FINANCES PERSONNELLES
+ L’achat d’une propriété aux États-Unis
+ Inquiétudes post-emploi
+ Plus
PME
+ En mode survie
+ 10 services valeur ajoutée
+ Marchés étrangers
+ La juste evaluation
+ Faire croître ma PME
+ Vos actifs à la rescousse
+ Plus
IFRS et ISA
+ Sept normes côte à côte
+ Normes canadiennes d'audit
+ Pour réussir le passage obligé
+ Plus
TECHNOLOGIES
+ Systèmes CRM
+ Gestion de performance
+ Enquête 2011 sur les logiciels
+ Plus
LIEU DE TRAVAIL
+ Profession plurielle
+ La RSE : vraiment gagnante
+ Santé et productivité
+ Prévention de la fraude
+ CV chronologique gagnant
+ Gare aux fausses notes
+ Générations et objectifs
+ Les primes gardent la cote
+ Plus
ÉTUDIANTS CA
+ Certifié entreprise
+ Destination: CA
EXPERTISE
+ Les prix de transfert
+ Plus
+ Informations et contacts
RSS
+ Recevez les nouvelles qui vous intéressent
NOUVELLES EN LIGNE
+ Notre cyberlettre mensuelle
Sécurité des TI
Par Chris Anderson
Illustration : John Ueland
S'aventurer dans le périlleux monde du commerce électronique nécessite au préalable un examen de l'intégrité des systèmes de l'entreprise
À la fin de l'année 2002, SMB et cie (une organisation de taille moyenne) a commencé à explorer la possibilité de se lancer dans le domaine du commerce électronique. Comme le font tant d'autres entreprises à l'heure actuelle, SMB se demandait si elle pourrait percer sur le cybermarché. La capacité de la nouvelle technologie à attirer un nombre important de nouveaux clients était certainement source de préoccupations. Tout aussi préoccupantes étaient cependant les questions relatives à sa capacité d'assurer la sécurité. En effet, toute atteinte à l'intégrité des processus et de l'infrastructure sécurisés de l'entreprise serait désastreuse, et cela tant pour ses activités traditionnelles que pour les activités en ligne projetées.
«Le conseil avait jugé qu'il serait prudent d'effectuer une vérification intégrée de la sécurité avant d'entrer dans le monde du commerce électronique», indique un cadre supérieur et administrateur de SMB mais, souligne-t-il, comme pour tant d'autres entreprises de cette taille, cela aurait été inutile : il n'y avait rien à vérifier.
SMB ne disposait alors ni de politiques et de normes sur la sécurité de l'information, ni de procédés en bonne et due forme et fiables d'administration de la sécurité, ni de configurations de système sécurisées. Étant donné l'absence de politiques et de normes par rapport auxquelles un vérificateur aurait pu évaluer la conformité, ce dernier ne pouvait pas faire grand-chose. Le conseil de SMB avait été forcé de reconnaître que, en fait, l'entreprise ne manquait pas de normes vérifiables; elle n'avait pas de normes du tout.
Établir des protocoles de sécurité
Il était donc impératif d'établir un ensemble de protocoles de sécurité autorisés. Pour ce faire, il fallait déterminer où la sécurité faisait défaut, puis s'attaquer à l'élaboration d'un nouvel ensemble de stratégies. «À la suite de nos discussions préliminaires, explique le cadre de SMB, il est devenu évident qu'un projet d'amélioration de la sécurité de l'information répondrait mieux aux besoins du conseil qu'une vérification.»
En dépit de ses vastes ramifications, l'amélioration de la sécurité de l'information n'a rien à voir avec une vérification. D'une part, ce genre d'initiative vise à aider l'organisation à prendre conscience de ses besoins en matière de sécurité de l'information et de ses mesures de sécurité existantes, en vue de déceler les écarts béants qui existent probablement entre les deux. D'autre part, elle vise à guider l'organisation dans l'élaboration de son propre plan d'amélioration de la sécurité de l'information.
