Page 1

Université Pierre Mendès France Institut d'Administration des Entreprises (IAE) de Grenoble

Mémoire pour l’obtention du Master Management Spécialité Recherche en Organisation

Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents de sécurité

Présenté par Andres PEREZ

Directeurs de recherche : Moufida SADOK Institut Supérieur des Etudes Technologiques en Communications de Tunis Humbert LESCA Professeur émérite à l’UPMF de Grenoble

2010


Dédicace

Les grandes personnes ne comprennent jamais rien toutes seules, et c’est fatigant, pour les enfants, de toujours et toujours leur donner des explications. Antoine de Saint-Exupéry « Le petit prince », 1943

Ce mémoire est dédicacé à ma mère qui m’a motivé à accomplir mes rêves, mon père avec ses phrases « les choses faciles ont été déjà faites, celles importantes sont difficiles », ma sœur qui est toujours là pour m’aider, mon petit frère qui va devoir se battre pour ses rêves, Anne pour son soutien et la continuation de nos rêves en Colombie, La Police Nationale de Colombie « Tous avec le même cœur »

2


Remerciements

Je remercie tout d’abord mes deux directeurs de recherche: Mme. Moufida SADOK, qui m’a apporté sa compréhension et qui grâce à sa discipline de travail m’a permis de progresser dans ma recherche; M. Humbert LESCA pour l’intérêt qu’il a manifesté pour mon sujet et les conseils qu’il m’a donné dans ma recherche. Je tiens à remercier M. Christian DEFELIX et M. Daniel LLERENA qui m’ont donné l’opportunité de faire mon master en France à l’IAE de Grenoble. Je remercie également M. Ricardo ROMERO pour m’a montré la manière de monter haut et loi. Mme. Danielle Prevosti, professeur de Français retraitée qui à du faire face à mon écriture. Enfin, merci aux Policiers de Colombie, Mme. Valérie MARCHAL, M. Hubert DROUVOT et Mme. Hélène CRUZ pour leurs aide dans les procédures administrative qui m’a permis de venir en France pour d’y effectuer mon master. A toutes les personnes qui m’ont aidés.

3


Table des matières

Listes des figures ................................................................................................................... 7 Liste des tableaux ................................................................................................................. 8 Introduction Générale .......................................................................................................... 9 Chapitre 1 : Sécurité de l’information : Enjeux et état des pratiques........................... 12 Introduction ........................................................................................................................ 12 1.1

Ampleur du Risque Numérique ....................................................................................... 12

1.1.1

Dépendance de l’Entreprise par Rapport aux TI ............................................ 14

1.1.2

Les enjeux du risque numérique..................................................................... 16

1.1.3

Caractéristiques du risque numérique ............................................................ 17

1.2

Gestion et organisation de la sécurité de l’information ................................................... 20

1.2.1

La politique de sécurité .................................................................................. 21

1.2.2

L’analyse du risque ........................................................................................ 23

1.2.3

Le responsable Sécurité des Systèmes d’Information .................................... 24

1.3

Intérêt et pertinence de la recherche ................................................................................ 26

1.3.1

Rôles et activités des ERI ............................................................................... 27

1.3.2

Intérêt managérial .......................................................................................... 29

1.3.3

Intérêt académique ........................................................................................ 29

Conclusion ........................................................................................................................... 31 Chapitre 2 : L’analyse du risque ...................................................................................... 32 Introduction ........................................................................................................................ 32 2.1

Identification des flux informationnels ............................................................................ 32

2.1.1

Classification de l’information ....................................................................... 33

2.1.2 Identification des conditions d’exploitation, de traitement et de production des informations dans la chaîne de valeur de l’entreprise ................................................... 34 2.1.3 Détermination des niveaux de barrière d’information liés à l’échange, à l’accès et ou au stockage ............................................................................................................... 36 2.2

Identification des vulnérabilités et menaces .................................................................... 37

2.2.1 Identification des vulnérabilités liées à l’organisation, à l’opération et à L’échange des flux informationnels ............................................................................................... 38 2.2.2

Identification des menaces qui peuvent affecter les ressources critiques ...... 39

2.2.3

Estimation de la probabilité de l’occurrence des menaces ............................. 41

4


2.2.4 Estimation de la perte potentielle relative à chaque ressource en cas de réalisation de la menace .................................................................................................................. 42 2.2.5 Estimation du coût des actions d’audit et de surveillance des systèmes afin de réduire le risque............................................................................................................. 42 2.3

Définition des mesures de protection .............................................................................. 43

2.3.1

Contrôles d’information et chiffrement d'information ................................... 44

2.3.2

Temps de destruction et de diminution de niveau .......................................... 46

2.3.3

Identification de l’émetteur et du récepteur d'information ............................. 47

2.3.4

Sécurité physique ........................................................................................... 49

2.3.5

Mesures de sécurité spéciales ......................................................................... 49

Conclusion ........................................................................................................................... 50 Chapitre 3 : Techniques de monitoring et vérification de l’efficacité des mesures de protection ............................................................................................................................ 51 Introduction ........................................................................................................................ 51 3.1

Identification des points de contrôle ................................................................................ 51

3.1.1

Identification des ressources informatiques et des réseaux de communication53

3.1.1

Temps d'utilisation des applications et temps de manipulation des informations 54

3.1.3

Contrôle de limites des utilisateurs ................................................................ 55

3.2

Définition des métriques .................................................................................................. 56

3.2.1

Typologie des métriques ................................................................................ 56

3.2.2

Test d’opérabilité et du fonctionnement du système qui gère la métrique ..... 59

3.2.3

Coût du système d’alarme .............................................................................. 59

3.3

Détermination des moyens de protection ........................................................................ 60

3.3.1

Vérification de l’efficacité des mesures de protection ................................... 60

3.3.2

Activation de l’alarme .................................................................................... 60

Conclusion ........................................................................................................................... 61 Chapitre 4 : Amplification des alarmes et réponse aux incidents de sécurité .............. 62 Introduction ........................................................................................................................ 62 4.1

Processus d’amplification ................................................................................................ 62

4.1.1

Détection signaux faibles ............................................................................... 63

4.1.2

Amplification et création des liens ................................................................ 64

4.1.3

Représentation Figure du modèle conceptuel ................................................ 65

4.2

Rôle de la médiation ........................................................................................................ 67

4.2.1

Médiation et création collective de sens......................................................... 68 5


4.2.2

Rôles du médiateur ......................................................................................... 69

4.2.3

Heuristiques pour assister l’activité du médiateur ....................................... 70 Scenarios d’attaque ......................................................................................................... 71

4.3

Conclusion ........................................................................................................................... 72 Chapitre 5 : Réparation et mise à jour du système de protection ................................. 73 Introduction ........................................................................................................................ 73 5.1

Réparation des dégâts occasionnés par les incidents de sécurité ..................................... 73

5.1.1

Dégâts directs et indirects............................................................................... 73

5.1.2

Dégâts matériels et immatériels ..................................................................... 73

5.2 Anticipation des protections nécessaires pour réduire le risque d’être attaqué de nouveau dans le futur ................................................................................................................................ 74 5.2.1

Solutions techniques ..................................................................................... 74

5.2.2

Solutions managériales .................................................................................. 74

5.2.3

Solutions humaines ....................................................................................... 75

5.3

Constitution d’une base de données et de connaissances ................................................ 75

5.3.1

Mémorisation des événements ...................................................................... 75

5.3.2

Base des connaissances pour le stockage des scenarios d’attaques .............. 75

5.4 Changements opérés au niveau de l’organisation et le traitement des flux informationnels 76 5.4.1

Les processus d’exploitation et de manipulation de l’information ............... 76

5.4.2

L’analyse du risque ....................................................................................... 76

5.4.3

Le processus de monitoring.......................................................................... 76

5.4.4

Le processus d’amplification........................................................................ 77

5.5.5

Communication aux employés et aux partenaires ......................................... 77

Conclusion ........................................................................................................................... 77 Conclusion générale ........................................................................................................... 78 Bibliographie ....................................................................................................................... 79 Annexe ................................................................................................................................. 82

6


Listes des figures

Figure 1. Démarche générale de la recherche ................................................................................ 10 Figure 2. Dépendance des entreprises à l'informatique .................................................................. 14 Figure 3. Connexion à distance aux réseaux d’entreprises ............................................................ 16 Figure 4. Pertes financières des incidents de sécurité par année .................................................... 18 Figure 5. Pourcentage des incidents ............................................................................................... 19 Figure 6. Malveillants et Non-malveillants .................................................................................... 20 Figure 8. Appui de la PSI entreprise sur une « norme » de sécurité .............................................. 22 Figure 9. Budget informatique pour la sécurité de l'information ................................................... 23 Figure 10. Part du budget informatique consacrée à la SSI ........................................................... 23 Figure 11. Méthode d'analyse des risques utilisée ......................................................................... 24 Figure 12. Attribution de la fonction RSSI .................................................................................... 25 Figure 13. Prise en charge de la fonction RSSI, lorsqu’il n’existe pas de RSSI ............................ 25 Figure 14. Répartition des missions du RSSI ................................................................................. 26 Figure 15. Trois flux d’information de l’entreprise ....................................................................... 33 Figure 16. Phases du guide proposé ............................................................................................... 43 Figure 17. Cycle de vie de l'information ........................................................................................ 46 Figure 18. Classification de barrière .............................................................................................. 46 Figure 19. Composants des Anneaux de sécurité ........................................................................... 52 Figure 20. Cycle du monitoring des Ressources informatiques, réseaux, trafic d'information...... 53 Figure 21. Cycle de monitoring des applications et des manipulations ......................................... 55 Figure 22. Cycle de monitoring des limites des utilisateurs .......................................................... 55 Figure 23. Cycle des métriques quantitatives ................................................................................. 57 Figure 24. Zones des analyses ........................................................................................................ 58 Figure 25. Cycle des métriques qualitatives ................................................................................... 58 Figure 26. Les phases de MARRAN .............................................................................................. 62 Figure 27. Chemin de raisonnement .............................................................................................. 65 Figure 28. Exemple raisonnement conceptuel pour les ERI .......................................................... 66

7


Liste des tableaux

Tableau 1. Budgets informatiques des hôpitaux ............................................................................ 15 Tableau 2. Le coût global du pire incident d'une organisation ....................................................... 18 Tableau 3. Le nombre médian de violations subies ....................................................................... 19 Tableau 4. Orientation de l'information ......................................................................................... 33 Tableau 5. Matrice d’identification type et raison ......................................................................... 39 Tableau 6. Analyses de probabilité ................................................................................................ 41 Tableau 7. Contrôle d'identification de l’émetteur et du récepteur ................................................ 47

8


Introduction Générale

Domaine et Objet de la recherche Chaque jour les entreprises deviennent plus dépendantes des Nouvelles Technologies de l’Information et de la Communication (NTIC), notamment l’Internet afin de réduire les coûts, améliorer la qualité, fournir de meilleurs services aux clients et ainsi développer et maintenir un avantage concurrentiel. Cependant, cette dépendance expose l’entreprise aux agressions ou attaques numériques contre ses ressources informationnelles. Ces actions sont de plus en plus complexes et dangereuses. La visibilité des agressions numériques n’est clairement possible que lorsqu’elles sont terminées, de plus une entreprise peut être victime d’une agression sans en avoir conscience. La complexité s’accroît dans la mesure où les pirates sont de plus en plus inventifs. Les enjeux stratégiques des agressions numériques pour une entreprise ne se limitent pas à des pertes financières. Ils peuvent concerner également son image de marque ou son capital client ainsi que son efficacité et la continuité de son activité. Ainsi, l’entreprise devrait développer un ensemble de mesures techniques et managériales afin de gérer et réduire le risque numérique. Notre recherche concerne un aspect particulier de la fonction sécurité à travers le travail des équipes de réponse aux incidents (ERI) de sécurité. Nous proposons un guide de travail pour planifier, organiser et contrôler l’intervention de ces équipes afin de maintenir un niveau de sécurité acceptable.

Intérêt et objectifs de la Recherche D’un point de vue managérial, ce travail soulève un problème important lié à la gestion de la sécurité au sein de l’entreprise. En effet, l’insuffisance des solutions techniques de sécurité face à la complexité et l’imprévisibilité croissantes des attaques numériques obligent les entreprises à valoriser le rôle des ERI. L’analyse de l’état des pratiques des entreprises montre un manque de méthodes appropriées afin de soutenir leur travail ainsi que de capitaliser leurs expériences et connaissances. Comme apport académique, ce travail intègre différents concepts dans un domaine principalement dominé par les informaticiens et les ingénieurs réseaux en proposant un guide de 9


travail pour l’efficacité de l’activité des ERI et en mettant l’accent sur les aspects d’organisation et de management liés à la sécurité des informations au sein de l’entreprise. De plus, le présent travail prend la suite d’un travail de recherche élaboré au sein de l’équipe de Professeur Lesca (CERAG, CNRS UMR 5820 UPMF) dans le domaine de la veille anticipative stratégique pour réduire le risque des agressions numériques (Sadok, 2004). Ainsi, les objectifs à travers ce travail peuvent être articulés autour des axes suivants : 1. Analyse des états pratiques des entreprises en matière de gestion de la sécurité 2. Identification et définition des activités nécessaires dans le travail des ERI 3. Elaboration d’un guide de travail pour assister le travail des ERI de sécurité.

Méthodologie Ce travail est de nature exploratoire où le chercheur peut intégrer des connaissances théoriques à travers des articulations de connaissances disponibles dans une étude bibliographique en permettant la création de nouvelles connaissances actionnables pour des organisations pour modéliser un guide de travail pour l’anticipation et la gestion du risque numérique. Pour répondre aux objectifs de la recherche, un entretien a été réalisé avec à un experte dans le domaine de la sécurité des réseaux afin de comprendre et de définir le rôle et les activités accomplis par les ERI. De même, nous avons étudié et analysé les résultats empiriques des rapports spécialisés dans la sécurité de l’information et publiés récemment par le comme Computer Security Institute aux Etats Unis (CSI), Information Security Breaches Survey au Royaume Uni et le Club de la Sécurité de l’Information Français (CLUSIF).

Articulation des connaissances •Connaissances Théoriques • Rapports Spécialisés •Entretien avec un Expert

•Identification des activités du guide •Identification des tâches liées à chaque activité •Elaboration du guide

•Limites •Futures Recherches

Conception du Guide de Travail

Proposition du Guide

Figure 1. Démarche générale de la recherche

10


Plan du Master Cette recherche est divisée en cinq chapitres. Le premier chapitre présente les aspects organisationnels et de management de la fonction la sécurité de l’information à travers l’étude des rapports officiels publiés par des organismes internationaux spécialisés. Les quatre chapitres décrivent les activités du guide de travail des ERI. Ainsi, le deuxième chapitre traite l’analyse du risque. Le troisième chapitre sera consacré aux techniques de monitoring et de vérification de l’efficacité des mesures de sécurité implémentées. Le quatrième chapitre fait la relation entre la méthode MARRAN (Sadok, 2004) et le guide de travail proposé lors de l’activité d’amplification des alarmes et de réponse aux incidents de sécurité. Le cinquième chapitre présentera les mesures de réparation des dégâts occasionnés par les incidents de sécurité et de mise à jour du système de protection.

11


Chapitre 1 : Sécurité de l’information : Enjeux et état des pratiques

Introduction

Les objectifs de ce chapitre sont, premièrement, mettre l’accent sur l’importance de la sécurité de l’information pour l’entreprise à l’ère numérique, deuxièmement, présenter les résultats des études réalisées dans ce domaine (Club de la Sécurité de l'Information Français CLUSIF, 2010 ; Computer Security Institute CSI, 2009 ; Europe & PricewaterhouseCoopers, 2010 ; Department for Business, Enterprise & Regulatory Reform (BERR), 2008) ;troisièmement, mettre l’accent sur la nécessité de l’intervention humaine (à travers le travail de l’ERI1) dans le processus de réponse et d’anticipation du risque numérique. Ainsi, nous montrons d’une part comment les entreprises deviennent plus dépendantes des TI et la situation actuelle des risques numériques selon les pertes financières, ainsi que l’importance qu’elles acquièrent dans les agendas de la haute direction. D’autre part, nous décrivons l’état des pratiques des entreprises en matière de gestion de la sécurité de l’information, notamment la politique de sécurité, l’analyse du risque et la définition du rôle du RSSI2.

