Politique de sécurité informatique
Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique.
Présentation
La politique de sécurité informatique est un des éléments de la politique de sécurité du système d'information. Elle est donc, de la même manière, intrinsèquement liée à la sécurité de l'information.
Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation.
La définition peut être formelle ou informelle. Les politiques de sécurité sont mises en vigueur par des procédures techniques ou organisationnelles. Une mise en œuvre technique définit si un système informatique est sûr ou non sûr.
Conception globale
La politique de sécurité informatique peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.
Ainsi, la politique de sécurité informatique doit être abordée dans un contexte global :
- la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de conscience » (les anglophones utilisent le terme awareness) ;
- la sécurité de l'information ;
- la sécurité des données, liée aux questions d'interopérabilité, et aux besoins de cohérence des données en univers réparti ;
- la sécurité des réseaux ;
- la sécurité des systèmes d'exploitation ;
- la sécurité des télécommunications ;
- la sécurité des applications (dépassement de tampon), cela passe par exemple par la programmation sécurisée ;
- la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la « stratégie de reprise »).
Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …).
Objectifs
Une fois les risques énoncés, il est souhaitable de déterminer des objectifs de sécurité. Ces objectifs sont l'expression de l'intention de contrer des risques identifiés et/ou de satisfaire à des politiques de sécurité organisationnelle. Un objectif peut porter sur le système cible, sur son environnement de développement ou sur son environnement opérationnel. Ces objectifs pourront ensuite être déclinés en fonctions de sécurité, implémentables sur le système d'information.
Principes
La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés.
La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire :
- élaborer des règles et des procédures, installer des outils techniques dans les différents services de l'organisation (autour de l'informatique) ;
- définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ;
- sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations ;
- préciser les rôles et responsabilités.
La politique de sécurité est donc l'ensemble des orientations suivies par une entité en matière de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.
Description formelle
Si un système informatique est considéré comme un automate d'état fini avec un ensemble de transitions (opérations) qui changent l'état du système, alors une politique de sécurité peut être vue comme un moyen qui partitionne ces états en autorisés et non autorisés.
Étant donné cette définition simple, on peut définir un système sûr comme étant un système qui commence dans un état autorisé et qui n'entrera jamais dans un état non autorisé.
Modèles formels de sécurité
Afin d'atteindre une cible d'évaluation avec un bon degré de confiance (niveau E4 de TCSEC au minimum), nous définissons formellement le concept de sécurité dans un modèle dont les objectifs sont les suivants :
- exprimer les besoins de sécurités intégrées dans un contexte informatique,
- fournir des moyens pour justifier que le modèle est cohérent,
- fournir des moyens permettant de convaincre que les besoins sont satisfaits,
- fournir des méthodes permettant de concevoir et d'implanter le système.
Il existe plusieurs modèles formels de sécurité :
- Le modèle de Bell-LaPadula (gestion d'accès par mandat, confidentialité, statique) modèle qui a été le plus utilisé pour vérifier la sécurité des systèmes informatiques. Les concepteurs de ce modèle ont démontré un théorème appelé Basic Security Theorem (BST). De ce modèle furent dérivés d'autres modèles : celui de Biba (gestion d'accès par mandat, intégrité, statique), celui de Dion (gestion d'accès par mandat, confidentialité et intégrité, statique), de Jajodia et Sandhu (gestion d'accès par mandat, confidentialité, statique).
- Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique) modélisant le flux d'informations en utilisant des concepts de la logique. Les modèles de sécurité basés sur le principe de flux d'informations ont leur utilité dans le contrôle des accès indirects à l'information : ils mettent en évidence le problème des canaux cachés.
- Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle Take-Grant et le modèle SPM.
Marché de la sécurité informatique
En 2011, le marché mondial représentait un chiffre d'affaires de 17,7 milliards de dollars selon la société d'étude Gartner. Le leader de ce marché était le groupe californien Symantec avec 20 % des parts de marché, suivi de McAfee (7 %), puis Trend Micro (6,8%) et IBM (5 %)[1]. À titre de comparaison sur la même période, IDC classait premier Symantec ($3,6 milliards), puis Cisco ($1,7 milliard), McAfee ($1,7 milliard) suivi d’IBM, Check Point et Trend Micro (avec pour chacun environ $1,2 milliard de part de marché).
En 2007, Kaspersky couvrait 38 % du marché français de l'anti-virus et 18 % des suites de protection pour l'Internet.
Dépenses gouvernementales
Voici à titre de comparaison les budgets de quelques agences gouvernementales qui s'intéressent à la cybersécurité :
- Cyber Command américain pour l'année 2013 : 182 millions de dollars américains[2].
- Agence nationale de la sécurité des systèmes d'information française : 90 millions d'euros pour l'année 2012[3].
- Bundesamt für Sicherheit in der Informationstechnik allemand : 70 millions d'euros en 2011[4].
Déclinaisons
D'une politique de sécurité informatique globale et généraliste sur les systèmes informatiques, il est possible de décliner des politiques de sécurité techniques par métier, activités ou systèmes.
Ainsi, on peut retrouver comme différents types de politique de sécurité liés à la sécurité informatique :
- Politique de sécurité du réseau informatique
- Politique de sécurité système
- Politique des mots de passe
Voir aussi
Notes et références
- Gartner Says Security Software Market Grew 7.5 Percent in 2011
- STATEMENT OF GENERAL KEITH B. ALEXANDER COMMANDER UNITED STATES CYBER COMMAND BEFORE THE HOUSE COMMITTEE ON ARMED SERVICES SUBCOMMITTEE ON EMERGING THREATS AND CAPABILITIES
- Définition de l'ANSSI sur le site tayo.fr
- Bundesamt für Sicherheit in der Informationstechnik (BSI)