Dans bon nombre de moyennes entreprises, l'adoption de mesures élémentaires de sécurité crée surtout un faux sentiment de sécurité qui, en retour, tend à exacerber les problèmes existants. Par exemple, si les systèmes de TI d'une organisation sont protégés par un coupe-feu et un logiciel antivirus, encore faut-il que quelqu'un mette régulièrement à jour les fichiers de signatures pour détecter les nouveaux virus. L'entreprise peut également faire régulièrement des copies de sécurité de toutes les données pertinentes, mais entreposer celles-ci sur les lieux plutôt que de les conserver ailleurs. Ainsi, les systèmes de TI de même que toutes les copies de sécurité seraient exposés aux désastres naturels, au vol et au vandalisme.
Un plan en cinq étapes
Tout plan d'amélioration de la sécurité de l'information comprend généralement cinq étapes :
- l'élaboration du mandat du projet;
- le dénombrement détaillé des actifs informationnels de l'entreprise;
- l'évaluation des mesures de protection déjà en place;
- l'analyse des «écarts béants»;
- et l'établissement d'une liste de questions prioritaires méritant une attention immédiate.
Étape 1 : Élaboration du mandat du projet
L'amélioration de la sécurité de l'information doit commencer par l'élaboration du mandat du projet. De la salle du conseil au service des TI jusqu'à la salle du courrier, tous doivent comprendre ce que l'entreprise tente d'accomplir. Il ne s'agit pas de la redoutée vérification. La raison d'être du mandat du projet est de favoriser la communication, l'information, de même que la sensibilisation.
Étape 2 : Dénombrement
Dans la deuxième phase du projet, l'entreprise procède au dénombrement de ses actifs informationnels. Dans le cas de SMB, il était fondamental de déterminer les informations que l'entreprise espérait protéger. Il fallait aussi déterminer l'importance des informations et les conséquences de toute atteinte possible à leur sécurité, et les classer par ordre de priorité. Pour SMB, il était facile d'identifier les informations essentielles et les systèmes de soutien utilisés dans l'entreprise. Le système financier, la base de données clients, l'information sur les employés ainsi que les données sur les stocks constituaient des domaines clés. À cette étape, il était également essentiel d'identifier les principaux utilisateurs de chaque système. Il était en outre important de mieux sensibiliser et de mieux informer les employés.
Ce type d'exercice repose sur trois éléments essentiels à la sécurité de l'information : la confidentialité, l'intégrité ainsi que la disponibilité. La confidentialité a souvent trait à la parcellisation de l'information. Seuls les employés qui ont vraiment besoin de consulter les données des systèmes importants devraient y avoir accès. En effet, la protection des renseignements personnels pourrait être compromise si l'accès aux renseignements exclusifs n'est pas régi par des protocoles rigoureux. L'intégrité concerne des pratiques et des objectifs familiers à tous les vérificateurs financiers — à savoir établir l'exactitude des données sous-jacentes afin que l'information produite à partir de celles-ci puisse servir à une prise de décisions efficace. Quant à la disponibilité, elle se rapporte au système d'entreposage des données et à la facilité avec laquelle on peut y accéder.
Une fois ces concepts assimilés par l'équipe de SMB, celle-ci a pu se pencher sur les «menaces» pesant sur le système. Ces menaces se présentent sous deux formes : celle des menaces «opportunistes» et celle des menaces d'acte délibéré. Pour illustrer la première, pensons à un voleur de quartier qui tire parti d'une fenêtre ouverte. Le risque qu'une nouvelle voiture de luxe se retrouve dans la mire d'un réseau organisé de voleurs d'autos sur commande constituerait une menace d'acte délibéré. Les deux types de menaces se distinguent sur le plan de l'intention et des ressources. Sur une échelle de 1 à 5 (1 étant la plus basse cote de performance de sécurité et 5, la plus élevée), SMB a déterminé le niveau relatif de confidentialité, d'intégrité et de disponibilité des quelque 20 principaux fichiers ou ensembles de données servant à l'exploitation de l'entreprise. Par exemple, l'information sur les ventes et les comptes clients pourrait être cotée 3 au chapitre de la confidentialité. En effet, le nom des clients faisant affaire avec SMB ainsi que le montant de leurs créances ne sont pas de très gros secrets. L'intégrité est presque toujours cotée 5, pour la simple raison que des données altérées dans les comptes clients entraînent des perturbations souvent coûteuses des flux de trésorerie. La disponibilité peut également être cotée 4 ou 5, parce que les données peuvent être aussi difficiles à retracer si le système n'est pas disponible. Au bout du compte, cette évaluation permet d'identifier les systèmes de l'entreprise et de leur attribuer une valeur, en plus d'analyser en détail toutes les conséquences apparentes, sur les activités de l'organisation, des menaces qui touchent l'information.
