DEUXIEME PARTIE : DEFINITION DE LA POLITIQUE DE SECURITE DU RESEAU INFORMATIQUE DE LA FIRST BANK

Une politique de sécurité réseau est un document générique qui définit des règles à suivre pour les accès au réseau informatique et pour les flux autorisés ou non, détermine comment les politiques sont appliquées et présente une partie de l'architecture de base de l'environnement de sécurité du réseau.

La mise en place d'une politique de sécurité adéquate est essentielle à la bonne sécurisation des réseaux et systèmes d'information. L

1. OBJECTIF D'UNE POLITIQUE DE SECURITE RESEAU

La définition d'une politique de sécurité n'est pas un exercice de style mais une démarche de toute l'entreprise visant à protéger son personnel et ses biens d'éventuels incidents de sécurité dommageables pour son activité.

La définition d'une politique de sécurité réseau fait intégralement partie de la démarche sécuritaire de l'entreprise. Elle s'étend à de nombreux domaines, dont les suivants :

§ audit des éléments physiques, techniques et logiques constituant le système d'information de l'entreprise ;

§ sensibilisation des responsables de l'entreprise et du personnel aux incidents de sécurité et aux risques associés ;

§ formation du personnel utilisant les moyens informatiques du système d'information ;

§ structuration et protection des locaux abritant les systèmes informatiques et les équipements de télécommunications, incluant le réseau et les matériels ;

§ ingénierie et maîtrise d'oeuvre des projets incluant les contraintes de sécurité dès la phase de conception ;

§ gestion du système d'information de l'entreprise lui permettant de suivre et d'appliquer les recommandations des procédures opérationnelles en matière de sécurité;

§ définition du cadre juridique et réglementaire de l'entreprise face à la politique de sécurité et aux actes de malveillance, 80 pour 100 des actes malveillants provenant de l'intérieur de l'entreprise ;

§ classification des informations de l'entreprise selon différents niveaux de confidentialité et de criticité.

Avant de définir une politique de sécurité réseau, il faut en connaître les objectifs ou finalités.

1.1. DÉFINIR UNE ANALYSE DE RISQUE

Déterminer les éléments critiques d'une entreprise est une tâche délicate, qui prête souvent à discussion, chaque service ou département se considérant comme un secteur clé.

Un bon moyen de parvenir à déterminer ces éléments critiques consiste à mener avec les responsables de l'entreprise une analyse de risque.

Une telle analyse consiste tout d'abord à identifier les ressources ou les biens vitaux à l'entreprise.

Ces derniers peuvent être de plusieurs ordres :

§ matériel,

§ données,

§ logiciels,

§ personnes.

Il convient pour chacune de ces ressources vitales, d'associer les trois éléments suivants : 

§ conséquence : il s'agit de l'impact sur l'entreprise de l'exploitation d'une faiblesse de sécurité. Estimer une conséquence d'une faiblesse de sécurité nécessite généralement une connaissance approfondie de l'entreprise et requiert l'ensemble des experts de cette dernière.

§ menace : la menace désigne l'exploitation d'une faiblesse de sécurité par un attaquant, qu'il soit interne ou externe à l'entreprise. La probabilité qu'un événement exploite une faiblesse de sécurité est généralement évaluée par des études statistiques, même si ces derniers sont difficiles à réaliser.

§ vulnérabilité : il s'agit d'une faiblesse de sécurité qui peut être de nature logique, physique, etc. Une vulnérabilité peut découler d'une erreur d'implémentation dans le développement d'une application, erreur susceptible d'être exploitée pour nuire à l'application. Elle peut également provenir d'une mauvaise configuration. Elle peut enfin avoir pour origine une insuffisance de moyens de protection des biens critiques, comme l'utilisation de flux non chiffrés, l'absence d'une protection par filtrage de paquets etc.

La connaissance de ces faiblesses de sécurité n'est possible que par des audits réguliers de sécurité effectués soit par l'équipe sécurité, soit par des consultants externes.