Système de management de la sécurité de l'information
Un système de management de la sécurité de l'information (en anglais : Information security management system, ou ISMS) est un ensemble de politiques visant la gestion de la sécurité de l'information.
Le plus connu des SMSI est celui qui fait l'objet de la norme ISO/CEI 27001, publié par l'ISO, en complément de ISO/CEI 27002 (anciennement référencé ISO/CEI 17799), mais certains pays comme l'Allemagne, le Japon, les États-Unis (département de la Défense en particulier) ou la Corée ont établi leurs propres normes SMSI.
Description
Un SMSI doit être efficace à long terme, c’est-à-dire qu'il peut s’adapter aux changements qui ont lieu dans l’environnement interne et externe.
L’ISO/IEC 27001:2005 a adopté l’approche de la Roue de Deming (Deming Cycle ou Plan-Do-Check-Act : PDCA, en anglais) qui se décompose de la manière suivante :
- Plan : Création du SMSI en évaluant les risques de sécurité de l’information et en choisissant les méthodes de vérification adaptées ;
- Do : Mise en œuvre des vérifications ;
- Check : Révision et évaluation de la performance (efficacité et efficience) du SMSI ;
- Act (ou Adjust): Modifications, si nécessaires, afin que la performance du SMSI soit optimale.
L’ISO/IEC 27001:2005 est une norme reposant sur les risques liés à la sécurité de l’information, ce qui signifie que les entreprises doivent mettre en place un processus de gestion des risques. Ce dernier s’insère dans le modèle PDCA décrit au-dessus. Cependant la dernière norme l’ISO/IEC 27001:2013 ne s’appuie plus sur l’approche de la roue de Deming. Les sociétés peuvent désormais choisir le processus de gestion des risques qui leur convient.
Les SMSI les plus répandus pour la certification de la sécurité informatique sont les critères communs (Common criteria en anglais), normes internationales, et ses prédécesseurs Information Technology Security Evaluation Criteria et Trusted Computer System Evaluation Criteria.
D’autres dispositifs comme COBIT et ITIL s’intéressent aux questions de sécurité mais se concentrent plus sur la création d’un cadre gouvernant.
Le tableau ci-dessous illustre la comparaison des structures de certification des SMSI les plus répandus :
BS 7799 | Critères communs | Critères d’évaluation de la sécurité d’un SI | |
---|---|---|---|
Zone d’utilisation | Angleterre | Environ 25 pays | Pays Européens |
Structure de base |
|
d’assurance |
|
Processus de gestion |
|
|
|
Différence de processus | Accent mis sur la sécurité de gestion | Accent mis sur la sécurité technique | Accent mis sur la sécurité de gestion |
Specification Control Point | Fournir le meilleur code de pratique pour la gestion de la sécurité de l'information | Fournir un ensemble commun d’exigences pour la sécurité fonctionnelle des produits informatiques | Fournir un ensemble commun d’exigences pour la sécurité fonctionnelle des produits informatiques |
Évaluation de la méthode | Utiliser le modèle PDCA | Suivre chaque procédure d'évaluation de la certification | Suivre chaque procédure d'évaluation de la certification |
Il existe un grand nombre d’initiatives focalisées sur les questions autour de la sécurité de la gouvernance et de l’organisation. Il s’agit de problèmes d’affaires et d’organisations et non uniquement de problèmes techniques.
• L’information fédérale, loi sur la sécurité de gestion 2002 (Federal Information Security Management Act of 2002) est une loi fédérale des États-Unis promulguée en 2002 qui reconnait l’importance de la sécurité de l’information économique. Cette loi requiert que chaque agence publique développe, commente et mette en place un programme inter-agence afin de fournir une sécurité de l’information.
• Governing for Enterprise Security Implementation Guide [6] of the Carnegie Mellon University Software Engineering Institute CERT a pour but d’aider la direction générale des entreprises à mettre en place un programme efficace afin de gouverner leurs systèmes d’information et de protéger l’information.
• Le Capability Maturity Model (CMM) est un modèle de référence pour la sécurité d’un système d’information qui a été standardisé dans la norme ISO/IEC 21827.
• L’Information Security Management Maturity Model (aussi appelé ISM-cubed or ISM3) est une autre forme de l’ISMS. L’ISM3 a été conçu et basé sur des standards tels que l’ISO 20000, l’ISO 9001, CMM, l’ISO/l’IEC 27001 ainsi que des concepts de sécurité. L’IMS3 peut également être utilisé en tant que modèle pour un ISMS conforme à l’ISO 9001. Alors que l’ISO/IEC 27001 est basé sur le contrôle, l’ISM3 est quant à lui basé sur les processus et inclut des mesures de processus. L’IMS3 est devenu un standard pour la sécurité de gestion. La différence entre l’ISM3 et ISO/IEC 21827 est la suivante : l’ISM3 se focalise sur la gestion alors que ISO/IEC 21827 se concentre sur l’ingénierie.
Besoin d'un SMSI
Les experts en matière de sécurité disent que :
- Les administrateurs de sécurité de la technologie de l’information doivent consacrer un tiers de leur temps à aborder les aspects techniques. Le temps restant doit être consacré notamment : au développement de politiques et de processus, à faire le point sur la sécurité, à analyser les risques associés, à élaborer des plans d’urgence, à la sensibilisation aux problèmes liés à la sécurité.
- La sécurité dépend plus des personnes que de la technologie.
- Les employés sont des menaces plus importantes que les personnes extérieures à l’entreprise.
- La sécurité peut être comparée à une chaîne. Elle est aussi résistante que le maillon le plus faible.