Étape 3 : Évaluation des mesures de protection déjà en place
L'étape suivante consiste à évaluer la sécurité de l'information, c'est-à-dire à examiner ce qui est ou devrait être en place en matière de politiques, de normes et de procédés administratifs (i.e. accès des employés aux systèmes) concernant la sécurité de l'information, la façon dont le réseau informatique a été construit, et la façon dont les principaux systèmes informatiques sont configurés et gérés. Puisqu'il ne s'agit pas d'une mission de vérification, le personnel des finances et des TI peut réaliser une bonne partie du travail et ainsi fournir rapidement des résultats.
Étape 4 : Analyse des écarts
Le fait que la haute direction soit amenée à constater par elle-même les problèmes auxquels l'entreprise est exposée constitue l'un des plus grands avantages de cet exercice pratique d'évaluation interne. Les dirigeants deviendront nécessairement plus conscients des besoins de leur entreprise en matière de sécurité de l'information ainsi que des outils qui s'offrent à elle pour répondre à ces besoins.
Quels sont les outils d'évaluation à la disposition des entreprises de taille moyenne? Voir l'encadré concernant la norme ISO 17799, Code de pratique pour la gestion de la sécurité de l'information. Pour SMB, des composantes courantes de sécurité comme les politiques et les normes ainsi que les caractéristiques de sécurité du réseau étaient pertinentes à l'égard de tous les systèmes d'information ou actifs informationnels. L'entreprise avait aussi dû examiner chacun des principaux systèmes qu'elle avait évalués au regard de la sécurité technique et du niveau de performance de la sécurité administrative existante.
Les entreprises comme SMB, qui n'ont pas de politiques ou de normes de sécurité, utilisent souvent des protocoles de sécurité manquant de rigueur pour identifier les utilisateurs de leurs systèmes informatiques. Le plus souvent, ces ordinateurs hébergent des applications financières et des systèmes et applications de gestion de données. SMB avait coté 2 la performance de sécurité de ces systèmes dans leur état au moment de l'évaluation — y compris ceux des comptes clients et du grand livre. L'entreprise avait cependant, au début du projet, attribué à ces deux systèmes une cote plus élevée à l'égard des exigences de sécurité en matière de confidentialité, d'intégrité et de disponibilité. La différence entre les exigences et la performance crée un «écart» — une disparité entre un besoin défini qui peut être coté 3 ou 4, mais dont la posture de sécurité est de 1 ou 2. Dans le cas de SMB, l'équipe chargée de l'amélioration de la sécurité a réalisé cette analyse à l'égard de ses principaux systèmes d'information, et s'est retrouvée avec une longue liste d'écarts.
Étape 5 : Traitement des questions prioritaires
L'étape 5 consiste en l'élaboration du plan d'amélioration, lequel doit se focaliser sur les écarts les plus importants ainsi que les mesures devant être mises en œuvre pour réduire ou éliminer ces écarts. En général, ces mesures se divisent en deux catégories :
- Les solutions rapides — à savoir les mesures correctives pouvant être appliquées presque immédiatement, sans risque de créer d'autres problèmes dans les systèmes. Par exemple, si les copies de sécurité ne sont pas envoyées à l'extérieur régulièrement, le personnel peut commencer à le faire sans délai et sans endommager les systèmes. Ou encore, s'il existe 25 comptes d'utilisateur d'anciens employés dans un système comptable, ces comptes peuvent être supprimés sans risque d'interruption de traitement.
- Les protocoles de base — ce sont des mesures et des pratiques de sécurité que tous les employés devraient appliquer de façon routinière. Il s'agit simplement d'une saine gestion.
