. La dernire ligne de cette liste montre, en effet, que lISO na pas le monopole des systmes de management, puisque la norme relative la scurit du personnel au travail (OHSAS 18001) nest pas spcifie par lISO.
24
management imposent la mise en place de mcanismes damlioration continue favorisant la capitalisation sur les retours dexprience. Troisime apport : la confiance Nous touchons enfin la raison davoir un systme de management : il fournit la confiance envers les parties prenantes. Quentendons-nous par parties prenantes ? Il sagit de toute personne, groupe ou instance envers laquelle lentreprise doit rendre des comptes (Par exemple : Les actionnaires, Les autorits de tutelle, Les clients, Les fournisseurs, Les partenaires, etc.). En fait, nous oublions trop souvent que la confiance est le vecteur qui permet toute relation entre un client et un fournisseur. Autant dire quil ny aurait aucune activit conomique sans la confiance.
Lexistence dun SMSI dans lorganisme permet de renforcer la confiance dans le mode de gestion de la scurit de linformation.
25
IV-
Le modle PDCA
Ce modle prsente deux proprits principales : il est cyclique et fractal. Caractre cyclique Cest ce cycle Plan, Do, Check, Act qui permet datteindre les objectifs (de scurit, de qualit, denvironnement ou autre) fixs par le management. En revanche, que se passe-t-il une fois que lobjectif a t atteint ? Un nouveau cycle doit tre entrepris. Cest pour cela que lon peut voir une flche (figure en haut) entre la phase Act et la phase Plan. Cette flche grise permet lentreprise non seulement datteindre ses objectifs, mais aussi de sy tenir dans la dure. Un systme de management est donc un processus qui tourne indfiniment. Caractre fractal Quelle que soit lchelle laquelle on observe les systmes de management, on doit retrouver le modle Plan, Do, Check, Act.
26
2- Phase Plan
La phase Plan du PDCA consiste fixer les objectifs du SMSI en suivant quatre grandes tapes, la politique et le primtre du SMSI, lapprciation des risques, le traitement des risques dcid en tenant en compte des risques rsiduels et la slection des mesures de scurit prsentes dans le SoA (Statement of Applicability : est un document sous forme de tableau qui numre les mesures de scurit du SMSI ainsi que celles non appliques). Dans la figure ci-dessous, une vue du droulement de la phase Plan.
Politique Primtre
Risques rsiduels
2.1- Politique et primtre du SMSI La premire tape consiste dfinir la politique et le primtre du SMSI. La politique est l pour prciser le niveau de scurit qui sera appliqu au sein du primtre du SMSI. La norme ne fixe pas dexigences sur le primtre, il peut tre restreint ou couvrir lensemble des activits de lorganisme. Lobjectif est dy inclure les activits pour lesquelles les parties prenantes exigent un certain niveau de confiance. 2.2- Apprciation des risques La deuxime tape concerne un des points les plus importants de lISO/CEI 27001, lapprciation des risques. Le problme de lapprciation des risques nest pas nouveau et est trait par de nombreuses mthodes dveloppes dans diffrents secteurs privs, acadmiques et agences gouvernementales. Certaines mthodes sont trs rpandues dans les organismes. En France, les plus connues sont EBIOS et MEHARI, aux Etats- Unis, OCTAVE. LISO/CEI propose aussi une mthode, la norme ISO/CEI 27005. Cette norme ne fait que fixer un cahier des charges spcifiant chacune des tapes clefs de lapprciation des risques.
27
Dans les points suivants nous dtaillons le processus dapprciation des risques avant de donner deux exemples de mthodes parmi les plus connues. 2.2.1- Processus dapprciation des risques Le processus dapprciation des risques se droule en sept tapes, illustres dans figure ci-dessous.
