Sécurité informatique : Principes et méthodes à l’usage des DSI, RSSI et administrateurs PDF

Si ce sécurité informatique : Principes et méthodes à l’usage des DSI, RSSI et administrateurs PDF n’est plus pertinent, retirez-le. En pratique : Quelles sources sont attendues ? Aujourd’hui, la sécurité est un enjeu majeur pour les entreprises ainsi que pour l’ensemble des acteurs qui l’entourent. Elle n’est plus confinée uniquement au rôle de l’informaticien.


Que recouvre le terme de sécurité informatique pour l’entreprise ? Existe-t-il des normes et bonnes pratiques universelles ? Comment mettre en oeuvre une politique de sécurité et mettre au point des chartes de conduite pour minimiser le risque humain ? Une bible pratique et systématique pour le responsable informatique. Ecrit par un responsable de la sécurité des systèmes d’information devenu DSI, et par un expert des réseaux et des systèmes, ce livre limpide expose les risques inhérents à tout système informatique – et les moyens de s’en protéger. S’adressant aux administrateurs et responsables informatiques comme à leurs interlocuteurs, il offre au professionnel consciencieux un exposé clair des modes opératoires des programmes nocifs et des outils censés les contrer ainsi qu’une méthode rigoureuse pour concevoir une véritable politique de sécurité. Outre un modèle de politique de sécurité et de charte d’utilisation que le lecteur pourra adapter à son environnement, cette quatrième édition, mise à jour avec les dernières évolutions en matière de menaces et de sécurité, fait le point sur la pratique du cloud computing et sur Ipv6, et propose un éclairage sur la dimension géostratégique de la sécurité liée à l’Internet (WikiLeaks, attaques contre la Géorgie et l’Estonie, coupure de l’Internet en Egypte ou en Tunisie, etc).

Sa finalité sur le long terme est de maintenir la confiance des utilisateurs et des clients. La finalité sur le moyen terme est la cohérence de l’ensemble du système d’information. Sur le court terme, l’objectif est que chacun ait accès aux informations dont il a besoin. Les responsables de systèmes d’information se préoccupent depuis longtemps de sécuriser les données. Le cas le plus répandu, et sans aucun doute précurseur en matière de sécurité de l’information, reste la sécurisation de l’information stratégique et militaire.

Les conséquences d’une mauvaise sécurisation peuvent concerner les organisations, mais aussi la vie privée d’une ou plusieurs personnes, notamment par la diffusion d’informations confidentielles comme leurs coordonnées bancaires, leur situation patrimoniale, leurs codes confidentiels, etc. Le système d’information représente un patrimoine essentiel de l’organisation, qu’il convient de protéger. La disponibilité : le système doit fonctionner sans faille durant les plages d’utilisation prévues et garantir l’accès aux services et ressources installées avec le temps de réponse attendu. L’intégrité : les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. La confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.

L’authentification: l’identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d’échange. La non-répudiation et l’imputation : aucun utilisateur ne doit pouvoir contester les opérations qu’il a réalisées dans le cadre de ses actions autorisées et aucun tiers ne doit pouvoir s’attribuer les actions d’un autre utilisateur. Une fois les objectifs de la sécurisation déterminés, les risques pesant sur chacun de ces éléments peuvent être estimés en fonction des menaces. Le niveau global de sécurité des systèmes d’information est défini par le niveau de sécurité du maillon le plus faible. Les précautions et contre-mesures doivent être envisagées en fonction des vulnérabilités propres au contexte auquel le système d’information est censé apporter service et appui. On parle de  cartographie des risques . De la qualité de cette cartographie dépend la qualité de la sécurité qui va être mise en œuvre.

C’est l’aboutissement de la phase d’analyse et là que commence la protection du système d’information. Il est important de prendre en compte les actifs ayant de la valeur en définissant un périmètre du système de management du système d’information. Il peut être orienté sur l’ensemble de l’entreprise, sur un site précis, sur un service en fonction de la stratégie de l’entreprise. Différentes méthodes d’analyse des risques sur le système d’information existent. En France, la première méthode développée a été Marion.