Chez SMB, les protocoles de base comprennent des tâches telles que l'élaboration d'une politique de sécurité de l'information. Une bonne politique de sécurité est un texte bref disant essentiellement que l'actif informationnel est important pour l'organisation et : - qu'il faut donc le protéger comme les autres actifs de l'entreprise;
- que la responsabilité de la protection de l'actif informationnel doit être partagée entre diverses personnes;
- que différents rôles doivent être confiés dans l'organisation — soit ceux de propriétaires, d'utilisateurs et de gardiens de l'information;
- que l'organisation doit élaborer des normes afin d'orienter la mise en œuvre de cette politique, l'une d'elles prévoyant notamment que l'organisation examinera certains faits concernant la sécurité, et que le personnel qui sera trouvé coupable d'avoir porté atteinte à la sécurité subisse de lourdes conséquences.
Cette politique a peu à voir avec la sécurité de l'information. Elle a cependant beaucoup à voir avec les principes élémentaires d'élaboration de politiques et de communication.
Code de pratique pour la gestion de la sécurité de l'information
Source : Tiré de la norme Security Standard BS7799 produite par le département du commerce et de l'industrie d'Angleterre au début des années 1990. |
Création d'un ensemble de plateformes informatiques
Une autre mesure de sécurité de base que SMB a dû envisager consistait en la création d'un ensemble de plateformes informatiques qui pouvaient permettre à chaque système de fonctionner de manière uniforme et sécurisée. On a été à même de constater que bon nombre d'entreprises de taille moyenne — comme SMB — donnent ce type de contrats spécialisés en sous-traitance à des fournisseurs du domaine des technologies de l'information et des télécommunications.
Il est prudent de souligner que, fréquemment dans leurs contrats, ces fournisseurs ne reconnaissent pas leur entière responsabilité dans le cas d'une atteinte à la sécurité de l'information découlant de leur action ou de leur inaction. L'établissement d'une relation fournisseur-client non ambiguë et transparente constitue dans ces cas une stratégie clé, souvent omise par des moyennes entreprises qui manquent de temps et sont par trop confiantes.
Maintien à niveau des systèmes informatiques
Le maintien à niveau des systèmes informatiques est également un élément essentiel pour prévenir les brèches de sécurité. Au cours du déroulement de son projet, SMB a découvert que des ordinateurs désuets pouvaient servir de porte d'entrée à des pirates informatiques cherchant à accéder sans autorisation à ses systèmes. Dans un autre ordre d'idées, un protocole de base sera inutile si les pirates ne peuvent pas être détectés.
Pour qu'un processus de sécurité de l'information soit efficace, il doit permettre à l'entreprise de définir et de consigner les incidents «critiques» qui surviennent dans ses systèmes informatiques. L'analyse de SMB lui a fourni des outils grâce auxquels l'entreprise peut savoir comment et pourquoi ses systèmes pourraient être compromis.
Conclusion
Un projet d'amélioration de la sécurité de l'information vise non seulement à faciliter l'identification des risques de sécurité, mais il doit également servir de catalyseur à la mise en œuvre d'un nouvel ensemble de protocoles de systèmes qui permettront de faire face aux risques et aux brèches, actuels et qui pourraient se présenter dans l'avenir. De telles initiatives pourront apporter la paix d'esprit nécessaire aux entreprises qui, comme SMB, songent à s'aventurer dans le monde périlleux du commerce électronique. Au fil de la mise en œuvre de son plan d'amélioration, l'organisation en viendra à élaborer des normes et des politiques concrètes. Et c'est seulement à ce moment qu'une vérification officielle de la sécurité de l'information deviendra pertinente — et cela, en mettant à la disposition de l'organisation les processus continus de suivi et de certification de la vérification.
Chris Anderson, CA (Nouvelle-Zélande), CISA, CMC, CISSP, est associé, Gestion des Risques Technologiques, au sein du cabinet Grant Thornton à Toronto.
LIENS CONNEXES
Comité consultatif sur les technologies de l'information de l'ICCA
Pirater pour une bonne cause..., par Adel Melek et Victor Keong, CAmagazine, janvier-février 2000
Introduction à la sécurité informatique
Ixus.net, Sécurité des réseaux informatiques
20 questions que les administrateurs devraient poser sur les TI
