Sécurisation des Systèmes d'Information (SI)

De Wiki SIO EDM
Aller à : navigation, rechercher
Système d'information (SI)

Il s'agit d'un ensemble organisé de ressources (matériels, personnes, logiciel et procédures) permettant d’acquérir, de traiter, de stocker, de diffuser des informations (sous forme de données, textes, images, sons, etc.) dans et entre les organisations. [1]

Il est par alors devenu le support de toutes les données numériques. Ainsi, un manquement vis-à-vis de sa sécurisation pourrait conduire à de graves répercutions, aussi bien pour l'organisation (atteinte du patrimoine informationnel [2]) que pour les personnes dont les données ont été collectées.

Sécurité des systèmes d'information (SSI)

Elle regroupe l'ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information.

Historique

La sécurisation des données numériques n'est pas une préoccupation récente des responsables de systèmes d'information. Cet enjeu est notamment présent en matière de sécurisation de l'information stratégique et militaire.

Trusted Computer System Evaluation Criteria (TCSEC) - Décembre 1985

The Orange Book

Littéralement les "Critères d'évaluation du système informatique approuvé" sont un ensemble de critères énoncés par le Department of Defense (DoD) [3] des États-Unis en décembre 1985.

  • Ils permettent d'évaluer la fiabilité de systèmes informatiques centralisés.
  • Ce cahier des charges (aussi appelé "The Orange Book" en référence au coloris de sa couverture) distingue quatre degrés de sécurité allant de A à D, A étant le niveau le plus sécurisé.
  • Généralement, le niveau C2 suffit à un système d'information pour être qualifié de "fiable".

Multilevel Security (MLS) - Années 1990

Autre principe trouvant ses racines dans les recherches de résolution des problèmes de sécurité de l'information militaire, la sécurité multiniveau consiste à catégoriser les entités d'un système en fonction de niveaux d'habilitation et de classification.

  • Ainsi, l'accès d'un sujet à un objet n'est plus uniquement assujetti à l'identité du sujet, mais avant tout au niveau d'habilitation du sujet par rapport au niveau de classification de l'objet en fonction de la nature de l'action entreprise.
  • Ce mode d'exploitation permet la cohabitation sur une même plateforme d'entités de classification et d'habilitation différentes tout en garantissant un respect strict de la politique de confidentialité.

Défense en profondeur - Vers 2002

Il s'agit d'un terme emprunté à une technique militaire [4] ayant pour objectif de retarder l'ennemi et consistant à exploiter plusieurs techniques de sécurité afin de réduire le risque lorsqu'un composant particulier de sécurité est compromis ou défaillant.

  • Son principe revient à sécuriser chaque sous-ensemble du système, et s'oppose à la vision d'une sécurisation du système uniquement en périphérie.
  • Les divers composants d'une infrastructure ou d'un système d'information doivent disposer de leurs propres contrôles de sécurité et être indépendants des autres composants avec lesquels ils interagissent.
  • Ainsi, chaque composant effectue lui-même toutes les validations nécessaires pour garantir la sécurité.


De manière générale, la préservation des données relatives aux personnes fait l'objet d'obligations légales régies par la Loi Informatique et Libertés.

Loi informatique et libertés - 6 janvier 1978 au 6 août 2004

Loi n°78-17 [5] du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, plus connue sous le nom de loi informatique et libertés, est une loi française qui règlemente la liberté de traitement des données personnelles, c'est-à-dire la liberté de ficher les personnes humaines.

  • Article 1
L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Dès le second article, elle définit son cadre, s'adressant au plus grand nombre.
  • Article 2
[...] Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement.

Par la suite, elle spécifie :

- quelles sont les obligations d'un responsable de traitement
- quels peuvent-être les destinataires de ce traitement (Art. 3) : toute personne habilitée à recevoir communication de ces données
- quelles données peuvent être collectés : les « origines raciales », ethniques, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, ou celles relatives à la santé et à la sexualité sont interdites, étant qualifiées de données sensibles, sauf exception (Art. 8 et 26)


- et comment doivent-elles êtres récoltées et conservées (Art. 6 et 7). L'article 6 définit notamment le principe de finalité, le principe de proportionnalité et le principe d'exactitude.
  • Article 6
Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
  1. Les données sont collectées et traitées de manière loyale et licite ;
  2. Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres IX et X et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ;
  3. Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
  4. Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées;
  5. Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
  • Article 7
Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes : 1° Le respect d'une obligation légale incombant au responsable du traitement ; 2° La sauvegarde de la vie de la personne concernée ; 3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ; 4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures pré-contractuelles prises à la demande de celle-ci ; 5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.


Il est aujourd'hui globalement admis que la sécurité d'un SI ne peut être garantie à 100% et qu'elle requiert donc la mobilisation d'une panoplie de mesures pour réduire les chances de pénétration de ce dernier.