1.1 Ampleur du Risque Numérique Comme définition du risque numérique, nous avons cette éventualité qui empêche les organisations d’arriver au but, également le risque de la probabilité qu’une menace se matérialise, une menace qui utilise des vulnérabilités qui existent d’une manière active, générant pertes et dommages. Au Royaume Uni, pendant l’année 2008, les grandes entreprises ont eu 96% d’incidents de sécurité, nombre moyen d’incidents >400 (>1,300) et ses coûts du pire incident de l'année de £1m à £2m ; également 13% ont détecté des étrangers non autorisés au sein de leur réseau, 9% de faux (phishing) e-mails envoyés à leurs clients pour demander des données, 9% avaient fait

1 2

Equipe de Réponse aux Incidents de Sécurité Responsable de la Sécurité des Systèmes d’Information

12


passer pour des clients (par exemple après le vol d'identité) et 6% ont subi une violation de confidentialité (Department for Business, Enterprise & Regulatory Reform (BERR), 2008). Selon l’étude de Computer Crime and Security Survey faite par Computer Security Institute CSI en décembre 2009, parmi 443 entreprises dans plusieurs secteurs industriels des Etats-Unis, 102 entreprises ont eu des pertes par $234.000. En 2009, il y a eu une réduction par rapport à 2008 qui a eu $289.000 ; la troisième part des organisations interrogées ont été représentées de façon frauduleuse : l'expéditeur d'un message de phishing (Computer Security Institute CSI, 2009). Dans cette enquête, les principaux types d’attaques ont été de 64,3% avec malware infection, 42,2% avec Ordinateur portable ou vol ou perte de matériel mobile, 34% représentés de façon frauduleuse par l'expéditeur d'un message de phishing, 30% avec des abus d'accès Internet ou email, 29% avec service déni, 23% avec Bots / zombies au sein de l'organisation, 20% avec fraude financière. Les dernières entreprises ont eu en moyenne $450.000 de pertes par organisation ; après un incident de sécurité, 22% des réponses d’envoi de notification aux personnes infectées et 17% acquièrent de nouveaux services de sécurité. Ce rapport montre que 25% des répondants estiment que plus de 60% de leurs pertes financières sont dues à des actions malveillantes; La plupart des répondants estiment que leur investissement dans la formation et les mesures de sécurité était adéquate mais la sensibilisation des utilisateurs à la sécurité était inadéquate. Les entreprises montraient une diminution de la sous-traitance des services de sécurité, 71% des entreprises ne le faisaient pas en comparaison avec l’année 2008 où 59% ne le faisait pas. Les répondants ne sont pas tout à fait contents des solutions techniques, mais les ont expérimentées, aussi ils demandent une solution depuis le management. 67,8% a expérimenté l’usage du Retour Sur investissement (ROI), outre la Valeur Présent Net (VPN) ou Taux de Rendement Interne (IRR), ceux-ci comme métrique pour la sécurité. En général, les organisations considéraient les efforts de sécurité comme ayant un effet positif dans l’organisation. Alors, le risque numérique est à l'ordre du jour des entreprises pour les dommages financiers qu’il cause et pour la croissante dépendance en IT. Aussi ces rapports montrent chaque fois davantage que les entreprises ont des faiblesses au niveau de la sécurisation des systèmes d’information. 13


1.1.1

Dépendance de l’Entreprise par Rapport aux TI

Les TI sont indispensables aux entreprises pour avoir un avantage concurrentiel ou rester dans un marché compétitif. Les organisations sont de plus en plus interconnectés à Internet, ainsi en Angleterre durant l’année 2008, 97% des entreprises ont eu une connexion haut débit à Internet, 93% ont eu un site Web corporatif, 54% permettent au personnel d'accéder à leurs systèmes à distance et 84% sont fortement dépendants de leurs systèmes de TI (Department for Business, Enterprise & Regulatory Reform (BERR), 2008). D'ailleurs, cette enquête montre qu’en 2008 les services financiers, les télécommunications et les sociétés d'énergie sont les plus préoccupées par la corruption des documents alors que leur chiffre d'affaires dépend en grande partie de documents électroniques. Au cours de l’année 2010, en Angleterre, le taux d'adoption de nouvelles technologies s'est accéléré les deux dernières années. En conséquence, la plupart des répondants utilisent maintenant des réseaux sans fil, 85% utilisent le réseau Wireless (42% en 2008), accès à distance et 47% (17% en 2008) utilise la téléphonie Voix sur IP (VoIP), 32% envisagent l'utilisation de sites de réseaux sociaux comme important pour leurs affaires, et les logiciels en tant que service ont déplacé l'utilisation d'Internet au-delà des sites Web et e-mail. L’enquête sur les résultats de l'exercice

montre que l'environnement des entreprises est en pleine mutation, 34% des

entreprises dépendent essentiellement de l'extérieur des services hébergés de logiciels accessibles sur Internet (Europe & PricewaterhouseCoopers, 2010). Quant à la France, la dépendance à l’informatique peut s’observer dans le schéma suivant illustration du CLUSIF:

Figure 2. Dépendance des entreprises à l'informatique

14


Les TI sont considérées comme stratégiques pour la grande majorité des entreprises, tous secteurs confondus et quelle que soit leur taille, 73% d'entre elles jugent lourde de conséquences une indisponibilité de moins de 24 h de leurs outils informatiques (avec un maximum de 83% pour le secteur du commerce) (Club de la Sécurité de l'Information Français CLUSIF, 2010). Ce rapport montre un budget informatique moyen à €1,45 million, lorsqu'on les interroge sur leur budget informatique, 51% des entreprises répondent (soit 2 fois plus qu’en 2008). Ainsi, 58% ont un budget inférieur à 1 million d'euros, 20% compris entre 1 et 2 millions d'euros et 15% entre 2 et 5 millions d'euros. Enfin, 7% des budgets sont supérieurs à 5 millions d'euros pour un maximum de 20 millions d'euros. CLUSIF a étudié le budget informatique dans les hôpitaux français, Il doit être noté que, dans le domaine hospitalier, une partie non négligeable des investissements informatiques est réalisée directement dans les services qui sont représentés dans le tableau :

Tableau 1. Budgets informatiques des hôpitaux

Dans le cas des internautes, CLUSIF montre que les foyers ont augmentés de 5% les deux dernières années, leurs budget informatique. La connexion à Internet est permanente (dès que l’ordinateur est allumé) pour 80% des internautes, ce qui est stable, 58% déclarent établir des connexions en déplacement hors de leur domicile (23% souvent et 35% plus rarement) par exemple 3G/EDGE, iPhone, Blackberry ; souvent, ils sont en train de changer les connexions familières par wifi. Les usages de l’internaute sont : 96% stockent et manipulent des photos ou des vidéos, 90% traitent des documents personnels (courriers, comptabilité, etc.), seuls 42% traitent des documents professionnels (ce chiffre est en baisse par rapport aux 49% de l’enquête 2008). L’enquête confirme bien que l’ordinateur familial est utilisé uniquement pour un usage privé par 70% des personnes, 23% faisant un usage mixte et 2% un usage strictement professionnel. Les jeunes (15-24 ans) étant deux fois plus nombreux (46%) à déclarer panacher un usage privé et « professionnel ». 15


Pour la connexion à distance du réseau des entreprises en comparant 2008 et 2010 :

Figure 3. Connexion à distance aux réseaux d’entreprises

Egalement

42% utilisent l’ordinateur familial pour stocker et manipuler des documents

professionnels ou de travail. Les TI sont présentes dans toutes les activités sociales, culturelles, de travail, pour les organisations ou les internautes. Ces outils sont en train de changer la vie sociale de l’humanité et ils créent une dépendance pour faciliter l’accès à l’information, aux achats ou simplement l’interaction avec les autres.

1.1.2 Les enjeux du risque numérique L’environnement des risques numériques est en constant évolution, les pirates informatiques créent de nouvelles façon d’attaquer les systèmes d’information, les risques cohabitent constamment dans le travail quotidien. Ils sont tout le temps latents, même lorsqu’ils ne sont pas possibles ou qu’on ne peut pas les identifier donc l’unique manière d’éviter un risque est de détruire l’activité qu’elle a générée (Sena & Tenzer, 2004). L’évolution des menaces de sécurité est rapide, par exemple CSI a ajouté en 2007 dans ses rapports quatre types d’attaques et le pourcentage des entreprises touchées selon le rapport 2009, qui ont eu l’expérience des entreprises Bots / zombies au sein de l'organisation avec 23%, l’Être représentée frauduleusement comme expéditeur de messages de Phishing avec 34%, Mot de passe reniflant avec 17%, Exploit du serveur DNS avec 7%, abus de messagerie instant avec 8%. Pour l’année 2008, il a ajouté le vol ou l'accès non autorisé à des informations personnelles identifiables (PII sigle Anglais) ou de vol d'informations personnelles de santé

(PHI sigle

Anglais) en raison du vol dispositif mobile ou pertes avec 6%, le vol ou l'accès non autorisé à la propriété intellectuelle suite à un vol d’ appareil mobile ou de pertes avec 6%, le vol ou l'accès non autorisé à PII ou causes PHI en raison de tous les autres 10%, le vol ou l'accès non autorisé à la propriété intellectuelle en raison de toutes les autres causes avec 8%.

16


Dans l’année 2009, l’enquête a ajouté l’extorsion ou le chantage liés à la menace d'attaque ou de diffusion des données de vol avec 3%, l'exploitation d'autres des partenariats public-face site Web avec 6%, l’exploitation du profil de l'utilisateur du réseau social avec 7%, l'accès non autorisé ou élévation de privilèges par un initié avec 15%, la pénétration du système par outsider avec 8%. Ci-dessus s’explique le dynamisme des pirates pour profiter de chaque avance technologique et faire le mal ; cette tendance semble constituer chaque année l’occurrence de nouvelles menaces, qui génèrent des coûts financiers pour les entreprises. C’est pour cette raison que les entreprises améliorent ses systèmes de sécurité d’information afin de les adapter à l’environnement en mutation. Les enjeux du risque numérique poussent les entreprises au développement de politiques et de stratégies de sécurité, l’augmentation de la capacité d’anticipation et la réponse aux attaques à travers des solutions plus sophistiquées : des techniques, une méthodologie et des processus de travail. 1.1.3 Caractéristiques du risque numérique Pour le cas de notre étude, nous allons identifier les caractéristiques principales des risques numériques (Ghernaouti-Hélie, 2002) :  Ils pourraient causer des dégâts pouvant être importants  Son occurrence est plus ou moins probable  Son origine peut être accidentelle ou volontaire La possibilité des dégâts par exemple financiers, les attaques affectent les pays : les répondants ont subi aux Etats Unis, en moyenne, $234,000 dans les pertes dues à des incidents de sécurité entre Juillet 2009 à Juin 2008. Il s'agit d'une baisse de 19 pour cent de la moyenne de l'an dernier de $289,000;qui était une baisse de 16 pour cent à partir de 2007 la moyenne de $345.000 (Computer Security Institute CSI, 2009, p. 11) :

17


Figure 4. Pertes financières des incidents de sécurité par année

En Angleterre, le coût global du pire incident d'une organisation de l'année 2009, Le coût total moyen vari entre £ 27,500 et £ 55.000. Une tendance similaire est observée parmi les répondants des grandes entreprises, avec le coût total moyen du pire incident se maintenant entre £ 280 000 et £ 690 000 (Europe & PricewaterhouseCoopers, 2010) :

L'interruption des activités Le temps passé à répondre aux incidents Trésorerie directe consacrée à répondre à l'incident Pertes financières directes (par exemple la perte d'actifs, amendes, etc.) Perte indirecte financière (par exemple le vol de la propriété intellectuelle) Atteinte à la réputation Coût total du pire incident en moyenne comparative 2008

Grande organisation £15,000 - £30,000 sur 2-4 jours £600 - £1,500 2-5 jours-homme

Petite organisation £200,000 - £380,000 sur 2-5 jours £6,000 - £12,000 15-30 jours-homme

£4,000

£7,000 £25,000

£3,000

£5,000 £25,000

£5,000

£10,000 £15,000

£100 £27,500 £10,000

£1,000 £15,000 £55,000 £280,000 £20,000 £90,000

Tableau 2. Le coût global du pire incident d'une organisation

Dans le cas, son occurrence pour l’année 2010 : 92% des grands entreprises >250 employés et des petit entreprises <50 employés 83%. Ils ont eu des incidents de sécurité la dernière année ; 46% des répondants avaient de grandes attaques personnelles pertes ou fuites de données confidentielles, 45% des violations de la confidentialité ont été très graves ou extrêmement graves (contre seulement 15% d'autres types d'infractions), Le nombre moyen des violations subies par les organisations concernées dans l’année 2009 en Angleterre, statistiques équivalentes comparées à 2008, elles sont indiquées entre parenthèses (Europe & PricewaterhouseCoopers, 2010): 18


la défaillance de systèmes ou de corruption des données Infection par des virus ou autres logiciels malveillants Vol ou fraude impliquant des ordinateurs D'autres incidents causés par le personnel Attaques par un étranger non autorisé (y compris les tentatives de piratage) Tout incident de sécurité

Grande organisation 4 (3)

Petite organisation 2 (1)

2 (3)

1 (2)

4 (2) 20 (9)

8 (1) 7 (6)

28 (11) 45 (15)

13 (6) 14 (6)

Tableau 3. Le nombre médian de violations subies

Tout incident de sécurité

Un incident de sécurité accidentelle

Un incident de sécurité malveillant

Un incident grave

ISBS 2010 Grande organisation ISBS 2010 Petite organisation ISBS 2008 Global Figure 5. Pourcentage des incidents

Selon ces données, plus de 80% des organisations par année ont au moins un incident de sécurité et les pourcentages hauts sont graves, c’est-à-dire que les risques numériques sont d’une probabilité forte et des organisations ont besoin de plusieurs outils pour combattre, réduire et anticiper. Pour sa caractéristique d’origine peut-être accidentelle ou volontaire, aux Etats Unis le pourcentage de pertes dues à des incidents selon CSI dans son rapport 2009, malveillants et non malveillants, deux types différents de menaces sont posés par l'employé malveillant qui tire parti d’ informations à l'intérieur pour mener une attaque ciblée avec un effet très grand et ceux qui sont posés par le bien intentionné utilisateur moyen qui divulgue des données à un ingénieur social simplement parce qu'ils ne savent pas mieux : 19


81-100% of Losses (0.7%)

Pas de pertes (56.8%)

61-80% des pertes (4.3%)

1-20% des pertes (24.1%)

81-100% of Losses (16.1%)

Pas de pertes (34.2%)

61-80% des pertes (8.9%)

21-40% des pertes (9.3%)

1-20% des pertes (26.6%) 21-40% des pertes (8.9%)

Figure 6. Malveillants et Non-malveillants

Ceux-ci créent un risque accidentel ou involontaire qui pourrait générer des dégâts avec une haute probabilité. Il est intéressant de noter que 43.2% des répondants ont déclaré qu'au moins une partie de leurs pertes étaient imputables à des initiés malveillants ; mais les initiés clairement non-malveillants sont les plus grands problèmes.

1.2

Gestion et organisation de la sécurité de l’information

L’anticipation du risque numérique a besoin d’une très bonne gestion de la fonction sécurité de l’information au sein de l’entreprise. Dans notre proposition de guide, il y a trois phases de gestion de l’information qui sont l’identification des flux organisationnels, l’analyse du risque, l’initialisation du monitoring et la vérification de l’efficacité, ceux-ci nous les considérons comme les principales techniques de gestion d’informations sans oublier d’autres phases qui gèrent aussi l’information, ce sont des phases d’ Amplification des alertes et de réponse aux incidents, mitigation et mise à jour du système de protection. Les organisations devraient mettre en place un processus de gouvernance de la sécurité de l'information, notamment pour protéger l'organisation de l'information des actifs (Humphreys, 2008) ; c’est la raison pour laquelle, dans l'enquête de l’année 2010, l’ISBS en Angleterre montre que l’information de sécurité pour la haute direction des grandes entreprises a 28% de très haute priorité, 41 % de hautes priorités et seulement 6% de faibles priorités, 1% sans priorité. Pour le cas des petites entreprises. 41% considèrent l’information de sécurité de très haute priorité, 36% de haute priorité et seulement 7% de faible priorité et 1% sans priorité.

20


Ils ont besoin pour assurer une gouvernance correcte de l'organisation de déployer un processus de gestion des risques et un système efficace de contrôles internes, en place pour soutenir ce processus de gestion des risques. L'histoire de l'information de la sécurité est une série de défauts (parfois profondément viciés) et de succès. La communauté déplore que les attaquants possèdent un avantage tactique ; on ne peut nier que les pare-feu partout et une couverture de logiciels antivirus ont réduit un certain nombre d'attaques dévastatrices, une fois largement hors de propos (Humphreys, 2008) Le guide proposé est un outil de gestion qui permet la gestion de l’information de toute l’organisation, la gestion de l’information de sécurité et l’anticipation aux attaques numériques, comme il est écrit plus loin dans le document. Nous expliquons chaque phase de la gestion de l’information.

