Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. La gouvernance du Système d'Information dans les PME
  3. La sécurité et la conformité du SI
Extrait - La gouvernance du Système d'Information dans les PME Pratiques et évolutions (2e édition)
Extraits du livre
La gouvernance du Système d'Information dans les PME Pratiques et évolutions (2e édition) Revenir à la page d'achat du livre

La sécurité et la conformité du SI

Introduction

La gouvernance du système d’information vise aussi la gestion des risques et sa mise en conformité avec les nombreuses réglementations, en particulier le statut sur les données financières (Sarbanes-Oxley Act, loi de sécurité financière, Bâle II et Bâle III...) tout en assurant la transparence.

De nouvelles réglementations ont vu le jour, il s’agit du règlement général sur la protection des données (RGPD) et le Safe Harbor 2. Le texte du RGPD est entré en vigueur le 24 mai 2016 et sera applicable à partir du 25 mai 2018.

Il est important de tenir compte des considérations techniques (sécurité des systèmes d’information, disponibilité des données, procédures de confidentialité...) et des exigences légales qui imposent aux entreprises de maîtriser leur informatique.

Ces contraintes sont plus ou moins strictes selon l’activité principale de l’entreprise ou établissement (banques, assurances, industries pharmaceutiques et aéronautiques...).

Progressivement, le périmètre du système d’information de l’entreprise à tendance à s’étendre : réseaux sociaux, appareils mobiles, cloud computing, Internet des objets. Les organisations ont l’obligation de reconsidérer...

L’importance des risques informatiques pour les PME

Les PME sont beaucoup plus vulnérables aux attaques impliquant la sécurité de leur système d’information et ne sont pas enclines à implémenter des démarches importantes comme des politiques de protection de l’information, la formation et la sensibilisation des personnels, des plans de secours ou de rétablissement en cas de sinistre, des protections contre les virus et autres programmes malveillants.

Elles utilisent parfois des logiciels standards souvent mal maîtrisés qui peuvent être sources de risques potentiels. Selon leur métier, ces organisations sont fortement dépendantes de l’informatique pour leurs activités : production, services, finance, ressources humaines, ventes, distribution, marketing...

Le tableau ci-dessous décrit un cas typique des impacts de sécurité concernant le système d’information et lié au métier d’une entreprise qui vend des produits ou des services.

Dans ce tableau et dans ce cas, certains services sont critiques selon les impératifs liés à l’activité métier principale. En effet, pour celle-ci, avoir son serveur web (Internet) opérationnel est impératif. C’est la vitrine par rapport à sa clientèle.

Ce serveur est relié à d’autres...

Les risques liés au système d’information

1. Définitions

Vulnérabilité

Ce terme définit les failles ou faiblesses du système informatique pouvant être exploitées par des menaces à des fins malveillantes.

Menace

C’est un acteur (matériel, organisationnel ou humain) qui peut exploiter une vulnérabilité pour obtenir, modifier ou empêcher l’accès à un actif ou encore le compromettre.

Une menace peut entraîner des effets indésirables et graves sur un actif ou un ensemble d’actifs, ou sur l’entreprise elle-même.

Les menaces peuvent être :

  • délibérées (vol, fraude, virus, hacking, incendie, attentat, sabotage, interception, divulgation ou altération de données…) ;

  • naturelles ou environnementales (tremblement de terre, éruption volcanique, inondation, coupure de courant, incendie...) ;

  • accidentelles (erreurs d’utilisation, omissions…) ;

  • dues à des pannes techniques : mauvais fonctionnement d’un équipement, d’un logiciel.

La connaissance des différents types de menaces peut aider dans la détermination de la dangerosité et des contrôles adaptés permettant de réduire leur impact potentiel.

Risque

Le risque est la possibilité qu’un événement critique survienne.

En résumé, les risques peuvent être qualifiés selon leurs origines (externes ou internes) :

  • Les risques externes :

  • Les attaques non ciblées. Toute entreprise est concernée par l’agression de virus ou d’actions malveillantes globales sur le réseau (déni de service).

  • Les attaques ciblées. Les atteintes physiques (vol ou destruction de matériel) ou logiques (accès d’intrus).