- Le degré de sécurité dépend de trois facteurs : le risque que vous êtes prêts à prendre, la fonctionnalité du système et le prix que vous êtes prêts à payer.
- La sécurité n’est pas un statut ou une image mais un processus continu.
Ces faits mènent inévitablement à la conclusion suivante : la gestion de la sécurité n’est pas seulement un problème technique.
L’établissement et le maintien des mises à jour continuelles d’un système de gestion de la sécurité de l’information indiquent qu’une entreprise utilise une approche systématique afin d’identifier, d’évaluer et de gérer les risques. Les facteurs critiques d’un SMSI :
- La confidentialité : protéger l’information des parties non concernées.
- L’intégrité : empêcher la modification de l’information par les personnes qui n’y ont pas accès.
- La disponibilité : rendre l’information disponible aux personnes autorisées à y accéder.
Ces facteurs auront des implications par la suite pour :
- La continuité de l’activité
- Minimiser les pertes et les dégâts
- Une meilleure compétitivité
- Une meilleure rentabilité et une rentrée des cash-flows
- Une image respectée par autrui
- Une conformité légale
L’objectif premier de la gestion de la sécurité de l’information est de mettre en œuvre les mesures adéquates afin de réduire voire éliminer l’impact que les menaces pourraient avoir sur l’organisation. Ainsi, la gestion de la sécurité de l’information permettra la mise en avant des caractéristiques qualitatives des services proposés par l’organisation (la confidentialité, l’intégrité). En minimisant l’impact des incidents, le SMSI assure la continuité de l’activité, la confiance du client, la protection des investissements et des opportunités ou encore la réduction des dégâts auxquels l’entreprise est confrontée.
Les entreprises de taille importante, les banques et les instituts financiers, les opérateurs téléphoniques, les hôpitaux et les instituts publics ou gouvernementaux ont diverses motivations pour prendre au sérieux la question de la sécurité de l’information. En effet, les exigences légales qui visent la protection des informations personnelles ou sensibles ainsi que les exigences en matière de la protection des citoyens poussent les entreprises à faire de la sécurité de l’information leur priorité.
Compte tenu des circonstances, le développement et la mise en œuvre d’un processus de gestion indépendant est la seule solution. Le développement d’un SMSI basé sur l’ISO/IEC 27001:2005 entraîne les six étapes suivantes :
- Définition de la politique de sécurité
- Définition du périmètre du SMSI
- Évaluation des risques
- Gestion des risques
- Sélection des méthodes de vérification appropriées
- Application
Facteurs clés de réussite pour un SMSI
Pour être efficace, un système de gestion de la sécurité informatique doit :
- Avoir le soutien continu, ferme et visible ainsi que l’engagement de la direction générale de l’organisation ;
- Être centralisé sur une stratégie et une politique commune à travers l’organisation entière ;
- Être une partie intégrante du management global de l’organisation et refléter l’approche de l’organisation en termes de gestion des risques, des objectifs de contrôle, des contrôles et du degré d’assurance exigé ;
- Avoir des objectifs de sécurité et des activités qui reposent sur les objectifs et exigences de l’entreprise et qui sont menés par la gestion de l’entreprise ;
- Entreprendre seulement les tâches nécessaires en évitant le sur-contrôle et le gaspillage des ressources de valeur ;
- Être en totale conformité avec la philosophie et l’état d’esprit de l’organisation en fournissant un système qui, au lieu d’empêcher les employés de faire ce qu’ils ont à faire, leur permettrait d’exercer leurs activités dans le contrôle et de démontrer l’accomplissement de leurs responsabilités ;
- Être basé sur une formation continue et un savoir du personnel afin d’éviter l’utilisation de mesures disciplinaires ou encore de procédures militaires ;
- Être un processus continu.
Problèmes récurrents
Il y a trois grands problèmes qui mènent à l’incertitude en gestion de la sécurité de l’information
- Changements continus des besoins en matière de sécurité
L’évolution rapide de la technologie entraîne de nouvelles inquiétudes en ce qui concerne la sécurité pour les entreprises. Les mesures de sécurité actuelles et les exigences deviennent obsolètes lorsque de nouvelles vulnérabilités apparaissent avec le perfectionnement de la technologie. Afin de surmonter ces difficultés, le SMSI doit organiser et gérer les changements et garder le système à jour.
- Externalités provoquées par un système de sécurité
L’externalité caractérise le fait qu'un agent économique crée par son activité un effet externe en procurant à autrui, sans contrepartie monétaire, une utilité ou un avantage de façon gratuite, ou au contraire une non utilité, un dommage sans compensation. Le SMSI utilisé dans une organisation peut provoquer des externalités pour d’autres systèmes en interaction. Ces dernières sont incertaines et ne peuvent être évaluées qu’une fois le système en place.
- Obsolescence de l'évaluation des inquiétudes
La méthode d’évaluation des inquiétudes utilisée dans les SMSI devient obsolète lorsque la technologie progresse et de nouvelles menaces font surface. Afin de maintenir un système efficace, il est essentiel d’évaluer la sécurité de l’organisation continuellement.
Voir aussi
- ISO/CEI 17799:2005 (basé sur BS 7799-1 et republié en BS ISO/CEI 17799:2000 et BS 7799-1:2000)
- ISO/CEI 27001
- ISO/IEC 27002
- ISO/IEC 27005
- ENISA
- Analyse factorielle du risque informationnel
- Architecture d'entreprise
- CERT
- COBIT
- Gouvernance des technologies de l'information
- ITIL
- ISO 9001
- NIST
- PDCA
- Vulnérabilité (informatique)