Cloud Computing

Définition

Le cloud computing, ou l’informatique en nuage ou nuagique ou encore l’infonuagique (au Québec), est l'exploitation de la puissance de calcul ou de stockage de serveurs informatiques distants par l'intermédiaire d'un réseau, généralement internet. Ces serveurs sont loués à la demande, le plus souvent par tranche d'utilisation selon des critères techniques (puissance, bande passante, etc.) mais également au forfait. Le cloud computing se caractérise par sa grande souplesse : selon le niveau de compétence de l'utilisateur client, il est possible de gérer soi-même son serveur ou de se contenter d'utiliser des applicatifs distants en mode SaaS.

En France, la Commission générale de terminologie et de néologie précise qu'il s'agit d'une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement dans le nuage ne sont pas portés à la connaissance des clients.

Textes en vigueur

  • Loi Informatique et Libertés [6]
    • Art. 3 (Modifié par Loi n°2004-801 du 6 août 2004)
    • I. - Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens.
    • Art. 34 (Modifié par la loi n°2004-801 du 6 août 2004)
    • Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
      Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8.
    • Art. 35 al. 3 et 4 (Modifié par la loi n°2004-801 du 6 août 2004)
      Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.
      Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.
    • Art. 68 (Créé par la loi n°2004-801 du 6 août 2004)
      Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat n'appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet. Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.


  • Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution
  • Titre V : LES SYSTÈMES DE SURVEILLANCE ET DE MAÎTRISE DES RISQUES
    Chapitre II : Conditions applicables en matière d'externalisation
    • Art. 237
    • Les entreprises assujetties qui externalisent des prestations de services ou d'autres tâches opérationnelles essentielles ou importantes, au sens du q et du r de l'article 10, demeurent pleinement responsables du respect de toutes les obligations qui leur incombent.

Explicatons

Selon la loi, un fournisseur de Cloud Computing doit pouvoir être en mesure de garantir une continuité d’accès et une sécurisation adéquate des données externalisées par les seules personnes habilitées par le client pendant toute la durée du contrat de prestation.

D’après l’article 34 de la Loi informatique et Libertés, les données externalisées doivent être conservées en assurant leur intégrité et selon leurs niveaux de sécurité et leurs spécificités.

La responsabilité de la sécurité des données (et plus généralement la loi de 1978) revient au responsable de traitement, et ce, qu’il ait fait le choix de recourir à une solution de Cloud Computing ou qu’il ait laissé un de ses sous-traitants y recourir pour le traitement de ses données.

Enfin, l’hébergement des données qui s’effectue hors de France doit répondre aux règles de flux transfrontaliers des données[7] ainsi qu’à la loi du pays d’hébergement.

Externalisation

Définition

L’externalisation, ou la gestion déléguée, consiste à « confier une activité et son management à un fournisseur ou à un prestataire extérieur plutôt que de la réaliser en interne ».

Les caractéristiques de cette opération se résument par :

  • Le transfert des activités, des salariés, des compétences, des actifs… de l'entreprise vers le prestataire.
  • Création d’un contrat entre l’entreprise et le tiers.

Notons que le tiers peut opérer sur le site du client ou dans ses propres locaux, laissant à l’entreprise le temps de s’occuper de son cœur de métier ou "core business" en anglais.

Textes en vigueur

  • Règlement n°97-02 du 21 février 1997 modifié relatif au contrôle interne des établissements de crédit et des entreprises d’investissement
Chapitre II Conditions applicables en matière d’externalisation
Article 37-2
Les entreprises assujetties qui externalisent des prestations de services ou

d'autres tâches opérationnelles essentielles ou importantes, au sens des q et r de l'article 4,

demeurent pleinement responsables du respect de toutes les obligations qui leur incombent [...]
  • Loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée
Article 35 - Modifié par la loi n°2004-801 du 6 août 2004
Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.

Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.
Chapitre XII – Transferts de données à caractère personnel vers des états n’appartenant pas à la Communauté européenne
Article 68 - Créé par la loi n°2004-801 du 6 août 2004
Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat n'appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet. Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.
Article 69 - Créé par la loi n°2004-801 du 6 août 2004
Toutefois, le responsable d’un traitement peut transférer des données à caractère personnel vers un État ne répondant pas aux conditions prévues à l’article 68 si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l’une des conditions suivantes :
  1. A la sauvegarde de la vie de cette personne ;
  2. A la sauvegarde de l’intérêt public ;
  3. Au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;
  4. A la consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ;
  5. A l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;
  6. A la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers.

Il peut également être fait exception à l’interdiction prévue à l’article 68, par décision de la Commission nationale de l’informatique et des libertés ou, s’il s’agit d’un traitement mentionné au I ou au II de l’article 26, par décret en Conseil d’État pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet.

La Commission nationale de l’informatique et des libertés porte à la connaissance de la Commission des Communautés européennes et des autorités de contrôle des autres États membres de la Communauté européenne les décisions d’autorisation de transfert de données à caractère personnel qu’elle prend au titre de l’alinéa précédent.
Article 70 - Créé par la loi n°2004-801 du 6 août 2004

Si la Commission des Communautés européennes a constaté qu’un État n’appartenant pas à la Communauté européenne n’assure pas un niveau de protection suffisant à l’égard d’un transfert ou d’une catégorie de transferts de données à caractère personnel, la Commission nationale de l’informatique et des libertés, saisie d’une déclaration déposée en application des articles 23 ou 24 et faisant apparaître que des données à caractère personnel seront transférées vers cet État, délivre le récépissé avec mention de l’interdiction de procéder au transfert des données.