Identification des actifs
Evaluation de la vraisemblance
La premire tape consiste dresser une liste de tous les actifs qui ont une importance en matire dinformation au sein du SMSI. On distingue gnralement six catgories dactifs. Matriel, pour tous les quipements rseau et systme. Physique, pour les bureaux, lieux de production, de livraisons. Logiciel, pour les bases de donnes, fichiers, les systmes dexploitation. Humain, pour tous les collaborateurs de lorganisme. Documents, pour les documents papier, manuels dutilisation. Immatriel, pour le savoir-faire de lorganisme.
La deuxime tape vise attribuer pour chaque actif dinformation un propritaire . La norme dfinit le propritaire comme tant la personne qui connat le mieux la valeur et les consquences dune compromission en termes de disponibilit, dintgrit et de confidentialit de lactif.
28
La troisime tape est lidentification des vulnrabilits des actifs recenss. La vulnrabilit est la proprit intrinsque du bien qui lexpose aux menaces. A titre dexemple, un ordinateur portable est vulnrable au vol mais sa vulnrabilit nest pas le vol mais sa portabilit. Dans ce cas lidentification de la vulnrabilit est la portabilit. La quatrime tape est lidentification des menaces qui psent sur les actifs dinformation prcdemment recenss. Si lon reprend lexemple de lordinateur portable, la menace est dans ce cas le vol. La cinquime tape vise valuer limpact dune perte de la confidentialit, de la disponibilit ou de lintgrit sur les actifs. Pour mesurer cet impact on peut par exemple utiliser une matrice des risques, la norme nimpose aucun critre de mesure. La sixime tape demande dvaluer la vraisemblance des prcdentes tapes du processus en plaant dans leur contexte les actifs. Il sagit par exemple de considrer les mesures de scurit dj en vigueur dans lorganisme. Si lordinateur portable possde une clef dauthentification, un cryptage de ses donnes ou un accs VPN pour travailler, alors la vraisemblance dobserver un impact sur la confidentialit, la disponibilit ou lintgrit de ses donnes est limite. La septime tape consiste attribuer une note finale refltant les risques pour chacun des actifs dinformation. La norme nimpose aucune formule, on peut par exemple utiliser un code couleur (rouge pour un niveau de risque trs lev, orange pour moyen et vert pour faible. Dans le point suivant, nous prsentons deux mthodes connues et largement employes par les organismes pour lapprciation des risques de leur SMSI. 2.2.2- Mthodes dapprciation des risques En 2004, une tude du CLUSIF (Club de la Scurit de lInformation Franais) dnombrait plus de deux cents mthodes dapprciation des risques. Nous allons parler des mthodes, EBIOS et MEHARI.
29
A) La Mthode EBIOS
Dveloppe dans les annes 90 sous l'autorit de lagence franaise ANSSI (Agence nationale de la scurit des systmes dinformation), cette mthode est lExpression des Besoins et Identification des Objectifs de Scurit. Elle permet dapprcier, de traiter et communiquer sur les risques au sein dun SMSI. LANSSI et le Club EBIOS proposent en libre accs sur leur site web toute la documentation ainsi quun logiciel libre facilitant lutilisation de la mthode. Lapproche de la mthode est itrative, chaque module peut tre rvis, amlior et tenu jour de manire continue. EBIOS se compose de cinq modules reprsents dans la figure ci-dessous :
Module 1 :
Etude du contexte
Module 2 :
Etude des vnements redouts
Module 3 :
Etude des scnarios de menaces
Module 4 :
Etude des risques
Module 5 :
Etude des mesures de scurit
Module 1 : il concerne ltude du contexte. Il sagit de dtailler lorganisation, les missions, les contraintes et les mtiers pour rendre applicable et cohrent le choix des objectifs de scurit. Le point suivant consiste identifier les fonctions estimes sensibles, la perte, le dysfonctionnement ou la divulgation dinformations qui peuvent avoir des rpercussions sur le bon fonctionnement de lorganisme. Enfin, on rpertorie sous forme de matrice les entits techniques propres au SMSI (matriel, logiciels, rseaux) ainsi que les entits organisationnelles (groupes de collaborateurs) pour tablir les liens entre les lments essentiels et les entits. Module 2 : il concerne ltude des vnements redouts. Cette tape permet de dfinir les besoins de scurit des lments essentiels prcdemment identifis. On quantifie les besoins sur une chelle de 0 4 laide dun questionnaire que lon
