la sécurité des informations méthodes et aspects humains
DESCRIPTION
La Sécurité des Informations Méthodes et aspects humains. 1h. SOMMAIRE. Les méthodes en sécurité définition et panorama les principales méthodes critères de choix et limites Les aspects humains la dissuasion les modèles d'action sur le comportement les valeurs morales et l'éthique - PowerPoint PPT PresentationTRANSCRIPT
La SécuritéLa Sécuritédes Informationsdes Informations
Méthodes et aspects humainsMéthodes et aspects humains
1h
SOMMAIRESOMMAIRE Les méthodes en sécurité
– définition et panorama– les principales méthodes– critères de choix et limites
Les aspects humains– la dissuasion– les modèles d'action sur le comportement– les valeurs morales et l'éthique
De la sensibilisation à l'implication Conclusion
I.I. Les méthodesLes méthodesen sécurité des S.I.en sécurité des S.I.
DEFINITIONDEFINITION
"Une méthode est un outil qui permet d'analyser, de concevoir, d'évaluer ou de contrôler, ensemble ou séparément, la sécurisation des systèmes d'information.
Les méthodes représentent le moyen essentiel pour obtenir une vision globale et cohérente de la sécurité, fournir un vocabulaire et des concepts communs à tous les acteurs de la sécurité, analyser et hiérarchiser les enjeux, les objectifs de sécurité, les menaces et les vulnérabilités, proposer des parades adaptées."
Sept 2002
- OCTAVE
(ISO 13335)
(ISPME)
- ISO 17799
(ISO 15408)
Bonnes pratiques, mesures et catalogues de sécuritéPolitiques de sécuritéGestion du risque SSIAudit ou contrôle interneIntégration de la SSI dans les projets
Compléments : YB 2004
- COBIT
- COBIT
(ITBS)
Les principales méthodesLes principales méthodes (CIGREF 2002)(CIGREF 2002)
Historique : les ITSEC Les méthodes et certifications les plus utilisées
– Les méthodes du CLUSIF : Marion, Mehari– Les méthodes de la DCSSI : PSI, EBIOS, DSIS– Les méthodes internationales
ISO 15408 : les critères communs ISO 13335 : GMITS ISO 17799 et BS 7799 Octave Cobit
Les ITSEC (1988-1991)Les ITSEC (1988-1991)
sécurité des produits et systèmes critères internationaux (Fr, Uk, De, Nl) éléments techniques majoritairement 6 niveaux de sécurité concernant :
– les besoins exprimés– la conception de l'architecture– la conception détaillée– l'implémentation
Les méthodes du ClusifLes méthodes du ClusifMARION (1990)MARION (1990)
Méthode d'Analyse et de réduction des Risques Informatiques Optimisés par Niveau
photographie de la sécurité (questionnaires) réduire vulnérabilités, erreurs, malveillances
– risques maximaux (simuler), moyens, courants cohérence des moyens de sécurité et adéquation aux
enjeux : schéma directeur de sécurité l'ensemble du personnel doit être impliqué encore très utilisée mais n'évolue plus
Les méthodes du ClusifLes méthodes du ClusifMEHARI (1996)MEHARI (1996)
MEthode Harmonisée d'Analyse du Risque Informatique
ensemble d'outils : Marion + management de la sécurité– analyse des facteurs de risque => Politique– niveau de risque à maintenir (probabilité/impacts) / objectifs– prise en compte des réseaux ouverts– meilleur lien vulnérabilités / risques
pas de label ou de certification, mais compatibleavec ISO 17799
Le schéma de MehariLe schéma de MehariPlan stratégique de sécurité
Préparation
analyse des valeurs état de la sécurité existante
évaluation de la gravité des risques
plan opérationnel de sécurité (POS)
plan opérationnel et tableau de bord d'entreprise (POE)
PHASE II
PHASE III
PHASE I
80 scénarios-types
Les méthodes Les méthodes de la DCSSIde la DCSSI
Ensemble de guides Ensemble de guides qui utilisent et qui utilisent et complètent les ITSECcomplètent les ITSEC(principalement(principalement le secteur public) le secteur public)
GARDE
Les méthodes de la DCSSILes méthodes de la DCSSI
la PSI : politique de sécurité interne– définir les règles générales de sécurité– sensibiliser aux risques, aux moyens de s'en prémunir– susciter la confiance
EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité + (Fiche FEROS)– objectifs (besoins, menaces spécifiques, vulnérabilités liées au choix)
– mesures techniques ou nonÉtude du contexte
Étude des risquesExpression des besoins de sécurité
Identification des objectifs de sécurité
Les méthodes de la DCSSILes méthodes de la DCSSI
Les méthodes de la DCSSILes méthodes de la DCSSI ROSCOF : Réalisation des Objectifs de Sécurité par le
ChOix de Fonctions
DSIS : Développement de Systèmes d'Information Sécurisés– guide destiné aux développeurs– modalités techniques et organisationnelles du développement et
d'une certification
GARDE : Guide d'aide à la Rédaction Des éléments à fournir pour l'Evaluation (ITSEC)
ECF : Evaluation et Certification Française(9 guides) – alternative équivalente à ISO 15408
Les Critères communs : ISO 15408Les Critères communs : ISO 15408(1996-1999)(1996-1999)
Basés sur les ITSEC + TCSEC (USA) + Canada s'étendent aujourd'hui à une vingtaine de pays bases d'évaluation + guide d'élaboration des produits et
systèmes ("cibles" d'évaluation) concentrés sur les menaces provenant des activités humaines
ou non pas de garantie d'une sécurité globale (cf ISO 17799)
Les méthodes internationalesLes méthodes internationales
ISO 13335 : GMITS (guidelines for management of ITS)
