Le projet Sécurité

Sécurité bases de données Ajouter un commentaire

Les grandes étapes

Elles peuvent être résumées dans le schéma suivant :

strategie_pgssi

La phase stratégique

note : la phase stratégique reboucle sur elle même : la décision stratégique , plutôt une VOLONTé STRATEGIQUE au départ donne lieu à une étude d’opportunité / faisabilité (en fonction des risques, des enjeux, des obligations légales, etc) et donne (ou pas) la décison stratégique.

  • La législation

Pourquoi la prendre en compte :
- il existe des lois, nul n’est censé les ignorer
- les enfreindre implique une responsabilité civile ou pénale de l’entreprise
- la loi peut imposer de nouvelles activités à l’entreprise (pas seulement interne) : exemple : la dématérialisation des marchés publics et l’e administration

Quelle législation ?
- lois nationales, directives, Européennes, lois internationales
- règlements intérieurs, conventions collectives (de la métallurgie par exemple), délibération des collectivités

Les lois nationales concernent principalement :
- la loi informatique et libertés (CNIL) (respect de la vie privée, des données personnelles, obligation de déclaration)
- la propriété intellectuelle
- protection/la copie/le piratage d’oeuvres ou de logiciels
- le recyclage de déchets électroniques et informatiques

  • L’analyse des risques

On sait qu’il y a des risques, encore faut il les analyser / évaluer.
Il existe différentes catégories de menaces :
- internes / externes (80% / 20 % !!)
- par intérêt économique ou par jeu / défi intellectuel

Il existe différents types d’acteurs :
- des individus (employés rancuniers ou cupides, hackers)
- des entreprises
- des états (espionnage industriel, terrorisme)

On évaluera par exemple leur probalité (est ce qu’une administration est susceptible d’être attaquées par des entreprises concurrentes ???)

  • La classification

Pragmatisme !! : toutes les informations ou ressources associées ne demandent pas le même niveau de sécurité. Cela implique de les classifier / quantifier. Un effet de bord intéressant sera que l’on limitera l’énergie et l’argent dépensé !

On quantifie la SENSIBILITE des infos et ressources (en fonction de la loi, des enjuex , des missions de l’entreprise)
==> taxinomie :

- par niveau de sensiblité
- par domaine de sécurité (confidentialité, disponiblité,…)
Ceci implique des procédures de protection et de gestion des documents et des ressources.
ET aussi un niveau de diffsuion des docs (de libre à…secret défense!)

+ d’infos  sur Wikipedia : http://fr.wikipedia.org/wiki/Sécurité du_système_d’information

Méthodologie

EBIOS
mise au point par le SCSSI : Service central de Sécurité des SI, du gouvernement (1er ministre)

Les principales étapes de la démarche sont les suivantes

ÉTAPE 1 – ÉTUDE DU CONTEXTE
ACTIVITÉ 1.1 – ÉTUDE DE L’ORGANISME
ACTIVITÉ 1.2 – ÉTUDE DU SYSTÈME-CIBLE
ACTIVITÉ 1.3 – DÉTERMINATION DE LA CIBLE DE L’ÉTUDE DE SÉCURITÉ
ÉTAPE 2 – EXPRESSION DES BESOINS DE SÉCURITÉ
ACTIVITÉ 2.1 – RÉALISATION DES FICHES DE BESOINS
ACTIVITÉ 2.2 – SYNTHÈSE DES BESOINS DE SÉCURITÉ
ÉTAPE 3 – ÉTUDE DES MENACES
ACTIVITÉ 3.1 – ÉTUDE DES ORIGINES DES MENACES
ACTIVITÉ 3.2 – ÉTUDE DES VULNÉRABILITÉS
ACTIVITÉ 3.3 – FORMALISATION DES MENACES
ÉTAPE 4 – IDENTIFICATION DES OBJECTIFS DE SÉCURITÉ
ACTIVITÉ 4.1 – CONFRONTATION DES MENACES AUX BESOINS
ACTIVITÉ 4.2 – FORMALISATION DES OBJECTIFS DE SÉCURITÉ
ACTIVITÉ 4.3 – DÉTERMINATION DES NIVEAUX DE SÉCURITÉ
ÉTAPE 5 – DÉTERMINATION DES EXIGENCES DE SÉCURITÉ
ACTIVITÉ 5.1 – DÉTERMINATION DES EXIGENCES DE SÉCURITÉ FONCTIONNELLES
ACTIVITÉ 5.2 – DÉTERMINATION DES EXIGENCES DE SÉCURITÉ D’ASSURANCE

Le memento de la méthode EBIOS

Faire un commentaire