Généralités
Rappelons les principes fondamentaux d’une PSSI ..
Elle est adressée à tout le monde, elle ne doit pas apporter des solutions
mais exposer ce qu’il « faut obtenir » sans décrire le « comment
obtenir ».
Elle doit aussi être applicable et couvrir
l’ensemble de risques de la SI. Autrement les mesures qu’elle propose
devraient être déclinées au niveau des services techniques en procédures, même
si des directives techniques peuvent remplacer ces procédures.
Elle doit être évolutive, capable de suivre l’évolution
du métier, l’évolution technique, l’évolution juridique et inclure tout
retour sur expérience dans la gestion des incidents sécuritaires.
Elle doit aussi refléter les objectifs sécuritaires
de l’organisme.
La PSSI ne doit jamais être un travail solitaire,
c’est un travail collégial où les problèmes traités proviennent de toute
la SI, y compris les utilisateurs.
Elle doit déterminer une partie du rapport
SI-acteurs qu’ils soient internes ou externes d’où la nécessité
d’implication des activités supports : RH, juridique, services généraux
(Facility management) .
La PSSI sert la plupart du temps à sensibiliser les parties prenantes, y compris la direction en leur expliquant le retour sur investissement, et les risques encourus en cas de négligence … La PSSI prétend assurer quelques points fondamentaux :
1. Eviter le risque financier
2. Protéger le SI sur les plans technique, physique et humain
3. Se conformer aux exigences juridiques
4. Mettre en place des plans de continuité, reprise de l’activité et de l’exploitation informatique
5. Gérer toute crise à travers un plan d’action bien réfléchi
Pour ces raisons elle tente de re qualifier les risques et de les associer à des niveaux permettant de les classifier. La clé de la PSSI est cette gestion des risques que l’on doit mener selon une méthodologie bien définie, sachant qu’il n’y en a en France que deux bien connues : EBIOS et MEHARI.
La PSSI aussi se base ;à partir de la méthode utilisée et des référentiels de sécurité standardisés ; sur un vocabulaire unifié dont les divergences semblent devenir négligeables.
Prenons par exemple la définition d’un bien :
selon EBIOS Toute
ressource qui a de la valeur pour l'organisme et qui est nécessaire à
la réalisation de ses objectifs. On distingue notamment les biens
essentiels et les biens supports.
D’après
ISO 27001: un bien est tout élément représentant de la valeur pour
l’organisme
Nous
voyons que EBIOS a adopté le référentiel ISO 27000 et que les deux définitions
ne divergent pas sur l’essentiel : la valeur.
Mais alors quand on parle du bien on désigne quelle ressource ?
Un bien pourrait être
-
Liste de noms
-
Gestion de la facturation
-
Algorithme de cryptage
-
Poste de travail
-
Infrastructure réseau
-
Système
d'exploitation
-
Outils applicatifs
-
…
Autrement
toutes ressources y compris les compétences métiers.
EBIOS distingue les biens en Essentiels et Supports : Le bien essentiel est un processus ou une information et le bien support est tout autre bien.
C’est à dire qu’une donnée est un bien essentiel alors qu’un ordinateur avec son système d’exploitation est un bien support. La gestion de la facturation est essentiel alors que la marchandise est support …
En pratique la PSSI est un document d’une trentaine de pages qui aboutit à un plan d’action sécuritaire et qui permet de gérer les crises et définit le cadre de traitement d’incidents. Ce document est divisé en deux grandes parties :
-
Descriptive
-
Opérationnelle
La partie descriptive définit le cadre de la PSSI :
La partie Opérationnelle définit
les mesures de sécurité, l’objectif étant le plan d’action. Il est
usuel de considérer la PSSI comme une partie théorique qui n’a aucun lien réel
avec les procédures techniques mises en place dans la SI.
Ceci est complètement faux car une des caractéristiques de la PSSI est qu’elle soit applicable, c’est à dire que les services techniques concernés soient capables de décliner les mesures en directives techniques sinon en procédures. D’ailleurs c’est ce que nous devons vérifier et contrôler dans la partie inspection de la PSSI qui permettra son évolution.
La partie opérationnelle se doit de :
Deux façons de faire :
En tout cas, un lien entre l’objectif et la mesure doit subsister. Ainsi, si un des objectifs est de réduire le risque d’intrusion, la mesure correspondante doit se baser sur l’authentification et le traçabilité en utilisant les moyens techniques connus.
Probablement il faut que la mesure s’accompagne par un conseil aux services techniques de délivrer des rapports et des tableaux de bord.