30
adresse aux collaborateurs de lorganisme. Les besoins sont slectionns sur des critres de scurit tels que la disponibilit, lintgrit, la confidentialit et la nonrpudiation ainsi que sur des critres dimpacts (interruption de services, dommages matriels). Module 3 : consiste tudier les scnarios de menaces. Estimer, valuer les menaces (incendie, perte dalimentation lectrique, divulgation dinformation etc.) et identifier les objectifs de scurit qu'il faut atteindre pour les traiter. EBIOS fournit une liste de menaces que lon associe aux lments essentiels dfinis dans le module 1. Puis on attribue chaque lment un niveau de vulnrabilit sur une chelle de 0 4. Module 4 : il vise tudier les risques. Cette tape permet de dresser une cartographie des risques. Elle explique aussi comment traiter le risque. Estimer, valuer les risques puis identifier les objectifs de scurit atteindre pour les traiter. Module 5 : il concerne ltude des mesures de scurit. Cette dernire tape explique comment appliquer les mesures de scurit mettre en uvre, comment planifier la mise en uvre de ces mesures et comment valider le traitement des risques rsiduels. En conclusion, la mthode EBIOS par son caractre exhaustif, permet de formaliser tout le SMSI et son environnement. Cette mthode contribue formuler une politique de scurit du systme dinformation. Cest une des mthodes pour mettre en uvre le cadre dfini par l'ISO/CEI 27005. Elle rpond aux exigences de lISO/CEI 27001 et peut exploiter les mesures de scurit de l'ISO/CEI 27002.
31
B) La mthode MEHARI
La mthode MEHARI (Mthode Harmonise dAnalyse de Risques) a t dveloppe dans les annes 1990 par le CLUSIF (Club de la Scurit de l'Information Franais). A lorigine, cette mthode ne traitait que de lanalyse des risques. Elle a volu pour permettre une gestion de la scurit de lorganisme dans un environnement ouvert et gographiquement rparti. MEHARI a t adopte par des milliers dorganismes travers le monde et reste la mthode la plus utilise en France, en particulier dans l'industrie. Lutilisation et la distribution de son logiciel sont libres. En outre, certaines bases de connaissances sont disponibles et une tude illustre la mthode pour faciliter son utilisation. Contrairement la mthode EBIOS, MEHARI repose sur des scnarios de risques qui permettent didentifier les risques potentiels au sein de lorganisme. Elle est dfinie comme une bote outils conue pour la gestion de la scurit. En fonction des besoins, des choix dorientation, de politique de l'organisation ou simplement des circonstances, la mthode veille ce qu'une solution dapprciation des risques approprie puisse tre labore. La mthode est prsente sous la forme d'un ensemble que l'on appelle modules, centrs sur l'valuation des risques et leur gestion.
1- Principe de fonctionnement
La mthode mhari prend avant tout en compte les informations de lentreprise afin de dvelopper un plan afin de mieux dfinir les points protger dans lentreprise. MEHARI permettra l'entreprise de dfinir : - Un plan stratgique de scurit - Un plan oprationnel de scurit par site ou entit - Un plan oprationnel d'entreprise - Le traitement d'une famille de scnarios ou d'un scnario particulier - Le traitement d'un risque spcifique (Accident, Erreur, Malveillance) - Le traitement d'un critre de scurit (Disponibilit, Intgrit, Confidentialit) MEHARI, conjugue la rigueur d'une analyse des risques lis formellement au niveau de vulnrabilit du systme dinformation, l'adaptabilit de la gravit des risques tudis. En effet, la prsence ou l'absence de mesures de scurit va rduire ou non, soit la potentialit de survenance d'un sinistre, soit son impact. L'interaction de ces types de mesures concoure rduire la gravit du risque jusqu'au niveau choisi.
