LA CONFORMITE DE SECURITE

Introduction

La sécurité des systèmes d’information (SSI) ou plus simplement sécurité informatique, est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place de moyens visant à empêcher l’utilisation non autorisée, le mauvais usage, la modification ou le détournement du système d’information. Assurer la sécurité du système d’information est une activité du management du système d’information. Le système d’information représente un patrimoine essentiel de l’organisation, qu’il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées dans le cadre prévu. La sécurité des systèmes d’information vise les objectifs suivants : 1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché. 2. Authenticité: les utilisateurs doivent prouver leur identité par l’usage de code d’accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l’utilisateur n’est reconnu que par son identifiant publique, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant publique avec un secret est le mécanisme permettant de garantir l’authenticité de l’identifiant. Cela permet de gérer les droits d’accès aux ressources concernées et maintenir la confiance dans les relations d’échange. 3. Intégrité : les données doivent être celles que l’on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calculs de checksum ou de hachage. 4. Disponibilité : l’accès aux ressources du système d’information doit être permanent et sans faille durant les plages d’utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement. D’autres aspects peuvent aussi être considérés comme des objectifs de la sécurité des systèmes d’information, tels que : 1. La traçabilité (ou « preuve ») : garantie que les accès et tentatives d’accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables. 2. La non-répudiation et l’imputation : aucun utilisateur ne doit pouvoir contester les opérations qu’il a réalisées dans le cadre de ses actions autorisées et aucun tiers ne doit pouvoir s’attribuer les actions d’un autre utilisateur. Une fois les objectifs de la sécurisation déterminés, les risques pesant sur chacun de ces éléments peuvent être estimés en fonction des menaces. Le niveau global de sécurité des systèmes d’information est défini par le niveau de sécurité du maillon le plus faible. Les précautions et contre-mesures doivent être envisagées en fonction des vulnérabilités propres au contexte auquel le système d’information est censé apporter service et appui. 

Gestion de la conformité de sécurité

La gestion de la conformité de la sécurité est le processus continu de définition des politiques de sécurité, ainsi que l’audit de la conformité au sein de ces politiques et de s’assurer que tout cas de non-conformité est résolu. La non-conformité doit être gérée conformément aux politiques de gestion de la configuration en place dans l’entreprise en question. Un système de gestion de la conformité est une pratique qu’une organisation met en place pour gérer l’ensemble de son processus de conformité. Cela inclut leurs fonctions d’audit de conformité, qui testeront de manière indépendante le programme de conformité mis en place par l’organisation. Cela comprend également le respect de toutes les réglementations et lois applicables à l’entreprise, ainsi que de leurs politiques et procédures. III.2.1. Critères d’une solution de gestion de la conformité de sécurité Il existe un certain nombre de facteurs différents qui auront un impact sur la manière dont la gestion de la conformité de la sécurité informatique est mise en œuvre dans un certain environnement. Les principales dimensions de la gestion de la conformité de la sécurité informatique sont les suivantes:  Une sélection de contrôles de sécurité informatique  Niveau d’automatisation  Niveau et profondeur des rapports  Portée de la vérification de la conformité de la sécurité informatique  Calendrier de suivi  Nombre de contrôles de sécurité informatique  Vérification ponctuelle et vérification de la durée Les dimensions clés mentionnées ci-dessus peuvent être dérivées en tenant compte des facteurs secondaires suivants:  L’environnement commercial de l’organisation  Obligations légales et réglementaires  Maturité du cadre de politique de sécurité informatique  Complexité technologique  Complexité organisationnelle 

Les défis de gestion de la conformité de sécurité

Même s’il existe un objectif clair de conformité de la sécurité informatique, qui est défini par des normes et des procédures précises, il est indéniable que la gestion de la conformité de la sécurité informatique peut être une tâche difficile. Red Hat, Automatisation de la conformité de sécurité avec Ansible et OSCAP. 53 Cela est particulièrement vraisi l’on considère que la technologie et l’environnement des affaires changent constamment. Voici quelques-uns des défis les plus récents rencontrés dans la gestion de la conformité:  Cloud computing et conformité Le traitement des données dans le cloud présente de nombreux avantages. Cependant, gérer la conformité de la sécurité informatique pour se conformer aux lois, réglementations et politiques peut ne pas être une tâche facile.  Pression des coûts et efficacité des performances Les organisations essaient naturellement de faire plus avec moins. Cependant, comme la conformité de la sécurité est une question de qualité, il est nécessaire qu’elle soit livrée à un coût moindre. Lorsque vous pensez que l’une des dépenses opérationnelles les plus importantes pour les entreprises est la main-d’œuvre, de nombreuses entreprises essaieront d’automatiser autant que possible la conformité.  La complexité des critères de conformité de la sécurité informatique La vérification des contrôles de sécurité qui sont en place pour les systèmes gérés est essentielle pour s’assurer que le système ne dégrade pas la posture de ses contrôles de sécurité informatique en raison des modifications apportées au système une fois qu’il a été installé. Par exemple, les modifications apportées en raison d’un attaquant modifiant la configuration pour compromettre le système ou masquer ses traces, ou les modifications qui ont été apportées lors d’une mise à niveau ou d’une installation.  La complexité de l’environnement Aujourd’hui, peu d’organisations peuvent affirmer que leur environnement est centralisé et homogène. Les systèmes géographiquement répartis en grandes quantités sont la norme. Non seulement les entreprises ont des systèmes provenant de différents fournisseurs, mais elles ont également tendance à exécuter plusieurs versions de systèmes d’exploitation en même temps. Ce niveau de complexité ne fait que croître.  Maintien de la conformité au fil du temps Même si vous disposez d’un environnement stable, les systèmes changent constamment. Après tout, des packages supplémentaires sont nécessaires, des mises à jour doivent être installées et des correctifs doivent être appliqués. Pour cette raison, un changement de configuration est nécessaire dans l’environnement d’exploitation sous-jacent. En outre, les exigences réglementaires de plus en plus nombreuses signifient que les entreprises doivent se tenir au courant de tous les changements qui se produisent pour rester conformes. Comme vous pouvez le constater, de nombreuses variables doivent être prises en compte lors de la gestion de la conformité dans toute organisation. C’est quelque chose dont toutes les entreprises doivent se préoccuper aujourd’hui, quel que soit leur secteur d’activité ou la taille de leur entreprise.