  • Les risques internes :

  • Ils sont plus difficiles à appréhender car ils concernent des ressources internes à l’entreprise.

Il est possible de résumer par la formule : expression du risque = menace x vulnérabilités.

L’impact d’un risque

Il peut être exprimé par les conséquences ou les préjudices affectant un actif :...

Gouvernance du système d’information et conformité

1. Définition de la conformité

Elle peut être définie comme un ensemble de livrables, processus et documentation requis pour satisfaire à ce que l’organisation considère comme exigences réglementaires (normes, aspects légaux) ou selon des considérations de stratégie, de politique ou d’activité métier spécifique.

Être conforme avec les critères définis signifie, en général, une compatibilité avec les performances du système :

  • ces exigences démontrent la capacité à fournir les fonctionnalités ou tâches prévues ;

  • les exemples de contraintes de performance comprennent la production d’un journal d’audit ou un rapport financier comme cela est requis par la réglementation spécifique ;

  • les nécessités procédurales démontrent que les processus appliqués correspondent à ce qui est décrit dans la documentation opérationnelle.

L’implémentation d’une architecture viable doit permettre de remplacer les processus actuels par d’autres de manière plus structurée. La réduction des risques de non-conformité est la première étape afin d’établir un cadre stratégique pour la gouvernance du système d’information dans l’objectif d’une meilleure visibilité des investissements.

La mise en place d’une démarche de gouvernance permet aussi :

  • d’exiger et de surveiller la conformité réglementaire et légale avec différentes normes (sécurité, comptabilité…), les pratiques commerciales, la sûreté et la santé des personnels, l’environnement ;

  • d’approuver les rapports financiers annuels et autres documents sensibles ou destinés aux administrations ;

  • de s’assurer qu’un système interne de contrôle existe et qu’il est opérationnel.

Le rôle du gestionnaire de conformité consiste à s’assurer que les normes et bonnes pratiques réglementaires sont implémentées et suivies correctement.

2. Association entre conformité et gestion...

Stratégie et programme de sécurité

La stratégie et le programme de sécurité informatique ont la tâche de déterminer les exigences relatives aux processus et structures afin de définir un plan d’action.

Cette stratégie implique d’identifier les particularités de l’entreprise en fonction :

  • des processus d’information et d’activités métier critiques et des systèmes informatiques sous-jacents : quelles sont les informations les plus sensibles de l’entreprise ou en relation avec les risques éventuels ?

  • des menaces potentielles et de l’estimation des impacts. Différents points de vue doivent être pris en considération : quelle est la perte de préjudice pour la société suite à l’altération, la divulgation et l’accès par des personnes non autorisées ?

  • des dommages subis selon les types, ceux qui jouent un rôle important. Les impacts doivent être pris en compte, en commençant par la perte financière, de parts de marché ou de réputation de l’entreprise, de la position concurrentielle jusqu’aux sanctions pour la violation de spécifications externes.

  • des classes d’exigences de sécurité et de la classification des processus d’activités. Elles ont des dimensions différentes selon la confidentialité (secret interne, public, etc.) et la disponibilité (99 %, 95 %, etc.).

  • du niveau des systèmes informatiques de sécurité : alors que le degré maximal de sécurité est déterminé, il est maintenant nécessaire de le satisfaire en fonction des systèmes d’information et selon les différentes catégories d’exigences.

  • des risques identifiés de non-conformité : à partir d’un niveau de sécurité déterminé, celui de la probabilité d’un incident et les conséquences attendues des dommages peuvent être définis.

1. Stratégie de sécurité du système d’information

Sur la base des conditions déterminées et des points clés de sécurité identifiés, une stratégie...

La gestion de la sécurité de l’information selon ISO 270xx

La gestion de la sécurité est intégrée à la gouvernance du système d’information. Elle nécessite de faire appel à différentes méthodologies pour son implémentation. La première, et la plus importante d’entre elles, est présentée ci-dessous.