32
Cette expression trs simple signifie que le management de la scurit a pour objectif fondamental d'viter de se trouver dans une situation telle que des vulnrabilits fortes pourraient tre exploites et conduire des sinistres trs critiques pour l'entreprise ou l'organisation qui en est victime. Les phases de MEHARI sont les suivantes : + Phase 1 : tablissement d'un plan stratgique de scurit (global) qui fournit notamment : - la dfinition des mtriques des risques et la fixation des objectifs de scurit, - la reconnaissance et la dtermination des valeurs de l'entreprise, - l'tablissement d'une politique de scurit entreprise, l'tablissement d'une charte de management. + Phase 2 : tablissement de plans oprationnels de scurit raliss par les diffrentes units de l'entreprise + Phase 3 : consolidation des plans oprationnels (Plan global). Nous allons dtailler ces diffrentes tapes dans la suite de notre rapport, en tudier les modalits et les moyens mettre en uvre.
33
Les diffrentes phases ont pour objectif dtablir le contexte dentreprise, didentifier les actifs et les menaces, danalyser les risques et enfin de dfinir les mesures de scurit (traitement du risque). a- Plan stratgique Cest le plan qui examinera lentreprise sur un aspect gnral. Les aspects qui seront pris en compte lors de cette analyse, sont : la classification des ressources de lentreprise, lensemble des risques existants, et ses objectifs en terme de scurit. Premire tape : mettre en avant les risques possibles : Lors de laudit nous allons donc rpertorier les risques pouvant pnaliser lactivit de lentreprise. Ensuite pour chacun des risques dtects on dfinit : + Son potentiel : C'est--dire la capacit de destruction. Cest pour cela que lon mettra en place des tests ou plus prcisment des scnarios qui permettent de se mettre en situation et dvaluer ce potentiel. + Son impact : En clair, une fois la catastrophe arrive concrtement quel seront les dgts rels. + Sa gravit : Dterminer si vraiment les dgts son handicapants pour lentreprise et son fonctionnement. Deuxime tape : limite dacceptabilit De part ces caractristiques nous allons ensuite mettre en place une chelle pour le degr dacceptabilit non seulement sur le plan de la gravit mais aussi du temps. Combien de temps lentreprise pourra tre dans cette handicape sans que cela devienne dangereux pour sa survie. Troisime tape : les ressources de lentreprise Lors de cette tape nous dfinirons en fait les valeurs de lentreprise, quels services gnrent le plus de chiffre daffaire, ou sont vital pour le fonctionnement de la socit. Quatrime tape : solution et indicateurs Cest ltape finale, cest lors de celle-ci que lon mettra en place dans un premier temps les indicateurs afin de prvenir au maximum larrive dune catastrophe. que lon regroupera toutes les informations que lon a pu rcuprer et quon les analysera
34
de faon globale afin de pouvoir mettre en uvre des solutions : rgles de scurit et de responsabilit. Les solutions sappliquent sur plusieurs niveaux : Ce dcoupage permet un regroupement des mesures en six grandes familles : - Les mesures structurelles qui jouent sur la structure mme du systme d'information, pour viter certaines agressions ou en limiter la gravit. - Les mesures dissuasives qui permettent, dans le cas d'agresseurs humains, d'viter qu'ils mettent excution la menace potentielle en dclenchant l'agression. - Les mesures prventives : celles qui permettent d'empcher les dtriorations ou d'viter qu'une agression n'atteigne des ressources du systme d'information. - Les mesures de protection qui, sans empcher les dtriorations, permettent tout au moins d'en limiter l'ampleur. - Les mesures palliatives qui agissent une fois les dtriorations accomplies, et qui permettent, d'une part d'en limiter les consquences au niveau de l'entreprise, d'autre part de restaurer les ressources dtriores pour retrouver l'tat initial. - Les mesures de rcupration qui visent rcuprer une partie du prjudice subi par transfert des pertes sur des tiers, par le biais des assurances ou de dommages et intrts conscutifs des actions en justice, dans le cas d'agresseurs humains. b) Plan oprationnel de scurit - Spcifier le domaine et les outils : laboration des scnarios. Primtre et niveau de dtail Elaboration des scnarios Validation de la classification - Auditer le niveau de scurit : audit des services Audit des services et sous services Consolidation au niveau cellules - Evaluer la gravit des scnarios : Potentialit/ Impact/ Gravit Dtermination Potentialit/Impact/gravit - Exprimer les besoins de scurit : mesures gnrales et spcifiques - Planifier les actions de scurit : mesures prioritaires Mesures spcifiques et prioritaires Autres mesures hirarchises c) Plan oprationnel dentreprise Dans cette tape il sagit fondamentalement de mettre en place des scnarii sur les impacts et les consquences que peuvent avoir ces sinistres sur le bon fonctionnement de lentreprise. Cette partie conclue la boucle de lapplication de la mthode Mhari par la mise en place dun outil permettant le suivi des oprations effectuer afin damliorer la scurit de la socit.
