|
Principes et enjeux La "Sécurité des Systèmes d'Information" (SSI) dans toutes ses dimensions |
|
|
La valeur d'une information est fonction du besoin qu'on en a.
Elle est liée à sa confidentialité,
son intégrité
et sa disponibilité.
Les informations se présentent généralement
dans un ensemble qu'on appelle "système"
parce que chacun des éléments qui le composent est
en interrelation étroite avec les autres. Dans la notion
de système, il y a la notion de complexité.
Le risque est
l'éventualité que des menaces
exploitent des vulnérabilités
pour causer un dommage.
La "Sécurité des Systèmes d'Information" (SSI)
est la gestion de ce type de risque. Les menaces font partie de
l'environnement. On ne peut agir sur elles qu'en intervenant sur
les vulnérabilités propres au système ou
sur leurs conséquences c'est-à-dire en limitant
leurs impacts.
Pour cela on identifiera les objectifs
de sécurité - qui doivent être adaptés
aux besoins de confidentialité, d'intégrité
et de disponibilité - en procédant à une analyse de risques.
Parmi les méthodes d'analyse de risques existantes, celle
que nous recommandons au CNRS est la méthode EBIOS.
La SSI repose sur l'utilisation de quelques techniques comme, l'authentification des utilisateurs, le contrôle d'accès aux ressources, la non-répudiation, l'audit des traces de sécurité, etc. Le niveau de sécurité globale d'un système est celui de son maillon le plus faible aussi recherchera-t-on à élever le niveau de sécurité d'une manière homogène. Pour ne citer qu'un exemple : rien ne sert de rechercher la performance sur le plan technique en laissant pour compte les problèmes d'organisation ou de gestion des ressources humaines. La vérification de la cohérence de sécurité des systèmes se fait par une approche de type ISO 17799.
La SSI doit prendre en compte aussi la protection de la sphère privée, classe fonctionnelle des Critères communs (ISO 15408) déclinée en quatre propriétés (FPR Privacy) : Anonymat, Pseudonymité, Non-chaînabilité, Non-observabilité.
La SSI ne se limite pas aux seuls aspects techniques : la réflexion doit se faire sur chacun des trois niveaux, stratégique, organisationnel et technique. [Schéma en préparation]
13 mai 2011 |
|
1 - 