1.2.1

La politique de sécurité

La politique de sécurité détermine d’une façon claire, précise les règles, les limites et les autorisations assignées aux utilisateurs du système d’information ; la détection et la réponse sont très difficiles à cause de l’ambiguïté des informations, pour réduire le risque à un niveau acceptable par l’utilisation des solutions de sécurité adaptées à leurs besoins et en fonction des caractéristiques de leurs services offerts pour assurer la confidentialité, l’intégrité et la disponibilité des informations. La politique de sécurité tient compte de la taille de l’entreprise, de sa nature et de ses besoins d’activité, du degré d’ouverture du réseau de l’entreprise et de l’organisation de ses services (Sadok, Impact des lois de la sécurité financière sur la gestion du système d'information). Elle comprend des documents et des guides décrivant de manière formelle les principes ou les règles auxquelles se conforment les personnes qui ont le droit d’accès au système d’information de l’entreprise (Sadok, Veille anticipative stratégique pour réduire le risque des agressions numériques, 2004). Aux Etats Unis, selon le rapport ISBS 2010, 90% des grandes organisations ont une politique de sécurité de l'information documentée officiellement et les petites organisations, 67%, en France selon le CLUSIF 63% formalisent sa Politique de Sécurité de l'Information (PSI). Les objectifs de la politique de sécurité sont constitués d’une suite de règles et de principes répondant aux besoins de sécurité de l’entreprise et sont explicités dans un document écrit. 21


La mise en place suppose l’utilisation de méthodes et de techniques pour réaliser une détection et une analyse du risque afin de choisir par conséquent des solutions. Des pratiques appropriées en matière de sécurité visent tout à la fois à définir les besoins de l’entreprise, à élaborer des stratégies de sécurité afin de protéger les biens les plus critiques et à définir le référentiel des contrôles de sécurité. Cela fait partie intégrante de la stratégie globale de l’entreprise dans la mesure où la stratégie de l'entreprise existe. Par exemple, en Angleterre, la politique de sécurité de l’information des entreprises s’appuie sur des normes de sécurité, pour le cas de l’implémentation en 2010. ’ISO/CEI 27001 est une norme internationale de Système de Management de la sécurité de l’Information ; en pourcentage d’implémentation, les grandes entreprises 26% complètement, 42% partialement et 13% Plan au cours des 12 prochains mois ; les petites entreprises 20% complètement, 31% partiellement et 13% dans le plan au cours des 12 prochains mois. En France CLUSIF spécifique : différentes normes pour les années 2010 et 2008 dans le suivi de l’illustration:

Figure 7. Appui de la PSI entreprise sur une « norme » de sécurité

Elle est également décrite selon un certain nombre de procédures à caractère opérationnel et technique et explicitant d’une manière concise les étapes à suivre pour atteindre un objectif de sécurité donné. Efficace et appropriée, elle nécessite l’étude préalable du risque afin d’optimiser les investissements en matière de solutions et de mesures de sécurité. Le rapport de CSI aux Etat Unis, selon un pourcentage du budget de sécurité consacré à l'utilisateur final : formation à la sûreté de sensibilisation et de l'investissement, a considéré 54,9% comme trop peu, 44,4% adéquate et 0,4% comme trop.

22


L’Angleterre entre 2% et 5% du budget des entreprises, le pourcentage du budget informatique a été consacré à la sécurité de l'information pour l’année 2010. Plus que 25%

Entre 11% et 25%

Entre 6% et 10%

Entre 2% et 5%

1% ou moins

Aucun

8% Petit Organisations

2% 3% Grands Organisations-2010 2%

13% 13%

26% 22% 29%

24%

17%

41%

Figure 8. Budget informatique pour la sécurité de l'information

En France, pour l’année 2010, le pourcentage représente le budget sécurité par rapport au budget informatique total, qui

est aussi de 26% la dépense est de plus de 3% à 6% du budget

d’informatique à la sécurité.

Figure 9. Part du budget informatique consacrée à la SSI

C’est dans ce cadre que la composition d'une ERI apparaît comme étant une solution complémentaire et adoptée de plus en plus par les entreprises. Elle comprend trois bases : la prévention, la détection et la réponse doivent évoluer au fur et à mesure de la croissance de l’entreprise (son implantation géographique) ou de ses choix stratégiques (son développement à l’international) ou technologiques (extension de son réseau local, interconnexion de sites distants par VPN).

1.2.2

L’analyse du risque

Dans la gestion et l’organisation de la sécurité de l’information, l’analyse du risque indiqué dans notre recherche a des éléments communs avec la norme BS ISO / IEC 27001:2005(Technologies 23


de l'information - Techniques de sécurité - Systèmes de gestion de sécurité de l'information – Exigences) lors de l’étape 2 : 

Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité Identifier les personnes responsables,

Identifier les vulnérabilités, Identifier les menaces,

Identifier les impacts,

Evaluer la vraisemblance, Estimer les niveaux de risque; mais comme notre guide est là pour anticiper des attaques plus ses conséquences possibles, c’est-à-dire pas seulement comme ISO / IEC 27001:2005 , qui pour ce contrôle, supprime, partage ou accepte des risques sans anticiper comment les attaques pourraient profiter de ces risques à travers la méthode MARRAN.

Ceci est très important car selon le rapport du CLUSIF 2010 seulement 38% des entreprises réalisent des analyses de risques avec une méthode formelle, 20% le font sur une partie du Système d’Information et 3% sur des activités qui ne dépendent pas uniquement du Système d’Information. L’illustration suivante montre les méthodes que les entreprises en France utilisent pour l’analyse du risque :

Figure 10. Méthode d'analyse des risques utilisée

Le guide proposé comprend la mise en place d’un ensemble de mesures de protection avec ses éléments : le contrôles et le chiffrement des informations, le temps de destruction, le temps de diminution de niveau, l’identification de la source d'information et l'identification du récepteur d’information.

1.2.3

Le responsable Sécurité des Systèmes d’Information

Le responsable Sécurité des Systèmes d’Information (RSSI) n’a pas une fonction clairement identifié et définie au sein de la structure organisationnelle. Dans le rapport CLUSIF 2010, 51% des entreprises interrogées répondent à cette observation. 24


Figure 11. Attribution de la fonction RSSI

Figure 12. Prise en charge de la fonction RSSI, lorsqu’il n’existe pas de RSSI

Cette fonction est de plus en plus clairement identifiée et attribuée au sein des entreprises, ce qui marque un net progrès par rapport aux années précédentes comme l’indique CLUSIF dans son rapport 2010 : l’évolution du nombre de Responsables de la SSI (RSSI) (49%, + 12% vs 2008) ; avec toutefois une baisse quant à son rattachement à la Direction Générale (34%, - 11% vs 2008), certainement liée au fait que les RSSI « récents » proviennent souvent de la Direction des Systèmes d’Information (DSI). L’utilisation des « normes » est également en hausse. Celui-ci a répondu pour 29% (21% en 2008) des entreprises interrogées, mais plus de 40% dans les plus de 1 000 salariés. Toutes tailles et secteurs confondus, les personnes sondées sont à 72% des DSI (Directeur des Systèmes d’Information), des Directeurs ou Responsables informatiques ou des RSSI (Club de la Sécurité de l'Information Français CLUSIF, 2010) Aux Etats-Unis, selon le rapport CSI 2009 sur l'enquête, classe les répondants également par titre d'emploi : 31,5 % sont des hauts-chef de la direction des cadres (8,8 %) directeur de l'information (6,6 %), chef de la sécurité (3,2 %) et chef de la sécurité de l'information (12,9 %). Ces chiffres sont conformes à ceux de ces dernières années. Un répondant seul lui-même identifié comme chef de la protection, qui est également conforme au fil du temps. Il est clair qu’au moins 39% des répondants (OSC, RSSI, et les agents de sécurité combinés) ont le temps plein de responsabilités de sécurité. En outre, comme indiqué précédemment, la piscine enquête est tirée de la communauté CSI, et ils sont donc censés être plus avisés de sécurité » que serait un bassin 25


d'enquête choisi au hasard de professionnels des technologies de l'information (Computer Security Institute CSI, 2009). CLUSIF 2010 dans la question le cadre de ses missions, quel pourcentage de son temps le RSSI consacre-t-il ? Quelques aspects du travail des RSSI :

Figure 13. Répartition des missions du RSSI

L’importance d’avoir un responsable des systèmes d’information est de plus en nécessaire avec l’utilisation croissante des technologies de l’information ainsi que les risques associés à cette utilisation.

1.3

Intérêt et pertinence de la recherche

Dans cette section, nous expliquons comment la recherche, dans le champ des systèmes d’information, prend plus d'importance puisque, chaque fois, les nouvelles technologies de l’information et la communication NTIC, jouent un rôle plus important dans le travail des entreprises quelles que soient leur taille ou leur secteur, les entreprises doivent utiliser ces technologies pour améliorer leurs processus productifs, la diminution de coût, la relation avec des clients et fournisseurs, tout cela pour défendre ou augmenter leurs position dans le marche. Mais les criminels sont chaque fois plus inventifs ou innovateurs pour menacer et attaquer des entreprises ; des erreurs humaines peuvent, également, causer des pertes financières, des dégradations d’image. Des résultats opérationnels ne sont atteints que difficilement car ils ne sont pas quantifiables ou calculables. Prenant en compte que les NTIC et, principalement internet, sont les systèmes de communication que les entreprises ne peuvent jamais mettre à l’écart, si elles veulent être dans le marché compétitif, mais, entrer dans leurs utilisations, entraîne des risques, c’est pourquoi les entreprises doivent avoir des outils pour sécuriser et protéger leurs secrets industriels, l’information de leurs clients, les transactions bancaires ou simplement leurs pages web .

26


L’intérêt de cette recherche est de proposer un guide de travail pour les Equipes de Réponse aux Incidents de sécurité ERI, afin d’anticiper les attaques et de gérer les risques, c’est-à-dire que la recherche travaille sur le domaine de la sécurité de l’information. Alors, réduire l’incertitude à travers un guide qui permet aux ERI de sécuriser des informations des attaques de l’extérieur ou de l’intérieur, qu’ils sont causés par des erreurs humaines. Généralement, ce modèle donne un outil qui analyse tout le processus de sécurisation des informations d’une façon pratique. Cette recherche se tient sur la Méthode d’Analyse et de Réduction du Risque des Agressions Numériques MARRAN (Sadok, Veille anticipative stratégique pour réduire le risque des agressions numériques, 2004), celle-ci qui, grâce à la construction collective de connaissances, qui se base sur Internet pour réduire le risque numérique. Cette méthode constitue une transposition et une adaptation de la méthode L.E.SCAnning® dans un domaine nouveau, à savoir la sécurité informationnelle à l’égard des agressions numériques. Avec tous ces éléments, le guide propose un design de processus et d’activités pour implémenter dans les organisations et sécuriser des informations qui doivent gérer.

1.3.1

Rôles et activités des ERI

Les ERI font le travail d’anticipation et de réduction du risque numérique, principalement comme une activité d’interprétation collective pour anticiper, avec, pour but, d’élaborer des réponses techniques et managériales appropriées d’informations, des signaux faibles et /ou signes, qui ont été obtenus dans un contexte d’incertitude, en tenant compte d’une variable très importante comme est le temps (Sadok, Veille anticipative stratégique pour réduire le risque des agressions numériques, 2004, p. 46). Mettre en œuvre des ERI est de plus en plus important, dans la mesure où l’évolution de la cybercriminalité ne semble pas s’arrêter. Malheureusement, chaque fois, l’innovation de ces actes est plus complexe et dangereuse. Egalement, parce que, dans quelques cas, les entreprises ne savent qu’elles sont attaquées ou qu’elles courent des risques. En effet, les solutions contre la cybercriminalité ne sont pas seulement techniques mais aussi intégrées dans la gestion et la stratégie de sécurité de l’organisation.

27


La détection des signaux faibles ou précoces n’a pas de signification individuellement, si ce n’est, à travers un processus collectif. Pour les comprendre, il faut tenir compte de toute l’organisation qu’elle soit interne ou externe, et de toutes les autres équipes. Aussi, les ERI offrent trois types de services : les réactifs qui sont là pour diffuser l’information sur toutes les activités de sécurité, les proactifs qui anticipent toute activité contre le système d’information de l’organisation et les services de gestion qui sont gérés par un département mais intègrent toute l’organisation pour améliorer les pratiques de sécurité. Le travail des ERI consiste à analyser les signaux et/ou signes faibles qui sont collectés, pour anticiper les attaques et réduire les risques numériques de l’organisation ; cette activité est intégrée dans la stratégie de sécurité. Les activités plus importantes que les ERI, selon Sadok (2004), sont les suivantes : 1. La notification (mémorisation temporaire): chaque incident doit être identifié à temps et communiqué aux personnes ou aux départements concernés. 2. L’analyse qui détermine les causes et les conséquences de l’incident de sécurité ainsi que les éventuels liens avec les précédents incidents. 3. La réaction afin de stopper ou limiter l’impact de l’incident en tenant compte des spécificités et des contraintes de l’activité de l’entreprise. Cette réaction doit être rapide, efficace et réalisée collectivement. 4. La documentation et la traçabilité (la mémorisation): chaque incident de sécurité doit être documenté selon un format spécifique et publié sur des sites Web de façon à être accessible à tout moment. 5. L’investigation qui vise la détection précoce de problèmes de sécurité ou la détection précoce des intrusions ou des tentatives d’intrusions. Pour la réponse à une attaque ou une agression, les ERI ont sept étapes : 1. Préparation

2. Identification

3. Notification

4. Analyses de l’agression

5. Réparation

6. Recouvrement

7. Apprentissage Les ERI n’ont pas une structure unique, elles s’adaptent selon les problèmes de sécurité, la situation géographique, la structure organisationnelle. Comme une structure basique, les ERI peuvent être composées de la façon suivante : 28


 Le manager de l’équipe, qui peut être le coordinateur ou le chef technique, coordonne, supervise et oriente les activités de l’équipe.  Le staff technique fournit un support à la manipulation d’un incident grâce à son expertise dans le domaine de la sécurité (le staff peut être interne ou externe).  Les assistants au bureau ou le staff en garde sont les premiers à reporter des informations relatives à une agression.  Les experts en sécurité informatique, spécialistes en plate-forme ou en réseau, peuvent fournir des conseils ou des orientations lors du traitement de l’incident.  Les autres professionnels peuvent appartenir à plusieurs départements comme le département informatique, ressources humaines, relations publiques ou des responsables en management qui assistent l’ERI.  Le personnel administratif de support.

1.3.2

Intérêt managérial

Du point de vue managérial, cette recherche est très importante pour donner de nouveaux outils qui permettent aux entreprises l’identification des flux informationnels, l’analyse du risque, le monitoring, l’amplification des alertes et la réponse aux incidents, la mitigation et la mise à jour du système de protection. Cela permet aux entreprises et aux organisations à travers le guide proposé d’anticiper des attaques et de gérer des informations. Le guide proposé est une solution managériale depuis les sciences de gestion contre un problème qui a été considéré comme technique, de plus, il a intégré la gestion de l’information de sécurité, l’information des entreprises. Notre contribution principale est de fournir un outil de gestion pour les entreprises à modifier leur position réactive, proactive et anticipative contre les risques numériques, avec l'intégration de la méthodologie MARRAN et la gestion intégrale des informations et des risques.

1.3.3

Intérêt académique

Comme apport académique, cette recherche intègre différents concepts en un domaine nouveau qui, auparavant, avait été seulement la technique des informaticiens pour la sécurité des 29


informations et, maintenant, est un sujet de gestion habituelle car nous verrons ci-dessous que les solutions techniques ne sont pas suffisantes pour sécuriser les informations et, aussi, que beaucoup d’autres problèmes de sécurité sont dus à des erreurs humaines qui, sans doute, sont du champ de la gestion. Il y a l’existence de différentes connaissances actionnables pour analyser le risque numérique et la gestion des informations, mais peu pour anticiper, ce guide a proposé l’ articulation de la méthode MARRAN qui travaille le lien avec la veille stratégique pour anticiper à travers la détection de signal et/ou signaux faibles Elle se base sur certains aspects de la méthode LESCAnning® orientée davantage vers l’anticipation et qui a été conçue, réalisée et validée en prenant en compte la nature des informations anticipatives et en utilisant l’intelligence collective pour l’interprétation de ces informations. Cette recherche utilise des rapports spécialisés sur la sécurité informatique d’études en trois pays en France le Club de la Sécurité de l'Information Français CLUSIF, rapport 2010, aux Etats- Unis le Computer Security Institute CSI, rapport 2009 et en Angleterre le Department for Business, Enterprise & Regulatory Reform (BERR), rapport 2008 et Europe & PricewaterhouseCoopers, rapport 2010. Egalement cette recherche prend en compte la variable du temps, donc le temps limite des réponses aux attaques, si cette donnée n’est pas bien gérée elle peut incrémenter des pertes, dommages et performances des systèmes d’information.

30


Conclusion

Dans ce chapitre, nous avons montré à travers des chiffres de rapports d’organisations spécialisées sur la sécurité informatique, comment le risque numérique affecte des organisations et a généré des pertes financières, également comme chaque fois les entreprises ont plus de dépendance des IT pour avoir une participation dans le marché. D’une les organisations ont besoin d’outils pour anticiper et gérer des informations de sécurité et d’autre part de mettre en place d’adopter des mesures de protection pour leurs systèmes d’information. Nous avons expliqué l’intérêt et la pertinence de la recherche pour des entreprises et l’académie, et, comme notre question de recherche a commencé par répondre à la conception de la création d’un guide de travail pour les Equipes de Réponse aux Incidents de sécurité qui s’appuie sur la méthode MARRAN et la veille stratégique.

31


Chapitre 2 : L’analyse du risque

Introduction Ce chapitre présente la première activité du guide de travail à savoir l’analyse du risque. Celle-ci est d’une importance considérable dans le travail d’une ERI et nécessite une classification et une organisation des informations au sein de l’entreprise en fonction de leur importance opérationnelle et stratégique. L’analyse du risque suppose également l’identification des principales menaces et vulnérabilités, les probabilités d’occurrence des attaques numériques et les coûts des mesures de sécurité.

