l'Audit de La Securite Du Systeme d'Information Les Enjeux d

UNIVERSITE DE LA MANOUBA

Institut Suprieur de Comptabilit et dAdministration des Entreprises

Commission dExpertise Comptable

MEMOIRE EN VUE DE LOBTENTION DU DIPLOME DEXPERTISE COMPTABLE

LA SECURITE DU SYSTEME DINFORMATION : LES ENJEUX DE LEXPERT COMPTABLE

PRESENTE PAR : M. Bilel Errahmouni

ENCADRE PAR : M. Chiheb Ghanmi

Janvier 2011

DEDICACES

A mes chers parents pour leur soutien;

A ma femme pour ses encouragements, pour son soutienet son amour envers moi et envers ses enfants;

A A

mes chers enfants;

ma belle famille pour son aide prcieuse;

Remerciements

Je tiens exprimer toute ma gratitude et mes sincres remerciements MonsieurCHIHEB GHANMI davoir aimablement accept dencadrer ce travail de recherche, ainsi que pour les prcieux conseils quil a bien voulu me prodiguer.

Mes

remerciements sadressent aussi chacun des membres du jury pour la

confiance dont ils mont honore.

Je

remercie galement tout le personnel de lAgence Nationale de Scurit

Informatique pour laide qui ma t fournie et qui ma permis de raliser ce travail, quils trouvent ici, lexpression de ma reconnaissance.

La scurit du systme dinformation : Les enjeux de lexpert comptable

SommaireIntroduction Gnrale ......................................................................................................................11 PREMIERE PARTIE : SECURITE DU SYSTEME DINFORMATION ; CONCEPTS ET ENJEUX ....................17 Introduction la Premire Partie .....................................................................................................18 Chapitre 1: Les risques du systme dinformation............................................................................20 Introduction: ................................................................................................................................. 20 Section 1 : Dfinition, rle, objectif, fonctions et organisation dun systme dinformation : ......... 20 Section 2: Les menaces et les vulnrabilits des systmes dinformation : ..................................... 24 Section 3 : Les types des attaques et des agressions : ....................................................................30 Section 4 : Les systmes de dtection des intrusions .....................................................................33 Conclusion: ...................................................................................................................................37 Chapitre 2 : Les mthodes dvaluation du risque............................................................................38 Introduction: ................................................................................................................................. 38 Section 1: Le management du risque:............................................................................................ 38 Section 2: Control Objectives for Information and Technology: COBIT .......................................... 41 Section 3: La mthode danalyse des risques informatiques oriente par niveau MARION : .... 43 Section 4: La Mthode Harmonise d'Analyse de Risques : MEHARI .............................................. 46 Section 5: Expression des Besoins et Identification des Objectifs de Scurit : EBIOS ..................... 47 Section 6: Critres de choix entre les diffrentes mthodes .......................................................... 49 Conclusion: ...................................................................................................................................49 Chapitre 3 : La scurit du systme dinformation ...........................................................................50 Introduction: ................................................................................................................................. 50 Section 1: Dfinition, concepts et objectifs de la scurit du systme dinformation : ................... 50 Section 2 : Les caractristiques de la scurit : Confidentialit, Intgrit et disponibilit. .............. 51 Section 3: Les besoins en scurit : ...............................................................................................53 Section 4: la normalisation internationale en matire de scurit. ................................................ 54 Section 5: La scurit de linformation : une responsabilit du management................................. 59 5


Conclusion: ...................................................................................................................................62 Chapitre 4 : Le management de la scurit du systme dinformation (SMSI) .................................63 Introduction: ................................................................................................................................. 63 Section 1 : Dfinition dun SMSI : ..................................................................................................63 Section 2 : La mise en place dun SMSI : ........................................................................................64 Section 3 : Le SMSI et Le PDCA dEdward Deming: .........................................................................65 Section 4 : La norme ISO 27001 et le SMSI : ................................................................................... 67 Conclusion: ...................................................................................................................................68 Conclusion de la Premire Partie .....................................................................................................69 DEUXIEME PARTIE : AUDIT DE LA SECURITE DU SYSTEME DINFORMATION ....................................71 Introduction la Deuxime Partie ...................................................................................................72 Chapitre 1 : Lexpert comptable et les missions daudit de la scurit du systme dinformation ...74 Introduction : ................................................................................................................................74 Section 1 : La scurit du systme dinformation dans le cadre dune mission daudit lgal: .......... 74 Section 2 : La scurit du systme dinformation dans le cadre des autres missions de lexpert comptable : ...................................................................................................................................77 Section 3 : Cadre comptable, fiscal, juridique et rglementaire : ................................................... 78 Section 4 : Les comptences requises par lexpert comptable: ......................................................91 Conclusion: ...................................................................................................................................99 Chapitre 2 : Les tapes daudit de la scurit du systme dinformation .......................................100 Introduction: ............................................................................................................................... 100 Section 1: Dfinitions et objectifs de laudit de la scurit du systme dinformation: ................. 100 Section 2 : Prise de connaissance gnrale : ................................................................................102 Section 3: Planification de la mission: ..........................................................................................109 Section 4 : Mise en plan du plan de mission : .............................................................................. 112 Section 5 : Elaboration du rapport et des recommandations : ..................................................... 117 Conclusion: .................................................................................................................................120 Chapitre 3 : Dmarche daudit de la scurit du systme dinformation base sur ISO 27002 ....... 121 Introduction: ............................................................................................................................... 121 6


Section 1: Prsentation de la norme les bonnes pratiques de scurit ISO 27002 : .................. 121 Section 2: Audit organisationnel et physique:.............................................................................. 123 Section 3 : Audit technique .........................................................................................................130 Conclusion : ................................................................................................................................132 Chapitre 4 : Laudit de la scurit du systme dinformation et les normes daudit financier ........133 Introduction : ..............................................................................................................................133 Section 1 : La relation entre les risques de la scurit de linformation et le risque daudit: ......... 133 Section 2: La scurit du systme dinformation et lvaluation du systme de contrle interne : ...................................................................................................................................................137 Section 3 : La scurit de linformation et lhypothse sous jacente de la continuit dexploitation : ...................................................................................................................................................142 Section 4: Laudit externe et le respect de la rglementation en matire de scurit: ................. 143 Conclusion: .................................................................................................................................146 Conclusion de la deuxime partie ..................................................................................................147 Conclusion Gnrale ......................................................................................................................148 ANNEXES ........................................................................................................................................149 BIBLIOGRAPHIE ..............................................................................................................................149

7


LISTE DES ABREVIATIONSAFAI ANSI ANSSI BS BSI Cert-TCC CISA CLUSIF CNCC COBIT COSO CPU DCSSI DDOS DESS DNS EBIOS ECR EDI GED GMITS HIDS HTTP HTTPS IAA IAASB IAPC IDS IDSH IFAC IFACI IP IPS IPsec ISA ISACA ISO ITSEC MARION MEHARI NIDS Association Franaise dAudit et de Conseil Informatique Agence Nationale de la Scurit Informatique Agence nationale de la scurit du systme dinformation British Standard Code of practice for information security management British Standards Institution Computer Emergency Response Team-Tunisian Coordination Center Certified Information System Auditor Club de la Scurit des Systmes dInformation Compagnie Nationale des Commissaires aux Comptes Control Objectives for Information and Technology Committee of Sponsoring Organizations Central Processing Unit Direction Centrale de la Scurit des Systmes d'Information Distributed Denial of Service Diplme dEtudes Suprieures Spcialises Domain Name System Expression des Besoins et Identification des Objectifs de Scurit Efficiency Consumer Response Echange de Donnes Informatises Gestion Electronique de Documents Guidelines for the management of IT Security Host Based Instruction Detection System HyperText Transfer Protocol Hypertext Transfer Protocol Secured Institut of Internal Auditors International auditing and assurance standards board International Auditing Practices Committee Intrusion Detection Systems (Systmes de Dtection dIntrusions) Systmes de Dtection dIntrusions Hybrides International Federation of Automatic Control Institut Franais de lAudit et de Contrle Internes Internet Protocol Intrusion Prevention System (Systmes de Prvention dIntrusions) Internet Protocol Security International Standards on Auditing Information Systems Audit and Control Association International Standard Organisation Information Technology Security Evaluation Criteria Mthode dAnalyse des Risques Informatiques Oriente par Niveau Mthode Harmonise d'Analyse de Risques Network Base Instruction Detection System8


NIS OSI PDCA PME POE POS PSS QSSI RSSI SAC Report SAO SGDT SI SIG SIM SIS SMSI SNMP SOX SSI TEMPEST TIC TPE

Network Information Service Interconnexion de Systmes Ouverts (Open Systems Interconnection) Plan-Do-Check-Act Petites et Moyennes Entreprises Plan Oprationnel d'Entreprise Plans Oprationnels de Scurit Plan Stratgique de Scurit Questionnaire Scurit Systme dInformation Responsable Scurit Systme d'Information Systems Auditability and Control Report Statement of applicability Systme de Gestion des Donnes Techniques Systme d'Information Systme Information de Gestion Systme dInformation Mercatique Systme dInformation Stratgique Management de la Scurit du Systme dInformation Simple Network Management Protocol Sarbanes-Oxley Scurit du Systme dInformation Telecommunications Electronic Material Protected from Emanating Spurious Transmissions Technologies de lInformation et de la Communication Trs Petite Entreprise

9


LISTE DES FIGURES

FIGURE 1: Systme d'information FIGURE 2: Organisation du rfrentiel Cobit FIGURE 3: Exemple de rosace Marion FIGURE 4: Exemple d'histogramme diffrentiel Marion FIGURE 5: Schma gnral de la mthode Mehari FIGURE 6: Dmarche EBIOS globale FIGURE 7: Cartographie des principales mthodes SSI dans le monde FIGURE 8: Evolution de la norme BS 7799 FIGURE 9: Relation ISO 27001 et ISO 27002 FIGURE 10: Systme de management de la scurit de linformation FIGURE 11: Les phases o lexpert comptable aborde la SSI FIGURE 12: Objectifs de la scurit du systme dinformation FIGURE 13: Apprciation de la complexit du systme dinformation FIGURE 14: Planification et mise de place du plan de mission FIGURE 15: Calendrier de la mission daudit de scurit informatique FIGURE 16: Structure de la norme ISO 27002 FIGURE 17: Les composants du risque daudit FIGURE 18: Les risques danomalies significatives FIGURE 19: Les composantes du contrle interne FIGURE 20: La scurit du systme dinformation et lvaluation du systme de contrle interne

10


Introduction Gnrale

Le monde des affaires est caractris, de nos jours, par louverture des marchs, lmergence de nouvelles technologies et le dveloppement des moyens de communication ayant conduit la dfinition de nouveaux contextes pour lorganisation des entreprises. Dans ce cadre, le systme dinformation des entreprises, paralllement son rle dterminant dans la conduite des affaires, est considr dsormais, comme un lment stratgique pour les entits soucieuses de se doter davantages concurrentiels durables. Il est de plus en plus indispensable pour les entreprises de mesurer la performance de leur systme dinformation, de veiller sa cohrence densemble, sa conformit aux normes et aux critres de qualit et de scurit qui doivent le caractriser.