– "lignes directrices relatives à la gestion de la sécurité des S.I."– modèle d'harmonisation de la gestion de la sécu des S.I. entre
plusieurs pays, à adapter à la culture et aux lois locales; concepts et modèles gestion et planification techniques de gestion de la sécurité choix des mesures de sécurité conseils de gestion de la sécurité
– pas de base de connaissances (scénarios, questionnaires), pas d'outils logiciels : plus une norme qu'une méthode …
Les méthodes internationalesLes méthodes internationales BS 7799 (1995-1998) et ISO 17799 (2000)
– bonnes pratiques et méthodes, prenant en compte les réseaux étendus et le e-commerce
– la certification liée permet de s'assurer de la "sécurisation" d'un futur partenaire, même à l'étranger
– BS 7799-1 : code de pratiques (le "quoi") 10 thèmes : politique de sécurité, sensibilisation et formation du
personnel, protection des données personnelles, … (check-list)
– BS 7799-2 : spécifications du système de gestion (le "comment") analyse de risque mise en place d'un ISMS (information security management system) donne un schéma formel de certification
Les méthodes internationalesLes méthodes internationales
ISO 17799:2002 (basée sur BS 7799-1)
– décrit objectifs et mesures– demande à l'entreprise son niveau réel de risque et son
niveau acceptable– demande une explication du processus de sécurisation
adopté– l'entreprise doit décider des risques acceptés (mais
détecter et résoudre rapidement), d'éviter ou de transférer ces risques, ou de prendre des mesures
– peut-être complétée par des méthodes d'analyse de risques– peu adoptée par France, USA, Canada, …
Les méthodes internationalesLes méthodes internationales OCTAVE : Operationally Critical Threat, Assets and Vulnerability Evaluation
– université Carnegie Mellon, méthode parrainée par le CERT
– définit les valeurs mises en péril, les principaux risques et les vulnérabilités de la défense (base de connaissances)
– développer une stratégie de réduction des risques
– conçue pour être appliquée de l'intérieur (pas d'experts nécessaires !)
profil des besoins de sécurité/valeurs de l'entreprise
étude de vulnérabilité
Analyse des risquesÉlaboration et mise en œuvre de
la stratégie de réduction des risques et du plan de sécurité
Les méthodes internationalesLes méthodes internationales
COBIT: Control OBjectives for Information and related Technologies
– ensemble de "check-lists" destinées aux responsables des divers processus d'une entreprise
– lien entre les besoins et la nécessité de sécurité– 34 objectifs regroupés en 4 domaines (planification/organisation,
acquisition/mise en œuvre, exploitation/maintenance, suivi)
– cadre de gestion transversal, s'intéresse au "quoi faire"– bon moyen pour sensibiliser la direction
Les critères et les limitesLes critères et les limites Critères de choix
objectifs de la méthode niveau d'abstraction degré de couverture par domaine standardisée ? récente ? stabilisée ? transversale / S.I. ? diffusée ? souple et adaptable ? auditable ? facilité de mise en œuvre nécessité d'implication (mise en place, maintenance) coûts (acquisition, déploiement, entretien)
Limites : aucune n'est vraiment adaptée aux PME …
II. Les aspects humainsII. Les aspects humains
II.1. La dissuasion II.1. La dissuasion (Straub)(Straub)
la probabilité d'être pris et sévèrement puni est quasi certaine les managers sont les F.C.S. de cette politique
Le cycle des actions de sécurité
Dissuasion
Prévention
Détection
Remèdes
Faute dissuadée
Faute prévenue
Faute détectée
Faute impunie
Objectif de maximisation
Objectif de minimisation
peu de résultats
II.2. Les modèles d'action sur le II.2. Les modèles d'action sur le comportementcomportement
L'action raisonnée (Fishbein, Ajzen)
– l'intention détermine le comportement– l'intention, l'effort de "bien se comporter" dépend de :
l'attitude / comportement (perception favorable ou non) les normes subjectives (influence des "croyances des autres" et
conformité perçue)
Ex : piratage, acceptable ou non suivant le milieu
Les modèles d'action sur le Les modèles d'action sur le comportementcomportement
La "prévision" du comportement (Beck, Ajzen)
– ajout au précédent de la maîtrise perçue du comportement– influençable par la formation
Perception favorable du comportement
Influence des croyances des autresconformisme
Facilité perçue du comportement
Comportement"sécuritaire"
Les modèles d'action sur le Les modèles d'action sur le comportementcomportement
La motivation intrinsèque (Deci, Ryan)
– autodétermination des individus (conformité aux aspirations individuelles)
– la motivation à la sécurité est plus grande si les comportements à adopter sont proches des aspirations des individus
Les modèles d'action sur le Les modèles d'action sur le comportementcomportement
Les liens sociaux (Hirschi, Gottfredson)
– on devient "un délinquant" si les liens sont lâches ou inexistants
– ex de liens : attachement, devoir, implication, croyances L'apprentissage social (Akers)
– influence des valeurs "marginalisées" sur les individus
ex : côtoyer des pirates fait que l'on piratera plus facilement …
Un regroupement des modèles ?Un regroupement des modèles ?