2.1

Identification des flux informationnels

Les organisations doivent classifier des informations et identifier les flux d’informations avant que celles-ci soient sécurisées dans tous les départements et les dépendances du système informatique. Il convient de noter que les flux informationnels que gère l’entreprise sont différents des flux que gère le système informatique. Ce dernier doit représenter un support pour que l'information puisse circuler librement dans l'organisation selon les nécessités. Le système informatique ne peut pas devenir une contrainte dans le processus de l’entreprise. C’est pourquoi quand les organisations qui tiennent organisés leurs informations ont plus facile à gérer l’information dans le système informatique et donc à les sécuriser. La classification ci-dessous présente les pré-requis afin de pouvoir sécuriser l’information. Comme l’explique Lesca & Lesca (1995), les organisations doivent identifier trois types d’informations :  Information de fonctionnement : Indispensable au fonctionnement, c’est l’information liée à l’activité opérationnelle de l’entreprise et elle est liée à des tâches répétitives.  Information d’influence : sa finalité est d’influer sur le comportement des acteurs internes et externes.

32


 Information d’anticipation : qui permet de voir venir à l’avance certains changements de son environnement, dans le but d’en tirer un avantage ou bien d’éviter un risque. Egalement, identifier des flux d’information de l’entreprise :

Informations de l’intérieur vers l’intérieur

Informations de l’extérieur vers l’intérieur

Informations de l’intérieur vers l’extérieur

Figure 14. Trois flux d’information de l’entreprise

Pour finir la classification des informations organisationnelles se trouvent dans le tableau cidessous :

Tableau 4. Orientation de l'information

Les neuf cases de ce tableau nous permettent de situer l’information dont nous parlons à un moment donné. Cette grille est un peu la carte qui va nous permettre de nous orienter dans le monde de l’information de l’entreprise (Lesca & Lesca, Gestion de l'information, 1995). Quand l’entreprise a ses informations organisées, on peut l’entrer dans la classification selon le système de sécurité que le guide a proposé, on identifie plus facilement le flux d’informations sur sa chaîne de valeur.

2.1.1

Classification de l’information

Après l’identification des flux de l’information, nous procédons à la classification des informations pour les sécuriser en fonction de leur importance, priorité et urgence. 33


Importance : soutenir la prise de décision stratégique et les opérations au sein de l’entreprise, par exemple, codes d'accès pour les voûtes d'une banque (système de clé de rotation); ou des transactions bancaires internationales, autre caractéristique c’est qu’ils n’ ont pas de traitement constant. Les tâches mise en place sont d’identifier des informations en relation avec l'activité opérationnelle et stratégique de l'entreprise, d’importance vitale pour l’entreprise, selon la classification des types et flux d’informations, dont un catalogue d’informations permet la classification. Priorité : certaines informations sont prioritaires pour l’activité opérationnelle de l’entreprise, ce ne sont pas les plus importantes mais les problèmes pourraient affecter les activités normales des processus tels que la paie ou le retard d'une ordonnance. Les tâches d’implémentation doivent identifier la fréquence de traitement/utilisation des informations, par exemple, chaque journée, dans une entreprise de déménagement, doit donner une équipe de déménagement, la fiche du travail, les lieux, les adresses ; chaque année, le comptable fait le bilan général de l’entreprise. Urgence : certains changements de

l’environnement, interne ou externe, de l’entreprise

impliquent des modifications de l’importance ou de la priorité des informations. Par exemple, un déversement de pétrole dans le sud de la Floride aux Etats- Unis, une chute brutale de la bourse ou des questions de la haute direction pour une décision. La mise en place des mesures de sécurité a besoin d’un système d’identification claire des utilisateurs et un endroit de stockage de l’information, pour rendre l'information disponible, pour répondre d'une façon efficace à des problèmes de gestion imprévisibles.

2.1.2

Identification des conditions d’exploitation, de traitement et de production des informations dans la chaîne de valeur de l’entreprise

Les flux d’informations sont inclus dans une chaîne de valeur, qui s’étend depuis les fournisseurs jusqu’aux consommateurs finaux. Lorsque l’entreprise a identifié les flux d’informations, elle doit protéger la transmission et la réception des informations. Par exemple, les courriers et les 34


paiements électroniques, les téléchargements de fichiers ou les clés USB, disques dur et ordinateurs portables doivent être protégés. Pour procéder à l’identification de ces flux, on doit suivre quatre étapes : D’abord, on fait l’Identification des points d’entrée et de sortie : les entrées et sorties d’information dans le système à travers la saisie, le téléchargement, l’e-mail, le disque dur, les clés USB, les accès de l'extérieur. Pour l’exécution de tout type de réseaux physiques et virtuels, il faut avoir identifié au préalable d’où entre et sort l'information, le nombre de serveurs, les directions IP, l’utilisateur, l’ordinateur, les comptes de courriel électronique, l’habilitation des ports USB, etc. Les applications en exécution :

quels

sont

les

différents

logiciels

et

applications

informatiques utilisés pour le traitement de l’information ? Ex. Word de programmation, platesformes virtuelles (Blackboard) ou spécialisées. Installer dans les ordinateurs des réseaux de logiciels accrédités pour le traitement des informations. Canaux de communication des informations : Comment l’organisation gère ses informations en interne et externe ? A travers par exemple l'utilisation des réseaux Internet, VPN ou Intranet. De cette façon les banques permettent de faire des transactions bancaires par les téléphones mobiles. Pour mettre en place les réseaux, la haute direction doit déterminer quels sont les canaux de communication pour chaque transfert ou réception d'information à l’intérieur comme à l’extérieur de l'organisation, selon la classe d’information ou le niveau de barrière comme nous l’expliquerons dans la suite de notre guide. Différentes procédures de gestion du système informatique : Procédures formelles utilisées pour spécifier et coordonner le travail au sein de l'organisation grâce à la standardisation dans la chaîne de valeur, des informations à donner et à recevoir de la part des différents partenaires, qui ont été identifiés dans le flux et le type d’informations ; c’est-à-dire ils sont des processus du système informatique pour l’accomplissement des procédures dans la chaîne de valeur, par exemple l’assignation de mot de passe pour l’entrée d’un fournisseur dans le réseau, la réparation ou l’actualisation des logiciels dans les ordinateurs.

35


2.1.3

Détermination des niveaux de barrière d’information liés à l’échange, à l’accès et ou au stockage

Dans le guide proposé, nous réalisons la distinction de niveaux d'importance de l’information que nous appelons de « Barrière », car celui-ci permet d’identifier quelles informations sont des limites pour l’accès, la manipulation de l’information (Policía Nacional de Colombia , 2008), également sa classification ; le mauvais usage de l'information peut causer la perte de vies humaines, des dommages à l'image organisationnel ou mettre en danger la survivance de l'entreprise. Ils ont six niveaux de barrière de l’information: Ultrasecret: Celui-ci peut occasionner des pertes de vies humaine, des catastrophes naturelles, la disparition de l'organisation. Il n'est pas possible que toutes les organisations aient des informations de ce type ; informations qui sont déjà transformées ou finies. Par exemple, des recherches sur l’énergie nucléaire, une nouvelle molécule chimique, la recette de coca-cola. Secret: Informations qui sont déjà transformées ou dans un processus de production, mais, quand elles finissent, étant en relation avec l’innovation ou le changement dans le marché. Par exemple l'innovation dans les processeurs des ordinateurs. Réservé : Informations en processus qui se traitent dans le niveau secret, mais elles se donnent en fraction jamais de façon complète, ceux-ci sont en train de rechercher pour devenir ultrasecrets ou secrets déjà transformés. Restreint : Informations qui ne sont pas connues de tous les employés, comme l’histoire du travail des employés, processus de contrôle interne en cours, une investigation disciplinaire. Confidentiel : Label pour des informations d'intérêts destinés seulement aux employés des entreprises, par exemple données à caractère personnel de certains fournisseurs ou de clients-clés de l'organisation, ou que la juridiction ne devrait pas connaître. Public : L'information que tout le monde peut consulter dans la page web, bilan financier, structure organisationnelle, etc. Cette classification se fait pour établir selon chaque niveau de barrière, les canaux de communication, l’endroit du stockage et la gestion des informations selon leur cycle de vie, c’està-dire, chaque information est comme un être vivant qui naît, grandit, se reproduit et meurt ; toute information doit avoir un cycle de vie clair. Donc, l’information augmente ou diminue le niveau

36


de la barrière en fonction des exigences de l'environnement interne ou externe, alors ces niveaux sont dynamiques et non statiques. De plus, il est nécessaire d’identifier les différentes personnes intervenant dans les flux informationnels liés à l’échange, à l’accès et au stockage qui ont inclus des personnes qui manipulent l’information où ils ont quelques responsabilités pour la confidentialité, l’intégrité, la disponibilité. Les intervenants sont de deux sortes : Responsabilités des utilisateurs : Chaque employé doit avoir dans ses fonctions des informations qu’il peut trahir car il a accès à la confidentialité et sa responsabilité pour quelque problème est engagée, une responsabilité claire pour protéger, emporter, faire le stockage, modifier, actualiser ou faire les tâches que lui assigne la hiérarchie. Les attributions des utilisateurs : Pour les employés qui doivent avoir des limites dans les responsabilités de traitement des informations comme le temps, l’endroit l'accès, les réseaux, les ordinateurs et les logiciels, selon sa classification. Des limites pour l’utilisation, les transferts, la modification. Le temps d’utilisation où

les responsabilités

sont restreintes ainsi que

l’information, par exemple, un employé a la responsabilité ou l’autorisation pour modifier l’information, mais ses attributions sont pour changer

dans les ordinateurs de l’entreprise,

seulement en heures de matinée, sans pouvoir transférer vers

une adresse physiquement ou

virtuellement.

2.2

Identification des vulnérabilités et menaces

Dans cette étape, l’ERI identifie les menaces et les vulnérabilités liés aux flux informationnels, par exemple, une menace de raison intentionnelle de type interne, externe ou interne-externe de vol d’information. Mais, d’abord, nous avons besoin de connaitre l’architecture des réseaux avec tous ses composants comme nombre d’utilisateurs, la technologie qui s’utilise pour le chiffre, la transmission de données, les logiciels, le hardware, etc. celui-ci est comme la carte de navigation pour un militaire. Avant d’identifier les vulnérabilités, on doit connaitre les menaces, se placer sur les prémisses des activités industrielles de l’entreprise, c’est-à-dire une banque est plus menacée dans ses

37


transferts par internet qu’une entreprise de pêcheurs, mais les pécheurs sont plus vulnérables dans le même cas. L’entreprise et les spécialistes informatiques doivent identifier selon les caractéristiques de la technologie mise en place, les menaces et les vulnérabilités, pour assurer la continuité et l’efficacité du travail au sein de l’entreprise.

2.2.1

Identification des vulnérabilités liées à l’organisation, à l’opération et à L’échange des flux informationnels

La vulnérabilité est de considérer la capacité ou la propension aux dégâts ou aux dommages que le système informatique subirait, surtout dans certaines zones . Notre classification de niveau de vulnérabilité est : insignifiant « Il n'y a pas de conditions », faible « Il y a des conditions qui rendent de très loin la possibilité », moyenne « Il existe des conditions qui rendent peu probable une attaque dans le court terme, mais pas suffisamment pour empêcher à long terme », forte « L'achèvement de l'attaque est imminente. Il y a des conditions internes et externes qui favorisent le développement de l'attaque » (Gestión de Riesgo en la Seguridad Informática). Pour identifier des vulnérabilités, le guide distingue des trois composants pour analyser les ressources informatiques et les réseaux, les processus de gestion et les utilisateurs. Les ressources informatiques et réseaux : ceux-ci sont liés à l’architecture des réseaux et à tout le système physique de hardware, ordinateurs, modems, logiciels et à l’échange d’informations à travers ’Internet ou les réseaux internes ou naturels (inondation). Le travail d’identification des vulnérabilités se fait avec des spécialistes en informatique, selon les procédures de gestion qui sont déterminantes pour l’utilisation du système informatique. Notre propos est d’analyser l’ensemble des ressources informatiques et les réseaux avec les procédures de gestion, parce que ce sont ces derniers qui déterminent comment se communique l’information dans le système informatique, et, comment sont

identifiés les endroits plus

vulnérables à travers le flux d’informations. Par exemple, une entreprise de bourse qui doit télécharger sur Internet (les ressources informatiques et réseau) chaque journée, différents rapports internationaux (processus de gestion), un virus peut être téléchargé (la menace), mais certains virus n'affectent pas le système. 38


Les utilisateurs : Pour ces derniers, on doit analyser les vulnérabilités en deux aspects : les compétences pour la manipulation du système, la motivation et la loyauté. Les vulnérabilités des utilisateurs, dans notre exemple : l’utilisateur peut télécharger le virus pour le libre-arbitre (sabotage), le manque de connaissances de leurs travaux (incompétence) ; ou le paiement pour faire du dommage (faute de loyauté.)

2.2.2

Identification des menaces qui peuvent affecter les ressources critiques

Les menaces sont internes (ex. employés) et externes (ex. criminels, l'espionnage industriel), intentionnelles (le vol de données, différences personnelles, l'ignorance délibérée des règles) ou accidentelles (la connaissance insuffisante du système, le stress, le manque réel de connaissances des règles). Des conséquences maléfiques pour l’opération du système, les réseaux de données et hardware (Magklaras & Furnell, 2002). Une matrice qu’on peut utiliser pour identifier le type et la raison des menaces dont nous avons parlé : Type d'événement internes Raisons

Externes

Intentionnelles Accidentelles

Tableau 5. Matrice d’identification type et raison

D’abord identifier les menaces du système d’informatique intégralement selon les critères cidessus, ainsi que proposé, afin de reconnaitre des menaces de type (BASC, 2007): Contre les ressources physiques et la sécurité industrielle : Il existe des endroits physiques où résident l'infrastructure comme des voûtes ou bureaux, aussi des éléments de stockage comme des disques durs portables, c’est-à-dire quelques éléments physiques en relation avec le système informatique, y compris les bâtiments, également un fort composant d’ergonomie « compréhension des interactions entre les humains et d'autres éléments d'un système, trouver que les êtres humains et le travail technique sont en parfaite harmonie ».  Menace de choc électrique : les niveaux élevés de tension.  Menace d'incendie : Les matières inflammables.  Niveaux insuffisants de l'électricité.  Dangers des rayonnements : Vagues de bruit, de laser et les ultrasons.  Risques mécaniques : Instabilité les pièces électriques. 39


 Tremblements de terre, tsunamis, inondations  L'hygiène, l'assainissement, et l'ergonomie Ce sont quelques risques physiques plus communs, mais, selon l’endroit géoFigure, il existe d’autres différences. Contre l’information : Les menaces de modification, le vol, l'altération, la transformation abusive, la publication, accès non autorisé au système, la transformation, etc. sont des freins à l’utilisation positive de l’outil informatique. Spéciales :

D'autres risques qui affectent la sécurité informatique, qu’on appelle spéciales, car

ils augmentent les points de vulnérabilité des systèmes, et, comme caractéristique, ils n’ont pas de relation directe avec l’entreprise ou l’entreprise dépend d’autres facteurs. Politique, juridique, la concentration du traitement des demandes est de plus en plus complexe : la dépendance des personnes clés, la disparition et l'entrée de nouveaux contrôles, les grèves, le terrorisme et l'instabilité sociale, le stockage ou d’autres activités de sécurité en outsourcing. Donc l’entreprise assume les risques que connaît la personne qui fournit le service. Après la révision intégrale, l’organisation fait le Catalogue des ressources critiques, L’organisation a des informations très importantes et des ressources qui donnent un support aux activités principales ou aux clés pour la productivité, l’expansion dans le marché et la crédibilité ; si il y a des défauts de fonctionnement, cela peut paralyser l'activité de l'organisation. La page web d’une entreprise de jeux sur Internet, une inondation ou un choc électrique, devraient inclure toutes les ressources système, car les critiques sont importantes. Nous ferons la liste de toutes les ressources critiques de l'organisation ; il faut

identifier

l’emplacement, également le type d'information qui passe par cet endroit, ses fournisseurs et ses clients, ses utilisateurs, ses responsables. Les menaces de fait : elles sont les menaces de l’organisation évoquée ci-dessus qui a un certain niveau de persévérance de façon directe ou indirecte. Dans un moment du temps, ils sont menaces, donc il doit être pris en compte pour la protection. Par exemple : la tentative des pirates pour tenter de violer les systèmes de sécurité du Pentagone. Cela classifie le niveau de menace en : insignifiant, faible, moyen, fort.