Lenvironnement actuel de lentreprise est caractris par une globalisation des conomies qui sest rapidement concrtise grce au dveloppement acclr des systmes dinformation. En effet, durant les vingt dernires annes, ces systmes ont connu des volutions exponentielles grce au dveloppement technologique. Ainsi, nous avons pu observer, notamment, lexplosion des micro-processeurs, le dveloppement des rseaux, lintgration des systmes et louverture des systmes sur les partenaires de lentreprise. Lutilisation accrue de lInternet a acclr considrablement lvolution des systmes dinformation, puisque son cot rduit et son utilisation relativement simple ont favoris sa pntration, notamment dans les petites et moyennes entreprises. Lconomie moderne devient de plus en plus immatrielle. Cette volution vers la Socit de lInformation ne saurait tre facilite que par le dveloppement spectaculaire des technologies de linformation. Devant le dveloppement des technologies de linformation et lutilisation sans cesse croissante de loutil informatique dans le traitement et la production de linformation financire et comptable, la dmatrialisation des pices comptables et la perte des contrles manuels, le besoin des utilisateurs est devenu de plus en plus croissant pour obtenir une information fiable. Corrlativement aux amliorations apportes aux entreprises en termes de rapidit de traitement de linformation et dallgement des charges de travail, le dveloppement intensif du systme dinformation a gnr lieu une nouvelle catgorie de risques, savoir la perte de contrle de la cohrence et de la fiabilit de ce systme. Toutefois, cette volution a augment considrablement la dpendance des entreprises envers leurs systmes dinformation et a affect leurs procdures de contrle interne. Nous citons, essentiellement, la dmatrialisation tendant devenir totale zro papier de la transaction11


et par la suite, de la preuve; absence de documents dentre, absence de systmes de rfrences visibles, absence de documents de sortie visibles. Paralllement, cette volution, la vulnrabilit du systme d'information sest accrue, ce qui a engendr pour l'entreprise de nouveaux risques inhrents la scurit du systme dinformation qu'elle est appele matriser. Aujourdhui, les systmes dinformation revtent un caractre stratgique dans le monde des entreprises. En effet, les exigences de lenvironnement (marchs financiers, clients, concurrence... etc.) imposent celles-ci la performance et la ractivit. Ceci implique que le traitement de linformation doit tre rapide et pertinent. Ainsi, il est primordial que les systmes dinformation permettent lentreprise dune part, dadapter en permanence sa structure aux exigences de son march et, dautre part, dtre en mesure daugmenter continuellement sa productivit. Cest ainsi que les dirigeants des entreprises sorientent de plus en plus vers des systmes ouverts, modulaires, axs sur les besoins des clients et mme de couvrir lensemble des proccupations de leurs entits. Les volutions significatives de la rglementation, des rfrentiels comptables et des modes de fonctionnement des entreprises auxquelles nous avons assistes au cours de ces dernires annes, ont fortement influenc la dmarche de laudit comptable et financier. En effet, louverture des systmes et leur complexit ont engendr des risques ayant eu des consquences graves sur le fonctionnement adquat de lentreprise. Afin de rpondre aux nouvelles exigences imposes par cet environnement, lauditeur devra revoir sa mthodologie daudit et complter sa formation dans le domaine de laudit de la scurit du systme dinformation de faon prendre en considration les risques induits par ces systmes et leur impact sur le dispositif du contrle interne. Pour faire face ce nouveau contexte, les grands cabinets daudit et de conseil ont adopt de nouvelles dmarches daudit qui reposent largement sur lvaluation des risques et des contrles de la scurit du systme dinformation. Ces nouvelles approches imposent aux auditeurs de comprendre, valuer et tester le contrle interne relatif lenvironnement de la fonction informatique et aux applications traitant des principaux processus des activits de lentreprise. Dans ce cadre, les auditeurs financiers ne peuvent plus ngliger laspect de la scurit du systme dinformation des entreprises dont lexamen est devenu de plus en plus complexe. Sils ont estim, au dpart, qu'il fallait traiter la scurit du systme dinformation dans le cadre dune mission particulire, ils sont convaincus, aujourd'hui, que ltude de cette scurit12


devrait tre intgre dans leur dmarche professionnelle et doit faire partie, dsormais, de leurs proccupations majeures. Ainsi, lapproche daudit, que nous avions lhabitude dadopter dans nos entreprises tunisiennes, devrait sadapter ce nouveau contexte et aux risques lis. Cette mise niveau de lapproche daudit est devenue une proccupation majeure et dactualit des organismes professionnels et des cabinets dexpertise internationaux. Cest ainsi que les organismes professionnels n'ont pas tard de concevoir et de mettre jour les lignes directrices et les diligences adquates dans le cadre dun audit de la scurit du systme dinformation. Il en est de mme des cabinets internationaux qui ont vite dvelopp des mthodologies appropries et ont ralis des investissements importants pour adapter les approches daudit un environnement devenu de plus en plus complexe. Paralllement ces nouveaux mcanismes mis en place, la lgislation, la jurisprudence et la doctrine lchelle internationale se sont enrichies de rgles nouvelles destines rglementer et contrler certains aspects des systmes dinformation. Egalement, lexpert comptable, dans le cadre de ses missions de consulting, apporte une aide principalement en termes de sensibilisation aux risques et menaces qui psent sur le systme dinformation, des rgles dorganisation respecter et des dispositifs de scurit qui permettent de remdier ces risques. Face aux multiples risques qui peuvent engendrer des pertes financires considrables et qui menacent la prennit de lexploitation suite latteinte la confidentialit, lintgrit et la disponibilit de linformation, les rglementations nationales et internationales ont pris conscience de ce souci majeur de prserver la scurit de linformation et de ce fait, nous assistons lmergence de lois et de normes ayant pour principal objectif la protection de linformation. Lexpert comptable, travers sa mission de commissariat aux comptes ou de consulting, et disposant de certains atouts, peut contribuer, dans le cadre de laudit de la scurit du systme dinformation, lamlioration de la visibilit des entreprises. Dans ce contexte, il sagit de savoir: quels sont les enjeux auxquels est confront lexpert comptable dans le cadre de laudit de la scurit du systme dinformation? La problmatique, ainsi prsente, nous incite apporter des lments de rponse aux questions suivantes : Quels sont les menaces et les risques du systme dinformation ? Quen est-il du dveloppement dune politique de scurit du systme dinformation ?

13


Quel est lintrt de laudit de la scurit du systme dinformation pour lexpert comptable? Quelles seront les contributions de lexpert comptable pour lamlioration de la scurit du systme dinformation ? Enfin, quelle est la mthodologie dvelopper par lexpert comptable pour laudit de la scurit du systme dinformation? La problmatique rside dans le fait que : Linformation comptable et financire est souvent issue des processus hautement informatiss et quil est, par consquent, inconcevable de certifier les comptes sans auditer la scurit du systme dinformation. Les nouvelles rglementations exigent des auditeurs dvaluer et de tester les procdures de contrle interne y compris celles lies aux systmes information. 1 Les systmes dinformation induisent des risques spcifiques que lauditeur doit prendre en considration dans sa dmarche daudit. En effet, le recours aux technologies de linformation saccompagne inluctablement de nouveaux risques, parmi lesquels nous pouvons citer : Louverture des systmes dinformation aussi bien en interne, travers les outils dIntranet, quen externe, travers lInternet ; Labsence de procdures de gestion et de matrise des risques lis lintroduction des nouvelles technologies de linformation peut avoir des consquences financires prjudiciables pour lentreprise; Labsence de politiques et de procdures relatives la scurit du systme dinformation ; La dpendance vis--vis des fournisseurs de technologie ; La refonte des processus, suite la mise en place de nouveaux systmes dinformation, peut affecter larchitecture des contrles et rduire la capacit de lentreprise couvrir ses risques. Lexpert comptable sera confront la complexit des systmes dinformation et aux risques qui leur sont lis. Il nest donc plus appel, seulement, adapter sa dmarche daudit comptable et financier en fonction du degr defficacit du contrle interne de lentreprise, mais aussi conseiller les clients en matire de gestion des risques pouvant affecter lensemble de leurs procdures.

