Le chapitre précédent s’est focalisé sur l’identification des risques et des menaces majeurs qu’encourt le SI. Vous y avez appris à déterminer une stratégie globale de mitigation et à dresser un traitement spécifique pour chaque risque.
À ce stade de la démarche, vous avez identifié les composants constitutifs du SI, les risques associés ont été cartographiés et la stratégie de mitigation de chaque risque a été figée.
La dernière phase de notre méthodologie consiste à identifier les exigences et les mesures de sécurité pertinentes à mettre en oeuvre dans le contexte d’une entreprise. Elle constitue le cœur du travail de la PSSI, en donnant un ensemble d’actions à mener pour atteindre un niveau de sécurité satisfaisant.
Choisissez les exigences de sécurité applicables
Pour déterminer les exigences, vous serez amené à vous poser les questions suivantes :
Quels sont les besoins de l’entreprise en termes de sécurité des locaux, de ses données et du traitement de ces données ?
Quelles sont les procédures ou les méthodes que l’entreprise doit mettre en oeuvre pour éviter qu’un risque se concrétise ou pour en réduire les impacts ?
Sur quels acteurs doit-on appliquer les exigences ?
Comment diminuer les risques identifiés dans le tableau ?
Comment répondre aux principales obligations légales en termes de sécurité des SI de la structure ?
Pour effectuer ce travail, il est commun d'utiliser comme guide un ensemble de thèmes pour répertorier les exigences appliquées au SI. On en trouve différents dans la littérature, qui sont de valeur équivalente. Toutefois, je vous recommande d’appliquer celle que j’utilise dans le cours. Elle est en cohérence avec le standard ISO 27002, mais a l’avantage d’être moins dense.
Voici les quelques thèmes répertoriés :
Thème 1 : Structurer la fonction sécurité dans l’entreprise
Éléments à considérer :
organisation de la sécurité des SI : acteurs, rôles, procédures ;
sécurité des ressources humaines : hygiène cybernétique, entraînement aux incidents de sécurité informatique ;
mise à jour régulière de la PSSI.
Thème 2 : Se mettre en conformité avec les exigences légales
Éléments à considérer :
application effective et efficace par les utilisateurs de la PSSI.
Thème 3 : Gérer l’accès à la donnée
Éléments à considérer :
accès aux réseaux : filaire, ethernet et sans fil, si existant ;
gestion des droits associés aux profils utilisateurs ;
gestion des règles d’authentification : politique de mot de passe, de gestion des autorisations et des identités…
Thème 4 : Protéger les infrastructures techniques
Éléments à considérer :
gestion des actifs : inventaire, responsabilités, classification ;
politique de manipulation des supports amovibles ;
sécurité des communications : cloisonnement des réseaux et des applications, chiffrement des flux de communication ;
protection contre les malwares ;
cartographie du SI : applicative et technique.
Thème 5 : Assurer la sécurité physique du SI
Éléments à considérer :
protection physique des locaux abritant le SI et les zones sensibles : restrictions d’accès, moyens physiques d’authentification, environnement... ;
protection physique des supports de données : règles de destruction des supports...
Thème 6 : Faciliter la résilience en cas d’incident
Éléments à considérer :
traitement des incidents : acteurs, responsables, chaîne décisionnelle, formalisation de la réponse aux incidents, plan de sauvegarde des données ;
gestion de la continuité de l’activité : application effective d’un plan de continuité de l’activité informatique ;
gestion et exploitation des logs.
Après un long travail de compréhension de l’organisation, de rencontres avec les membres du laboratoire, vous commencez à posséder les prérequis essentiels pour mener cette tâche à bien :
une bonne connaissance de votre environnement ;
une bonne compréhension des enjeux métier de la structure et du SI.
À ce stade, vous êtes en mesure de proposer à la direction du laboratoire les exigences de haut niveau à mettre en oeuvre pour contribuer à améliorer la sécurisation du SI.
Développons un thème ensemble. Prenons le premier, par exemple : Structurer la fonction sécurité dans l’entreprise.
Lors des différents entretiens avec les personnels du laboratoire, mais également à l’occasion de rendez-vous avec Marc lors de votre enquête interne, vous accumulez les éléments suivants :
Contrairement à vos expériences professionnelles précédentes, les membres du laboratoire interrogés vous font part de leur méconnaissance des personnes en charge de la sécurité et, en général, du comportement à adopter face à un incident de sécurité sur le SI. Vous décidez bien sûr de le prendre en compte dans une exigence.