35
Pour que cette stratgie soit couronne de succs il est ncessaire de sassurer que : Elle est connue et comprise par la Direction et le personnel de lentreprise Elle est pilote et sa mise en uvre est assure et mesure Elle reste pertinente dans le temps Elle se dcline en objectifs stratgiques relis des objectifs tactiques (ensemble des initiatives, projets, processus et organisation) qui forment un tout cohrent et contribuent pleinement latteinte de la couverture des risques Elle est finance et que les budgets sont affects avec lassurance de leur meilleure contribution au succs de cette stratgie
Bnfices : Les objectifs poursuivis par la stratgie scurit sont conformes ceux de l'entreprise Impact sur l'image vhicule par la SSI Pilotage et mesure dans la dure de la stratgie scurit sur l'ensemble de ses aspects, en privilgiant le caractre stratge du RSSI (Responsable de la Scurit de Systme dinformations) Intgration des aspects stratgiques et oprationnels
d) La dmarche MEHARI
Objectifs Mtriques
La dmarche MEHARI
36
2.3- Traitement des risques La troisime tape concerne le choix du traitement des risques. LISO/CEI 27001 a identifi quatre traitements possibles du risque, lacceptation, lvitement, le transfert et la rduction. Accepter le risque revient ne dployer aucune mesure de scurit autre que celles dj en place. Cette dcision peut tre justifie si le vol de donnes dans un cas prcis na pas dimpact sur lorganisme. Eviter le risque consiste supprimer par exemple lactivit ou le matriel offrant un risque. Transfrer un risque par souscription dune assurance ou par soustraitance. Ces moyens de transfert du risque sont souvent employs quand Lorganisme ne peut ou ne souhaite pas mettre en place les mesures de scurit qui permettraient de le rduire. Rduire le risque consiste prendre des mesures techniques et organisationnelles pour ramener un niveau acceptable le risque. Cest le traitement le plus courant.
Il existe dautres traitements du risque possibles mais pour tre en conformit avec la norme, il faut en priorit considrer ceux que nous venons de citer. Aprs avoir slectionn le traitement et mis en place les mesures de scurit, un risque peut persister. Il convient de traiter ce risque comme les autres c'est--dire, laccepter, lviter, le transfrer ou le rduire. 2.4- Slection des mesures de scurit Ltape 4 est la dernire tape de la phase Plan du PDCA, elle consiste slectionner les mesures de scurit. La norme ISO/CEI 27001 propose dans son annexe A, 133 mesures de scurit rparties sur onze chapitres. A ce stade, le travail consiste dresser un tableau SoA dans lequel figurent les 133 mesures quil faut dclarer applicables ou non applicables, pour rduire les risques du SMSI. Notons que les 133 mesures proposes par lISO/CEI 27001 rpertorient presque tout ce qui peut tre entrepris en matire de scurit de linformation cependant, cette liste ne comporte pas dexemples ni dexplications sur le dploiement des mesures entreprendre. LISO/CEI 27002 rpond en partie ce besoin en fournissant une srie de prconisations et dexemples techniques et organisationnels qui couvrent la liste de lISO/CEI 27001. Une fois choisie la politique et le primtre du SMSI, apprcis et traits les risques, et slectionnes les 133 mesures de scurit dans le tableau SoA, il faut mettre en uvre les objectifs fixs de la phase Plan du PDCA. Il sagit de la phase Do du PDCA.
