I.5. POLITIQUE DE LA SÉCURITÉ
RÉSEAU
I.5.1. Établissement d'une politique de
sécurité
Suite à l'étude des risques et avant de mettre
en place des mécanismes de protection. Il faut préparer une
politique à l'égard de la sécurité. C'est elle qui
fixe les principaux paramètres, notamment les niveaux de
tolérances et les coûts acceptables.
L'établissement d'une politique de
sécurité exige de prendre en compte l'historique de l'entreprise,
l'étendue de son réseau, le nombre d'employés, la
sous-traitance avec des tierces parties, le nombre de serveurs, l'organisation
du réseau, etc.
D'une manière générale, une bonne
politique de sécurité vise à définir et mettre en
oeuvre des mécanismes de sécurité, des procédures
de surveillance des équipements de sécurité, des
procédures de réponse aux incidents de sécurité et
des contrôles et audits de sécurité. Elle veille en outre
à ce que les dirigeants de l'entreprise approuvent la politique de
sécurité de l'entreprise.
Voici quelques éléments pouvant aider
à définir une politique :
o Quels furent les coûts des incidents informatiques
passés ?
o Quel degré de confiance pouvons-nous avoir envers nos
utilisateurs internes ?
o Qu'est-ce que les clients et les utilisateurs espèrent
de la sécurité ?
o Quel sera l'impact sur la clientèle ou utilisateurs
si la sécurité est insuffisante, ou tellement forte qu'elle
devient contraignante ?
o Y-a-t-il des informations importantes sur des ordinateurs
en réseaux ? sont-ils accessibles de l'externe ?
o Quelle est la configuration du réseau et y a-t-il
des services accessibles de l'externe ?
o Quelles sont les règles juridiques applicables
à l'entreprise concernant la sécurité et la
confidentialité des informations (exemple : loi « informatique et
liberté », archives comptable...) ?
I.5.2. Éléments d'une politique de
sécurité
Il ne faut pas perdre de vue que la sécurité
est comme une chaîne, guère plus solide que son maillon le plus
faible, en plus de la formation et de la sensibilisation permanente des
utilisateurs. La politique de sécurité peut être
découpée en plusieurs parties :
Accidents (pannes, incendies, inondations...) : une
sauvegarde est indispensable pour protéger efficacement les
données contre ces problèmes. Cette procédure de
sauvegarde peut combiner plusieurs moyens fonctionnant à des
échelles de temps différentes :
o Disques RAID pour maintenir la disponibilité des
serveurs ;
o Copies de sécurité via le réseau
(quotidienne) ;
5P. ATELIN, Réseaux informatiques notions
fondamentales, Paris, Eni, 2009, Page 142.
12
o Copie de sécurité dans un autre
bâtiment (hebdomadaire) ;
o La disposition et l'infrastructure des locaux peut aussi
fournir une protection intéressante ;
o Pour des sites particulièrement importants (site
informatique central d'une banque...) il sera nécessaire de
prévoir la possibilité de basculer totalement et rapidement vers
un site de secours (éventuellement assuré par un sous-traitant
spécialisé). Ce site devra donc contenir une copie de tous les
logiciels et matériels spécifiques à l'activité de
la société.
o Défaillance matérielle : tout
équipement physique est sujet à défaillance (usure,
vieillissement, défaut...). L'achat d'équipements de
qualité et standard accompagnés d'une bonne garantie avec support
technique est essentiel pour minimiser les délais de remise en fonction
seule une forme de sauvegarde peut cependant protéger les
données.
o Défaillance logicielle : tout programme informatique
contient des bugs. La seule façon de se protéger efficacement
contre ceux-ci est d'effectuer des copies de l'information à risque. Une
mise à jour régulière des logiciels et la visite des sites
consacrés à ce type de problèmes peuvent contribuer
à en diminuer la fréquence.
o Erreur humaine : outre les copies de
sécurité, seule une formation adéquate du personnel peut
limiter ce problème.
|