40


2.2.3

Estimation de la probabilité de l’occurrence des menaces

Pour notre recherche de classification du niveau des menaces identifiées, qu’on peut appeler aussi niveaux de probabilité, ils sont : insignifiants, faibles, moyens, forts. Voici cette classification : Des données historiques collectées par l’entreprise :

Pour ses propres enquêtes externes de

chaque incident de sécurité, ce sont des informations qu’a obtenu l'organisation par rapport à ses activités à travers son histoire. Il donne un niveau de probabilité. Les appréciations de certains experts dans le domaine de la sécurité informatique : comme l’organisation par elle-même ne peut pas interpréter toutes les données collectées, elle fait appel à un cabinet de conseil ou à d’autres experts pour pouvoir établir son niveau de probabilité. Il donne un niveau de probabilité. Situation contextuelle : c’est l’analyse par rapport à des nouvelles d’environnement. Par exemple : le mouvement d'un virus informatique dans le monde entier. Il donne un niveau de probabilité. Aussi, on prend en compte les menaces de fait, mais cette menace a déjà un niveau de probabilité, si elle n’est pas une menace de fait, elle est évaluée comme insignifiante. A chaque niveau de probabilité on assignée une valeur numérique : Insignifiant = 1, faible = 2, moyenne = 3, forte = 4 Le tableau suivant montre comment faire l’analyse, il doit exister une tableau par chaque type de menace :

Description menace

Données historiques

Appréciations des experts

Menaces de fait

Situation contextuelle

Résultat

Tableau 6. Analyses de probabilité

Le résultat est la somme de toutes les variables, pour établir un niveau de probabilité, Il est classé comme suit: Occurrence faible (1 – 6), Occurrence moyenne (7 – 11), Occurrence haute (12 – 16).

41


2.2.4

Estimation de la perte potentielle relative à chaque ressource en cas de réalisation de la menace

Quand nous connaissons les ressources critiques menaces, avec le type de menace, nous établissons des coûts financiers, de production, d'image et de crédibilité. Nous évaluons le conflit du travail, la législation, la motivation et le comportement des travailleurs. Avec le responsable (département, bureau, area) de la ressource menace, s’établit le type de pertes en image ou d’opérations par exemple, nous estimons combien chaque perte potentielle s’évalue en termes financiers. Il faut établir dans chaque entreprise des critères et des procédures, ce qui est une activité complexe : la modification du site web est plus dommageable pour « Amazon » que pour une entreprise de vente de chaussures dans les magasins. Cette activité se fait pour comprendre les pertes en image, production et autres, avec ses relations en termes financiers. Dans un cas précis, l’assurance, savoir le coût de protection économique.

2.2.5

Estimation du coût des actions d’audit et de surveillance des systèmes afin de réduire le risque

Toutes les activités pour réduire le risque, génèrent des coûts financiers, en relation avec le temps, les analyses, l’opération, l’utilisation des employés, la surveillance…. L'audit et la surveillance sont prévus pour vérifier toute la santé du système d'information, mais il doit être moins cher que l'information qu’il aide à protéger. Les coûts d'audit et de surveillance doivent s’établir selon l'importance de l'information, le volume d'information, la technologie utilisée dans les processus. Les activités de protection doivent avoir un budget assigné, selon les nécessités et une planification. L’entreprise doit connaitre tous les coûts en relation avec les activités de sécurité, en termes financiers, parce qu’il n’est pas possible que les coûts des protections soient plus hauts que les coûts par attaques. Dans le schéma suivant, nous montrons des phases de notre proposition du guide :

42


1

2

3

Identification des flux informationnels

Analyse du risque

Initialisation du monitoring et vérification de l’efficacité

6

5

4

Mise à jour du système de protection

Mitigation

Amplification des alertes, réponse incidents et calcul de vraisemblance

Figure 15. Phases du guide proposé

Chaque phase a différentes tâches, alors, budget du département IT, le budget alloué à la sécurité. De la même façon, chaque entreprise, selon les informations de contrôle, doit investir dans des mesures de sécurité et des processus internes.

2.3

Définition des mesures de protection

Le contrôle des menaces et des vulnérabilités trouvées, la classification de l’information, son niveau de barrière, l’organisation a besoin de la protection de l’information. Dans notre proposition de guide, nous identifions trois types de menaces contre les ressources physiques ou l’infrastructure, contre l’information et les spéciales, qui peuvent être accidentelles ou intentionnelles, internes ou externes. Les trois premières mesures de protection sont pour l’information, car ce sont des contrôles quotidiens et l’incidence est constante. La quatrième est sur les mesures pour des ressources physiques, d’infrastructure et de sécurité industrielle, la cinquième pour des spéciales. Il est précisé que les mesures de protection, les solutions de compromis ou de techniques qui peuvent perturber la performance du système informatique, devraient être réglées avec les spécialistes dans le domaine, tels que les réseaux, ordinateurs, logiciels, etc.

43


2.3.1

Contrôles d’information et chiffrement d'information

Pour contrôler la sécurité informationnelle en termes de disponibilité, de confidentialité, d’intégrité, de non-répudiation de l’information (Ghernaouti-Hélie, Internet et sécurité, 2002) selon leurs menaces et les risques comme l'importance ou la classification, pour prévenir et réduire des risques à l’occasion d'une attaque, après la classification, la barrière, l’analyse de menaces, l’identification des vulnérabilités, nous allons mettre en place plusieurs solutions de sécurité techniques et de gestion, ci-dessous, nous montrerons quelques mesure de Sécurité dans la troisième génération des réseaux locaux (Xenakis & Merakos, 2004), qui prennent en compte le Système universel de télécommunication mobile (Universal Mobile Telecommunication System, UMTS). L'architecture de sécurité et les exigences des réseaux nécessitent l'examen de plusieurs aspects et leurs enjeux, tels que l'accès sans fil, la mobilité de l'utilisateur final ou le type d'informations à protéger. La transmission radio est par nature plus sensible à l'écoute et la fraude que la transmission par fil. Nous prenons les mesures suivantes pour éviter l’insécurité :  La sécurité d'accès au réseau. La confidentialité de l'identité de l'utilisateur : elle permet l'identification d'un utilisateur sur le lien d'accès radio au moyen d'une Identité Temporaire d'Abonné Mobile (Temporaire Mobile Subscriber Identity, TMSI). Cela implique que la confidentialité de l'identité de l'utilisateur est protégée contre les oreilles indiscrètes presque toujours passives. Accord d'authentification et de clés : La méthode d'authentification est composée d'un défi de protocole d'intervention, d'authentification et un mécanisme d'accord de clé réalisent une authentification mutuelle entre l'utilisateur mobile et le serveur de réseau montrant la connaissance d'une clé secrète. La clé , ainsi découle de chiffrement et les clés de l'intégrité. La confidentialité des données : Une fois que l'utilisateur et le réseau ont authentifié les uns et les autres, ils peuvent commencer à sécuriser les communications. Comme décrit ci-dessus, une clé de chiffrement est partagée entre le cœur du réseau et le terminal après un événement d’authentification réussie. Comme aussi les chiffrements de l’information dans les logiciels spéciaux. Protection de l'intégrité des messages de signalisation : la protection de l'intégrité de soutien sur les canaux de signalisation. Cela permet à l'entité qui reçoit d’être en mesure de vérifier que les 44


données de signalisation n'ont pas été modifiés d'une manière non autorisée depuis qu'il a été envoyé.  Domaine de sécurité de réseau. Protocole d’Internet (IP) : il y a plusieurs solutions sur ce sujet, pour celui-ci, avec des spécialistes en informatique, la façon plus adéquate à l’organisation, par exemple un canal direct entre les IP. Fonctions traditionnelles de sécurité réseau : Firewalls, anti-virus, réseau privé virtuel (VPN)  Utilisateurs et fonctions de l'application domaine de la sécurité Sécurité du domaine de l'utilisateur : garantit un accès sécurisé à la station mobile. Il est basé sur un dispositif physique appelé Carte à circuit intégré, qui peut être facilement inséré et retiré de l'équipement terminal, contenant les applications de sécurité telles que la carte qui représente et identifie un utilisateur et son association à un milieu familial. Il est responsable de l'exécution d'abonnés et d'authentification réseau, ainsi que la concordance des clés. Sécurité du domaine d'application : D'autre part, le domaine de la sécurité traite la demande avec messagerie sécurisée entre la station mobile et le réseau de service ou le prestataire de services sur le réseau avec le niveau de sécurité choisi par l'opérateur réseau ou le fournisseur d'applications. Visibilité de la sécurité et de configuration : les mesures de sécurité prévues par le prestataire de services sur le réseau devraient être transparents pour l'utilisateur final, la visibilité des opérations de sécurité ainsi que les dispositifs de sécurité pris en charge doivent être fournis. Il peut s'agir : indication du niveau de la sécurité, l'indication de cryptage du réseau d'accès, du vaste réseau de cryptage indication. L'ensemble du réseau de confidentialité des données utilisateur : L'échelle de la confidentialité du réseau est une option qui offre un mode de sauvegarde de la transmission de données d'utilisateurs à travers l'ensemble du réseau. Il protège les données contre l'écoute clandestine sur chaque lien dans le réseau, et pas seulement sur les liens radio vulnérables.

45


2.3.2

Temps de destruction et de diminution de niveau

L’information est comme un être vivant qui a un cycle de vie des informations, depuis la réception jusqu’aux limites de pérennité.

•pourquoi, comment, quand, où, dans l'ordre de qui, qui, pourquoi

•Quoi, Qui, comme, quand, où, pourquoi, raison

Mort

Naissance

Reproduction

Croissance •la transformation, la modification, l'extension, l'ampliation

•supports de transmission, les bénéficiaires, la modification

Figure 16. Cycle de vie de l'information

Chaque cycle a des caractéristiques qui doivent être présents, par exemple entre à l’entreprise une demande de prix pour quelque produit par un client habituel, hier (naissance), le département de marketing calcule le prix (croissance), il le retourne au client (reproduction), mais le client n’est pas intéressé (mort). Pendant la période de vie, la classification de barrière change aussi, le niveau monte ou descend, il change l’endroit de stockage et la base de donnée pour stockage, chaque changement de niveau et des protocoles d’accès, donc les organisations sont dynamiques et en changement constant. Ultrasecret

Secret

Réservé

Restreint

Confidentiel

Public

Figure 17. Classification de barrière

Quand une nouvelle information est déposée dans l'organisation, elle doit être analysée et projetée selon son cycle de vie, stockée selon son niveau de barrière etc. Comme les processus organisationnels sont dynamiques, il peut arriver de changer l'emplacement ou la classification 46


sans temps déterminé. Quand nous connaissons toutes ces données, il y a un contrôle des sites, des modifications, des transferts et des manipulations de l'information à travers le système.

Identification de l’émetteur et du récepteur d'information

2.3.3

C'est établir qui donne d'information et à qui l'organisation donne d'information,

car

l'information qui est reçue peut avoir un virus, un logiciel espion ou rechercher une escroquerie. Le récepteur, donc l'organisation peut donner une information qui peut être utilisée contre ellemême (Policía Nacional de Colombia , 2008). Dans le tableau suivant, nous proposons quelques caractéristiques de l'émetteur et du récepteur qui doivent être identifiées pour être considérées comme fiables: Emetteur

Récepteur Identification

Profil

 

  

Profil L'analyse de la crédibilité  Classification de l’information  Classification de l’information  Canal  Droits de réception  Type de source Le contrôle de la manipulation Vérification des responsabilités et attributions  Vérification des responsabilités et attributions d’utilisateur (qui reçoit l’information) d’utilisateur (qui reçoit notre information). Eléments de restriction de manipulation  Canal  Eléments de restriction de manipulation Concept  Sûr  Sûr  Insécurité  Insécurité Bulletin de nouvelles Procédure de contrôle et sécurité  Pas envoyer les informations Notification à l'employé de sécurité  Demander des instructions à l'employé de Stockage sécurité  Stockage Tableau 7. Contrôle d'identification de l’émetteur et du récepteur

Pour faire le contrôle des émetteurs et des récepteurs, notre proposition commence avec l’identification qui fait ce processus à travers un profil, ses composants sont : nom, poste de travail, emplacement dans le réseau et géographie, s’il est interne ou externe de l’entreprise. Dans le cas d’analyse de la crédibilité il y a en commun entre émetteur et récepteur la classification de l’information dont les composants sont : l’identification de la barrière (ultrasecret, secret, etc.), type d’information (important, prioritaire, urgence). Seulement Pour l’émetteur, seulement, la source est primaire ou secondaire (la source secondaire est moins fiable), le canal de transmission (e-mail, télécharge, clé USB, disque dur portable, etc.). Le 47


récepteur, dans l’analyse de crédibilité, vérifiera des droits d’utilisateur selon la classification de l’information, c’est-à-dire on ne peut pas effectuer un envoi d’information ultrasecrète à une personne sans autorisation. Le contrôle de la manipulation c’est l’activité d’un utilisateur du self-control de ses permis de manipulation de l’information. Cette activité a ses composants de vérification des responsabilités et des attributions d’utilisateur qui reçoit l’information vérifiée grâce à ses permis de manipulation de responsabilité et ses attributions. Eléments de restriction de manipulation Il existe des contrôles spéciaux comme la signature électronique ou autres, alors l’utilisateur doit analyser qui a envoyé l’information, de plus, s’il a des éléments de sécurité pour la manipuler. Dans le contrôle de manipulation, le récepteur a d’autres outils comme un canal qui a les mêmes caractéristiques décrites précédemment. L’émission du concept est un élément très important parce que l’utilisateur responsable de l’information, l’émetteur ou le récepteur, a son avis, et selon qu’il estime que l'information est Sûre ou insécurisée ; ici se termine le filtre qui définit si les informations entrant ou sortant sont nocives, et qui permet d’en tirer les conséquences. Cette analyse classifie l’émetteur et récepteur en fidélité, moyennement fidélité, suspect, dangereux. La politique de sécurité se doit d’établir quel type d’information peut être reçue, chaque classification, en plus le rapport et le bulletin de nouvelles. Par exemple, dans le cas où nous devons envoyer une information à un récepteur qui peut être suspect, les informations que nous envoyons ne génèrent pas de danger dans ses mains. Etant un élément constant, le Bulletin de nouvelles établit la présence et le suivi de problèmes par rapport à un émetteur donné. Le bulletin de l’émetteur a une Procédure de contrôle et de sécurité qui établit un processus clair permettant de réagir à une source d’insécurité, par exemple éteindre l’ordinateur. La Notification à l'employé de sécurité que l’utilisateur qui a des problèmes ou des nouvelles pendant le processus d’identification de l’émetteur ou du récepteur, doit alors donner connaissance immédiatement de l'apparition de la nouveauté. Un élément commun de l’émetteur et du récepteur est le Stockage des nouvelles, donc tous les émetteurs et récepteurs de l’information doivent être dans une base de données pour être consultés à n’importe quel moment. 48


2.3.4

Sécurité physique

Selon les menaces trouvées dans les analyses, avec des experts en sécurité du travail, nous mettons en place les contrôles adéquats, en tenant compte des règlements en vigueur dans chaque région. Cette mesure de sécurité ne peut pas être négligée, parce que si nous ne sommes pas prêts à une catastrophe naturelle, par exemple, les pertes peuvent avoir des dimensions impressionnantes. Face à une catastrophe dans des endroits physiques,

au niveau des

infrastructures ou des utilisateurs, quand l’entreprise est exposée à la suspension prolongée du traitement, le mauvais fonctionnement de la protection génère une situation de chaos, à tous les niveaux de l'organisation. 2.3.5

Mesures de sécurité spéciales

Les mesures de protection spéciales, comme nous l’avons signalé précédemment, sont caractéristiques car elles n’ont généralement pas de relation directe avec l’entreprise ou l’entreprise dépend d’autres facteurs. C’est-à-dire que l’entreprise a d’autres facteurs externes qui ne lui permettent pas l’absolu contrôle sur la politique de ses risques et de ses menaces. Alors, nous devons, avec un groupe interdisciplinaire, des avocats, des psychologues,

des

politologues, des sociologues, etc. par exemple : un cas extrême dans une entreprise de pétrole, d'où un nouveau gouvernement, qui exproprie certaines entreprises. Il est obligatoire de prendre toutes les informations, y compris les secrets commerciaux.

49


Conclusion

Dans le deuxième chapitre, nous avons montré l’importance d’organiser l’information et le flux informationnel de l’entreprise avant de le sécuriser. Cette organisation d’information doit avoir des contrôles d’accès, une manipulation, un stockage, des activités dans l’opération de l’entreprise. La chaîne de valeur distribue une information qui produit, reçoit et transmet. Notre guide inclut comment gérer ces flux d’informations. La liaison entre menaces, vulnérabilités, ressources critiques oblige à mettre en place plusieurs mesures de protection pour l’information physique, la sécurité industrielle et spéciale. Les analyses de la probabilité d’occurrence et la complexité des organisations rendent très difficiles l’estimation des coûts d’audit et des pertes potentielles dues à la réalisation d’une menace.

50


Chapitre 3 : Techniques de monitoring et vérification de l’efficacité des mesures de protection

Introduction

Ce chapitre décrit la deuxième activité nécessaire au travail d’une ERI à savoir la surveillance ou le monitoring du système de sécurité afin de vérifier l’efficacité des mesures de protection mises en place. Cette activité intègre plusieurs tâches de base comme l’identification des points de contrôle et la fixation des métriques de surveillance.

