Rappel des concepts de sécurité de système d'information

Les aspects de la sécurité des systèmes d'information

On distingue en sécurité de l'information plusieurs aspects, qui sont d'ailleurs liés aux données :

• La confidentialité,
• L'intégrité,
• La disponibilité (La disponibilité d'un équipement ou d'un système est une mesure de performance qu'on...).

La norme (Une norme, du latin norma (« équerre, règle ») désigne un...) ISO 13335 (qui n'existe qu'en anglais) mentionne également la non-répudiation, la gestion de la preuve (imputabilité), et l'authentification :

• L'authentification (L'authentification est la procédure qui consiste, pour un système informatique, à...) correspond à l'une des trois phases du contrôle (Le mot contrôle peut avoir plusieurs sens. Il peut être employé comme synonyme d'examen, de...) d'accès, qui est du domaine de la confidentialité ; il y a également une notion d'authenticité qui n'est pas liée directement au contrôle d'accès : il s'agit pour celui qui consulte une donnée (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent...), de se convaincre de l'identité de l'émetteur ou du créateur de la donnée (Dans les technologies de l'information, une donnée est une description élémentaire,...).
• La non-répudiation vise à empêcher que l'auteur d'une donnée puisse prétendre ensuite qu'il n'en est pas l'auteur ; elle implique l'intégrité, mais s'étend au-delà.
• La gestion de la preuve (imputabilité) concerne tous les aspects de la sécurité des systèmes d'information.

Les concepts fondamentaux

Les critères communs (Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des...) (en anglais common criteria), définis au niveau international, doivent être documentés sous la forme de profils de protection, ceux-ci étant des informations essentielles pour s'assurer de la sécurité des informations, au plus haut niveau.

En urbanisation des systèmes d'information, en préalable à l'établissement de toute cartographie (La cartographie désigne la réalisation et l'étude des cartes géographiques. Le...) des données, il est nécessaire de procéder à l'« alignement stratégique », dans lequel la définition (Une définition est un discours qui dit ce qu'est une chose ou ce que signifie un nom. D'où la...) du profil de protection est l'un des principaux prérequis.

Les acteurs de la sécurité des systèmes d'information

Les professionnels de la sécurité des systèmes d'information reconnaissent trois types d'acteurs de la sécurité :

• l'autorité de certification,
• l'autorité d'enregistrement,
• l'opérateur (Le mot opérateur est employé dans les domaines :) de certification.

En 1991, l'Europe (L’Europe est une région terrestre qui peut être considérée comme un...) a défini un standard d'organisation (Une organisation est) de politique de sécurité, ITSEC, qui n'a pas obtenu le statut de norme internationale (ISO).

Dans chaque grande entreprise, on trouve un responsable de la sécurité des systèmes d'information (RSSI), qui dépend hiérarchiquement du directeur informatique (L´informatique - contraction d´information et automatique - est le domaine...) ou du directeur de la sécurité selon les cas. Si le RSSI dépend hiérarchiquement du directeur de la sécurité, il a des relations fonctionnelles avec le (ou les) directeurs informatiques (et réciproquement).

L'organisation

L'organisation de la sécurité des données (En sécurité des systèmes d'information, la sécurité des données est...) est une partie essentielle de la sécurité des systèmes d'information. Elle doit être définie dans une politique de sécurité des systèmes d'information.

Cette politique doit indiquer les rôles respectifs des acteurs de l'entreprise et des tiers de confiance (Un tiers de confiance est un organisme habilité à mettre en œuvre des signatures...) dans le processus de certification.

Une analyse globale par les données permettra de décliner la PSSI en politiques spécialisées (système informatique, réseaux…).

Normalisation et certification

Normalisation

Les normes applicables sont :

• ISO 13335 sur les définitions, concepts et modèles,
• ISO 15408 sur les exigences, et les critères communs.

Sur les métadonnées en particulier, voir Normalisation des métadonnées.

Sur la gestion de la preuve ou imputabilité (records management en anglais), voir ISO 15489 et Métadonnées et traçabilité.

La norme ISO 27000 est une norme générale sur la sécurité du système d'information.

Certification

Pour l'application de la norme ISO 15408, en France, il existe cinq CESTI (centres d'évaluation de la sécurité des technologies de l'information) chargés de l'évaluation :

• AQL (SILICOMP)
• CEA LETI
• THALES (Thalès de Milet appelé communément Thalès (en grec ancien...) (T3S-CNES)
• OPPIDA
• SERMA Technologies

En dernière instance, c'est la ANSSI qui valide l'agrément et délivre le certificat.