Sécurité - Définition des besoins

Identification des besoins en terme de sécurité informatique

Sécurité informatique
Sécurité informatique
Politique de sécurité
Définition
Définition des besoins
Mise en œuvre
Mise en œuvre
Validation
Audit de sécurité
Tests d'intrusion
Détection
Détection des incidents
Réaction
Réaction aux incidents
Plus d'information
FAQ sécurité
FAQ Internet
FAQ réseau

Phase de définition

La phase de définition des besoins en terme de sécurité est la première étape vers la mise en oeuvre d'une politique de sécurité.

L'objectif consiste à déterminer les besoins de l'organisation en faisant un véritable état des lieux du système d'information, puis d'étudier les différents risques et la menace qu'ils représentent afin de mettre en oeuvre une politique de sécurité adaptée.

La phase de définition comporte ainsi trois étapes :

L'identification des besoins
L'analyse des risques
La définition de la politique de sécurité

Identification des besoins

La phase d'identification des besoins consiste dans un premier temps à faire l'inventaire du système d'information, notamment pour les éléments suivants :

Personnes et fonctions ;
Matériels, serveurs et les services qu'ils délivrent ;
Cartographie du réseau (plan d'adressage, topologie physique, topologie logique, etc.) ;
Liste des noms de domaine de l'entreprise ;
Infrastructure de communication (routeurs, commutateurs, etc.)
Données sensibles.

Analyse des risques

L'étape d'analyse des risques consiste à répertorier les différents risques encourus, d'estimer leur probabilité et enfin d'étudier leur impact.

La meilleure approche pour analyser l'impact d'une menace consiste à estimer le coût des dommages qu'elle causerait (par exemple attaque sur un serveur ou détérioration de données vitales pour l'entreprise).

Sur cette base, il peut être intéressant de dresser un tableau des risques et de leur potentialité, c'est-à-dire leur probabilité de se produire, en leur affectant des niveaux échelonné selon un barème à définir, par exemple :

Sans objet (ou improbable) : la menace n'a pas lieu d'être ;
Faible : la menace a peu de chance de se produire ;
Moyenne : la menace est réelle ;
Haute : la menace a de grandes chances de se produire.

Définition de la politique de sécurité

La politique de sécurité est le document de référence définissant les objectifs poursuivis en matière de sécurité et les moyens mis en oeuvre pour les assurer.

La politique de sécurité définit un certain nombre de règles, de procédures et de bonnes pratiques permettant d'assurer un niveau de sécurité conforme aux besoins de l'organisation.

Un tel document doit nécessairement être conduit comme un véritable projet associant des représentants des utilisateurs et conduit au plus haut niveau de la hiérarchie, afin qu'il soit accepté par tous. Lorsque la rédaction de la politique de sécurité est terminée, les clauses concernant le personnel doivent leur être communiquées, afin de donner à la politique de sécurité le maximum d'impact.

Méthodes

Il existe de nombreuses méthodes permettant de mettre au point une politique de sécurité. Voici une liste non exhaustive des principales méthodes :

MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux), mise au point par le CLUSIF ;
- https://www.clusif.asso.fr/fr/production/mehari/
MEHARI (MEthode Harmonisée d'Analyse de RIsques) ;
- https://www.clusif.asso.fr/fr/production/mehari/
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), mise au point par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) ;
- http://www.ssi.gouv.fr/fr/confiance/ebios.html
La norme ISO 17799.

Trucs & astuces pertinents trouvés dans la base de connaissances

17/02 18h07	Utilisation d'un firewall (Sécurité)
17/02 15h41	Désactiver le “mouchard” de XP (Windows XP)
05/02 03h36	Hijackthis et logiciels de désinfection (Sécurité)
05/02 01h38	Sécurité/ Protéger un ordinateur contre les malwares d'Internet (Sécurité)
24/01 13h18	Filtrage d'internet pour les enfants (Sécurité)
07/12 17h03	Sécurisation d'un PC (Sécurité)
07/12 16h49	Outils pour sécuriser Windows XP (et autres) (Sécurité)
07/12 15h18	Annuaire de sites relatifs à la sécurité (Virus)
12/11 20h15	Droits d'accès - GNU/Linux (Sécurité)
25/10 21h13	Sécurité et réaction face à un piratage (MSN Messenger)
Plus d'astuces sur « besoins definition securite »

Discussions pertinentes trouvées dans le forum

21/06 18h35	security warning/fatal error	Virus/Sécurité	02/02 10h35->^^Marie^^	120
01/05 17h50	Security troubleshooting	Virus/Sécurité	29/05 18h40->Edgar	95
18/04 18h37	message de securité smitfraud	Virus/Sécurité	21/06 19h17->lino	57
16/04 21h17	security update ,webalize,et autres pubs	Virus/Sécurité	19/04 22h15->incognito02	50
02/06 17h58	infection par security 2k hijacker	Virus/Sécurité	27/06 23h53->green day	37
20/05 16h12	XP ecran noir et fenetre wondows security	Windows	26/05 21h41->incognito02	33
05/06 19h31	[Virus ?] Security Center sur IE	Virus/Sécurité	30/12 01h45->BLOODMONEY	33
15/11 21h20	eliminer security warning, virus?	Virus/Sécurité	09/01 12h16->Regis59	31
04/11 12h42	"Sécurity warning"	Virus/Sécurité	21/12 12h40->alphonse	28
23/06 23h25	[Virus?] Security Troubleshooting ...	Virus/Sécurité	03/07 15h58->pretty_nana10	24
Discussion fermée Problème résolu		Plus de discussions sur « besoins definition securite »