3.1

Identification des points de contrôle

Il existe des logiciels qui permettent de vérifier systématiquement les performances et la disponibilité des éléments critiques de l'équipement informatique installé dans le centre de données, grâce à l'identification et l'isolement des problèmes. Ceux-ci aident à mettre en œuvre des processus de gestion, d’anticipation et de gestion du risque numérique, dont le monitoring est un élément qui trouve le signal ou/et les signaux faibles pour le travail des ERI. L’identification et l’enregistrement des événements tels que l'indisponibilité du matériel ou des ressources et les violations des protocoles et le processus de gestion de fonctionnement défini. Les avantages consistent à faciliter la planification de la capacité de leurs opérations et continuer l'opération. Détection précoce des événements. Action de contrôle des employés de sécurité. Pour réaliser le monitoring, nous avons les éléments suivants :  Type de monitoring Sélectif : c’est un monitoring qui choisit des Composants du système informatique de façon aléatoire, selon le critère des employés de sécurité au moyen d'une vérification des points qu'ils jugent importants, selon le contexte. Pour les transactions : c’est le monitoring pour chaque interaction du système interne avec l’extérieur, par exemple une transaction banquière ou l’autorisation d’entrer dans le système pour un employé à l’information ultrasecrète.

51


Par objectif : monitoring d’un point spécifique de l’architecture, par exemple : nous avons le soupçon qu’un utilisateur vole d’information. Leur différence avec monitoring pour transactions est que l'opération peut être maintenue pour une période supérieure à une transaction. Constant : ce monitoring se réalise de façon permanente sans interruption des Composants du système, par exemple à la page web ou aux incidents de sécurité précédente.  Caractéristiques du monitoring Centralisée : elle est exercée par les employés de la sécurité à partir du serveur réseau ou d’un point spécifique d’accès qui a tout le contrôle du réseau. Décentralisée : elle est exercée par différents employés autorisés, et c’est possible de le faire depuis quelques endroits de l’architecture ou cela est délégué à d'autres employés. Publique : connaissance de la situation de l’utilisateur ou des utilisateurs qui ont surveillé. Par exemple pour un audit. Privée : ignorance de la situation de l’utilisateur ou des utilisateurs qui ont surveillé. Par exemple la surveillance d’un utilisateur suspect. Dans le Figure suivant, nous montrons un ensemble d’anneaux de sécurité, qui montrent la composition du monitoring : Anneau 6 Important Anneau 5 Mesures

Mesures Vulnérabilités

Anneau 4

de

de

Menaces

protection

protection

Anneau 3

Prioritaire

Urgence Anneau 2

Anneau 1

Figure 18. Composants des Anneaux de sécurité

Chaque anneau de sécurité signifie un niveau de barrière avec ses informations respectives et son niveau de sécurité assigné :  Anneau 1 : ultrasecret 52


 Anneau 2 : secret  Anneau 3 : réservé  Anneau 4 : restreint  Anneau 5 : confidentiel  Anneau 6 : public Toutes les données dans l’analyse du risque plus ses composants identification de flux organisationnels, menaces et vulnérabilités et mesures de protection. Aussi, l’historique des incidents de sécurité dans chaque anneau. L'information est organisée dans les anneaux de sécurité, puisque, comme l’entreprise est dynamique, l’information change de façon constante entre les anneaux, et donc aussi ses protocoles de stockage, ses utilisateurs, ses mesures de sécurité, ses menaces et ses vulnérabilités.

3.1.1

Identification des ressources informatiques et des réseaux de communication

Cette section a des points de contrôle ou censeurs de l’activité pour la sécurité du système ressources informatiques virtuelles et physiques, les réseaux internes et externes, le trafic d’informations organisé selon des processus de gestion. Après avoir défini le type et la fonction de monitoring que nous utilisons pour les mesures de protection, nous avons mis les points de contrôle où se situe l’activité de monitoring, indiquée ci-dessous : Protocoles des anneaux de sécurité

Types et caractéristique s de monitoring

vérification des mesures de protection

Bulletin des nouvelles

Figure 19. Cycle du monitoring des Ressources informatiques, réseaux, trafic d'information

D’abord, il faut connaître les Protocoles des anneaux de sécurité pour établir les Types et caractéristiques de monitoring. Ensuite, il faut procéder à la vérification des mesures de protection : elles sont le monitoring aux mesures de protection qui ont déjà établi le processus de gestion sur la chaîne de valeur, les avant- incidents de sécurité, l’architecture appliquée à chaque information selon des vulnérabilités et des menaces. Dans cette activité, il faut désigner une métrique du monitoring. La surveillance se fait en termes de:

53


Temps : il se réfère au temps d'interaction avec le système, la périodicité, en plus de la date d'enregistrement. Flux : le mouvement d’informations d’un endroit à un autre en octet, d’entrées, sorties et transférantes. Nombre d'accès au système : il est le contrôle pour l'utilisateur en termes numériques de l’entrée au système. Il s’agit de proposer des bottlenecks (embouteillage), qui agissent comme des filtres de l'information, plus de la minutie monitoring. Mais il analyse ce fait si profond qu’il compromet la performance du système. Par exemple, les protocoles de surveillance, le temps, le nombre de flux et les recettes d'un secteur de l’entreprise où l’on a des doutes de vols d’information. Indépendamment pour chaque élément de temps, flux, nombre d’accès et bottlenecks, ceux-ci s’attribuent des types et des caractéristiques différents pour chacun. Pour terminer, le responsable du monitoring à ce point de contrôle, fait le bulletin des nouvelles, il rapporte des constatations qu'il n'y avait pas de nouvelles. Pour obtenir des logs des points de contrôle, des senseurs peuvent être installés qui enregistrent les données du monitoring, selon les métriques établies. Ces senseurs se situent dans l’architecture du réseau en fonction des points de contrôle.

3.1.1

Temps d'utilisation des applications et temps de manipulation des informations

Les incidents de sécurité internes à cause de problèmes avec des employés, ou les attaques externes par erreurs internes sont très importants dans la sécurité d’information. Alors, en ce qui concerne le monitoring d’utilisateur, l’utilisateur manipule de l’information et l’utilise et, dans certains cas, par rapport préjudiciel aux objectifs organisationnels. Celui-ci est en rapport avec les responsabilités et l’attribution d’utilisateur, en lien avec les niveaux de barrière d’information, mesures de protection et d’autres éléments. Le guide propose de protéger le système informatique, mais il travaille en fonction de la protection de l'information qui circule. Alors ce point de contrôle doit avoir un monitoring qui est vital, car c'est ici que l'information se transforme, et utilise les ressources de l'organisation pour laquelle cette information est bénéfique. 54


Protocoles des anneaux de sécurité

Types et caractéristiques du monitoring

Responsabilités et attributions d’utilisateur

Comparaison

Bulletin des nouvelles

Figure 20. Cycle de monitoring des applications et des manipulations

Sur le dernier Figure, nous montrons comment accomplir l’activité de monitoring liée à un point de contrôle. D’abord, connaître les protocoles des anneaux de sécurité selon ses composants, reflétés dans la Figure. Ensuite, choisir quel type (sélectif, par objectif, constant, pour les transactions) et quelles caractéristiques (de vérification, d’action ) de monitoring mettre en place. Selon les données précédentes, la vérification des responsabilités et des attributions d’utilisateur peuvent être déterminées. Nous faisons la comparaison entre les protocoles qui ont des anneaux de sécurité, des responsabilités et des attributions d’utilisateur, pour établir que son rapport soit exact en fonction de la mise en place par l'organisation. Dans cette activité de comparaison s’assigne la métrique du monitoring. Enfin, le responsable du monitoring à ce point de contrôle, fait le bulletin des nouvelles, il rapporte les constatations et les observations normales ou aberrantes.

3.1.3

Contrôle de limites des utilisateurs

Ce point de contrôle des limites des utilisateurs, c’est-à-dire du monitoring interne de l’entreprise pour ses employés qui ont accès au système, parce que plusieurs incidents de sécurité sont causés de façon interne intentionnellement ou accidentellement. Le monitoring se fait de la suivante façon : Protocoles des anneaux de sécurité

Types et caractéristiques du monitoring

Antécédents de travail de l’utilisateur

Bulletin des nouvelles

Circonstances des attributions

Responsabilités et attributions d’utilisateur

Figure 21. Cycle de monitoring des limites des utilisateurs

Comme nous l’avons déjà expliqué, le schéma commence par les Protocoles des anneaux de sécurité, et Types et caractéristiques du monitoring. Pour faire le monitoring, nous prendrons des antécédents de travail de l’utilisateur, donc on va tester l’activité assignée à un employé, vérifier 55


son CV et les données que l’entreprise a en sa possession pour le monitoring. Après, les Responsabilités et les attributions d’utilisateur. Les Circonstances des attributions, dans cette activité, s’assigne la métrique du monitoring, qui testent les critères suivants : Manière : C’est la façon de réaliser son travail : quels logiciels il utilise, la manipulation de l’information, s’il a besoin de mot de passe pour accéder à l’information, clés USB, téléchargement de fichiers, interaction avec d’autres utilisateurs internes et externes, etc. Temps : date et heure d’entrée et sortie du système, combien chaque fois, par combien de temps, il utilise des logiciels et lesquels ? Endroit : les ordinateurs qu’il utilise pour ses activités, le type de connexions, le flux d’informations. Interface d’utilisateur : Partie visible par l'utilisateur d'un logiciel, en d'autres termes le contrôle sur l'interaction entre la machine et l'utilisateur qui la regarde et l’écoute. Bulletin des nouvelles : Nous ajoutons le récit de toutes ses activités pendant le monitoring. Cette mesure est préventive si dans le futur nous avons un problème ou un incident de sécurité.

3.2

Définition des métriques

Nous imaginons, dans la bourse des valeurs, que tout le monde regarde les écrans et que les actions montent et descendent. Pour chaque agent de bourse, ces mouvements signifient des choses différentes, pour prendre des décisions plus tard. Pour le monitoring, l’employé qui fait le monitoring, doit avoir un outil de gestion pour analyser l’information qu’il regarde, c’est-à-dire, comme dans notre exemple, donner de la signification au monitoring dans le point de contrôle, pour prendre des décisions. Ce résultat est obtenu à travers un ensemble de métriques qui établissent la signification des données que le monitoring produit et, plus tard, le métrique comprend s’il existe une transgression au système, ou reflète en incident de sécurité.

3.2.1

Typologie des métriques

Dans notre cas d’étude, il existe deux types de métriques quantitatives et qualitatives. Les quantitatives où le monitoring désigné pour vérifier des nombres, par exemple nombres d’accès, 56


flux d’information, temps d’utilisation, et autres. Les qualitatives pour d’autres vérifications comme comparaisons, endroits, et autres. L’ensemble de métriques quantitatives ont ces composants : Limites du système

Historique du système

Possibles altérations

Bulletin des nouvelles

Analyses d’information

Etablir limites de la métrique

Figure 22. Cycle des métriques quantitatives

Les Limites du système sont des points maximaux et minimaux dans le composant à surveiller par exemple le système pourrait seulement avoir 20 d’accès maximal et 5 d’accès minimal par journée, ceux-ci sont la normalité du système. L’Historique du système : c’est le nombre moyen des maxima et minima d’hier, la semaine, le mois et le trimestre dernier. Dans le cas de notre exemple, des accès moyens, des dates pour connaître la performance du système. Les Possibles altérations sont ces contingences de la journée qui ont fait que le monitoring connaît des changements possibles selon les dernières moyennes ; comme des réparations, des nouveaux logiciels, la grève, etc. Etablir les limites de la métrique les maxima et minima du système qui travaille normalement selon le calcul. Nous établissons des points de tolérance minimale et maximale, ils se transgressent mais pour peu de quantité et peu de temps. L’Analyse d’information se fait selon le Figure suivant où la métrique

doit se déplacer

généralement dans la zone verte de normalité :

57


Minimum

Alarme Min

Tolérance Min

Tolérance Max

Alarme Max

Maximum

Normalité

100% 50% 0% 0h

1h

2h

4h

5h

Figure 23. Zones des analyses

Par exemple, la performance du système permanente dans la zone verte entre 30 et 70 % pendant cinq heures, c’est normal. Mais à un moment quelconque cela augmente à 78%. Si ça continue à augmenter

pendant longtemps, peut-être qu’il y a une alarme. Aussi nous changeons les

pourcentages et le temps, par la mesure selon de besoin. Le Bulletin des nouvelles est comme dans les derniers cas de rapport d’activité sans nouvelles ou avec des signaux et/ou signal faible pour des ERI. Dans ce bulletin on doit reporter les transgressions de la normalité à la zone de tolérance, pour être analysées. La métrique qualitative a les composants suivants : Motivation

Historique

Liste de contrôle

Bulletin de nouvelles

Figure 24. Cycle des métriques qualitatives

La Motivation : ils sont les raisons du

monitoring, par exemple doutes avec un employé,

vérification du processus parce que nous connaissons la profondeur des analyses. L’Historique : Il s'agit de vérifier des incidents de sécurité, la surveillance précédente et le contexte d’actualité de l’information. La Liste de contrôle : Selon la motivation, nous ferons la comparaison point par point de l’historique et de l’activité dans le moment du monitoring. Bulletin de nouvelles : analyse des derniers bulletins, il enregistre toute l’activité et indique s il y a des nouvelles ou pas.

58


3.2.2

Test d’opérabilité et du fonctionnement du système qui gère la métrique

Chaque nouvelle métrique implique des ressources du système qui pourrait réduire sa performance et créer des problèmes d’implémentation. Pour tester l’opérabilité et le fonctionnement, ceux-ci se font en termes d’ Efficience et d’Efficacité, chaque trois mois, identifiant :  Problèmes d’implémentation  Détection et fautes d’alarmes  Consulter des opinions d’utilisateurs  L’affectation aux processus de gestion et au système informatique  L’adaptation du personnel de sécurité Après ce test, il faut donner des solutions selon les besoin. Les métriques ont un cycle de vie maximum d’une année, parce qu’il faut l’adapter aux changements de l’entreprise, de la technologie, au processus de gestion et de l’environnement.

3.2.3

Coût du système d’alarme

Quand le système de sécurité est affecté par un incident de sécurité, c’est-à-dire une métrique a été violée, celui-ci a généré le changement et l’altération au processus normal de l’entreprise. Le système qui déclenche met en place des Actions Immédiates qui ont un coût de performance du système informatique et un processus de gestion, pour que, dans le cas d’une attaque, nous ayons une contre-attaque directe, tandis que l'ERI analyse les incidents de sécurité et se projette sur une attaque possible, cette mesure est de retarder les effets de l'attaque. Les actions immédiates doivent avoir une relation avec les mesures de sécurité et les vulnérabilités et menaces, par exemple dans le cas d’une attaque avec le virus informatique, une action immédiate est de réduire le flux d’informations ou la suspension d’échanges d’informations dans le secteur ou d’arrêter l’ordinateur. Dans ce cas, le virus est entré dans le système, mais son action se retarde pendant que l’ERI fait son travail. Les bulletins de nouvelles permanents dans le système se déclenchent, car, sur la base, ils prennent des décisions, d’abord ils informent de la violation d’une métrique, après ils permettent que le système déclenche l’alarme. Quand, en raison des bulletins de nouvelles, le

59


système d’alarme réagit et se prend des actions immédiates ; nous regroupons tous les bulletins des nouvelles en un seul, comme l’information de type de signaux et/ou signal faible pour l’ERI.

3.3

Détermination des moyens de protection

Les moyens pour vérifier l’efficacité qui permet d’adapter le système, première amélioration des réponses aux incidents de sécurité, selon la performance du système et l’efficacité des mesures de protection. La seconde étape, l’activation des alarmes qui montrent la performance du monitoring, la bonne implémentation de métriques et la réaction aux attaques.

3.3.1

Vérification de l’efficacité des mesures de protection

La surveillance ou monitoring de tous les éléments du système, se fait sur la base des métriques. Ainsi, pour vérifier l’efficacité des mesures de protection, nous appliquons par rapport à l’ensemble des attaques ou incidents de sécurité, vulnérabilités détectées à travers l’analyse des alarmes, des actions inhabituelles du système, des mesures de protection adaptées, à travers un monitoring. Ce autocontrôle, se fait de manière trimestrielle, semestrielle et annuelle, pour adapter les processus de gestion et les mesures de protection selon des changements d’environnement.

3.3.2

Activation de l’alarme

Quand il y a de la transgression d'une métrique quantitative ou qualitative, dans ce moment où le système est vulnérable pour une attaque, le système se déclenche, active l’alarme qui donne l’avertissement d'une action inhabituelle selon des métriques de sécurité établies ; accompagne des actions immédiates. Ensuite, l’activation de l’alarme met toute l’information en relation, bulletin de nouvelles, les anneaux de sécurité avec incidents, l’ERI a besoin de cette information pour collecter le plus d’informations possibles sur l’endroit affecté, le responsable affecté, le point d’entrée ou de sortie, l’historique des accès.

60


Conclusion

Les points de contrôle doivent se faire à travers un monitoring aux anneaux de sécurité où il a toute

l’information de l’analyses du risque, vulnérabilités et menaces, et des mesures de

protection, et dont la classification est mesurée selon le niveau de barrière d’information, cette information au groupe selon les limites imposées pour la manipulation, le stockage et les utilisateurs. Pour faire du monitoring effectif, nous mettons en place un ensemble de métriques, d’abord pour les ressources informatiques, réseaux et trafics d’information, après pour tous les utilisateurs internes et externes, une métrique pour les temps d’utilisation des applications et les temps de manipulation. Nous proposons aussi un contrôle interne pour les utilisateurs internes qui sont des employés ou utilisateurs de quelque façon. Ils travaillent pour atteindre les objectifs de l'organisation, par exemple : les fournisseurs, la cabine de conseils, etc. Le système a ses systèmes de déclenche qui lorsqu'il est activé actionne immédiatement l’alarme pour commencer l’activité d’ERI. Pour finir, l’efficacité du système doit se tester. Les moyens sont la vérification de l’efficacité, celleci, après avoir implémenté les mesures de protection et le monitoring. Trois mois après se fait le vérification. Les métriques et monitorings produisent l’activation des alarmes qui fournissent des données pour l’activité des ERI.

