Généralités

 

Rappelons les principes fondamentaux d’une PSSI .. Elle est adressée à tout le monde, elle ne doit pas apporter des solutions mais exposer ce qu’il « faut obtenir » sans décrire le « comment obtenir ».

Elle doit aussi être applicable et couvrir l’ensemble de risques de la SI. Autrement les mesures qu’elle propose devraient être déclinées au niveau des services techniques en procédures, même si des directives techniques peuvent remplacer ces procédures.

Elle doit être évolutive, capable de suivre l’évolution du métier, l’évolution technique, l’évolution juridique et inclure tout retour sur expérience dans la gestion des incidents sécuritaires.

Elle doit aussi refléter les objectifs sécuritaires de l’organisme.

La PSSI ne doit jamais être un travail solitaire, c’est un travail collégial où les problèmes traités proviennent de toute la SI, y compris les utilisateurs.

Elle doit déterminer une partie du rapport SI-acteurs qu’ils soient internes ou externes d’où la nécessité d’implication des activités supports : RH, juridique, services généraux (Facility management) .

 

La PSSI sert la plupart du temps à sensibiliser les parties prenantes, y compris la direction en leur expliquant le retour sur investissement, et les risques encourus en cas de négligence … La PSSI prétend assurer quelques points fondamentaux :

1.     Eviter le risque financier

2.     Protéger le SI sur les plans technique, physique et humain

3.     Se conformer aux exigences juridiques

4.     Mettre en place des plans de continuité, reprise de l’activité et de l’exploitation informatique

5.     Gérer toute crise à travers un plan d’action bien réfléchi

Pour ces raisons elle tente de re qualifier les risques et de les associer à des niveaux permettant de les classifier. La clé de la PSSI est cette gestion des risques que l’on doit mener selon une méthodologie bien définie, sachant qu’il n’y en a en France que deux bien connues : EBIOS et MEHARI.

 

La PSSI aussi se base ;à partir de la méthode utilisée et des référentiels de sécurité standardisés ; sur un vocabulaire unifié dont les divergences semblent devenir négligeables.

Prenons par exemple la définition d’un bien :

 

selon EBIOS Toute ressource qui a de la valeur pour l'organisme et qui est nécessaire à la réalisation de ses objectifs. On distingue notamment les biens essentiels et les biens supports.

D’après ISO 27001: un bien est tout élément représentant de la valeur pour l’organisme

 

Nous voyons que EBIOS a adopté le référentiel ISO 27000 et que les deux définitions ne divergent pas sur l’essentiel : la valeur.

 

Mais alors quand on parle du bien on désigne quelle ressource ?

 

Un bien pourrait être

-        Liste de noms

-        Gestion de la facturation

-        Algorithme de cryptage

-        Poste de travail

-        Infrastructure réseau

-        Système d'exploitation

-        Outils applicatifs

-       

Autrement toutes ressources y compris les compétences métiers.

 

EBIOS distingue les biens en Essentiels et Supports : Le bien essentiel est un processus ou une information et le bien support est tout autre bien.

 

C’est à dire qu’une donnée est un bien essentiel alors qu’un ordinateur avec son système d’exploitation est un bien support. La gestion de la facturation est essentiel alors que la marchandise est support

 

La PSSI

 

En pratique la PSSI est un document d’une trentaine de pages qui aboutit à un plan d’action sécuritaire et qui permet de gérer les crises et définit le cadre de traitement d’incidents. Ce document est divisé en deux grandes parties :

 

-        Descriptive

-        Opérationnelle

 

La partie descriptive définit le cadre de la PSSI :

  1. L’objet de la PSSI
    1. Assurer la protection du SI : Biens essentiels et biens support
    2. Assurer la continuité de l’exploitation
    3. Eviter les risques, les réduire en acceptables ou les transférer
    4. Assurer le respect des lois et des règles concernant l’entreprise

 

  1. Le Contexte
    1. Description de l’entreprise
    2. Description des processus métiers concernés par la stratégie sécuritaire

 

  1. Le Champs d’application ou le périmètre
  2. Les acteurs et leurs rôles et leurs responsabilités
  3. Les exigences sécuritaires
  4. Les textes juridiques et le référentiel

 

La partie Opérationnelle définit les mesures de sécurité, l’objectif étant le plan d’action. Il est usuel de considérer la PSSI comme une partie théorique qui n’a aucun lien réel avec les procédures techniques mises en place dans la SI.

 

Ceci est complètement faux car une des caractéristiques de la PSSI est qu’elle soit applicable, c’est à dire que les services techniques concernés soient capables de décliner les mesures en directives techniques sinon en procédures. D’ailleurs c’est ce que nous devons vérifier et contrôler dans la partie inspection de la PSSI qui permettra son évolution.