Lorsqu’elle estime qu’un État n’appartenant pas à la Communauté européenne n’assure pas un niveau de protection suffisant à l’égard d’un transfert ou d’une catégorie de transferts de données, la Commission nationale de l’informatique et des libertés en informe sans délai la Commission des Communautés européennes. Lorsqu’elle est saisie d’une déclaration déposée en application des articles 23 ou 24 et faisant apparaître que des données à caractère personnel seront transférées vers cet État, la Commission nationale de l’informatique et des libertés délivre le récépissé et peut enjoindre au responsable du traitement de suspendre le transfert des données. Si la Commission des Communautés européennes constate que l’État vers lequel le transfert est envisagé assure un niveau de protection suffisant, la Commission nationale de l’informatique et des libertés notifie au responsable du traitement la cessation de la suspension du transfert. Si la Commission des Communautés européennes constate que l’État vers lequel le transfert est envisagé n’assure pas un niveau de protection suffisant, la Commission nationale de l’informatique et des libertés notifie au responsable du traitement l’interdiction de procéder au transfert de données à caractère personnel à destination de cet État.

Gestion du risque des systèmes d’information (Analyse de risques)

Définition

Le concept de gestion des risques (ou risk management) a très certainement fait son apparition à la fin des années 50 aux États-Unis dans le domaine financier, en relation avec des questions d’assurance. Par la suite, la notion de gestion des risques a été étendue à d’autres domaines, citons notamment l’environnement, la gestion de projet, le marketing, ainsi que la sécurité informatique, qui nous intéresse tout particulièrement. La gestion des risques de sécurité des SI (Systèmes d’Information) constituent uniquement une partie des risques généralement associés aux activités nécessitant un SI. Ne seront pas traités, par exemple, les risques ayant des causes d’ordre financier (comme des décisions en matière d’investissement) ou organisationnel (par exemple une embauche pour un poste à responsabilité). La gestion des risques est définie par l’ISO comme l’ensemble des activités coordonnées visant à diriger et piloter un organisme vis-à-vis du risque. On dégage en général trois finalités à la gestion des risques pour les SI :

  1. Améliorer la sécurisation des systèmes d’information.
  2. Justifier le budget alloué à la sécurisation du système d’information.
  3. Prouver la crédibilité du système d’information à l’aide des analyses effectuées.

Textes en vigueur

  • Règlement n°97-02 du 21 février 1997 modifié, relatif au contrôle interne des établissements de crédit et des entreprises d’investissement [8]
  • Loi n°78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés [9]

Explications

Les entreprises assujetties déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Elles veillent au niveau de sécurité retenu et à ce que leurs systèmes d’information soient adaptés.

Le responsable du traitement est tenu de rendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Contrôle permanent de l’existant SI

Définition

Même s’il a fait l’objet d’une analyse de risques initiale en phase projet, un système d’information voit sa sécurité évoluer au fil du temps, du fait de différents phénomènes tels que :

  • Le vieillissement de certains de ses composants techniques (qu’ils soient logiciels ou matériels) qui peuvent être frappés d’obsolescence, ne plus être maintenus ou supportés, ne plus faire l’objet de correctifs de sécurité en cas de découverte de vulnérabilités ;
  • Le développement des menaces, qui impose de se prémunir contre des risques jusqu’alors inconnus ;
  • Le durcissement de la réglementation, qui impose de prendre de nouvelles précautions.

La sécurité du système d’information doit donc faire l’objet d’un contrôle permanent pour s’assurer dans la durée d’information doit donc faire l’objet d’un contrôle permanent pour s’assurer dans la durée d’un niveau raisonnable de maîtrise des risques.

Textes en vigueurs

  • Règlement n°97-02 du 21 février 1997 modifié, relatif au contrôle interne des établissements de crédit et des entreprises d’investissement
  • Code monétaire et financier
Article L. 533-2 - Modifié par Ordonnance n°2014-158 du 20 février 2014 - art. 3
Les prestataires de services d'investissement disposent de procédures administratives saines, de mécanismes de contrôle interne, de techniques efficaces d'évaluation des risques, de dispositifs efficaces de contrôle et de sauvegarde de leurs systèmes informatiques et de techniques d'atténuation des risques pour les contrats dérivés de gré à gré non compensés par une contrepartie centrale conformes à l'article 11 du règlement (UE) n° 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux.

Les prestataires de services d'investissement sont tenus, pour ce qui concerne leurs activités de services d'investissement, de respecter les normes de gestion destinées à garantir leur liquidité, leur solvabilité et l'équilibre de leur structure financière définies par le ministre chargé de l'économie en application de l'article L. 611-3.

Ils doivent en particulier respecter des ratios de couverture et de division des risques.

Le non-respect de ces obligations entraîne l'application de la procédure prévue aux articles L. 612-39 , L. 612-40 et L. 621-15.