Marc vous avoue aussi que lors de la dernière alerte antivirus, due à un prestataire extérieur qui n’avait pas analysé sa clé USB sur une station antivirus et qui avait causé l’infection d’un poste informatique du réseau bureautique, il n’avait été prévenu que quelques jours plus tard.
Conformément à votre expérience, vous précisez à Marc que la PSSI a pour objet de structurer ces différents points, et que vous prévoyez une exigence sur la vérification régulière de l’application effective de la PSSI.Vous notez donc 4 exigences dans ce thème, et vous les formalisez de la manière suivante :
Thème 1 : Structurer la fonction sécurité dans l’entreprise
Exigences
Référence
Affecter et promouvoir les fonctions sécurité
1.1
Assurer la remontée d’information vers la direction en cas d’incident SSI
1.2
Sensibiliser le personnel du laboratoire aux enjeux sécurité
1.3
Assurer la bonne mise en œuvre des règles de la PSSI périodiquement
1.4
Votre travail d’analyse se poursuit de manière analogue sur les autres thèmes, et vous proposez la vision suivante à la direction :
Thème 2 : Se mettre en conformité avec les exigences légales
Respecter les principes légaux en matière de traitement de données personnelles
2.1
Assurer une veille réglementaire pour maintenir une mise à jour de la PSSI
2.2
Thème 3 : Gérer l’accès à la donnée
Donner accès aux informations aux seules personnes habilitées
3.1
Combattre les accès non autorisés
3.2
Mettre en œuvre les bonnes pratiques dans le domaine de l’authentification
3.3
Thème 4 : Protéger les infrastructures techniques
Cartographier le SI
4.1
Maîtriser le réseau local
4.2
Assurer une connexion à Internet fiable
4.3
Renforcer la protection des accès au SI
4.4
Thème 5 : Assurer la sécurité physique du SI
Protéger physiquement les locaux permettant l’accès au SI
5.1
Assurer la protection physique des supports de données sensibles (poste de travail et supports amovibles)
5.2
Assurer une destruction fiable des supports contenant des données sensibles
5.3
Thème 6 : Faciliter la résilience en cas d’incident
Organiser la sauvegarde des données du SI
6.1
Structurer la traçabilité
6.2
Auditer le SI
6.3
Organiser la réponse à un incident sur le SI
6.4
Structurer le plan de continuité informatique conformément au PCA de l'entreprise
6.5
Identifiez les mesures de sécurité
À ce stade de la démarche, les enjeux de sécurité ont été identifiés, les biens à protéger inventoriés, les risques principaux analysés et les exigences de haut niveau exprimées et classées sous forme thématique.
Pour compléter cette vision, il faut maintenant décliner les exigences en règles de sécurité concrètes, à mettre en oeuvre par les utilisateurs.
Pour déterminer les règles à appliquer dans chaque exigence, vous pouvez vous appuyer sur les bonnes pratiques exposées :
dans la norme ISO27002. Ce standard propose des règles génériques que vous devrez adapter au contexte de votre entreprise ;
dans les documents de référence de l’ANSSI (guides de recommandations, publications) ;
parmi les documents de l’ANSSI, le guide d’hygiène informatique donne quelques pistes pour choisir des règles ;
dans les référentiels de sécurité de haut niveau comme le référentiel général de sécurité. Il a pour but de renforcer la confiance des utilisateurs envers les SI de l’administration. Il contient des règles et des bonnes pratiques concernant la mise en conformité, ou bien encore la protection cryptographique des flux ;
la norme française NF-Z-42-013 de 2001 donne des exigences pour la conception et l’exploitation de systèmes, dans le but d’assurer la conservation et l’intégrité des documents. Sont abordées des recommandations et des bonnes pratiques concernant la gestion des supports WORM (Write Once Read Many), mais elles peuvent aisément être transposées à d’autres types de sauvegarde et d’archivage.
Pour réaliser cette étude, vous allez vous poser les questions suivantes :
Cette règle générique s’applique-t-elle à mon contexte ?
Quelles sont les circonstances particulières qui en nuancent ou en complètent la vision ?
À quel composant du SI s’applique cette règle ?
Comment le responsable du composant va-t-il appliquer la règle correspondante ?
Peut-on externaliser cette règle ?
Marc a validé vos exigences de haut niveau pour le laboratoire. Vous vous attelez maintenant à décliner les règles opérationnelles que les utilisateurs du SI devront respecter. En premier lieu, vous vous intéressez au thème 1 : “Structurer la fonction sécurité dans l’entreprise”.
