390 likes | 680 Views
La Sécurité des Informations Méthodes et aspects humains. 1h. SOMMAIRE. Les méthodes en sécurité définition et panorama les principales méthodes critères de choix et limites Les aspects humains la dissuasion les modèles d'action sur le comportement les valeurs morales et l'éthique
E N D
SOMMAIRE • Les méthodes en sécurité • définition et panorama • les principales méthodes • critères de choix et limites • Les aspects humains • la dissuasion • les modèles d'action sur le comportement • les valeurs morales et l'éthique • De la sensibilisation à l'implication • Conclusion
DEFINITION • "Une méthode est un outil qui permet d'analyser, de concevoir, d'évaluer ou de contrôler, ensemble ou séparément, la sécurisation des systèmes d'information.Les méthodes représentent le moyen essentiel pour obtenir une vision globale et cohérente de la sécurité, fournir un vocabulaire et des conceptscommuns à tous les acteurs de la sécurité, analyser et hiérarchiser les enjeux, les objectifs de sécurité, les menaces et les vulnérabilités, proposer des parades adaptées."
(ISO 15408) (ISPME) (ISO 13335) - ISO 17799 - COBIT - OCTAVE - COBIT (ITBS) Bonnes pratiques, mesures et catalogues de sécurité Sept 2002 Politiques de sécurité Gestion du risque SSI Audit ou contrôle interne Compléments : YB 2004 Intégration de la SSI dans les projets
Les principales méthodes(CIGREF 2002) • Historique : les ITSEC • Les méthodes et certifications les plus utilisées • Les méthodes du CLUSIF : Marion, Mehari • Les méthodes de la DCSSI : PSI, EBIOS, DSIS • Les méthodes internationales • ISO 15408 : les critères communs • ISO 13335 : GMITS • ISO 17799 et BS 7799 • Octave • Cobit
Les ITSEC (1988-1991) • sécurité des produits et systèmes • critères internationaux (Fr, Uk, De, Nl) • éléments techniques majoritairement • 6 niveaux de sécurité concernant : • les besoins exprimés • la conception de l'architecture • la conception détaillée • l'implémentation
Les méthodes du ClusifMARION (1990) • Méthode d'Analyse et de réduction des Risques Informatiques Optimisés par Niveau • photographie de la sécurité (questionnaires) • réduire vulnérabilités, erreurs, malveillances • risques maximaux (simuler), moyens, courants • cohérence des moyens de sécurité et adéquation aux enjeux : schéma directeur de sécurité • l'ensemble du personnel doit être impliqué • encore très utilisée mais n'évolue plus
Les méthodes du ClusifMEHARI (1996) • MEthode Harmonisée d'Analyse du Risque Informatique • ensemble d'outils : Marion + management de la sécurité • analyse des facteurs de risque => Politique • niveau de risque à maintenir (probabilité/impacts) / objectifs • prise en compte des réseaux ouverts • meilleur lien vulnérabilités / risques • pas de label ou de certification, mais compatibleavec ISO 17799
Le schéma de Mehari Plan stratégique de sécurité PHASE I Préparation analyse des valeurs état de la sécurité existante PHASE II 80 scénarios-types évaluation de la gravité des risques plan opérationnel de sécurité (POS) PHASE III plan opérationnel et tableau de bord d'entreprise (POE)
Les méthodes de la DCSSI GARDE Ensemble de guides qui utilisent et complètent les ITSEC (principalement le secteur public)
Les méthodes de la DCSSI • la PSI : politique de sécurité interne • définir les règles générales de sécurité • sensibiliser aux risques, aux moyens de s'en prémunir • susciter la confiance
Les méthodes de la DCSSI • EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité + (Fiche FEROS) • objectifs (besoins, menaces spécifiques, vulnérabilités liées au choix) • mesures techniques ou non
Les méthodes de la DCSSI • ROSCOF : Réalisation des Objectifs de Sécurité par le ChOix de Fonctions • DSIS : Développement de Systèmes d'Information Sécurisés • guide destiné aux développeurs • modalités techniques et organisationnelles du développement et d'une certification • GARDE : Guide d'aide à la Rédaction Des éléments à fournir pour l'Evaluation (ITSEC) • ECF : Evaluation et Certification Française(9 guides) • alternative équivalente à ISO 15408