37
3- Phase Do
Cette phase consiste dcrire la mise en uvre des mesures de scurit slectionnes dans le SoA travers quatre tapes. 3.1- Plan de traitement Il faut premirement grer linterdpendance des actions entreprendre. Certaines mesures sont partiellement ou dj en place, dautres doivent tre intgralement dployes ou ncessitent la mise en uvre dune autre action avant de pouvoir tre lances. Ce travail revient tablir un plan de traitement qui peut tre assimil de la gestion de projet. Une fois ce travail effectu, il faut dployer les mesures de scurit en suivant le plan de traitement. Par la suite, le responsable de projet doit dfinir des mesures defficacit pour contrler le bon fonctionnement du SMSI. 3.2- Choix des indicateurs Ce point consiste mettre en place des indicateurs de performance pour vrifier lefficacit des mesures de scurit ainsi que des indicateurs de conformit pour contrler la conformit du SMSI. Trouver de bons indicateurs nest pas une tche facile. La norme ne prconise pas dindicateurs prcis utiliser mais lISO/CEI 27004 propose une dmarche qui peut aider les slectionner. Ltape suivante concerne la sensibilisation des collaborateurs aux principes de la scurit de linformation. 3.3- Formation et sensibilisation des collaborateurs Nous avons vu que les mesures de scurit couvrent de nombreux domaines allant de la scurit organisationnelle la scurit physique, en passant par la scurit des systmes rseaux etc. Les collaborateurs doivent matriser les outils de scurit dploys dans les domaines trs varis. Une formation du personnel peut savrer ncessaire. La sensibilisation la scurit du systme dinformation concerne tous les collaborateurs. Elle peut dbuter par un rappel des engagements de leur entreprise en matire de scurit et se poursuivre par une liste de conseils tels que le respect de certaines rgles de scurit pour les mots de passe et lenvironnement de travail. 3.4- Maintenance du SMSI La maintenance consiste garantir le bon fonctionnement de chacun des processus du SMSI et vrifier que leur documentation est jour. Cela permet lauditeur
38
externe de contrler la gestion du SMSI. Il est noter que tous les systmes de management ISO sont concerns par la maintenance. A ce stade de lavancement du SMSI, les mesures identifies du SoA fonctionnent, les indicateurs sont implments et les collaborateurs de lorganisme forms et sensibiliss la scurit du SMSI, nous pouvons poursuivre avec la phase Check du PDCA.
39
4- Phase Check
La phase Check du PDCA concerne les moyens de contrle mettre en place pour assurer lefficacit du SMSI et sa conformit au cahier des charges de la norme ISO/CEI 27001. Pour rpondre ces deux exigences de la norme, les organismes emploient le contrle et les audits internes ainsi que les revues de direction. 4.1- Les audits internes Laudit interne peut sorganiser avec le personnel de lorganisme ou tre sous-trait un cabinet conseil. Si laudit est confi un collaborateur, il ne faut pas que ce dernier puisse auditer un processus dans lequel il est impliqu au niveau de sa mise en uvre ou de son exploitation. Laudit a pour but de contrler la conformit et lefficacit du SMSI en recherchant les carts entre la documentation du systme (enregistrement, procdures, etc.) et les activits de lorganisme. La norme exige que la mthode utilise pour laudit soit documente dans une procdure et que les rapports soient enregistrs pour tre utiliss lors des revues de direction. 4.2- Les contrles internes Lobjectif du contrle interne est de sassurer au quotidien que les collaborateurs appliquent correctement leurs procdures. Contrairement laudit interne qui est planifi longtemps lavance, les contrles internes sont inopins. 4.3- Revues de direction La revue est une runion annuelle qui permet aux dirigeants de lorganisme danalyser les vnements qui se sont drouls sur lanne en cours. Les points passs en revue sont gnralement : les rsultats des audits, le retour des parties prenantes, ltat des lieux sur les actions prventives et correctives, les menaces mal apprhendes lors de lapprciation des risques, linterprtation des indicateurs et les changements survenus dans lorganisme.