Aussi, l’accès distant ne sera pas figé dans la PSSI en VPN ou avec des certificats mais par contre pourrait être décliné en niveau élevé d’authentification et/ou de chiffrement.
Ce formalisme est nécessaire pour deux raisons :
- Permettre aux services techniques concernés le choix de l’outil et des procédures
- Donner à la PSSI une souplesse tout en gardant la clarté des objectifs et des exigences sécuritaires
La PSSI se réalise toujours selon 4 étapes :
A. Encadrer – surtout la partie
descriptive
1.
Autorité de référence
2.
Objet de la PSSI
3.
Contexte
4.
Périmètre
5.
Les enjeux sécuritaires
6.
Les textes applicables y compris le référentiel de sécurité
B. Inventaire
C. Analyse des risques
D. Mesures de sécurité nécessaires
Traitement de risques
On agit de 4 façons
différentes face à un risque :
1.
Eviter ou éliminer le risque : contourner ou injecter une procédure
qui l’élimine
2.
Transférer le risque : prendre une assurance ou le confier à un spécialiste
3.
Réduire le risque : le transformer en acceptable
4.
Déclarer le risque en acceptable : risque résiduel
Nos plans d’actions contiennent des actions de 3
natures :
1.
Corrective
2.
Préventive
3.
Réactive
Finalement
L’ANSSI en juillet 2014 a pondu une PSSIE qui donnera l’exemple à toute
l’administration qui est appelée à l’adapter dans un délai de 3 ans.
Deux
exemples de cette PSSI nous permettent de comprendre la différence entre
mesures et procédures.
Exemple des mesures (PSSIE – la PSSI
de l’état )
Maintien en condition de sécurité
des systèmes d’information
Objectif 6 : maintien en
condition de sécurité. Gérer dynamiquement les mesures de protection, tout au
long de la vie du SI.
INT-SSI : intégration
de la sécurité dans les projets. La sécurité des systèmes d’information
doit être prise en compte dans toutes les phases des projets informatiques,
sous le contrôle de l’autorité d’homologation, de la conception et de la
spécification du système jusqu’à son retrait du service.
INT-QUOT-SSI : mise en
oeuvre au quotidien de la SSI. La sécurité des systèmes d’information se
traite au quotidien par des pratiques d’hygiène informatique. Des procédures
écrites définissent les actes élémentaires du maintien en condition de sécurité
lors des phases de conception, évolution ou retrait d’un système.
INT-TDB : créer un
tableau de bord SSI. Un tableau de bord SSI est mis en place et tenu à jour. Il
fournit au RSSI et aux autorités une vision générale du niveau de sécurité
et de son évolution, rendant ainsi plus efficace le pilotage de la SSI. Au
niveau stratégique, le tableau de bord SSI permet de suivre l’application de
la politique de sécurité et de disposer d’éléments propres à qualifier
les ressources devant être allouées à la SSI. Au niveau du pilotage, la mise
en place de ce tableau de bord permet de contrôler la réalisation
d’objectifs opérationnels, d’améliorer la qualité de service et de détecter
au plus tôt les retards dans la réalisation de certains objectifs de sécurité.
Lutte contre les codes malveillants
EXP-PROT-MALV :
protection contre les codes malveillants. Des logiciels de protection contre les
codes malveillants, appelés communément antivirus, doivent être installés
sur l’ensemble des serveurs d’interconnexion, serveurs applicatifs et postes
de travail de l’entité. Ces logiciels de protection doivent être distincts
pour ces trois catégories au moins, et le dépouillement de leurs journaux doit
être corrélé.
EXP-GES-ANTIVIR :
gestion des événements de sécurité de l’antivirus. Les événements de sécurité
de l’antivirus doivent être remontés sur un serveur national pour analyse
statistique et gestion des problèmes a posteriori (exemples : serveur
constamment infecté, virus détecté et non éradiqué par l’antivirus,
etc.).
EXP-MAJ-ANTIVIR : mise
à jour de la base de signatures. Les mises à jour des bases antivirales et des
moteurs d’antivirus doivent être déployées automatiquement sur les serveurs
et les postes de travail par un dispositif prescrit par les services centraux.
EXP-NAVIG :
configuration du navigateur Internet. Le navigateur déployé par l’équipe
locale chargée des SI sur l’ensemble des serveurs et des postes de travail nécessitant
un accès Internet ou Intranet doit être configuré de manière sécurisée (désactivation
des services inutiles, nettoyage du magasin de certificats, etc.).
(…/…)
Un Sniffer - Contrôle par Macadress