61


Chapitre 4 : Amplification des alarmes et réponse aux incidents de sécurité

Introduction Ce chapitre explique l’activité d’amplification des alarmes et de réponse aux incidents de sécurité. Les ERI font le travail d’anticipation et de réduction du risque numérique, en élaborant des réponses techniques et managériales appropriées. Pour l’amplification des alarmes et la réponse, nous allons utiliser la Méthode d’Analyse et de Réduction du Risque des Agressions Numériques (MARRAN), que nous expliquons comme suit (Sadok, Veille anticipative stratégique pour réduire le risque des agressions numériques, 2004, p. 46).

Figure 25. Les phases de MARRAN

4.1

Processus d’amplification

Le système d’information appelé «Veille Anticipative Stratégique et Intelligence Collective (VAS-IC)» (Lesca E. ) est orienté vers l’anticipation et/ou l’identification des ruptures et des discontinuités. Donc la conception, la phase de construction collective de sens, la phase de mémorisation et l’animation, comme étant une fonction de support pour la mise en place et la continuité du dispositif de veille anticipative stratégique et d’intelligence collective, sont utilisés et enrichissent les ERI dans le champ des agressions numériques. Aussi, la phase de construction collective, étant une typologie des liens dans un contexte d’incertitude, requiert un raisonnement nom déterministe, pour les différentes variables. Les 62


objectifs de l’organisation ou ses intérêts, intègrent la probabilité et l’approximation dans la création de relations entre les informations avec une pression constante du temps. D'ailleurs, Sadok (2004) propose l’utilisation des cartes causales, un ensemble d’opérations pour manipuler dans le cadre de création collective de sens, qui sont le remplacement : il consiste à remplacer ou substituer ou éclater un nœud par un réseau de nœuds et de liens afin de clarifier et d’analyser les sous-implications du nœud et ce par équivalence, par approximation, par réduction, ou par restriction ; et la Réécriture : elle consiste à remplacer des éléments de raisonnement représentant une vue particulière par un sous-réseau de nœuds et de liens représentant une autre vue plus pertinente pour plus de signification de la vision globale. La phase de mémorisation dont le but est de créer un stockage intelligent et dynamique des informations qui regroupe toutes les données obtenues, pour faire les liens ; cette phase a un triple plan : l’exploitation de l’outil qui offre les TIC pour structurer la base de données et de connaissance ; les mécanismes de gestion des mémoires pour réaliser des enrichissements et des requêtes de la base des données et de la base des connaissances ; heuristiques qui permettent la convergence de raisonnement sur l’utilisation de bases de connaissances, et construction de vues alternatives. Aussi, inclure la recherche approchée sur la base de différents rapports entre les éléments en mémoire pour de nouveaux raisonnements collectifs et créatifs sur les liens.

4.1.1

Détection signaux faibles

La détection des signaux faibles ou précoces n’a pas de signification individuellement, si ce n’est, à travers un processus collectif. Pour les comprendre, il faut tenir compte de toute l’organisation qu’elle soit interne ou externe, et de toutes les autres équipes. Aussi, les ERI offrent trois types de services : les réactifs qui sont là pour diffuser l’information sur toutes les activités de sécurité, les proactifs qui anticipent toute activité contre le système d’information de l’organisation et les services de gestion qui sont gérés par un département mais intègrent toute l’organisation pour améliorer les pratiques de sécurité. Les ERI prendront des signaux faibles à travers des bulletins de nouvelles proposés dans la guide de travail. Cet-à-dire le système de détection de signaux et/ou signal faible sont du monitoring et métriques.

63


4.1.2

Amplification et création des liens

Le modèle proposé par Sadok (2004) est décrit suivant trois phases : Phase 1. Création des liens initiaux. Ses objectifs sont amplifiés dès le signal et/ou signe faible. ll s’agit d’établir une typologie des liens de raisonnement pour organiser, dans une forme significative, les informations disponibles. Une contribution des acteurs du processus de création collective de valeur, et, pouvoir ainsi, tracer et appréhender l’évolution des variables critiques, pour l’analyse, dans un contexte incertain et turbulent. Phase 2. La création des liens d’inférence par raisonnement itératif. Dès que les liens existent, se créent de nouveaux liens, la connaissance tacite des auteurs du processus d’interaction collective qui, également, peuvent extraire des informations documentaires d’archives structurées et les actualisent pendant le processus. Phase 3. Mettre fin au processus et prendre des décisions. Les objectifs sont : la vérification du processus itératif, la bonne compréhension des mécanismes qui ont été générés, les signaux et/ou signes faibles, une estimation globale d’autres risques. Le modèle conceptuel peut être basé sur l’utilisation d’internet, avec tous les avantages déjà mentionnés. « Les bases de données et de connaissances fournissent un support pour un processus de création collective de sens dynamique. Ces bases sont assistées par des mécanismes intelligents d’extraction, permettant la recherche approchée, la recherche des heuristiques et la transformation automatique des liens stockés » (Sadok, Veille anticipative stratégique pour réduire le risque des agressions numériques, 2004).

Représentation du modèle conceptuel : Il est représente pour une Figure orienté, dont composition est d’un ensemble de nœuds et de relations liant ces nœuds entre eux. Il y a utilisation des cartes causales, également ne se limitant pas aux seuls liens de causalité. Les components Figures étant représentes pour : N nœuds qui représente un concept, une action à entreprendre, ou information de type signal faible et/ou signe faible. Un E arc qui représente une relation de dépendance entre les actions ou bien relation causale entre les concepts. Une fonction i qui associe à chaque label une valeur probable, et une fonction g qui indique une relation d’influence entre les labels. 64


se considéra ∆ un ensemble de relations incluant les trois relations causales classiques, des relations variables en fonction du temps, et des relations transactionnelles de type output/input. Se définie ∆ comme : ∆ : {+, –, 0, ≤t, OI} Où, (+): signifie qu'un nœud i a un effet positif sur un nœud j; (–):signifie qu'un nœud i a un effet négatif sur un nœud j; (0): signifie qu'un nœud i n’a pas d’effet sur un nœud j; (≤t): signifie qu'un nœud i devrait précéder dans le temps un nœud j; et (OI): (relations de type output/input) signifie que l’output du nœud i est l’input du nœud j. Celui-ci connexions à travers de nœuds produit la construction d’un chemin de raisonnement pour un point de vue partiel ou intégral d’un acteur dans le processus de création collective de sens par rapport à une situation donnée.

Figure 26. Chemin de raisonnement

4.1.3

Représentation Figure du modèle conceptuel

Ce modèle permet de représenter des schémas cognitifs pour résoudre des problèmes complexes en situation d’information incomplète. Les nœuds représentent des actions, des hypothèses, des informations, ou des objectifs. Dans le domaine de la sécurité informatique les actions ne se limitent pas aux intrusions, les accès nom autorises et vols d’information, ou exécution des opérations nom autorises ; Sinon les hypothèses incluent des contre-mesures au niveau du système d’information, lui protéger et limiter les dégâts occasionnes. La ressource X est face à une agression spécifique, le système X est protégé d’une manière appropriée, ou l’agression X est

65


identifiée. Les nœuds qui représentent les informations de type signal faible, les arcs indiquent le type d’influence entre deux nœuds. Il y a cinq types de relation d’influence entre les nœuds : La relation positive (+) la collecte d’une information peut indiquer le risque et activer la réalisation d’outre action. La relation négative (-) qui indique que nœud 1 entrave, endommage, empêche, ou inhibe le nœud 2. La relation neutre (0) il n’y a pas d’influence entre les nœuds. La relation transactionnelle (output/input) entre deux nœuds, où l’output d’une est l’input d’outre. La relation variable en fonction du temps (≤t) la relation du contenu des deux nœuds en fonction du temps. Ces relations permettent d’élaborer des réponses aux cyber-attaques, évaluer leurs effets, et permettre la création du scenario et ses conséquences.

Figure 27. Exemple raisonnement conceptuel pour les ERI

Les opérations sur les nœuds et sur les liens ont deux types d’opérations. L’opération de remplacement est liée directement au contenu d’un nœud pour remplacer, substituer de façon approximative ou éclater, un nœud par un réseau de nœuds pour mettre en évidence les sous implications des nœuds ; le remplacement se basant sur l’équivalence, l’approximation, la réduction, ou la restriction. Quand nous réalisons le remplacement d’un nœud, il doit être accompagné pour la redéfinition des relations, des arcs et des nœuds ; comme ajuter informations complémentaires.

66


L’opération de réécriture est liée directement à un sous réseau de nœuds et consiste o remplacer des éléments de raisonnement de un point de vue particulier par outre d’un sous réseau de nœuds qui peut être intégré au reste du graphe. Cette opération améliore la signification globale. La réécriture d’un sous graphe permet de fournir plus d’alternatives pour las différents actions pour atteindre un objectif. Les processus de remplacement et réécriture sont importantes pour manipuler la construction du scénario d’attaque, du processus de médiation et de prise de décision.

4.2

Rôle de la médiation

La médiation est une activité très importante pour soutenir le processus de création collective de sens et la construction du scénario d’attaque. La technologie Internet a une fonction dans le processus de prise de décision, l’aide au travail collectif et support significatif à un groupe de créativité, et améliorer la qualité de l’intelligence collective, comme la performance d’une équipe de travail. Celui-ci qui devrait se traduire un support efficace au processus de création collective de sens et particulièrement à la médiation. La conception des heuristiques pour assister l’activité du médiateur en un environnement incertain et turbulent, les problèmes liés aux décisions stratégiques sont souvent des problèmes difficiles à structurer. L’heuristique peut être assisté l’activité du médiateur avec la réduction de la complexité du raisonnement, trancher lors du raisonnement contradictoire par l’ajout d’hypothèses, réduire délibérément les champs de recherche de chemins de raisonnement par des techniques de seuillage, mener des raisonnements utilisant des multi chemins, mener un raisonnement contextuel dans le but de restreindre les concepts qui apparaissent potentiellement dans un raisonnement à un seul graphe par rapport à un contexte donné. Pour l’évaluation de la performance de la méthode, c’est nécessaire la construction d’indicateurs de mesure des progrès permis pas l’application de la méthode proposée, qui ont la prétention de l’objectivité, mais généralement suscité critiques des spécialistes. Alors il s’agit d’évaluer perceptions, se proposent deux familiers d’utilité perçue et facilité perçue, ceux sont instrumentés par des indicateurs plus ponctuels. Egalement, pour le travail se prend en compte critères classiques utilisés en systèmes d’information, principalement: 67


La qualité du système d’information

La qualité de l’information

L’utilité qui s’interroge

La satisfaction des utilisateurs

Impact individuel et organisationnel

Le critère de l’utilité perçue permet de mesurer les résultats ou les progrès réalisés par l’entreprise dans l’activité de traitement des signaux faibles afin de supporter les décisions stratégiques. La facilité perçue d’utilisation de la méthode, son organisation ainsi que l’efficacité de la technologie utilisée pour la supporter.

4.2.1

Médiation et création collective de sens

La fonction de médiation est une tâche très importante dans le processus de prise de décision collective, puisque cette fonction permet d’arriver à accorder les différents points de vue, et à faciliter la résolution de conflits ; avec cette heuristique, il est possible de construire une vision globale, collective et intelligible. La réconciliation de points de vue est possible pour trouver les zones de consensus, les zones de désaccords partiels et les zones de désaccords complets. Dans cette création collective de sens, le médiateur doit accomplir les objectifs suivants : valider les concepts qui sont représentés par les nœuds, consolider, actualiser et manipuler les liens qui sont représentés par les arcs, construire tous les chemins pertinents pour la prise de décision, concevoir des heuristiques pour réduire la complexité du raisonnement, y contrôler le processus de raffinement pour une vision collective. Pour intégré touts les points de vue subjectif, les concepts sont nœuds dans le même graphe, dans touts les points de vue peut être facilement transformés en une unique matrice. Où N est le nombre de concepts. Dans cette matrice M, chaque élément peut être représenté : mij = l1, l2,……..lv Où v est le nombre des vues, et k est un label placé par le iième membre dans l’arc reliant le nœud i à j. La matrice M permet zones de consensus pour les perceptions de la même relation d’influence qui se caractérisent par des multi labels de même forme : 68


mij = l,l,…….,l Egalement elle permit zones de désaccords partiels qui sont les perceptions similaires des relations d’influence entre les nœuds. Les zones de désaccords qui se caractérisent par des labels perçus en conflit par les membres. Les multi labels particuliers sont désignes par des points de vue unilatéraux qui expriment une estimation unilatérale de l’effet entre deux nœuds, désignes par i et j : mij = 0,…..0,l,0,……0 et l ≠ 0 La conciliation sur les points de vue dans le travail des ERI qui focalisa trios principal objectif : 1. La réalisation d’une définition commune et/ou partagée de tous les concepts, les actions et les informations pertinents pour l’évaluation et l’analyse de la situation. 2. L’élimination des désaccords partiels en utilisant la négociation ou encore l’investigation en s’appuyant sur les TIC. 3. La réduction du nombre des vues unilatérales et les zones de désaccords partiels visant à diminuer les différences. L’internet comme support offre quatre outils qui peuvent être utiles pour les processus d’intelligence collective : l’accès à l’information interne et externe distante, le mécanisme de structuration d’information, la recherche d’information à travers des moteurs de recherche, et un mécanisme de contrôle d’accès et d’identification.

4.2.2 Rôles du médiateur Le médiateur fait la négociation avec chaque participant, il construit et analyse une nouvelle matrice qui représente tous les nœuds et toutes les relations pour arriver arrangement mutuel satisfaisant et identifier les conflits potentiels. Egalement, dans ce processus de création collective de sens pour réduire le risque des agressions numériques, ceci ensemble d’actionnes aide les membres afin de construire des vues individuelles de la situation, concilier les vues individuelles divergentes, aider pour construire la représentation collective et pour interpréter celle-ci, affiner les vues collectives. Le médiateur doit met à la disposition des membres de l’ERI tous les outils, manipulation des relations entre nœuds, compétences et connaissons, aussi la technologie comme internet. Ces 69


activités de médiation dépendent de la nature d’activité de l’entre prise, de ses objectif, des opportunités et des menaces ; qui devrait inclure : la validation des concepts qui sont représentés par les nœuds, la consolidation actualisée des liens qui sont représentés par les arcs, las construction de tous les chemins de raisonnement qui supportent la représentation collective après convergence des opinions des membres de l’ERI, la contrôle de processus d’affinement afin d’aboutir à une vision collective, et la construction des heuristiques qui ont émergé au cours du travail de l’ERI.

4.2.3

Heuristiques pour assister l’activité du médiateur

L’efficacité du rôle du médiateur nécessite l’usage de méthodes (heuristiques) et d’outils appropriés ainsi qu’une compétence et une expertise spécifiques. La compétence du médiateur devrait présenter plusieurs facettes jugées indispensables par les experts interviewés : facette technique, mais aussi pédagogique, relationnelle, de gestion. Ceci pose le problème de la formation appropriée à donner au médiateur pour qu’il remplisse son rôle convenablement afin de réduire le temps de réponse face aux agressions numériques et par conséquent limiter les pertes occasionnées par celles-ci. De plus, le caractère variable et « inventif » des agressions numériques impose une mise à jour ou une réadaptation des programmes de formation et des connaissances susceptibles d’être enseignées à de futurs médiateurs novices. Une telle formation reste totalement à imaginer ou concevoir. Le médiateur peut contribuer à l’accomplissent de toutes ces activités. Les problèmes de médiations peut être résolus à travers d’une base de données documentaires et de connaissances formalisées mentionnées. Le modèle formel offrir la représentation des nœuds et des liens, la manipulation des relations, et l’intégration des vues subjectives, comme aussi l’internet est un instrument pour assister les activités de médiation. Dans ce cadre, nous annonçons des heuristiques qui émergeront au cours des expérimentations que nous présenterons au cinquième chapitre :  Réduire la complexité du raisonnement par la dissimulation des nœuds, des liens ou sous graphes qui n’ont pas des effets significatifs sur le raisonnement conduit.  Aider l’ERI à trancher lors du raisonnement contradictoire par l’ajout d’hypothèses qui peut impliquer la recherche des informations complémentaires. 70


 Réduire délibérément les champs de recherche de chemins de raisonnement par des techniques de seuillage par exemple en tenant compte des probabilités en labels.  Mener des raisonnements utilisant des multi chemins (dans le cas de recherche de scénarios d’attaques, par exemple) en associant des relations sémantiques entre des labels aboutissant (ou émanant de) à un même concept (une action, par exemple).  Mener un raisonnement contextuel dans le but de restreindre les concepts qui apparaissent potentiellement dans un raisonnement à un seul graphe par rapport à un contexte donné. Par exemple, l’exécution d’une procédure peut dépendre dans sa faisabilité, sa forme ou sa modalité du système d’exploitation (Windows, LINUX ou INUX) qui l’exécute. Tout ceci dans le but de réduire autant que possible la complexité du problème et limiter le nombre de scénarios d’attaque, pour pouvoir déboucher sur une action effective de limitations des dégâts et prendre les mesures nécessaires de réparation.