A partir de ces informations la direction peut fixer de nouveaux objectifs et allouer de nouvelles ressources (financires, humaines et matrielles). Les contrles de la phase Check peuvent faire apparatre des dysfonctionnements du SMSI. Cela peut tre un cart entre les exigences de la norme et le systme de management ou des mesures de scurit inefficaces. Cest dans la phase Act du PDCA que lon rduit les dysfonctionnements par des actions correctives, prventives ou damliorations.
40
5- Phase Act
5.1- Actions correctives On intervient de manire corrective lorsquun dysfonctionnement ou un cart est constat. On agit premirement sur les effets pour corriger cet cart ou dysfonctionnement, puis sur les causes pour viter quils ne se rptent. 5.2- Actions prventives On emploie les actions prventives quand une situation risque est dtecte. On agit sur les causes avant que lcart ou le dysfonctionnement ne se produisent. 5.3- Actions damliorations Les actions damliorations ont pour objectif lamlioration de la performance du SMSI. Les rsultats des diffrentes actions doivent tre enregistrs et communiqus aux parties prenantes. Ces actions contribuent rendre plus efficace et performant le SMSI.
41
Conclusion
Une dmarche daudit de la scurit des systmes dinformation doit tre le fruit dune rflexion en amont afin denvisager les meilleurs solutions possibles. Prenant en compte les besoins particuliers de lorganisation, tant organisationnelles que techniques. De nos jours la scurit des systmes dinformation, ce nest pas seulement le fait davoir une bonne gestion des risques, mais elle stend de plus en plus une gouvernance de la scurit des systme dinformation.
42
Rfrences
Bibliographie
Management de la scurit de linformation [Mise en place dun SMSI et audit de certification - Implmentation ISO 27001 et ISO 27002] de Alexandre Fernandez Toro
Webographie
CLUSIF, Prsentation de MEHARI. Sur : http://www.clusif.asso.fr Information security management systems (ISMS - ISO). Sur : http://www.iso.org YSOSECURE est un cabinet de conseil indpendant. Sur : http://www.ysosecure.com Mthode de gestion des risques. Sur: http://www.ssi.gouv.fr
43
Acronymes
AESC: American Engineering Standards Committee AFNOR : Association Franaise de Normalisation ANSSI : Agence Nationale de la Scurit des Systmes dInformation ASA: American Standards Association BSI: British Standards Institute CEI : Commission Electronique Internationale CEN : Comit Europen de Normalisation CFISE : Catalogue des Fonctions des Informations de Scurit dEtat CLUSIF : Club de la Scurit de lInformation Franais CSD : Conseil Suprieur de Dfense EBIOS : Etude des Besoins et Identification des Objectifs de Scurit ENISA: European Network and Information Security Agency ISO : Organisation Internationale de Normalisation JTC : Joint Technical Committee MARION : Mthode dAnalyse de Risques Informatiques Optimise par Niveau MEHARI : Mthode Harmonise dAnalyse des Risques MELISA : Mthode dEvaluation de la Vulnrabilit Rsiduelle des Systmes dArmement OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation PDCA : Plan, Do, Check, Act PME : Petites et Moyennes Entreprises SAS : Statistical Analysis System SMI : Systme de Management de lInformation SMSI : Systme de Management de la Scurit de lInformation SoA : Statement of Applicability TI : Technologies de lInformation TIC : Technologies de lInformation et de la Communication
44