attachement
devoir
implication
croyances
Influence descollègues
Influence de lahiérarchie
Politique desécurité
Systèmes desécurité
Programme de sensibilisationà la sécurité
Attitudes
Normessubjectives
Maîtrise
Niveau de respectde la sécurité
Manquementsobservés à la sécurité
Théorie de prédiction du comportement
Liens sociaux
Apprentissagesocial
Dissuasion
II.3. Les valeurs morales et l'éthiqueII.3. Les valeurs morales et l'éthique
Les codes d'éthique– sensibiliser les employés à l'éthique– clarifier les comportements corrects ou non– revaloriser les valeurs liées aux bonnes pratiques comportement éthique ?- problèmes liés à la dépersonnalisation et à l'anonymat /
informatique codes spécifiques à l'informatique ?- agir sur le jugement moral et les intentions des employés
Les valeurs morales et l'éthiqueLes valeurs morales et l'éthique
Les codes d'éthique (Harrington)
Codes d'éthique
non acceptation de la responsabilité
Opinion surl'utilisation abusive
Intentiond'utilisation abusive
les employés se sentent peu responsables / T.I.C. … peu d'effets … mais renforce les autres mesures … l'implication à plus d'influence, notamment les dirigeants
Les valeurs morales et l'éthiqueLes valeurs morales et l'éthique
Les domaines de développement moral (Gattiker, Kelley)
– le domaine personnel (préférences, goûts)les personnes n'apprécient pas les "ordres en soi" => expliquer !
– le domaine moral (perception des actes néfastes)– le domaine de la connaissance conventionnelle : actes non
néfastes mais qui ont des conséquences interpersonnelles :normes sociales, valeurs, attitudes
(ex : conception de virus acceptable selon le milieu)
– un apport important à la compréhension des comportements
II.4. ConclusionII.4. Conclusion
aucun modèle n'est totalement efficace importance des caractéristiques personnelles
(age, sexe, niveau hiérarchique, ….) importance de l'organisation : culture ou climat "sécuritaire" importance de la formation dans l'altération de la culture et
du climat de l'organisation.
III. De la sensibilisationIII. De la sensibilisationà l'implicationà l'implication
La sensibilisationLa sensibilisation
la sensibilisation consiste à "agir comme défini, connaître les situations et leur impact sur un environnement bien protégé"
BUT : faire comprendre à tous l'importance de la sécurité, les conséquences possibles du non-respect des procédures, tant pour le travail de chacun que pour la pérennité de l'entreprise
en permanence, globalement, de façon cohérente, avec des encouragements
RESPONSABILISER
vecteur ? (journal, mails, …) forme ? (BD ? humour ? Affiches ?) à quelles occasions ?
L'éducation et la formationL'éducation et la formation
Information : "quoi ?" Éducation : "pourquoi ?"
motivation– internaliser les "bonnes pratiques"
Formation : "comment ?" capacités, compétences, "maîtrise perçue"
(cf le "modèle de prévision du comportement")
L'implicationL'implication
Sensibilisation, éducation, formation, internalisation des "directives" implication, motivation
Pour les décideurs :Environnement organisationnel
Croyances au sujet du secteurSensibilité aux risques du secteur
Environnement du système d'information
Mesures de sécurité prises
Caractéristiques spécifiquesConnaissance/sensibilisationaux risques concernant les S.I.
Perceptions des décideurs
Implication au sujetdes risques liés aux S.I.
ConclusionConclusion
intérêts des méthodes et certifications : améliorer sécurité, juger une entreprise, un partenaire, primes d'assurances, …
importance des aspects humains et de leur prise en compte– impliquer pour AGIR …