Nous allons aborder dans cette vidéo les besoins de sécurité et les mécanismes de sécurisation d'un système d'information. L'organisation de la cybersécurité au sein d'un organisme repose sur des personnes, des procédures et des équipements qui constituent un système de management de la sécurité des systèmes d'information ou SMSI. Sa mise en place et son suivi sont généralement à la charge du responsable de la sécurité du système d'information ou encore le RSSI. En interaction avec l'ensemble des acteurs, il est l'interlocuteur de la gouvernance de l'organisation à qui il transmet les informations permettant des choix éclairés de gestion du risque et d'investissement dans la sécurisation du système d'information. L'appréciation des risques cyber est primordiale car elle consiste à identifier, puis évaluer les risques pesant sur les valeurs métier, données et processus essentiels de l'entreprise. La gouvernance peut ensuite prendre les bonnes décisions d'investissement, qui permettront de couvrir les risques au meilleur coût, par la mise en œuvre des mesures visant à respecter les besoins de sécurité adéquats. L'objectif de la cybersécurité est de protéger les systèmes d'information contre la concrétisation de scénarios de menace visant leurs valeurs métier ou bien essentielles, qu'ils soient des données ou bien des processus. Les besoins de sécurité sont différents d'une valeur métier à une autre. Cependant, les critères d'évaluation de sécurité d'une donnée ou d'un processus sont les mêmes. Ce sont les DICP pour Disponibilité, Intégrité, Confidentialité et bien souvent la Preuve. La disponibilité est la propriété d'accessibilité des biens au moment voulu par les personnes autorisées, c'est-à -dire que les biens sont accessibles aux personnes autorisées, par exemple les employés d'une entreprise, durant les plages d'utilisation prévues sans interruption. L'intégrité est une propriété d'exactitude et de complétude des biens et informations, c'est-à -dire qu'une modification illégitime d'un bien ou d'une information doit pouvoir être évitée ou détectée et corrigée. La confidentialité caractérise le maintien du secret de l'information et le fait de ne rendre accessible les biens ou informations qu'aux entités autorisées. Le critère de preuve concerne la propriété d'un bien permettant de retrouver les circonstances dans lesquelles il évolue, avec une confiance suffisante. Cette propriété englobe notamment la traçabilité des actions menées, c'est le fait de conserver de façon fiable les accès et tentatives d'accès à l'information, l'authentification des utilisateurs, vérifier l'identité dont une entité utilisateur se réclame, l'imputabilité du responsable de l'action effectuée appelée aussi non-répudiation, pour certifier qu'une action a bien été réalisée et associée aux bons acteurs. Ainsi, pour évaluer si un bien est correctement sécurisé, il faut auditer son niveau de disponibilité, d'intégrité, de confidentialité et de preuve en fonction du niveau de risque qu'il représente pour l'organisation et du niveau d'acceptation de celui-ci par les responsables. L'évaluation de ces critères sur une échelle permet, en fonction des objectifs de sécurité, de déterminer si ce bien est correctement sécurisé, c'est ce que nous avons appelé l'appréciation du risque. L'expression du besoin attendu peut être d'origine interne, c'est-à -dire inhérente au métier de l'entreprise, ou alors externe, donc issue des contraintes légales qui pèsent sur les biens de l'entreprise. Prenons l'exemple de l'audit du site Internet d'une entreprise souhaitant promouvoir ses services. Pour chaque besoin de sécurité, nous allons prendre l'échelle d'évaluation suivante, faible, moyen, fort et très fort. Commençons par regarder le critère de disponibilité. Celui-ci doit être fort. En effet, le but de l'entreprise est de faire connaître ses services. Si le site est indisponible, cela ne sera pas le cas. Passons au critère de confidentialité. Celui-ci est faible car toutes les informations contenues sur le site sont publiques. Le critère d'intégrité doit quant à lui être très fort. Les informations, même si elles sont publiques, ne doivent pas être modifiées. Par exemple, un concurrent ne doit pas pouvoir modifier frauduleusement le contenu du site par des informations erronées telles que des informations sur les tarifs. Le dernier critère, la preuve, peut être faible. En effet, il n'y a aucune interaction avec les utilisateurs, le site ne fournit que des informations fixes. Par contre, dans le cas d'une autre entreprise qui offrirait un service de e-commerce avec gestion de données client, les besoins sont différents. Le critère de disponibilité doit être très fort car il ne faut pas que le service soit indisponible ou alors que pendant un temps très court. Il faut minimiser le temps d'interruption, par exemple faire des mises à jour au milieu de la nuit. Celui de confidentialité doit être très fort, car les données client sont des données à caractère personnel et ne doivent pas fuiter. Le critère d'intégrité doit être très fort car l'information et les échanges ne doivent pas être corrompus. Et la preuve également doit être très forte car la traçabilité des transactions doit être préservée et il faut tracer les transactions. Pour atteindre le besoin de sécurité nécessaire, il faut utiliser dans le SI des mécanismes de sécurité. Par exemple, un antivirus est un mécanisme technique permettant de détecter les attaques virales connues. Il est utilisé pour atteindre la disponibilité, l'intégrité et la confidentialité. La cryptographie, qui est un mécanisme permettant d'implémenter du chiffrement et des signatures électroniques, est utilisée pour atteindre les critères d'intégrité, de confidentialité et de preuve. Bien évidemment, un seul mécanisme n'est généralement pas suffisant pour atteindre le niveau de sécurité souhaité. Il faut alors utiliser un ensemble de mécanismes en veillant à prendre en compte toutes leurs interactions afin d'éviter qu'ils se neutralisent. Pour conclure, voyons la différence entre sûreté et sécurité. La sûreté tout d'abord est un ensemble de mécanismes mis en place pour assurer la continuité de fonctionnement du système dans les conditions requises. En d'autres termes, il s'agit de protection contre les dysfonctionnements et accidents involontaires tels qu'une panne de disque dur ou encore une erreur d'exécution. Ces dysfonctionnements sont quantifiables statistiquement. Par exemple, la durée de vie moyenne d'un disque dur est de X heures. Pour se protéger, il faut donc effectuer des sauvegardes régulières, redonder des équipements. La sécurité quant à elle est l'ensemble des mécanismes destinés à protéger les données et les processus, c'est donc une protection contre les actions malveillantes telles que le vol ou la modification d'informations, le blocage de services, etc. Ces actions ne sont pas quantifiables statistiquement, mais comme nous l'avons évoqué, il est possible d'évaluer en amont le niveau du risque en estimant son impact et sa vraisemblance. Les parades sont par exemple l'utilisation de contrôles d'accès ou encore l'application des correctifs de sécurité.