1. Le modèle PDCA

La méthode PDCA (Plan, Do, Check, Act) issue de l’ISO 9000, est également appelée roue de l’amélioration de la qualité ou roue de Deming, cette application provenant du nom de W. Edwards Deming, statisticien et philosophe américain, inventeur des principes de la qualité, et de Walter Andrew Shewhart, statisticien américain, concepteur de la roue de Deming.

Le principe propose de maîtriser et d’optimiser un processus par l’utilisation d’un cycle continu d’améliorations en quatre étapes visant à réduire le besoin de corrections. Cette méthode démontre aussi que les bonnes pratiques doivent être mises en œuvre, documentées, appliquées et améliorées dans le temps.

Elle comporte les étapes suivantes :

1.

PLAN (planifier) : cette phase consiste à identifier et à préciser les besoins du maître d’ouvrage. Elle effectue l’inventaire des moyens nécessaires à sa réalisation, son coût et son planning.

2.

DO (réaliser, déployer) : c’est la partie opérationnelle de la méthode. Elle comporte :

  • l’allocation de ressources humaines, de temps et de budget ;

  • la rédaction de la documentation ;

  • la formation du personnel concerné ;

  • la gestion du risque ;

  • l’exécution des tâches.

3.

CHECK (mesurer et contrôler) : dans cette étape, les opérations réalisées précédemment sont évaluées pour vérifier qu’elles correspondent aux besoins exprimés, aux délais et aux coûts précisés au départ. Elle comprend :

  • une vérification à partir de ce qui déjà été implémenté dans d’autres environnements ;

  • un contrôle global des résultats...

La gestion de la sécurité de l’information selon ITIL

1. Gestion de la sécurité

Les aspects sécurité sur tous les processus ITIL font référence à la norme ISO/IEC 27001 qui présente la mise en place de la politique de sécurité de l’information dans l’entreprise.

Cette gestion poursuit les objectifs suivants : la mise en œuvre des exigences de sécurité, des accords de niveau de service (SLA) et d’autres contraintes découlant des accords, de la législation et d’autres politiques internes ou externes ainsi que d’assurer un niveau de sécurité de base.

2. Étapes du processus de sécurité

Le processus traitant de la sécurité du système d’information dans ITIL peut se résumer suivant sept étapes :

1.

Démarche initiale d’une analyse de risque, à partir d’une méthodologie éprouvée (IOS/IEC 27005, MEHARI…). Les exigences de sécurité doivent être, au préalable, identifiées.

2.

Le département informatique détermine la faisabilité des exigences et les compare avec la politique de base définie par l’organisation.

3.

Cette entité et les utilisateurs ou clients négocient un SLA (Service Level Agreement) qui comprend une définition de toutes les exigences de sécurité de l’information en termes mesurables...

La gestion de la sécurité de l’information selon COBIT

Le référentiel COBIT aide à l’élaboration d’une gouvernance de sécurité cohérente. Il identifie cinq objectifs principaux ayant pour thème l’apport de valeur pour l’entreprise, la maîtrise des risques, la gestion des ressources, la mesure de la performance et l’alignement stratégique (entreprise, système d’information).

Pour assurer ces cinq objectifs, COBIT définit trente-quatre processus répartis en quatre domaines :

  • Planification et organisation : l’objectif principal définit un plan stratégique pour le système d’information basé sur l’efficacité, l’architecture et l’aspect technologique tout en tenant compte des investissements en actifs. Ce domaine comprend la gestion du système d’information et ses relations avec la direction quant à sa stratégie et au métier de l’entreprise. De plus, tout principe d’organisation implique de traiter d’une part la gestion des ressources humaines, d’autre part des projets avec les critères de qualité en considérant les risques associés et la conformité avec les besoins externes.

  • Acquisition et mise en œuvre : ce domaine décrit dans une première partie les processus...

Conclusion

Nous avons vu dans ce chapitre l’importance de l’association conformité-sécurité. Pour rester adaptée aux réglementations, l’entreprise doit prendre aussi en compte les avancées technologiques.

En pratique cependant, la mise en conformité associée à la sécurité des données peut être complexe et délicate, et de nombreuses entreprises devront sans doute repenser la façon dont elles traitent et stockent toutes leurs informations, surtout celles qui sont considérées comme sensibles et personnelles.