Sécurité du système d'information - Définition

Moyens de sécurisation d'un système

Conception globale

La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.

Ainsi, la sécurité du système d'information doit être abordée dans un contexte global :

• la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de conscience » (les anglophones utilisent le terme awareness) ;
• la sécurité de l'information ;
• la sécurité des données, liée aux questions d'interopérabilité, et aux besoins de cohérence des données en univers réparti ;
• la sécurité des réseaux ;
• la sécurité des systèmes d'exploitation ;
• la sécurité des télécommunications ;
• la sécurité des applications (débordement de tampon), cela passe par exemple par la programmation sécurisée ;
• la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la « stratégie de reprise »).

Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …).

Défense en profondeur

Tout droit sorti d'une pratique militaire ancienne et toujours d'actualité, le principe de défense en profondeur revient à sécuriser chaque sous-ensemble du système, et s'oppose à la vision d'une sécurisation du système uniquement en périphérie. De façon puriste, le concept de défense en profondeur signifie que les divers composants d'une infrastructure ou d'un système d'information ne font pas confiance aux autres composants avec lesquels ils interagissent. Ainsi, chaque composant effectue lui-même toutes les validations nécessaires pour garantir la sécurité. En pratique, ce modèle n'est appliqué que partiellement puisqu'il est habituellement impraticable de dédoubler tous les contrôles de sécurité. De plus, il peut même être préférable de consolider plusieurs contrôles de sécurité dans un composant dédié à cette fin. Ce composant doit alors être considéré comme étant sûr par l'ensemble du système.

Politique de sécurité

La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leurs ont été octroyés.

La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire :

• élaborer des règles et des procédures, installer des outils techniques dans les différents services de l'organisation (autour de l'informatique) ;
• définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ;
• sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations ;
• préciser les rôles et responsabilités.

La politique de sécurité est donc l'ensemble des orientations suivies par une entité en termes de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.

Responsable de la sécurité du système d'information

Cela étant, en France, ce sont principalement les grandes sociétés, entreprises du secteur public et administrations qui ont désigné et emploient, à plein temps ou non, des « responsables de la sécurité des systèmes d'information ». Les tâches de la fonction dépendent du volontarisme politique ; les cadres ou techniciens concernés ont en général une bonne expérience informatique alliée à des qualités de pédagogie, conviction, etc. Peu à peu, le management de la sécurité informatique s'organise en domaines ou sous-domaines des services informatiques ou d'état-major ; ils sont dotés de moyens financiers et humains et intègrent les contrats de plan ou de programmes de l'entreprise.

Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers ou au RSSI (Responsable de la sécurité des systèmes d'information), si ce poste existe au sein de l'organisation. Le rôle de l'administrateur informatique est donc de faire en sorte que les ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de la conseiller sur les stratégies à mettre en œuvre, ainsi que d'être le point d'entrée concernant la communication aux utilisateurs des problèmes et recommandations en termes de sécurité.

Modèles formels de sécurité

Afin d'atteindre une cible d'évaluation avec un bon degré de confiance (niveau E4 de TCSEC au minimum), nous définissons formellement le concept de sécurité dans un modèle dont les objectifs sont les suivants :

• exprimer les besoins de sécurités intégrées dans un contexte informatique,
• fournir des moyens pour justifier que le modèle est cohérent,
• fournir des moyens permettant de convaincre que les besoins sont satisfaits,
• fournir des méthodes permettant de concevoir et d'implanter le système.

Il existe plusieurs modèles formels de sécurité :

• Le modèle de Bell-LaPadula (gestion d'accès par mandat, confidentialité, statique) modèle qui a été le plus utilisé pour vérifier la sécurité des systèmes informatiques. Les concepteurs de ce modèle ont démontré un théorème appelé Basic Security Theorem (BST). De ce modèle furent dérivés d'autres modèles : celui de Biba (gestion d'accès par mandat, intégrité, statique), celui de Dion (gestion d'accès par mandat, confidentialité et intégrité, statique), de Jajodia et Sandhu (gestion d'accès par mandat, confidentialité, statique).

• Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique) modélisant le flux d'informations en utilisant des concepts de la logique. Les modèles de sécurité basés sur le principe de flux d'informations ont leur utilité dans le contrôle des accès indirects à l'information : ils mettent en évidence le problème des canaux cachés.

• Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle Take-Grant et le modèle SPM.

Plan de continuité d'activité

Face à la criticité croissante des systèmes d'information au sein des entreprises, il est aujourd'hui indispensable de disposer d'un plan de sécurisation de l'activité.

Ce plan se décline en deux niveaux distincts :

• le Plan de Reprise d'Activité (PRA) aussi appelé reprise "à froid" qui permet un redémarrage « rapide » de l'activité après un sinistre, avec restauration d'un système en secours avec les données de la dernière sauvegarde
• le Plan de Continuité d'Activité (PCA) également appelé reprise "à chaud" qui, par une redondance d'infrastructure et une réplication intersites permanente des données, permet de maintenir l'activité en cas de sinistres majeur de l'un des sites.

Chacun de ces plans tente de minimiser les pertes de données et d'accroitre la réactivité en cas de sinitre majeur ; un PCA efficace, doit en principe, être quasi-transparent pour les utilisateurs, et garantir l'intégrité des données sans aucune perte d'information.

La mise en oeuvre de telle ou telle solution est souvent déterminée par les contraintes fonctionnelles et budgétaires.

Moyens techniques

De nombreux moyens techniques peuvent être mis en œuvre pour assurer une sécurité du système d'information. Il convient de choisir les moyens nécessaires, suffisants, et justes. Voici une liste non exhaustive de moyens techniques pouvant répondre à certains besoins en termes de sécurité du système d'information :

• Contrôle des accès au système d'information ;
• Surveillance du réseau : sniffer, système de détection d'intrusion ;
• Sécurité applicative : séparation des privilèges, audit de code, rétro-ingénierie ;
• Emploi de technologies ad-hoc : pare-feu, UTM, anti-logiciels malveillants (antivirus, antipourriel (SPAM), antiespiogiciel (spyware) ;
• Cryptographie : authentification forte, infrastructure à clés publiques, chiffrement.