Les Critères communs : ISO 15408(1996-1999) • Basés sur les ITSEC + TCSEC (USA) + Canada • s'étendent aujourd'hui à une vingtaine de pays • bases d'évaluation + guide d'élaboration des produits et systèmes ("cibles" d'évaluation) • concentrés sur les menaces provenant des activités humaines ou non • pas de garantie d'une sécurité globale (cf ISO 17799)
Les méthodes internationales • ISO 13335 : GMITS (guidelines for management of ITS) • "lignes directrices relatives à la gestion de la sécurité des S.I." • modèle d'harmonisation de la gestion de la sécu des S.I. entre plusieurs pays, à adapter à la culture et aux lois locales; • concepts et modèles • gestion et planification • techniques de gestion de la sécurité • choix des mesures de sécurité • conseils de gestion de la sécurité • pas de base de connaissances (scénarios, questionnaires), pas d'outils logiciels : plus une norme qu'une méthode …
Les méthodes internationales • BS 7799 (1995-1998) et ISO 17799 (2000) • bonnes pratiques et méthodes, prenant en compte les réseaux étendus et le e-commerce • la certification liée permet de s'assurer de la "sécurisation" d'un futur partenaire, même à l'étranger • BS 7799-1 : code de pratiques (le "quoi") • 10 thèmes : politique de sécurité, sensibilisation et formation du personnel, protection des données personnelles, … (check-list) • BS 7799-2 : spécifications du système de gestion (le "comment") • analyse de risque • mise en place d'un ISMS (information security management system) • donne un schéma formel de certification
Les méthodes internationales • ISO 17799:2002 (basée sur BS 7799-1) • décrit objectifs et mesures • demande à l'entreprise son niveau réel de risque et son niveau acceptable • demande une explication du processus de sécurisation adopté • l'entreprise doit décider des risques acceptés (mais détecter et résoudre rapidement), d'éviter ou de transférer ces risques, ou de prendre des mesures • peut-être complétée par des méthodes d'analyse de risques • peu adoptée par France, USA, Canada, …
Les méthodes internationales • OCTAVE :Operationally Critical Threat, Assets and Vulnerability Evaluation • université Carnegie Mellon, méthode parrainée par le CERT • définit les valeurs mises en péril, les principaux risques et les vulnérabilités de la défense (base de connaissances) • développer une stratégie de réduction des risques • conçue pour être appliquée de l'intérieur (pas d'experts nécessaires !) profil des besoins de sécurité/valeurs de l'entreprise étude de vulnérabilité Analyse des risquesÉlaboration et mise en œuvre de la stratégie de réduction des risques et du plan de sécurité
Les méthodes internationales • COBIT: Control OBjectives for Information and related Technologies • ensemble de "check-lists" destinées aux responsables des divers processus d'une entreprise • lien entre les besoins et la nécessité de sécurité • 34 objectifs regroupés en 4 domaines (planification/organisation, acquisition/mise en œuvre, exploitation/maintenance, suivi) • cadre de gestion transversal, s'intéresse au "quoi faire" • bon moyen pour sensibiliser la direction
Les critères et les limites • Critères de choix • objectifs de la méthode • niveau d'abstraction • degré de couverture par domaine • standardisée ? • récente ? • stabilisée ? • transversale / S.I. ? • diffusée ? • souple et adaptable ? • auditable ? • facilité de mise en œuvre • nécessité d'implication (mise en place, maintenance) • coûts (acquisition, déploiement, entretien) • Limites : aucune n'est vraiment adaptée aux PME …
II.1. La dissuasion (Straub) • la probabilité d'être pris et sévèrement puni est quasi certaine • les managers sont les F.C.S. de cette politique • peu de résultats