1

ISA 315 : Connaissance de l'entit et de son environnement et valuation du risque d'anomalies significatives

14


Les objectifs escompts par ce mmoire sont les suivants : Prsenter une mthodologie claire permettant daider les professionnels effectuer des missions daudit de la scurit du systme dinformation en se basant sur les bonnes pratiques issues de la norme ISO 27002 ; Prsenter les bonnes pratiques en matire dorganisation et de management du systme dinformation, qui peuvent tre utilises comme un guide par les professionnels dans leurs missions de conseils en gestion des risques ou de mise en place des procdures de contrle interne ; Elargir davantage les missions de lexpert comptable. Sur le plan personnel, ce travail nous a permis dapprofondir nos connaissances dans un domaine stratgique qui implique ncessairement une mise niveau du mtier de lexpert comptable. En effet, celui-ci est amen, de nos jours, dvelopper une expertise dans ce domaine afin dlargir le champ dintervention de ses missions laudit et au conseil en systme dinformation et dtre en mesure de certifier les tats de synthse de manire atteindre les objectifs noncs ci-dessus avec le maximum defficacit et une valeur ajoute plus importante. La mthodologie adopte sarticule sur : Une dmarche pragmatique, qui consiste prsenter une mthodologie pour la conduite des missions daudit de la scurit du systme dinformation, en mettant en vidence les bonnes pratiques en matire de contrle de ces systmes issues de la norme ISO 27002. Cette dmarche est dveloppe dans le prsent mmoire suivant un plan arrt comme suit: 1re Partie: Scurit du systme dinformation; Concepts et enjeux: Dans cette partie, lattention sera porte sur : Les risques inhrents au systme dinformation, en prsentant la dfinition du systme, les menaces et vulnrabilits qui peuvent laffecter, les types des attaques et agressions auxquelles il est expos et un aperu sur les systmes de dtection des intrusions ; La prsentation du management du risque du systme dinformation et des diffrentes mthodes de son valuation: COBIT, MARION, MEHARI, EBIOS La scurit du systme dinformation: dfinition, caractristiques et prsentation de la normalisation internationale de la scurit du systme dinformation et prsentation de la scurit en tant que responsabilit relevant du management. La prsentation du management de la scurit du systme dinformation (SMSI)15


Lobjectif de cette partie est de mettre en exergue les menaces et vulnrabilits du systme dinformation et de montrer limportance que revt, dsormais, la scurit de ce systme. 2me Partie: Audit de la scurit des systmes dinformation : Dans cette partie, laccent sera mis sur : Le rle de lexpert comptable dans le cadre des missions daudit de la scurit du systme dinformation ; Les tapes daudit de la scurit du systme dinformation ; La dmarche daudit de la scurit du systme dinformation base sur les bonnes pratiques issues de la norme ISO 27002 ; Prsentation de la relation entre laudit de la scurit du systme dinformation et les normes daudit financier. Lobjectif de cette partie est dexposer la manire selon laquelle laudit de la scurit du systme dinformation sintgre dans les diffrentes tapes de laudit financier et de dvelopper un guide de mthodologie daudit en la matire.

16

PREMIERE PARTIE : SECURITE DU SYSTEME DINFORMATION ; CONCEPTS ET ENJEUX


Introduction la Premire Partie

Le processus de libralisation et de mondialisation des marchs entrane une concurrence froce sur les marchs. Ceci, amne les entreprises matriser, notamment leur systme dinformation afin dtre ractives et mme de jouer un rle prdominant dans leurs marchs. Lvolution des systmes et leur ouverture sur les partenaires de lentreprise conduisent de nouveaux enjeux et entrainent des risques multiples, ce qui augmente la vulnrabilit des systmes dinformation. Par ailleurs, la mise en place des nouveaux systmes informatiques intgrs et complexes saccompagne par une refonte des processus de gestion des activits et des procdures de contrle interne des entreprises. Les ordinateurs et les rseaux font dsormais partie de la vie quotidienne; ces investissements envahissent aussi bien notre vie professionnelle que prive. Cependant, la multiplication des moyens daccs et louverture des rseaux vers lextrieur de lentreprise fragilisent le systme dinformation de cette dernire. Cette ouverture croissante du systme nest pas sans risques pour lentreprise qui devient, alors, la cible dattaques visant non seulement prendre connaissance ou modifier linformation mais aussi paralyser ce systme. Le degr de sophistication de telles attaques est trs variable, se manifestant particulirement par la permanence des violations et des agressions virales qui font de gros dgts et affectent lourdement le fonctionnement des systmes. Des faits dactualit dmontrent chaque jour la vulnrabilit des systmes en labsence de protections efficaces. De ce fait, il est impratif que le fonctionnement de ces systmes soit scuris. Dautre part, et en plus des dgts causs par les intrusions externes, cest bien de lintrieur mme de lentreprise que peuvent surgir les attaques les plus dangereuses et les plus rpandues. Il est ainsi admis que la cause principale de ces multiples atteintes au systme dinformation est fermement lie au facteur humain qui constitue souvent le maillon vulnrable du systme de scurit mis en place. Cela tient particulirement la sensibilisation, aux modes dorganisation, lintgration dans les objectifs et modes de management, et bien sur, au choix de linvestissement. Pour lessentiel, la scurit nest plus aujourdhui rserve la technologie et au domaine informatique, mais elle concerne aussi le systme dinformation dans sa globalit. Il est vident que la comprhension de lorganisation et de lenvironnement lgal de la fonction informatique, des cycles de vie des systmes et des principaux risques qui y sont lis

18


constituent un pralable ncessaire laccomplissement des missions daudit informatique aussi bien dans le cadre des missions daudit financier que des missions daudit spcifique. Comme indiqu au niveau de lintroduction gnrale, cette premire partie prsente les multiples menaces et vulnrabilits du systme dinformation, les diffrentes mthodes de leur valuation et de leur analyse des risques, ainsi que les concepts fondamentaux relatifs la scurit du systme dinformation et le management de cette scurit.

19


Chapitre 1: Les risques du systme dinformationIntroduction: Ltude de la scurit du systme dinformation, passe invitablement par lexamen du systme informatique et lvaluation de sa scurit. En effet, le systme informatique est dfini comme tant lun des principaux moyens techniques pour faire fonctionner un systme dinformation.2 Le risque informatique est dfini comme tant la situation constitue dun ensemble dvnements simultans ou conscutifs dont loccurrence est incertaine et dont la ralisation affecte les objectifs de lentreprise qui la subit 3. En utilisant loutil informatique, lentreprise sexpose une multitude de risques qui peuvent se traduire par des pannes, vols de matriels, pertes de donnes, et de productivit, voir mme latteinte la continuit de son exploitation. Ces risques varient en fonction de la structure de lentreprise et de son environnement informatique, do la ncessit didentifier pour chaque entreprise les risques propres auxquels elle sexpose pour pouvoir mettre en place les mesures de scurit appropries. Pour tudier les diffrents types de risques du systme dinformation, nous allons commencer par une identification des menaces, et des vulnrabilits des systmes, pour aborder, ensuite, les types des attaques et des agressions et enfin les systmes de dtection des intrusions. Section 1 : Dfinition, rle, objectif, fonctions et organisation dun systme dinformation : Sous section 1: Dfinition: Un systme dinformation peut tre dfini comme tant lensemble des moyens matriels, logiciels, organisationnels et humains visant acqurir, stocker, traiter, diffuser de linformation. Cette information est ncessaire pour dcider, agir, prvoir, contrler et effectuer les activits dune organisation.4

2 3

Panorama gnral des normes et outils daudit, Franois VERGEZ AFAI ESIL anne 2010, p 4 www.afai.fr Mickael PLANTEC - les risques informatiques - www.XiTi.com 4 www.clusir-est.org/resources/afai.pd

20


Figure 1: Systme dinformation5

L'amlioration de l'efficacit et de l'efficience des organisations est la proccupation permanente des dirigeants des entreprises. Dans une conomie qui se mondialise, o la concurrence devient de plus en plus vive, les organisations cherchent offrir davantage de services aux clients; l'information est devenue ainsi de plus en plus une variable stratgique, essentielle et primordiale au processus de prise de dcision. Le systme d'information est aujourd'hui au cur de la cration de valeurs au sein des entreprises et peut constituer un avantage comparatif par rapport la concurrence. Sous section 2: Rle stratgique des systmes dinformation:6 Aujourdhui, les systmes dinformation revtent un caractre stratgique dans le monde des entreprises. En effet, les exigences de lenvironnement (marchs financiers, clients, concurrence... etc.) imposent celles-ci dtre performantes et ractivits. Ceci implique que le traitement de linformation soit rapide et pertinent. Ainsi, il est primordial que les systmes dinformation permettent lentreprise dune part, dadapter en permanence sa structure aux exigences de son march et, dautre part, dtre en mesure, daugmenter continuellement sa productivit.

5 6

Panorama gnral des normes et outils daudit, Franois VERGEZ AFAI ESIL anne 2010, p 4 www.afai.fr Mr Diemer Arnaud, Partie I : Dfinition et analyse des entreprises: Approche systmique de lentreprise, 2009, p 20

21


Sous section 3: Objectif du systme dinformation: 7 Le systme dinformation a pour objectif de fournir en permanence chacun des membres de lentreprise, les renseignements dont il a besoin pour la prise de dcisions, le suivi des actions mises en place et le contrle de lorganisation. Les finalits essentielles dun systme sarticulent autour du contrle, la coordination et la dcision. Sous section 4: Les fonctions du systme dinformation:8 Pour remplir ces trois objectifs (coordination, contrle et dcision), le systme dinformation devra assurer diffrentes fonctions : La collecte de linformation : lentreprise doit recueillir de nombreuses donnes en vue dune utilisation ultrieure. Celles-ci doivent tre classes, codifies et condenses afin den faciliter le stockage et lutilisation. Le traitement de linformation : la donne tant un lment brut (on parle dinformation de base), il est ncessaire quelle soit transforme en donnes utilisables par le dcideur. Le traitement se fera par tri, classement, calcul afin de fournir une base de donnes synthtique. La mmorisation de linformation : le systme dinformation est une mmoire collective que forgent les diffrents acteurs de lentreprise. Il doit donc stocker en scurit et durablement les donnes. Deux procdures principales permettent dassurer la mmorisation des donnes : les fichiers et les bases de donnes. La gestion lectronique de documents (GED) permet une informatisation de lensemble de la documentation de lentreprise. La diffusion de linformation : le systme dinformation doit faire circuler linformation tout en prservant la qualit et la scurit. La diffusion informatique par les rseaux internes et externes lentreprise est de plus en plus dveloppe (rseau internet et intranet). Internet permet deffectuer des recherches documentaires, de rechercher des partenaires, mme ltranger, sans se dplacer, de communiquer sans souci de prix dheure ou de distance, de crer une vitrine commerciale pour diffuser ses produits Intranet utilise des outils dinternet pour des applications dentreprises (annuaire interne, courrier interne, saisie des feuilles de temps, documents de travail,) afin de faciliter le partage dinformations et le travail de groupe. Lchange de donnes informatises (EDI) permet un transfert de donnes commerciales entre clients et fournisseurs se dveloppe, de mme que lECR (Efficiency Consumer Response).