Conformément à votre première exigence (1.1 Affecter et promouvoir les fonctions sécurité), vous décidez d’imposer les règles suivantes :
Référence
Règles
Catégories de biens du SI
Réalisable par un prestataire ?
1.1.1
Un correspondant SSI doit être nommé pour la structure
Membres du laboratoire
Non
1.1.2
Le CSSI pilote l’élaboration et la mise à jour de la PSSI.
Membres du laboratoire
Non
1.1.3
Le CSSI élabore et suit la mise en œuvre du plan d’action sécurité du laboratoire.
Membres du laboratoire
Non
1.1.4
Le CSSI mène des campagnes de sensibilisation au profit des membres du laboratoire.
Membres du laboratoire
Oui
1.1.5
Le CSSI contrôle régulièrement l’application des règles de la PSSI.
Membres du laboratoire
Oui
Ensuite, vous déclinez les exigences de la direction liées à l’information (1.2), à la sensibilisation du personnel du laboratoire (1.3), et à la vérification de l’application effective de la PSSI (1.4).
Référence
Règles
Catégories de biens du SI
Réalisable par un prestataire ?
1.2.1
Le correspondant SSI est chargé d’informer régulièrement la direction de la survenue d’incidents SSI.
Membres du laboratoire
Oui
Référence
Règles
Catégories de biens du SI
Réalisable par un prestataire ?
1.3.1
Une charte d’utilisation des moyens informatiques est remise contre émargement à chaque membre du laboratoire.
Membres du laboratoire
Non
1.3.2
Des séances de sensibilisation du personnel sur les enjeux de la sécurité et les règles du plan d’action sécurité du laboratoire sont régulièrement organisées, sous le pilotage du CSSI.
Membres du laboratoire
Oui
1.3.3
Au moment de l’onboarding, le personnel du laboratoire :
reçoit une sensibilisation, conformément à la règle 1.3.2 ;
doit signer une attestation de reconnaissance de responsabilité qui explicite les différents règlements et règles qui s’appliquent aux SI, ainsi que les dispositions légales en cas d’infraction ;
perçoit le matériel informatique nécessaire à son activité et signe une prise en compte ;
reçoit le niveau d’autorisation nécessaire pour accéder aux données requises pour son travail.
Membres du laboratoire
Non
1.3.4
Au départ du poste, le personnel :
réintègre le matériel pris en compte ;
perd ses droits d’accès aux SI par suppression du compte.
Membres du laboratoire
Non
Référence
Règles
Catégories de biens du SI
Réalisable par un prestataire ?
1.4.1
Le CSSI réalise des contrôles de bonne application des règles du plan d’action sécurité, à une échéance semestrielle.
Membres du laboratoire
Oui
Les autres règles associées aux différents exigences et thèmes sont disponibles dans le document final, en début de troisième partie.
Pour mémoire, les exigences du Thème 2 : Se mettre en conformité des exigences légales sont les suivantes :
2.1 Respecter les principes légaux en matière de traitement de données personnelles ;
2.2 Assurer une veille réglementaire pour maintenir une mise à jour de la PSSI.
Finalisez la rédaction de la PSSI
Une fois l’ensemble des règles de sécurité établies, il faut ajouter à la PSSI un certain nombre d’annexes, dont les plus importantes sont :
les coordonnées des personnels ayant des fonctions particulières en matière de sécurité (RSSI, correspondant informatique) ;
une matrice exigences risques qui permet de donner un panorama de la couverture des risques par les exigences et les règles fixées. Elle prend en abscisse les risques numérotés avec leur référence, et en ordonnée les exigences classées par thème.
Dans ce chapitre, vous avez appris à rédiger les exigences et les règles de sécurité qui vont permettre, à terme, d’atteindre la cible d’un SI correctement sécurisé, et dont les risques sont mitigés de manière assumée. Votre PSSI est maintenant terminée !
Dans la prochaine partie, je vous invite à mettre en oeuvre cette dernière, au travers d'un plan d’action de sécurité.
En résumé :
une première étape permet de fixer les exigences de sécurité exprimées de façon fonctionnelle et non technique, par thème abordé ;
une seconde tâche consiste à décliner ces exigences en règles opérationnelles et à spécifier le composant du SI sur lequel elle s’applique, et son caractère éventuellement externalisable ;
la PSSI est complétée par des annexes importantes : au minimum, les coordonnées des personnels en charge d’une fonction sécurité dans l’entreprise, et la matrice exigences / risques.
