11.3 Mise en place d'une politique de sécurité
réseau
11.3.1
Définition
Une politique de sécurité
réseau est un document générique qui
définit les règles à suivre pour les accès au
réseau informatique et pour les flux autorisés ou non,
détermine comment les politiques sont appliquées et
présente une partie de l'architecture de base de l'environnement de
sécurité du réseau. La mise en place d'une politique de
sécurité adéquate est essentielle à la bonne
sécurisation des réseaux et systèmes d'information.
11.3.2 Objectif
d'une politique de sécurité
La définition d'une politique de sécurité
n'est pas un exercice de style, mais une démarche de toute l'entreprise
visant à protéger son personnel et ses biens d'éventuels
incidents de sécurité dommageables pour son activité. La
définition d'une politique de sécurité réseau fait
intégralement partie de la démarche sécuritaire de
l'entreprise. Elle s'étend à de nombreux domaines, dont les
suivants :
Ø Audit des éléments physiques,
techniques et logiques constituant le système d'information de
l'entreprise ;
Ø Sensibilisation des responsables de l'entreprise et
du personnel aux incidents de sécurité et aux risques
associés ;
Ø Formation du personnel utilisant les moyens
informatiques du système d'information ;
Ø Structuration et protection des locaux abritant les
systèmes informatiques et les équipements de
télécommunication, incluant le réseau et les
matériels ;
Ø Ingénierie et maîtrise d'oeuvre des
projets incluant les contraintes de sécurité dès la phase
de conception ;
Ø Gestion du système d'information de
l'entreprise lui permettant de suivre et d'appliquer les recommandations des
procédures opérationnelles en matière de
sécurité ;
Ø Définition du cadre juridique et
réglementaire de l'entreprise face à la politique de
sécurité et aux actes de malveillance, 80% des actes malveillants
provenant de l'intérieur de l'entreprise ;
Ø Classification des informations de l'entreprise selon
différents niveaux de confidentialité et de criticité.
11.3.3 Les
différents types de politique de sécurité
Une politique de sécurité réseau couvre
les éléments suivants :
Ø Sécurité de
l'infrastructure : couvre la sécurité logique et
physique des équipements et des connexions réseaux, aussi bien
internes que celles fournies par des fournisseurs d'accès internet
(FAI).
Ø Sécurité des
accès : couvre la sécurité logique des
accès locaux et distants aux ressources de l'entreprise, ainsi que la
gestion des utilisateurs et de leurs droits d'accès au système
d'informations de l'entreprise.
Ø Sécurité du réseau
intranet face à Internet ou aux autresparties : couvre la
sécurité logique des accès aux ressources de l'entreprise
(Intranet) et l'accès aux ressources extérieures (Extranet).
Pour résumer, la définition d'une politique de
sécurité réseau vise à la fois à
définir les besoins de sécurité de l'entreprise, à
élaborer des stratégies de sécurité afin de
protéger les biens les plus critiques et à définir le
référentiel des contrôles de sécurité.
| 