7 8

Mr Diemer Arnaud, Partie I : Dfinition et analyse des entreprises: Approche systmique de lentreprise, 2009, p16 Mr Diemer Arnaud, Partie I : Dfinition et analyse des entreprises: Approche systmique de lentreprise, 2009, p 17

22


Sous section 5: Lorganisation du systme dinformation: 9 Le domaine dun systme dinformation peut tre oprationnel ou stratgique. Lentreprise doit disposer dun systme qui lui fournisse des informations la fois sur son fonctionnement et son environnement. On distingue ainsi deux sous-systmes 10: Le systme dinformation de gestion (SIG): Il permet de renseigner sur le fonctionnement de lentreprise et sur ses rsultats. Il est oprationnel en permettant la gestion courante de lentreprise (Soldes Intermdiaires de Gestion). Llaboration dun SIG comporte plusieurs tapes : collecte des informations de base provenant du systme oprationnel (tat des stocks, factures), traitement des informations collectes afin dtablir des synthses destines aux dirigeants (tableaux de bord), prise de dcisions partir des synthses. Les informations quil traite, concernent lintrieur de lentreprise, portent sur son pass. Le systme dinformation de gestion (SIG) nest cependant pas suffisant. Lentreprise tant un systme ouvert, il est galement important pour elle, de dceler les changements et de les anticiper. Le systme dinformation stratgique (SIS): Il permet lentreprise dtre lcoute des changements de surveiller les menaces (arrive de concurrents, nouveaux besoins des clients, ) et de dtecter les opportunits tout en favorisant une approche prospective (laboration de scnarii). Les informations contenues dans le SIS sont nombreuses, diverses, complexes, quantitatives et qualitatives. Le SIS pourra prendre la forme dun systme dinformation technique (SGDT: systme de gestion des donnes techniques) ou dun systme dinformation mercatique (SIM). Le SGDT aide fournir tous les services concerns des donnes fiables et pertinentes sur les produits. Le SIM traite des informations de type commercial (tudes de march, panels,) en vue de faciliter la prise de dcision commerciale. Ce systme dinformation est devenu la cible des agresseurs et des attaquants, ainsi les menaces et les vulnrabilits sont diversifies et la scurit du systme dinformation est devenue primordiale afin de sauvegarder et prserver la prennit et la continuit de la socit.

9

10

Mr Diemer Arnaud, Partie I : Dfinition et analyse des entreprises: Approche systmique de lentreprise, 2009 p 19 Camille Rosenthal-Sabroux, Americo Carvalho, et Collectif _ Management et gouvernance des SI _ Edition Lavoisier _ 2009 p 40

23


Section 2: Les menaces et les vulnrabilits des systmes dinformation : Sous section 1: Les menaces: 1- Origine: Du temps o linformatique tait centralise, les menaces physiques (pntration dans les locaux informatiques sans autorisation, vol, vandalisme,..) reprsentaient des dangers majeurs. En ces temps bnis, la protection pouvait se rsumer en quelques mesures de contrle daccs : grosses serrures, sas et gardiens taient la panoplie usuelle. La situation est aujourdhui bien diffrente. Certes, il y a toujours les vols de matriel, lutilisation de console matresse pour pntrer un systme ou le pigeage dun rseau pour le mettre sur coute . Mais globalement, le danger de ce type de menaces, dont les remdes sont connus et prouvs, est sans commune mesure avec les agressions sur le rseau, qui se ralisent sans la prsence physique de lagresseur. Ces agressions via le rseau ont maintenant atteint un seuil critique et on ne sait pas toujours quelle parade leur opposer.11 Les menaces qui psent sur les systmes dinformation sont de deux natures: interne et externe. Au-del de cette vidence, force est de constater que la menace interne reprsente plus de 70 80%12 des cas connus. Lorsque ce type de menace se concrtise par des attaques ou des fraudes, lutilisateur, qui possde un accs lgitime au systme dinformation et des services quil offre, tente dobtenir ou de falsifier des informations, de perturber le fonctionnement du systme dinformation, en abusant de ses privilges ou en les accroissant. Rciproquement, la menace externe est le fait dindividus qui nont pas un accs lgitime au systme dinformation et qui essayent de briser les barrires de scurit lorsquelles existent. Que la menace soit interne ou externe, linformation et les services fournis par le systme dinformation peuvent subir des prjudices qui se traduiront par une perte de confidentialit, dintgrit ou de disponibilit. Il en rsulte une divulgation, une modification ou une destruction des donnes ou encore une impossibilit dobtenir une information ou un service. Par ailleurs, les effets induits et non directement mesurables peuvent savrer catastrophiques pour lentreprise ou lorganisme victime : atteinte limage de marque ou suppression demplois si le sinistre touche loutil de production ou le produit vendu dans le cas dun service par exemple. 2- Catgories: Dans le palmars de cette nouvelle dlinquance , nous pouvons citer :

11 12

FILIOL Eric, RICHARD Phillipe _ Cybercriminalit _ Edition DUNOD _ 2007 p 35 CLUSIF _ Menaces informatiques et pratiques de scurit en France _ Edition CLUSIF _ 2010 p 41

24


Tout ce qui porte atteinte lintgrit du systme : Le pigeage des systmes (bombes logiques, cheval de troie, ver, ) afin de nuire la structure ou de se donner les moyens de revenir plus tard, La modification des informations afin de porter atteinte limage de la socit (exemple : modification de page Web), Une intrusion en vue dattaque par rebond c'est--dire quune autre cible est vise, le systme servant de point de passage . Ce point est alors complice involontaire du piratage. Tout ce qui porte atteinte la confidentialit des informations : La rcupration dinformations sensibles (mot de passe, donnes financires avant publications, donnes personnelles,), La fouille de messages, des donnes, des rpertoires, des ressources rseaux, Lusurpation didentit. Tout ce qui porte atteinte la disponibilit des services La paralysie du systme (considr ensuite comme un exploit par les pirates qui lont ralis), La saturation dune ressource (serveur, imprimante, ) Les virus et vers informatiques 3-Attaquants:13 Les motifs de lagresseur sont nombreux et varis ; ils voluent dans le temps. Il nest pas possible de dresser une liste exhaustive des motivations des criminels en col blanc mais quelques exemples permettront de saisir la personnalit de quelques uns dentre eux. Les actes intentionnels, qui nous intressent ici, comprennent : lespionnage, lappt du gain, la fraude, le vol, le piratage, le dfi intellectuel, la vengeance, le chantage, lextorsion de fonds. Cette liste peut tre complte par celles inhrentes aux actes non intentionnels mais qui constituent une menace pour le systme dinformation savoir la curiosit, lennui, la paresse, lignorance, lincomptence, lintention, Bien quil ny ait pas de portrait robot de lattaquant, quelques enqutes ont montr que les criminels en informatique taient majoritairement des hommes ayant un travail peu gratifiant mais avec dimportantes responsabilits et un accs des informations sensibles. Lavidit et lappt du gain sont les motifs principaux de leurs actes, mais il apparat que les problmes personnels ainsi que lego jouent un rle primordial en influant sur le comportement social.

13

CLUSIF _ Menaces informatiques et pratiques de scurit en France _ Edition CLUSIF _ 2010 p 45

25


4-Technique dattaques: Tout logiciel comporte des bogues dont certains sont des trous de scurit, des anomalies qui permettent de violer le systme sur lequel tourne le programme. Si cest un programme dapplication rseau, ces trous peuvent tre exploits distance via Internet. Les pirates recherchent systmatiquement les sites mal administrs en procdant un balayage de linternet avec des programmes appels scan . Ces programmes dcouvrent distance toutes les stations du rseau local et testent la prsence de vielles versions des logiciels rseau sur ces stations avec des trous de scurit connus. Les vielles versions de sendmail , le serveur de courriers lectroniques sont les plus tests. Une fois le site mal administr est repr, lexploitation des vulnrabilits est la porte de nimporte quel malfrat : on trouve sur internet des sites proposant des programmes tout prts accompagns de toutes les explications dtailles pour pntrer les systmes utilisant les trous de scurit connus. 14 Des mthodes essentiellement des programmes sont trs connues pour perturber fortement les systmes et les rseaux pour: Bloquer un systme (par exemple en ouvrant distance un grand nombre de connexions en mettant certains messages, pings longs ), Surcharger la liaison daccs lInternet dun site (jusqu le bloquer) en envoyant des messages (echo broadcast) auxquels toutes les stations locales rpondent engendrant ainsi un surcrot de trafic trs volumineux. Un autre type de dlit consiste utiliser le serveur de messagerie dun site pour envoyer des messages souvent publicitaires un grand nombre de destinataires, en cachant son identit. Ce site sert alors de relais et sans avoir donn son nom apparat dans lorigine des messages. Cette attaque bloque la messagerie du site utilis son insu, surcharge des files dattente dans le serveur et nuit limage de lentreprise. Cela engendre des centaines de messages de protestation provenant des victimes de ces publicits et peut provoquer la mise en cause de la responsabilit de lentreprise. Cette utilisation dtourne est en trs forte hausse ces derniers temps, du fait de la facilit de sa mise en uvre et de lanonymat quelle assure. 15 Pour prendre le contrle dun systme, les agresseurs doivent commencer par sy introduire. Il faut donc que quelquun (ou quelque chose ) leur ouvre la porte : Un identificateur (mot de passe) a t prt ou rcupr (vol,), Un compte a t laiss labandon (sans mot de passe par exemple),