 

La partie opérationnelle se doit de :

  1. Contenir les objectifs de sécurité et leurs liens avec les besoins de sécurité
  2. Décrire les exigences sécuritaires et les règles ou mesures qui en découlent
  3. Exposer les plan d’action – PCA - plan de continuité de l’exploitation – PRA

 

Deux façons de faire :

    • Soit prendre les objectifs par catégorie de risques et associer ces objectifs à des mesures de sécurité qui doivent être d’un niveau de formalisme assez élevé sans perdre la pesanteur – voir l’exemple de la PSSIE.
    • Soit partager les objectifs et les mesures pour permettre une plus grande formalisation

 

En tout cas, un lien entre l’objectif et la mesure doit subsister. Ainsi, si un des objectifs est de réduire le risque d’intrusion, la mesure correspondante doit se baser sur l’authentification et le traçabilité en utilisant les moyens techniques connus.

Probablement il faut que la mesure s’accompagne par un conseil aux services techniques de délivrer des rapports et des tableaux de bord.

 

Aussi, l’accès distant ne sera pas figé dans la PSSI en VPN ou avec des certificats mais par contre pourrait être décliné en niveau élevé d’authentification et/ou de chiffrement.

 

Ce formalisme est nécessaire pour deux raisons :

-        Permettre aux services techniques concernés le choix de l’outil et des procédures

-        Donner à la PSSI une souplesse tout en gardant la clarté des objectifs et des exigences sécuritaires

 

La PSSI se réalise toujours selon 4 étapes :

          A. Encadrer – surtout la partie descriptive

1.     Autorité de référence

2.     Objet de la PSSI

3.     Contexte

4.     Périmètre

5.     Les enjeux sécuritaires

6.     Les textes applicables y compris le référentiel de sécurité

 

          B. Inventaire

          C. Analyse des risques

          D. Mesures de sécurité nécessaires

           

Traitement de risques

           

          On agit de 4 façons différentes face à un risque :

1.    Eviter ou éliminer le risque : contourner ou injecter une procédure qui l’élimine

2.    Transférer le risque : prendre une assurance ou le confier à un spécialiste

3.    Réduire le risque : le transformer en acceptable

4.    Déclarer le risque en acceptable : risque résiduel

 

Nos plans d’actions contiennent des actions de 3 natures :

1.    Corrective 

2.    Préventive

3.    Réactive

 

Finalement L’ANSSI en juillet 2014 a pondu une PSSIE qui donnera l’exemple à toute l’administration qui est appelée à l’adapter dans un délai de 3 ans.

Deux exemples de cette PSSI nous permettent de comprendre la différence entre mesures et procédures.

 

Exemple des mesures (PSSIE – la PSSI de l’état )

 

Maintien en condition de sécurité des systèmes d’information

Objectif 6 : maintien en condition de sécurité. Gérer dynamiquement les mesures de protection, tout au long de la vie du SI.

 

INT-SSI : intégration de la sécurité dans les projets. La sécurité des systèmes d’information doit être prise en compte dans toutes les phases des projets informatiques, sous le contrôle de l’autorité d’homologation, de la conception et de la spécification du système jusqu’à son retrait du service.

INT-QUOT-SSI : mise en oeuvre au quotidien de la SSI. La sécurité des systèmes d’information se traite au quotidien par des pratiques d’hygiène informatique. Des procédures écrites définissent les actes élémentaires du maintien en condition de sécurité lors des phases de conception, évolution ou retrait d’un système.

INT-TDB : créer un tableau de bord SSI. Un tableau de bord SSI est mis en place et tenu à jour. Il fournit au RSSI et aux autorités une vision générale du niveau de sécurité et de son évolution, rendant ainsi plus efficace le pilotage de la SSI. Au niveau stratégique, le tableau de bord SSI permet de suivre l’application de la politique de sécurité et de disposer d’éléments propres à qualifier les ressources devant être allouées à la SSI. Au niveau du pilotage, la mise en place de ce tableau de bord permet de contrôler la réalisation d’objectifs opérationnels, d’améliorer la qualité de service et de détecter au plus tôt les retards dans la réalisation de certains objectifs de sécurité.

 

Lutte contre les codes malveillants

EXP-PROT-MALV : protection contre les codes malveillants. Des logiciels de protection contre les codes malveillants, appelés communément antivirus, doivent être installés sur l’ensemble des serveurs d’interconnexion, serveurs applicatifs et postes de travail de l’entité. Ces logiciels de protection doivent être distincts pour ces trois catégories au moins, et le dépouillement de leurs journaux doit être corrélé.

EXP-GES-ANTIVIR : gestion des événements de sécurité de l’antivirus. Les événements de sécurité de l’antivirus doivent être remontés sur un serveur national pour analyse statistique et gestion des problèmes a posteriori (exemples : serveur constamment infecté, virus détecté et non éradiqué par l’antivirus, etc.).

EXP-MAJ-ANTIVIR : mise à jour de la base de signatures. Les mises à jour des bases antivirales et des moteurs d’antivirus doivent être déployées automatiquement sur les serveurs et les postes de travail par un dispositif prescrit par les services centraux.

EXP-NAVIG : configuration du navigateur Internet. Le navigateur déployé par l’équipe locale chargée des SI sur l’ensemble des serveurs et des postes de travail nécessitant un accès Internet ou Intranet doit être configuré de manière sécurisée (désactivation des services inutiles, nettoyage du magasin de certificats, etc.).

 

 

                                                                                                                                                    (…/…)

Un Sniffer - Contrôle par Macadress

Outil pour communiquer en FTP