4.3

Scenarios d’attaque

Ceci est de nature à permettre, en réponse à des agressions, d’apprendre des actions réussies ou échouées et de réduire la probabilité de l’occurrence d’agressions similaires. Dans ce cadre, les ERI offrent trois types de services :  des services réactifs qui impliquent la diffusion d’informations décrivant des alertes,  des mises en garde, des vulnérabilités du système d’information afin de fournir des orientations et des recommandations possibles pour améliorer le niveau de sécurité des services proactifs qui fournissent de l’information pour anticiper les agressions, les problèmes ou certains évènements. La performance de ces services est en relation directe avec la réduction du nombre d’attaques dans le futur.  des services de gestion de la qualité qui ne sont pas spécifiques à un seul département mais qui concernent l’amélioration des pratiques actuelles et futures de sécurité dans toute l’entreprise. Tout ceci dans le but de réduire autant que possible la complexité du problème et limiter le nombre de scénarios d’attaque, pour pouvoir déboucher sur une action effective de limitations des dégâts et prendre les mesures nécessaires de réparation.

71


Quand l’ERI amplifie des signaux faibles, il peut ignorer le signal ou confirmer car existe une forte probabilité d’une attaque. Après tout le processus de construction des scenarios, l’ERI prend la décision d’ignorer le signal détecté, car ses membres ne trouvent pas une forte probabilité d’une attaque immédiatement ou cette alarme est faute. Mais dans le cas d’une imminente attaque ou une forte probabilité d’attaque l’ERI doit commencer le processus de prise de décision selon le scenario construit, pour réduire le risque de l’incident de sécurité. Dans le domaine de la sécurité, les décisions sont à prendre pour vérifier si un signal faible relève effectivement une agression ; choisir le meilleur chemin d’influence entre une hypothèse et une action ou un objectif ; construire le scénario d’attaque réalisé par le hacker ; sélectionner parmi les réponses possibles celle qui répond au mieux, compte tenu des contraintes, de la nature d’activité de l’entreprise ainsi que de ses objectifs stratégiques.

Conclusion

Dans ce chapitre, nous avons utilisé MARRAN pour soutenir l’activité d’amplification des alarmes et la réponse aux incidents de sécurité. Cette méthode a été déjà testée sur des cas réels pour la construction des scenarios d’attaques. En effet, les ERI ont besoin de méthodes et d’outils appropriés pour assister l’activité d’interprétation des signaux faibles détectés afin de fournir des réponses rapides et au bon moment au risque des attaques numériques.

72


Chapitre 5 : Réparation et mise à jour du système de protection

Introduction Ce chapitre décrit la dernière activité du guide de travail d’une ERI à savoir la réparation des dégâts occasionnés par les attaques numériques et la mise à jour du système de protection afin de maintenir un niveau de sécurité acceptable. Cette activité nécessite la construction d’une base de donnés afin de stocker les incidents de sécurité ainsi que les scénarios d’attaques. Ceci est de nature à permettre un apprentissage collectif au sein de l’entreprise et par conséquent améliorer sa réactivité et le temps de réponse.

5.1

Réparation des dégâts occasionnés par les incidents de sécurité

Quand le travail des ERI d’anticipation et de réponse des alarmes, ils créent un scenario d’attaque, mais l’attaque se fait, celui-ci produit des dégâts qui doivent être réparés. La définition des actions immédiates à accomplir pour répondre à l'agression, comme pour la limitation de dégâts en attaques futures. Ces dégâts sont directs et indirects, matériels et immatériels.

5.1.1 Dégâts directs et indirects Les dégâts directs sont produits à la cible de l’attaque, par exemple un virus informatique a par but d’affecter l’information opérationnelle de l’entreprise pour affecter ses processus. Les dégâts indirects sont produits par d’autres composants du système qui ne sont pas la cible d’attaque. Pour réparer ces dégâts, il est important de créer un bulletin des nouvelles avec :  Une liste des dégâts  Coûts financiers en pertes de productivité Aussi, designer le plan de réparation ou mitigation immédiatement qui compris leurs coûts et le temps de réponse. 5.1.2 Dégâts matériels et immatériels Les dégâts matériels sont ceux qui affectent le système physique, virtuelle ou processus de gestion, par exemple le vol d’un ordinateur ou la nouvelle installation de quelques logiciels.

73


Les dégâts immatériels sont ceux qui affectent l’environnement interne ou externe de l’entreprise, par exemple la perte de crédibilité ou conflits du travail. Pour réparer ces dégâts, il est nécessaire de classifier les dégâts directs, indirects, matériels et immatériels.

5.2

Anticipation des protections nécessaires pour réduire le risque d’être attaqué de nouveau dans le futur

Cette étape devrait améliorer la capacité d’anticipation des membres de l’ERI par apprentissage collectif et par conséquent réduire le risque des agressions numériques. L’ERI propose des mesures correctives nécessaires à la sécurité du système d’information de l’entreprise contre des agressions similaires susceptibles de se reproduire. La sélection des mesures de protection par les preneurs de décision doit tenir compte des critères suivants : L’urgence de la situation; Le coût de ces mesures (implémentation, maintenance); La réglementation en vigueur; Le degré de cohérence de ces mesures avec les procédures déjà mises en place (le coût de changement doit être contrôlé).

5.2.1

Solutions techniques

Nouvelles solutions techniques de protection comme changement dans le système physique, des réseaux, l’achat de nouveaux logiciels. Egalement, il s’agit de réadapter le système actuel selon les caractéristiques d’attaque, mais aussi en train de penser, que ce peut changer tout l’analyses de risque, mesures de protection et comme monitoring et métriques.

5.2.2

Solutions managériales

Nouvelles procédures et règles de gestion qui permettront d’améliorer le niveau de sécurité contre des nouvelles attaques. Ces nouveaux processus ou modification des processus actuels modifient la façon de manipuler l’information et intègre comment réduire les vulnérabilités et les menaces sans affecter des processus normaux.

74


5.2.3

Solutions humaines

C’est une nouvelle définition des responsabilités et des attributions, formation pour améliorer le niveau de compétence des employés qui ont une interaction avec les flux informationnels au sein de l’entreprise. Aussi, comme augmenter des contrôles avec les utilisateurs internes et externes, la modification des fonctionnes de sécurité

et assignation de responsabilités de sécurité dans la structure

organisationnelle. Ce peut mettre en compte l’embauche de nouvelles personnel spécialise ou la création de nouvelles niveaux ou change dans l’hiérarchie.

5.3

Constitution d’une base de données et de connaissances

5.3.1

Mémorisation des événements

Dans la base de donnés, on stocke toutes les alarmes détectées, l’information qui a déclenché ainsi que ses caractéristiques. Ceci permit dans le future de réduire le risque, améliorer les analyses des vulnérabilités et menaces, et d’anticiper l’occurrence d’attaques similaires.

5.3.2

Base des connaissances pour le stockage des scenarios d’attaques

Les ERI doivent connaitre le travail anticipative d’avant, en relation des scenarios des attaques, celui-ci la base des connaissances doit avoir relation avec les actionnes immédiates. La base permit à l’ERI analyser ses réponses à des outres alarmes, trouver relations, comme de signal ou/et signaux faibles. Egalement, ce stockage des scenarios d’attaque doit avoir la relation avec les fausses alarmes et les attaques réelles, dont but comparer la différence entre le scenario d’anticipation et la façon d’attaque.

75


5.4 Changements opérés au niveau de l’organisation et le traitement des flux informationnels C'est l'information pour complémenter les bases de donnés pour anticiper des attaques futures, réduction de l'incertitude, également anticiper des dégâts et pertes. Selon des informations collectées pendant l'attaque, comme aussi ses analyses, l'information sera enviée à chaque élément du système pour faire un feedback pour actualiser des processus. Toutes les activités-ci sont incluse dans la base des donnés.

5.4.1

Les processus d’exploitation et de manipulation de l’information

Celui-ci est directement en relation avec la chaîne de valeur de l’entreprise, c’est-à-dire la manipulation de l’information, les limites des utilisateurs et logiciels. L’entreprise dans sa politique de sécurité modifie, si c’est nécessaire, le cycle de vie, les classifications, les responsabilités et les attributions des utilisateurs.

5.4.2

L’analyse du risque

Selon le résultat de l’activité d’anticipation et de réponse, l’analyse du risque se modifie dans ses éléments, si c’est nécessaire, pour réduire de cette façon le risque. Aussi, il permet l’actualisation des processus de détection des menaces et vulnérabilités, comme adapter l’organisation aux nouveaux changements de l’environnement.

5.4.3

Le processus de monitoring

De quel manière un incident de sécurité existe, le monitoring augmente, change de caractéristique et types, pour surveiller pendant un peu du temps l’endroit affecte. Egalement, les métriques peuvent changer pour incrémenter la surveillance sur le site ou surveiller d’autres endroits plus vulnérables qu’auparavant.

76


5.4.4

Le processus d’amplification

Dans le processus de construction collective de sens, l’interaction des liens pour l’amplification est fondamentale. Alors, le processus d’amplification met en place l’utilisation des base des donnés pour créer des liens entre les précédents et les nouveaux incidents de sécurité. Ceci est de nature de permettre une amplification plus rapide et efficace des signaux faibles.

5.5.5

Communication aux employés et aux partenaires

Dans le cas d’un incident de sécurité, les différents partenaires, fournisseurs, clients ainsi que les utilisateurs du système devraient être informés des changements et des nouvelles mesures de sécurité adoptés par l’organisation.

Conclusion

La réparation est une activité très importante pour réduire les dégâts et les pertes financières ainsi que pour anticiper l’occurrence d’attaques similaires. Cette activité est associée à une mise à jour du système de protection pour intégrer les changements opérés au niveau de l’analyse du risque, la manipulation et l’exploitation des informations. La construction d’une base de données et de connaissances est indispensable pour assister cette activité du guide de travail et par conséquent améliorer la capacité d’anticipation et le temps de réponse aux incidents de sécurité.

77


Conclusion générale

La présente recherche s’inscrit dans le domaine de la sécurité des systèmes d’information, orientés vers l’anticipation et la gestion du risque numérique. Notre intérêt a porté sur le travail de l’ERI qui exige des outils et des méthodes de travail appropriés répondant à la nécessité de réduire le temps de réponse à une agression numérique et ce, dans le but, de minimiser les dégâts matériels et immatériels occasionnés par celle-ci. Ainsi, nous avons proposé un guide de travail pour une ERI composé de quatre principales activités à savoir l’analyse du risque, la surveillance et la vérification de l’efficacité du système de protection, l’amplification des alarmes et la réponse aux incidents de sécurité et la réparation des dégâts et la mise à jour du système de protection. Chaque activité est décrite suivant un ensemble de tâches élémentaires et nécessaires à son accomplissement. Le guide de travail proposé constitue un outil dynamique de gestion et d’organisation de la sécurité de l’information au sein de l’entreprise en tenant compte de ses spécificités techniques et managériales, la nature de son activité, et l’évolution de son environnement interne et externe. Cependant, la nature exploratoire de la recherche limite sa portée. Une seule interview avec un expert a été menée pour comprendre et décrire les principales activités accomplies par une ERI. De plus, et faute de temps, ce guide n’a pas fait l’objet d’une validation empirique. Nous avons également trouvé des difficultés à recenser les publications académiques pertinentes, compte tenu du fait que peu d’auteurs ont traité notre sujet. En effet, le recensement a été difficile à réaliser à cause de la dispersion des articles dans des revues mal connues ou inconnues de nous relevant parfois de domaines étrangers à notre champ disciplinaire de base. Il serait opportun de tester le guide sur des cas réels d’entreprises afin de fournir plus de détails sur les tâches décrivant chacune des activités du guide. De même, il serait intéressant de compléter l’élaboration du guide en consultant un nombre plus important d’experts en sécurité des réseaux.

78


Bibliographie

Abello Llanos, R. (2009). la investigación en ciencias sociales: sugerencias prácticas sobre el proceso. Investigación y Desarrollo , 208-229. BASC. (2007). Business Alliance for Secure Commerce . Recuperado el 2 de Juillet de 2010, de BASC-Costa Rica: http://www.basc-costarica.com/documentos/riesgosinformatica.pdf Caron-Fasan, M.-L., & Laurens, V. (2007). Vers une gestion des informations liées au attaques informatiques: la veille sécuritaire anticipative. En N. Lesca, Management, systèmes d'information et connaissances tacites. Grenoble: Hermes Science Publications. Ciordas, C., Hansson, A., Goossens, K., & Basten, T. (2008). A monitoring-aware network-onchip desing flow. Journal of Systems Architecture , 397-410. Club de la Sécurité de l'Information Français CLUSIF. (2010). Menaces informatiques et practiques de sécurité en France. Paris: CLUSIF. Computer Security Institute CSI. (2009). CSI Computer Crime and Security Survey. New York: Sara Peters, Senior Editor, Computer Security Institute. Department for Business, Enterprise & Regulatory Reform (BERR). (2008). INFORMATION SECURITY BREACHES SURVEY 2008 | technical report. United Kingdom: Department for Business, Enterprise & Regulatory Reform. Europe, I., & PricewaterhouseCoopers. (2010). Information Security Breaches Survey 2010 technical report. United Kingdom: PricewaterhouseCoopers LLP. Franco, O. H., Castillo, L. F., Corchado, J. M., & Lopez, C. A. (2007). Multiagent system for software monitoring and users activities in a network equipment. Scientia et Technica , 387-391. Frankland, J. (2008). IT security metrics: implementation and standars compliance. Network Security . Gabrijelcic, D., Blazic, B. J., & Tasic, J. (2005). Future active IP networks security architecture. Computer Communications , 688-701. 79


Ganame, A. K., Bourgeois, J., Bidou, R., & Spies, F. (2008). A global security architecture for intrusion detection on computer networks. Computers & Security , 30-47. Gestión de Riesgo en la Seguridad Informática. (s.f.). Recuperado el 19 de Juillet de 2010, de "Gestión

de

Riesgo

en

la

Seguridad

Informática"

de

Markus

Erb:

http://protejete.files.wordpress.com/2009/07/ficha_probabilidad_amenaza.pdf Ghernaouti-Hélie, S. (2002). Internet et sécurité. Paris: Presses Universitaires de France. Ghernaouti-Hélie, S. (2009). La cybercriminalité. Laussane : Presses politechniques et universitaires romandes. Hatchuel, A. (2008). Quel horizon pour les sciences de gestion ? Vers une théorie de l'action collective. En A. David, A. Hatchuel, & R. Laufer, Les nouvelles fondations des sciences de gestion (pág. 216). Paris: Vuibert. Humphreys, E. (2008). Information security management standards:Compliance, governance and risk management. Information Security Technical Report , 247-255. Kovacich, G. (1997). Information systems security metrics management. Computers & Security , 610-618. Lesca, E. (s.f.). Equipe du professeur LESCA. Recuperado el Mai de 2010, de Veille Anticipative Stratégique - Intelligence Collective [VAS-IC®]: http://www.veille-strategique.org/ Lesca, H., & Lesca, E. (1995). Gestion de l'information. Paris: Litec. Lesca, H., & Schuler, M. (2002). Veille Stratégique: Comment ne pas être noyé sous les informations? Inteligencia competitiva , 40-54. Magklaras, G., & Furnell, S. (2002). Insider threat prediction tool : Evaluating the probability of IT misuse. Computers & Security , 62-73. Policía Nacional de Colombia . (2008). Curso de Inteligencia. Bogotá D.C., Colombia. Policía Nacional de Colombia. (2008). Guía de gestión documental de la Policía Nacional. Bogotá D. C.: Imprenta Nacional de Colombia.

80


Policía Nacional De Colombia. (2004). Resolución No.01113 “Por la cual se adopta el Manual de Procedimientos del Servicio Policial para la Policía Nacional”. Bogotá D.C.: Imprenta Nacional de Colombia. Sadok, M. (s.f.). Impact des lois de la sécurité financière sur la gestion du système d'information. Tunis. Sadok, M. (2004). Veille anticipative stratégique pour réduire le risque des agressions numériques. Thèse de Doctorat en Sciences de Gestion . Grenoble, France: Ecole Doctorale de Science de Gestion. Sadok, M., & Lesca, H. (2007). Veille anticipative et Sécurité des ressources informationnelles de l’entreprise à l’ère numérique. Grenoble. Schwartau, W. (s.f.). Network security it's about time: an offer for a metric. Sena, L., & Tenzer, S. (Août de 2004). Universidad de la República - Uruguay. Recuperado el Juin

de

2010,

de

Facultad

de

Ciencias

Económicas

y

de

Administración:

http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf Xenakis, C., & Merakos, L. (2004). Security in third Generation Mobile Networks . Computer Communications , 638-650.

81


Annexe

Voir le disque compact.

82

Anticipation et gestion du risque numérique  

Anticipation et gestion du risque numérique : Proposition d’un guide de travail pour les Equipes de Réponse aux Incidents de sécurité

Advertisement