14 15

David Autissier, et Valrie Delaye _ Mesurer la performance du systme d'information _ Edition EYROLLES. _ 2008, p 39 FILIOL Eric, RICHARD Phillipe _ Cybercriminalit _ Edition DUNOD _ 2007 p 54

26


Une application rseaux installe a t mal matrise (configuration mauvaise ou trop ouverte), Une ancienne version dun logiciel dont les failles de scurit ont t publies est encore en service sur une machine, Un logiciel install en mode debug , ce mode ouvre bant un trou de scurit, Un utilisateur interne a aid volontairement lagresseur. Sous section 2: Les vulnrabilits:16 Un systme dinformations est compos de manire indissociable de personnels et de matriels, effectuant des traitements donns sur les informations, selon des rgles dorganisation prdfinies. Chacune de ces composantes possde intrinsquement des vulnrabilits, dont la connaissance est indispensable pour imaginer les parades ncessaires la rduction du risque quelles engendrent. Il est noter que le succs dune ncessite souvent lexploitation en srie de plusieurs vulnrabilits : lattaquant devra, par exemple, tirer parti dune faille de lorganisation du systme avant de pouvoir utiliser les vulnrabilits des traitements. 1-Logiciels et matriels: Les matriels utiliss par le systme sont techniquement vulnrables certains vnements, parmi lesquels il convient de citer : Mauvaise conception ou industrialisation des composants du systme, non- respect du cahier des charges, Perturbations dues la prsence dondes lectromagntiques dans le milieu ambiant (radars, radio,) Emission de signaux parasites compromettants par des matriels ne respectant par les normes dites TEMPEST17 , Des matriels (dispositifs denregistrement ou de rmission des donnes), Pigeage, Modification ou substitution des composants du systme, Incendie, destruction mcanique, inondation, Dfaillances de lalimentation lectrique, de la climatisation, Lorsque, parmi les traitements appliqus aux informations, des transferts ont lieu travers des lignes de tlcommunications, les vulnrabilits du systme sont bien videmment accrues.Arturo Hernandez _ Scurit des systmes d'information des PME/PMI - Guide de ralisation d'un diagnostic stratgique _ Edition Arttesia _ 2009 p 61 17 TEMPEST est lacronyme officiel de Telecommunications Electronic Material Protected from Emanating Spurious Transmissions. Il dsigne les techniques et les contre-mesures de scurit ainsi que les standards visant protger ou masquer les signaux et ayonnements lectromagntiques mis par les appareils lectriques, y compris les ordinateurs.16

27


Suivant le type de support utilis, elles peuvent tre quelque peu diffrentes, mais certaines sont constantes et existent encore: Ecoute sur la ligne de tlcommunication, Rejeu dinformations dj transmises, Brouillage ou saturation de la ligne de tlcommunication, Intrusion active par usurpation didentit du destinataire ou de lexpditeur dinformations, Destruction physique ou logique de la ligne de transmission. 2-Personnels :18 Les matriels et logiciels de scurit aussi sophistiqus soient-ils, ne font qucarter la menace extrieure, mais nullement les malveillances internes. Car ce sont bien des employs ou partenaires peu scrupuleux qumane le danger le plus srieux pour les ressources stratgiques de lentreprise, bien souvent concentres dans quelques silos dinformations mal protgs.19 Un systme dinformation est toujours servi par des hommes et pour des hommes. Que ceuxci aient accs aux informations pour les crer, les manipuler, les dtruire, ou au systme pour le concevoir, permettre son exploitation, lutiliser, ils prsentent tous un risque potentiel lev. Outre les erreurs involontaires quils peuvent galement se prter des actions de malveillance, soit de leur propre fait, soit suite une incitation extrieure, leurs faiblesses naturelles pouvant tre mises profit par un agresseur ventuel. On peut, dans ce cadre, citer : Les erreurs commises par excs de routine, le laxisme, la fatigue, le manque de conscience professionnelle ou de formation. Ces erreurs peuvent intervenir lors de la conception du systme ou pendant sa phase oprationnelle, La divulgation dinformations sensibles ou de renseignements sur le systme par bavardage inconsidr, vantardise, provocation, au cours de runions professionnelles, familiales, , ou par des personnels licencis ou dmissionnaires, Les actions diverses entreprises sous la pression (menaces, chantage,), par idologie politique ou volont de nuire, sous leffet de produits divers (alcool, drogues,), Les perturbations diverses en cas de mouvements sociaux 3-Structurels: La structure et les procdures de tous ordres qui existent dans lorganisme abritant le systme ont une influence directe sur celui-ci. Des dficiences en ce domaine peuvent entrainer des

18

Arturo Hernandez _ Scurit des systmes d'information des PME/PMI - Guide de ralisation d'un diagnostic stratgique _ Edition Arttesia _ 2009 p 81 19 Michelle Gillet, et Patrick Gillet _ SIRH : Systme d'information des ressources humaines _ Edition DUNOD _ 2010 p 43

28


dfauts de fonctionnement du systme et des fautes exploitables par un agresseur ventuel, nous citerons: La mauvaise connaissance des textes lgaux ou rglementaire en vigueur, Labsence de rfrences hirarchiques dfinies, Lextension abusive des privilges, par laxisme ou complaisance, allant au-del du besoin den connaitre Les procdures inefficaces ou inapplicables, Les pertes de comptences ou de savoir-faire, suite au dpart de personnels cumulant diverses fonctions stratgiques . Sous section 3: Les consquences en rsultant: La dernire phase du scnario de sinistre est celle o lentreprise va, dune part constater le sinistre et les dgts correspondants, et dautre part, entreprendre des actions pour revenir son tat dorigine et retrouver un fonctionnement habituel. Tout ceci va entraner des impacts de diffrentes natures.20 1- Impacts internes: Les impacts internes sont souvent faciles identifier et valuer. Nous pouvons citer : Les pertes de fonds, Les pertes de valeurs lies des immobilisations: btiment et locaux, matriels informatiques et pri-informatiques, armoires gaines et cbles, tlcommunications, climatisation, nergie, stocks et autres immobilisations, y compris immatrielles, Les pertes de valeurs lies aux petits matriels, micros et quipements de bureaux et les fournitures diverses, Les pertes de valeurs lies aux supports et leur contenu : bandes, disquettes, listings, Arrts de lactivit provisoire ou dfinitive, Le cas chant, les pertes humaines. 1-Impacts externes : Les impacts externes sont souvent plus difficiles identifier et valuer. Nous pouvons citer nanmoins :21 La perte dimage de marque due la notorit du sinistre, La perte de confiance des partenaires,20

Arnaud Deslandes, J-C Grosjean, Mdric Morel, et Guillaume Plouin _ Le poste de travail Web : Portail d'entreprise et accs au systme d'information _ Edition DUNOD _ 2010 p 81 21 Arnaud Deslandes, J-C Grosjean, Mdric Morel, et Guillaume Plouin _ Le poste de travail Web : Portail d'entreprise et accs au systme d'information _ Edition DUNOD _ 2010 p 87

29


La perte de parts de marchs avec les clients pendant le temps du sinistre, La perte de comptitivit, Les prjudices, pertes ou surcots causs des tiers du fait dun sinistre dans lentreprise. 2-Rpercussions financires : Il sagit l des frais de toute nature que lentreprise va devoir engager pour remdier aux dtriorations subies par ses ressources ; Il sagit donc de rparer ou de reconstruire les ressources matrielles, de reconstituer les bases de donnes, les fichiers de donnes ou les informations, ou de corriger les programmes. Les pertes sont les suivants : Les frais de ressaisie ou de reconstitution dinformations perdues, dtruites ou dgrades, Les cots directs de rparation, sils ne sont pas couverts par un contrat de maintenance, Les frais directs aprs sinistre (dlaiement,), Les pertes dexploitation dues des dcalages de chiffre daffaires ou de dpenses, Les pertes dexploitation dues des pertes daffaires, de clientles ou de parts de march, Les pertes dexploitation induites (paiement dheures supplmentaires, de sous-traitance, dintrimaires), Les frais supplmentaires lis la poursuite de lactivit, occasionns par le mode dactivit dgrade, ou le passage en fonctionnement de secours : paiement dheures supplmentaires, de sous-traitance, dintrimaires, de frais de transport et de convoyage, cots dusage dautres matriels ou logiciels (secours), Les frais supplmentaires pour restaurer la situation antrieure ou une situation stable acceptable, Les cots extraordinaires (location de matriels, de locaux, frais dexpertises). Avant de clore le bilan du sinistre, il reste encore une action faire pour minimiser le prjudice subi : il sagit en effet de rcuprer une partie des pertes sur des tiers, en en recourant ventuellement lassurance ou lagresseur, action pnale. Le bilan final que lon pourra alors faire du sinistre donnera les pertes rsiduelles. Section 3 : Les types des attaques et des agressions : Sous section 1: Les familles des attaques:22 Les hackers23 utilisent plusieurs techniques d'attaques. Ces attaques peuvent tre regroupes en trois familles diffrentes : Les attaques directes,22 23

http://www.securiteinfo.com/attaques/hacking/typesattaques.shtml Hacker: Synonyme de Cyber-terroriste ou pirate. Personne ayant de bonnes connaissances informatiques dont lobjectif est de concevoir des virus ou de pntrer dans les systmes dinformation des entreprises, des administrations,

30


Les attaques indirectes par rebond, Les attaques indirectes par rponse. a- Les attaques directes: C'est la plus simple des attaques. Le hacker attaque directement sa victime partir de son ordinateur. La plupart des "script kiddies24" utilisent cette technique. En effet, les programmes de hack qu'ils utilisent ne sont que faiblement paramtrables, et un grand nombre de ces logiciels envoient directement les packets la victime. b- Les attaques indirectes par rebond: Cette attaque est trs prise des hackers. En effet, le rebond a deux avantages : Masquer l'identit (l'adresse IP25) du hacker. Eventuellement, utiliser les ressources de l'ordinateur intermdiaire car il est plus puissant (CPU26, bande passante...) pour attaquer. Le principe en lui mme, est simple : Les packets d'attaque sont envoys l'ordinateur intermdiaire, qui rpercute l'attaque vers la victime. D'o le terme de rebond. c- Les attaques indirectes par rponse : Cette attaque est un driv de l'attaque par rebond. Elle offre les mmes avantages, du point de vue du hacker. Mais au lieu d'envoyer une attaque l'ordinateur intermdiaire pour qu'il la rpercute, l'attaquant va lui envoyer une requte. Et c'est cette rponse la requte qui va tre envoye lordinateur victime. Sous section 2: Attaques sur les mots de passe: Les mots de passe constituent des lments cls de lutilisation des systmes informatiques, en limitant laccs aux seules personnes autorises. Ces cls doivent tre protges contre les tentatives de dtection des mots de passe. Notons, cet effet, les deux mthodes suivantes: L'attaque par dictionnaire : le mot de passe est test dans une liste prdfinie contenant les mots de passe les plus courants et aussi des variantes de ceux-ci ( lenvers, avec un chiffre la fin, etc.). Ces listes sont gnralement dans les langues les plus utilises, elles contiennent des mots existants ou des diminutifs.

