Protection technologique de
l'information
La mise en place d'un dispositif technologique de protection de
l'information peut être considérée comme un projet à
part entière. Pour mettre en place ce projet de protection technologique
de l'information, la Direction centrale de la sécurité des
systèmes d'information (DCSSI) du Secrétariat
général de la défense nationale (SGDN) a établit
des directives en matière de sécurité des systèmes
d'information que nous allons voir plus loin.
La démarche de sécurité
La sécurité des systèmes d'information (SSI)
traite en premier lieu et essentiellement des informations et des
« traitements » qui leur sont appliqués. Les
besoins, exigences et objectifs techniques ou organisationnels en
découlent naturellement. Parmi les cinq critères fondamentaux de
sécurité identifié au début de ce chapitre, trois
critères fondamentaux sont à prendre en ligne de compte : la
confidentialité, l'intégrité et la disponibilité,
tant des informations que des systèmes et des environnements dans
lesquels ils se trouvent.
La SSI est directement associée à une
appréciation et un traitement des risques de protection des
données étudié précédemment. Ces risques
sont qualifiés d'opérationnels car ils agissent directement sur
les activités des administrations des entreprises. En effet,
l'organisme utilisant des moyens des technologies de l'information et de
communication (TIC) et en particulier de l'Internet, pour réaliser
ses activités et ses transactions, est directement concerné par
la SSI.
Les objets et domaines de sécurité
Puisque la SSI considère l'information, le traitement, le
système et son environnement, les objets de la démarche de
sécurité seront : les informations, les processus, fonctions
ou applications, la technologie (matériel et systèmes
d'exploitation), l'environnement physique (bâtiments, locaux...), les
intervenants humains. Tous ces objets, dont certains sont
particulièrement actifs, comme les processus et les hommes, doivent
êtes clairement définis. Chacun est plus
particulièrement concerné par un domaine de
sécurité spécifique, et chacun intervient peu ou prou dans
chaque domaine. Une politique de sécurité qui ne prendrait pas en
compte tous ces objets et domaines serait instable et incomplète. Elle
produirait une solution dangereuse reposant sur un faux sentiment de
sécurité plus dommageable encore que de ne rien faire.
Les démarches normalisées
Depuis une dizaine d'années, de nombreux efforts sont
entrepris pour fixer des règles, ou du moins des directives
générales, pour la gestion de la sécurité des
technologies de l'information. Ces travaux se sont traduits par des normes
nationales et internationales (telles que les normes [ISO 13335 (ISO 2001)],
[ISO 17799 (ISO 2000)]...). La sécurisation d'un système
d'information ne peut se contenter de firewalls et logiciels, aussi performants
soient-ils. Les normes ISO 27000 définissent les étapes de mise
en place d'un système de management de la sécurité de
l'information (SMSI), et recommandent les meilleures pratiques.
ISO 27001: les clefs du management de la
sécurité
La norme ISO 27001 décrit ce que doit être un
système de management de la sécurité de l'information
(SMSI) pertinent. Un SMSI recouvre l'ensemble des ressources mises en place
pour organiser et gérer la sécurité au quotidien. Il
englobe les différents documents formalisant les règles de
sécurité, ainsi que l'organisation associée (RSSI,
correspondants sécurité, exploitants, instances de
décision...). Le SMSI constitue donc un dispositif global de gouvernance
de la sécurité de l'information. Il est important de noter qu'il
est toujours défini pour un périmètre bien
déterminé: toute l'entreprise, un métier ou un processus
particulier, une application, un centre de production... Comme les
systèmes de management de la qualité (ISO 9000) et de
l'environnement (ISO 14000), un SMSI ISO 27001 repose sur le cycle de
progrès PDCA : Plan, Do, Check, Act, également appelé Roue
de Deming. Ce cycle vise une amélioration continue reposant sur une
logique simple: dire ce que l'on fait, faire ce que l'on a dit, puis
contrôler et corriger ce qui ne va pas.
Cette norme décrit exhaustivement le
« quoi » et le « quand » du management
de la sécurité. Le « comment » n'est pas
décrit. Pour combler cette lacune, la Direction centrale de la
sécurité des systèmes d'information (DCSSI) du
Secrétariat général de la défense nationale (SGDN)
a établit des directives en matière de sécurité des
systèmes d'information. La méthode EBIOS a été
élaborée dans la continuité et dans l'esprit de ces
démarches. Elle s'utilise généralement au niveau de la
phase d'élaboration d'un schéma directeur opérationnel
d'un système d'information. Son objectif principal est de permettre
à tout organisme, de déterminer les actions de
sécurité qu'il convient d'entreprendre.
| 