II.2. Les modèles d'action sur le comportement • L'action raisonnée (Fishbein, Ajzen) • l'intention détermine le comportement • l'intention, l'effort de "bien se comporter" dépend de : • l'attitude / comportement (perception favorable ou non) • les normes subjectives (influence des "croyances des autres" et conformité perçue) Ex : piratage, acceptable ou non suivant le milieu
Les modèles d'action sur le comportement • La "prévision" du comportement (Beck, Ajzen) • ajout au précédent de la maîtrise perçue du comportement • influençable par la formation Perception favorable du comportement Influence des croyances des autres conformisme Comportement "sécuritaire" Facilité perçue du comportement
Les modèles d'action sur le comportement • La motivation intrinsèque (Deci, Ryan) • autodétermination des individus (conformité aux aspirations individuelles) • la motivation à la sécurité est plus grande si les comportements à adopter sont proches des aspirations des individus
Les modèles d'action sur le comportement • Les liens sociaux (Hirschi, Gottfredson) • on devient "un délinquant" si les liens sont lâches ou inexistants • ex de liens : attachement, devoir, implication, croyances • L'apprentissage social (Akers) • influence des valeurs "marginalisées" sur les individus ex : côtoyer des pirates fait que l'on piratera plus facilement …
Un regroupement des modèles ? Liens sociaux Apprentissagesocial Dissuasion
II.3. Les valeurs morales et l'éthique • Les codes d'éthique • sensibiliser les employés à l'éthique • clarifier les comportements corrects ou non • revaloriser les valeurs liées aux bonnes pratiques • comportement éthique ? • problèmes liés à la dépersonnalisation et à l'anonymat / informatique codes spécifiques à l'informatique ? • agir sur le jugement moral et les intentions des employés
Les valeurs morales et l'éthique • Les codes d'éthique (Harrington) • les employés se sentent peu responsables / T.I.C. … • peu d'effets … mais renforce les autres mesures … • l'implication à plus d'influence, notamment les dirigeants
Les valeurs morales et l'éthique • Les domaines de développement moral (Gattiker, Kelley) • le domaine personnel (préférences, goûts)les personnes n'apprécient pas les "ordres en soi" => expliquer ! • le domaine moral (perception des actes néfastes) • le domaine de la connaissance conventionnelle : actes non néfastes mais qui ont des conséquences interpersonnelles : normes sociales, valeurs, attitudes(ex : conception de virus acceptable selon le milieu) • un apport important à la compréhension des comportements
II.4. Conclusion • aucun modèle n'est totalement efficace • importance des caractéristiques personnelles(age, sexe, niveau hiérarchique, ….) • importance de l'organisation : culture ou climat "sécuritaire" • importance de la formation dans l'altération de la culture et du climat de l'organisation.
La sensibilisation • la sensibilisation consiste à "agir comme défini, connaître les situations et leur impact sur un environnement bien protégé" • BUT : faire comprendre à tous l'importance de la sécurité, les conséquences possibles du non-respect des procédures, tant pour le travail de chacun que pour la pérennité de l'entreprise • en permanence, globalement, de façon cohérente, avec des encouragements • RESPONSABILISER • vecteur ? (journal, mails, …) • forme ? (BD ? humour ? Affiches ?) • à quelles occasions ?
L'éducation et la formation • Information : "quoi ?" • Éducation : "pourquoi ?" • motivation • internaliser les "bonnes pratiques" • Formation : "comment ?" • capacités, compétences, "maîtrise perçue"(cf le "modèle de prévision du comportement")
L'implication • Sensibilisation, éducation, formation, internalisation des "directives" implication, motivation • Pour les décideurs :
Conclusion • intérêts des méthodes et certifications : améliorer sécurité, juger une entreprise, un partenaire, primes d'assurances, … • importance des aspects humains et de leur prise en compte • impliquer pour AGIR …