24 25

Script kiddies : ce sont des pirates informatiques LInternet Protocol, gnralement abrg IP, est un protocole de communication de rseaux informatiques. IP est le protocole d'Internet. 26 Le processeur, ou CPU (de l'anglais Central Processing Unit, Unit centrale de traitement ), est le composant de l'ordinateur qui excute les programmes informatiques. Avec la mmoire notamment, c'est l'un des composants qui existent depuis les premiers ordinateurs et qui sont prsents dans tous les ordinateurs. Un processeur construit en un seul circuit intgr est un microprocesseur.

31


Lattaque par force brute : toutes les possibilits sont exploites dans lordre jusqu trouver la bonne solution, par exemple de AAAAAA jusqu' ZZZZZZ, pour un mot de passe compos strictement de six caractres alphabtiques. Sous section 3: Programmes malveillants: Un programme malveillant (malware en anglais) est un logiciel dvelopp dans le but de nuire un systme informatique27. Il en est ainsi des programmes suivants: Le virus: programme capable de sincruster dans dautres programmes, toute utilisation des programmes infects dclenche la recopie de virus. La propagation du virus se fait par lutilisation dun support physique infect ou travers les rseaux informatiques; Le ver (Worm en anglais) : programme qui se duplique lui-mme en installant des copies de lui-mme sur dautres machines travers un rseau; Le cheval de Troie (Trojan en anglais) : programme apparence lgitime qui excute des routines nuisibles sans l'autorisation de l'utilisateur; il permet de crer artificiellement une faille de scurit dans les systmes facilitant lintrusion de pirates ou de virus; La porte drobe (Backdoor en anglais) : programme visant dtourner les fonctionnalits dun service ou dun systme en ouvrant des canaux daccs masqus; Le logiciel espion (spyware en anglais) : logiciel ou partie de logiciel dont le but est de collecter des informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et de les envoyer son insu lditeur du logiciel. Sous section 4 : Attaques par messagerie: En dehors des nombreux programmes malveillants qui se propagent par la messagerie lectronique, il existe des attaques spcifiques celle-ci. Nous pouvons citer dans ce cadre:28 Le pourriel (spam en anglais) : un courrier lectronique non sollicit, la plupart du temps de la publicit, encombrant le rseau, et faisant perdre du temps ses destinataires ; L'hameonnage (phishing en anglais) : un courrier lectronique dont l'expditeur se fait gnralement passer pour un organisme financier et demandant au destinataire de lui fournir des informations confidentielles ; Le canular informatique (hoax en anglais) : un courrier lectronique qui incite l'utilisateur effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prtendument li un virus par exemple).

27 28

Patrick Boulet _ Plan de continuit d'activit : Secours du systme d'information _ Edition Lavoisier _ 2008 p 52 BLOCH Laurent, WOLFHUGEL Christophe _ Scurit informatique, principe et mthode _ Edition EYROLLES. _ 2007 p 48

32


Sous section 5: Les attaques sur le rseau: Sont prsents dans ce paragraphe les principales techniques d'attaques qui visent nuire la scurit de tout le rseau informatique et non seulement celle dun poste de travail isol: Le sniffing : un logiciel sniffer permet de rcuprer toutes les informations transitant sur un rseau tels que les mots de passe des applications, lidentification des machines qui communiquent sur un rseau ; La mystification (en Anglais spoofing) : technique consistant prendre l'identit d'une autre personne ou d'une autre machine pour rcuprer des informations sensibles, que l'on ne pourrait pas avoir autrement ; Le dni de service : Le "Distributed Denial of Service" (DDoS) consiste rendre une ressource inaccessible par saturation ou par destruction. Cette attaque est souvent ralise par un envoi massif de requtes; il sagit dune technique qui vise gnrer des arrts de service et dempcher ainsi le bon fonctionnement dun systme. Section 4 : Les systmes de dtection des intrusions29 Afin de dtecter les attaques que peut subir un systme, il est ncessaire davoir un logiciel spcialis dont le rle serait de surveiller les donnes qui transitent sur ce systme et qui serait capable de ragir si des donnes semblent suspectes. Plus communment appels IDS (Intrusion Detection Systems), les systmes de dtection dintrusions conviennent parfaitement la ralisation de cette tche.30 A lorigine, les premiers systmes de dtection dintrusions ont t initis par larme amricaine, puis par des entreprises. Plus tard, des projets open-source ont t lancs et certains furent couronns de succs, comme par exemple Snort et Prelude que nous dtaillerons ultrieurement. Parmi les solutions commerciales, on retrouve les produits des entreprises spcialises en scurit informatique telles quInternet Security Systems, Symantec, Cisco Systems, Sous section 1: Les diffrents types d'IDS31: Comme nous lavons vu, les attaques utilises par les pirates sont trs varies. Certaines utilisent des failles rseaux et dautres des failles de programmation. Nous pouvons donc facilement comprendre que la dtection dintrusions doit se faire plusieurs niveaux. Ainsi, il existe diffrents types dIDS dont nous dtaillons ci-dessous les caractristiques principales.2930

Les systmes de dtection d'intrusions, http://dbprog.developpez.com, http://krierjon.developpez.com

Claudine CHASSAGNE _ Manager un systeme d'information - guide pratique du dsi _ Edition Territorial _ 2009 p 31 31 http://fr.wikipedia.org/wiki/Syst%C3%A8me_de_d%C3%A9tection_d'intrusion

33


1-Les systmes de dtection dintrusions (IDS):32 Dfinition : Ensemble de composants logiciels et matriels dont la fonction principale est de dtecter et danalyser toute tentative deffraction. Fonctions : Dtection des techniques de sondage (balayages de ports, fingerprinting), des tentatives de compromission de systmes, dactivits suspectes internes, des activits virales ou encore audit des fichiers de journaux (logs). Il sagit dun systme capable de dtecter tout type dattaque. Certains termes sont souvent employs quand on parle dIDS : Faux positif: une alerte provenant dun IDS mais qui ne correspond pas une attaque relle, Faux ngatif: une intrusion relle qui na pas t dtecte par lIDS. 1.1- Les systmes de dtection dintrusions rseaux (NIDS): Objectif : Analyser de manire passive les flux en transit sur le rseau et dtecter les intrusions en temps rel. Les NIDS tant les IDS les plus intressants et les plus utiles du fait de lomniprsence des rseaux dans notre vie quotidienne; Ce document se concentrera essentiellement sur ce type dIDS. 1.2- Les systmes de dtection dintrusions de type hte (HIDS): Un HIDS se base sur une machine unique; Lanalyse ne porte plus cette fois sur le trafic rseau, mais sur lactivit se passant sur cette machine. Il analyse en temps rel les flux relatifs une machine ainsi que les journaux. Un HIDS a besoin dun systme sain pour vrifier lintgrit des donnes. Si le systme a t compromis par un pirate, le HIDS ne sera plus efficace. Pour parer ces attaques, il existe des KIDS (Kernel Intrusion Detection System) et KIPS (Kernel Intrusion Prevention System) qui sont fortement lis au noyau. Ces types dIDS sont dcrits un peu plus loin. 1.3- Les systmes de dtection dintrusions hybrides : Gnralement utiliss dans un environnement dcentralis, ils permettent de runir les informations de diverses sondes places sur le rseau. Leur appellation hybride provient du fait quils sont capables de runir aussi bien des informations provenant dun systme HIDS que dun NIDS.

32

David Burgermeister, Jonathan Krier _ Les systmes de dtection d'intrusions _ Edition Developpez.com _ 2006 p 12

34


1.4- Les systmes de prvention dintrusions (IPS 33): Ensemble de composants logiciels et matriels dont la fonction principale est dempcher toute activit suspecte dtecte au sein dun systme. 1.5- Les systmes de prvention et dintrusions Kernel34 (KIDS/KIPS): Un systme de prvention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spcialistes en scurit des systmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, il dtecte un balayage automatis, les IPS peuvent bloquer les ports automatiquement. Ils peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables 100% et risquent mme en cas de faux positif de bloquer du trafic lgitime. 1.6- Les firewalls:35 Les firewalls ne sont pas des IDS proprement parler, mais ils permettent galement de stopper des attaques. Nous ne pouvions donc pas les ignorer. Les firewalls sont bass sur des rgles statiques afin de contrler laccs des flux. Ils travaillent en gnral au niveau des couches basses du modle OSI 36 (jusquau niveau 4), ce qui est insuffisant pour stopper une intrusion. Par exemple, lors de lexploitation dune faille dun serveur Web, le flux HTTP37 sera autoris par le firewall puisquil nest pas capable de vrifier ce que contiennent les paquets. Il existe trois types de firewalls : Les systmes filtrage de paquets sans tat : analyse les paquets les uns aprs les autres, de manire totalement indpendante. Les systmes maintien dtat (stateful) : vrifient que les paquets appartiennent une session rgulire. Ce type de firewall possde une table dtats o est stock un suivi de chaque connexion tablie, ce qui permet au firewall de prendre des dcisions adaptes la situation. Ces firewalls peuvent cependant tre outrepasss en faisant croire que les paquets appartiennent une session dj tablie.Un systme de prvention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spcialistes en scurit des systmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. 34 Un noyau de systme dexploitation, ou simplement noyau, ou kernel (de l'anglais), est la partie fondamentale de certains systmes dexploitation. Il gre les ressources de lordinateur et permet aux diffrents composants matriels et logiciels de communiquer entre eux. http://fr.wikipedia.org/wiki/Noyau_de_syst%C3%A8me_d'exploitation 35 Les systmes de dtection d'intrusions ; David Burgermeister, Jonathan Krier 2006 (Dvelopper.com) p 15 36 Le modle OSI (de l'anglais Open Systems Interconnection, Interconnexion de systmes ouverts ) d'interconnexion en rseau des systmes ouverts est un modle de communications entre ordinateurs propos par l'ISO (Organisation internationale de normalisation). Il dcrit les fonctionnalits ncessaires la communication et l'organisation de ces fonctions. 37 L'HyperText Transfer Protocol, plus connu sous l'abrviation HTTP, littralement le protocole de transfert hypertexte , est un protocole de communicationclient-serveur dvelopp pour le World Wide Web. HTTPS (avec S pour secured, soit scuris ) est la variante du HTTP scurise par l'usage desprotocoles SSL ou TLS.33

35


Les firewalls de type proxy : Le firewall sintercale dans la session et analyse linformation afin de vrifier que les changes protocolaires sont conformes aux normes. 1.7- Les technologies complmentaires Les scanners de vulnrabilits : systmes dont la fonction est dnumrer les vulnrabilits prsentes sur un systme. Ces programmes utilisent une base de vulnrabilits connues (exemple : Nessus). Les systmes de leurre : le but est de ralentir la progression dun attaquant, en gnrant des fausses rponses telle que renvoyer une fausse bannire du serveur Web utilis. Les systmes de leurre et dtude (Honeypots) : le pirate est galement leurr, mais en plus, toutes ses actions sont enregistres. Elles seront ensuite tudies afin de connatre les mcanismes dintrusion utiliss par le hacker. Il sera ainsi plus facile doffrir des protections par la suite. Les systmes de corrlation et de gestion des intrusions (SIM Security Information Manager) : centralisent et corrlent les informations de scurit provenant de plusieurs sources (IDS, firewalls, routeurs, applications, ). Les alertes sont ainsi plus faciles analyser. Les systmes distribus tolrance dintrusion : linformation sensible est rpartie plusieurs endroits gographiques mais des copies de fragments sont archives sur diffrents sites pour assurer la disponibilit de linformation. Cependant, si un pirate arrive sintroduire sur le systme, il naura quune petite partie de linformation et celle-ci lui sera inutile. Sous section 2: Les mthodes de dtection: Pour bien grer un systme de dtection dintrusions, il est important de comprendre comment celui-ci fonctionne. Une question simple se pose alors : comment une intrusion est-elle dtecte par un tel systme ? Quel critre diffrencie un flux contenant une attaque dun flux normal ? Ces questions nous ont amens tudier le fonctionnement interne dun IDS. De l, nous en avons dduit deux techniques mises en place dans la dtection dattaques. La premire consiste dtecter des signatures dattaques connues dans les paquets circulant sur le rseau. La seconde, consiste quant elle, dtecter une activit suspecte dans le comportement de lutilisateur.38

38

Chantal Morley _ Management d'un Projet Systeme d'Information - Principes, techniques, mise en oeuvre et outils _ Edition DUNOD _ 2008 p 131

36


Ces deux techniques, aussi diffrentes soient-elles, peuvent tre combines au sein dun mme systme afin daccrotre la scurit. Conclusion: Pour un systme dinformation donn, la menace nest unique mais le plus souvent composite du fait de la diversit des systmes et des informations gres. Il en va de mme pour les attaques. Un agresseur utilisera gnralement plusieurs techniques, ou des combinaisons, pour arriver ses fins en exploitant les vulnrabilits dun systme dinformation. De son ct, le dfenseur doit tre capable de dterminer ce quil veut protger et contre qui. Connaissant ses propres vulnrabilits, une analyse de risque lui permettra didentifier les scnarios dattaques ralistes et par consquent, de mettre en place les parades ncessaires la protection de ses informations.

37


Chapitre 2 : Les mthodes dvaluation du risqueIntroduction: Plusieurs sont les mthodes qui permettent de fournir une valuation globale de la scurit et des risques informatiques au sein de lentreprise. Dans ce qui suit, nous allons exposer cinq mthodes dvaluation de risques les plus utilises. Section 1: Le management du risque: Sous section 1: Dfinition du Risque: En fait, il y a deux approches destimation du niveau de risque39: Quantitative : cette mthode exprime le risque en termes financiers et de frquence. Qualitative : cette mthode exprime le risque en termes dimpact potentiel et de probabilit de survenance. De point de vue quantitatif, il existe une quation reine qui dfinit la notion de risque comme suit : Risque = Vulnrabilit * Menace * Impact. Dautre part, le concept de risque peut tre exprim ainsi: Menaces*Vulnrabilits Risque = * impact. Contres mesures Les menaces dsignent l'ensemble des lments pouvant atteindre les ressources d'une

organisation. Elles peuvent tre intentionnelles ou accidentelles. Les vulnrabilits expriment toutes les faiblesses des ressources qui pourraient tre exploites par des menaces, dans le but de les compromettre. L'impact est le rsultat de l'exploitation d'une vulnrabilit par une menace et peut prendre diffrentes formes : perte financire, affectation de l'image de marque, perte de crdibilit...etc. Les contre-mesures : se sont les mesures et les dispositifs de scurit mises en place afin dattnuer le niveau de risque un niveau rsiduel. La combinaison des ces lments fonde la notion de risque, qui permet notamment de mesurer l'impact financier et la probabilit de survenance d'un vnement indsirable40. En ce qui concerne lapproche qualitative, la notion de risque peut tre exprime par une valuation probabiliste 41: Risque = Pa*(1-Pi)*C.39 40

Thierry RAMARAD _ Quelle mthode danalyse des risques ? Panorama des solutions et mthodes _ Edition DUNOD _ 2005 p 89 Jean-Philipe Jouas et Albert Harari _ Le Risque Informatique 2SI-scurit des systmes dinformation _ Edition Arttesia _ 1999 p 73

38


Pa : probabilit de lattaque. Pi : efficacit des contre-mesures C : consquences de la perte de la ressource considre. Sous section 2: Identification, valuation et Management de risque : En effet, toute unit doit tre en mesure didentifier, dvaluer limpact et de grer dune manire convenable les risques auxquels elle est expose. Identification des risques : Lidentification des risques, cest tre capable de recenser avec une manire aussi exhaustive que possible les risques associs un systme dinformation42. valuation des risques : Cest un processus qui combine lidentification des ressources ou des biens vitaux de lentreprise, leur valorisation et la dtermination des risques de violation de scurit43. Management de risque: Cest une approche systmique permettant de dterminer les mesures de scurit appropries pour lentreprise. Il sagit, en fait, de savoir comment rsoudre les problmes de scurit, quel endroit les rsoudre, quels types et niveaux de contrles de scurit faut-il appliquer, ce qui ncessite une prparation adquate et minutieuse44 Sous section 3: Les mthodes de management de risque : Il convient, ce niveau, de faire un aperu historique et de prsenter les principales mthodes dvaluation et de management de risque. 1- Gense des mthodes de management de risque: Dans les annes 80 90, il y a eu lapparition des mthodes Marion issues du Clusif et Melisa destines lvaluation des risques des centraux (mainframes) et de leur environnement. En raison du fait que les rseaux taient bass sur des protocoles propritaires, la scurit tait rserve aux trs grandes entreprises et administrations. 45 Par la suite, il y a eu lmergence des mthodes actuelles comme (Mehari, Ebios, Octave, Cobit, Cramm) qui font la distinction entre la notion dactifs informationnels de lorganisation et les vulnrabilits techniques. Cependant, la plupart reste oriente aux grandes entreprises 46.

41 42

Nicolas Dube _ Analyse des risques scurit SI _ Edition Economica _ 2001 p 42 Jean-Franois Carpentier _ La gouvernance du Systme d'Information dans les PME - Pratiques et volutions _ Edition ENI _ 2010 p 73 43 Jean-Franois Carpentier _ La gouvernance du Systme d'Information dans les PME - Pratiques et volutions _ Edition ENI _ 2010 p 75 44 Jean-Franois Carpentier _ La gouvernance du Systme d'Information dans les PME - Pratiques et volutions _ Edition ENI _ 2010 P 78 45 Frdric Georgel, et Thierry Chamfrault _ IT gouvernance : Management stratgique d'un systme d'information _ Edition DUNOD _ 2009 p 98 46 Yosecure Scurit de linformation et gestion des risques informatique , 2002.

39


La mthode Octave existe dans une dclinaison pour petites entreprises (infrieur 100 personnes). En effet, avec le dploiement des systmes dinformation sophistiqus et louverture croissante des rseaux, les entreprises sont exposes aux multiples dangers, et ce quelque soit la taille ou lactivit. De ce fait, tous les organismes sont concerns par lvaluation de risques et la mise en place des dispositifs de scurit47. Dautre part, la norme ISO 27 002 qui peut intresser toutes les entits, quelque soit leur secteur, propose une valuation de risques, sans pour autant imposer une mthode concrte pour identifier, grer et rduire les risques. Le tableau ci-dessous prsente un aperu historique sur les mthodes les plus connues48.Ltat du march Mthode COBIT Control Objectives for Information and related Technology Angleterre (ISACA) Aperu -Dveloppe depuis 1996

- Compatible avec ISO 27 002 - Langue Anglaise - Cible : Grandes entreprises. - Dveloppe depuis 1980 MARION - Langue Franaise Angleterre Mthodes issues (CLUSIF) - Cible : Grandes entreprises & PME-PMI. du monde associatif - Dveloppe depuis 1995 - les bases de connaissances a 500$ MEHARI - Logiciel RISICARE (Socit BUC SA)Mthode Harmonise d'Analyse de Risques 9200$ France - Compatible avec ISO 27 002 (CLUSIF) - Langue Franaise - Cible : Grandes entreprises & PME-PMI - Dveloppe depuis 1995 EBIOS - Logiciel EBIOS disponible gratuitement Expression des Besoins et Identification Mthodes - Compatible avec ISO 27 002 gouvernementales des Objectifs de Scurit France ou dEtats - Langue Franaise (DCSSI) - Cible : Grandes entreprises.

47 48

Olivier. Luxereau ISO 17799/IEC la scurit et la norme linformatique professionnelle n 220, Janvier 2004. Thierry RAMARAD Quelle mthode danalyse des risques ? Panorama des solutions et mthodes DAgeris Consulting, Paris, Mai 2005

40


2- Prsentation des mthodes de management de risque : En effet, il y a un panorama de techniques, une panoplie de solutions et une varit de mthodes permettant de mettre en vidence les risques relatifs la scurit du systme dinformation. Chaque mthode danalyse des risques est un outil de management, de sensibilisation et de pilotage, qui a pour objectif de cartographier lensemble des risques pesant sur lentreprise afin de prendre les dcisions stratgiques adaptes 49. Par abus de marketing, ces mthodes sont communment appeles mthodes daudit, Cependant, il sagit des mthodes dvaluation des risques qui peuvent soutenir la dmarche daudit en tant quindicateur de gestion rigoureuse de risque. Plusieurs sont les mthodes qui permettent de fournir une valuation globale de la scurit des systmes dinformation au sein de lentreprise. Dans ce qui suit, nous allons exposer cinq mthodes dvaluation de risques, tout en signalant que lvaluation numrique du risque informatique ne relve pas des diligences requises au cours dune mission daudit de la scurit informatique. Section 2: Control Objectives for Information and Technology: COBIT50 Le COBIT est une mthode publie par l'ISACA51 aux Etats-Unis et traduite par lassociation franaise daudit et de conseil informatique (AFAI). Le COBIT permet de comprendre et de grer les risques lis aux technologies de linformation. Pour ce faire, il retient quatre domaines fonctionnels : la planification et lorganisation, lacquisition, la distribution, le support et la surveillance. Il dcoupe ces domaines en 34 processus; pour chaque processus, il fournit un modle de maturit permettant d'apprcier le niveau sur une chelle de 0 (inexistant) 5 (optimis) et des facteurs cls de succs correspondant aux actions dployer pour lamliorer. Le guide de management ainsi constitu est orient vers laction pour : 1. Dterminer les contrles informatiques : quest ce qui est important ? 2. Sensibiliser: o est le risque ? 3. Comparer : que font les autres ? Cette mthode ne permet pas de quantifier les risques, mais elle prsente partir de lvaluation des 34 processus lis aux technologies de l'information par rapport aux meilleures pratiques, les lments et la dmarche ncessaires la mise en uvre de tableaux de bord

49 50

Thierry RAMARAD _ Quelle mthode danalyse des risques ? Panorama des solutions et mthodes _ Edition Economica _ 2005 p 61 Dominique Moisand, Fabrice Garnier de Labareyre, et Bruno Mnard Broch _ CobiT : Pour une meilleure gouvernance des systmes d'information _ Edition EYROLLES. _ 2010 p 83 51 ISACA: Information Systems Audit and Control Association www.isaca.org

41


quilibrs. Cette mthode est davantage assimile une mthode de gouvernance des systmes dinformation. COBIT concourt la gouvernance des SI en aidant sassurer que: Les SI sont aligns sur le mtier de l'entreprise, Les SI apportent un plus au mtier, et maximisent ses rsultats, Les ressources des SI sont utilises de faon responsable, Les risques lis aux SI sont grs comme il convient.

Figure 2 : Organisation du rfrentiel Cobit52

52

DOMINIQUE MOISAND FABRICE GARNIERDEL ABAREYRE Prface de Didier Lambert Avec la collaboration de J.-M. Chabbal, T. Gasiorowski, F. Legger et L. Vakil _ Cobit, Pour une meilleure gouvernance des systmes dinformation _ Edition DUNOD _ 2009.

42


COBIT retient 34 processus regroups en 4 domaines qui correspondent au cycle de vie des SI et leur matrise : Planifier et Organiser (10 processus), Acqurir et Implmenter (7 processus), Dlivrer et Supporter (13 processus), Surveiller et Evaluer (4 processus). Chaque processus met en uvre des ressources informatiques (applications, informations, infrastructures et personnes au sens comptences), fournit une information destine satisfaire les besoins mtiers exprims sous forme de critres (efficacit, efficience, confidentialit, intgrit, disponibilit, conformit, fiabilit) et concerne un ou plusieurs domaines de la gouvernance des systmes dinformation (alignement stratgique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance). Section 3: La mthode danalyse des risques informatiques oriente par niveau MARION :53 Marion Mthodologie d'Analyse de Risques Informatiques Oriente par Niveaux a t dveloppe par le CLUSIF dans les annes 1980 mais a t abandonne en 1998 au profit de la mthode Mehari. C'est une mthode d'audit de la scurit d'une entreprise, elle ne permet pas de mettre en uvre une politique de scurit en tant que telle. A base d'un questionnaire, elle donne une valuation chiffre du risque informatique. Marion repose sur l'valuation des aspects organisationnels et techniques de la scurit de l'entreprise auditer. Elle utilise 27 indicateurs classs en 6 thmatiques. Chaque indicateur se voit attribuer une note entre 0 (inscurit) et 4 (excellent), la valeur 3 indiquant une scurit correcte. Sous section 1: Thmatiques des indicateurs de la mthode Marion: Scurit organisationnelle Scurit physique Continuit Organisation informatique Scurit logique et exploitation Scurit des applications Sous section 2: Phases de la mthode Marion: La mthode se droule en 4 phases : 1. Prparation 2. Audit des vulnrabilits

53

Frantz Rowe, et Rolande Marciniak _ Systmes d'information, dynamique et organisation _ Edition Economica _ 2008 p 119

43


3. Analyse des risques 4. Plan d'action La phase de prparation permet de dfinir les objectifs de scurit atteindre ainsi que le champ d'action de l'audit et le dcoupage fonctionnel du systme dinformation adopter pour simplifier la ralisation de l'tude. L'audit des vulnrabilits consiste rpondre aux questionnaires. Ces rponses donnes vont permettre de recenser les risques du systme dinformation et les contraintes de l'entreprise. A l'issu de cet audit, sont construits une rosace et un diagramme diffrentiel reprsentant respectivement la note attribue chacun des indicateurs et les facteurs de risques particulirement importants.

Figure 3 : Exemple de rosace Marion54

La rosace prsente dans un cercle la valeur de chacun des 27 indicateurs. Elle est un moyen de visualiser rapidement les points vulnrables du systme dinformation qui doivent tre mieux protgs.

Figure 4 : Exemple d'histogramme diffrentiel Marion55

54 55

http://cyberzoide.developpez.com/securite/methodes-analyse-risques/ http://cyberzoide.developpez.com/securite/methodes-analyse-risques/

44


L'histogramme diffrentiel est construit avec des barres reprsentant l'loignement de chaque valeur d'indicateur la valeur de rfrence 3. Cet loignement est pondr avec l'importance donne au facteur mesur. Les indicateurs de valeur gale ou suprieure 3 ne sont pas reprsents. On visualise ainsi les vulnrabilits du SI en fonction de leurs criticits relatives. L'analyse des risques permet de classer les risques selon leurs criticits (en classes : Risques Majeurs et Risques Simples). Elle procde au dcoupage fonctionnel du systme dinformation pour une analyse dtaille des menaces, de leur impact respectif et de leur probabilit. La mthode Marion dfinit 17 types de menaces : Sous section 3: Types de menaces Marion:56 Accidents physiques Malveillance physique Carence du personnel Carence du prestataire Panne du SI Interruption de fonctionnement du rseau Erreur de saisie Erreur de transmission Erreur d'exploitation Erreur de conception / dveloppement Dtournement de fonds Dtournement de biens Vice cach d'un progiciel Copie illicite de logiciels Indiscrtion / dtournement d'information Sabotage immatriel Attaque logique du rseau Le plan d'action propose les solutions mettre en uvre pour lever la valeur des 27 indicateurs la valeur 3 (niveau de scurit satisfaisant) de l'audit des vulnrabilits et atteindre les objectifs fixs en prparation. Le cot de la mise niveau est valu et les tches raliser pour y parvenir sont ordonnances. Cette mthode par questionnaire est assez simple mettre uvre et est bien rode du fait de son ge. Son pouvoir de comparaison des entreprises audites est un plus indniable.

56

Frantz Rowe, et Rolande Marciniak _ Systmes d'information, dynamique et organisation _ Edition Economica _ 2008 p 142

45


La mthode Mehari qui lui succde va plus loin en proposant la cration complte de la politique de scurit. Section 4: La Mthode Harmonise d'Analyse de Risques : MEHARI Mehari (MEthode Harmonise d'Analyse de RIsques) est dveloppe par le CLUSIF depuis 1995, elle est drive des mthodes Melisa et Marion. Existant en langue franaise et en anglais, elle est utilise par de nombreuses entreprises publiques ainsi que par le secteur priv. Le logiciel R