Embed Size (px)
Citation preview
dossier Maîtrise des risques et sécurité des systèmes d’information
12
• La
rev
ue n
°75
- M
ai 2
004
Sécurité des Systèmes d’Information,du Principe d’Exclusion à la Gestion d’Identité
La sécurité des systèmes d’infor-mation a longtemps été centréesur le principe dit « d’exclusion »,dont l’objectif principal est la pré-vention des accès non autorisésaux ressources internes du systèmed’information de l’entreprise.
Ce principe a été mis en œuvre parde nombreuses organisations et ilconsiste essentiellement en lamise en œuvre de périmètres d’ex-clusion, frontières virtuelles dusystème d’information entre ledomaine de confiance (le réseauinterne de l’entreprise) et le mondeextérieur.
Cette approche, adaptée aux envi-ronnements informatiques cen-tralisés et cloisonnés des années1980, ne permet plus à elle seulede traiter de manière pertinentela sécurité des environnementsinformatiques actuels, plus« ouverts » (nécessité de permettrel’accès à de multiples applications dusystème d'information à de nom-breux acteurs – clients, employés,prestataires, fournisseur, ...). Ce nou-veau défi, par opposition à lalogique « d'exclusion », nous laqualifions de logique « d'inclusion ».Cet article vous présente cettemutation en profondeur ainsi queses implications.
Cette approche est pratiquée depuisles années 1970, notamment via leprincipe de « défense en profondeur »qui définit des périmètres concen-triques d’exclusion de plus en plusrestrictifs, jusqu’au cœur du systèmed’information regroupant les actifsles plus sensibles de l’entreprise.
Cette vision, due à l’origine à la topo-graphie des systèmes d’informationessentiellement constitués à l’épo-que de gros systèmes, est venuebuter sur les évolutions des architec-tures, de plus en plus ouvertes et dis-tribuées. Cette évolution s’estconcrétisée dans la fin des années80, début des années 90, par l’avène-ment des architectures client-ser-veur.
Loin d’une quelconque mode tech-nologique, ce type d’architecturecorrespondait à un besoin réel desentreprises qui ont adapté leurs sys-tèmes d’information aux nouveauxbesoins de communication et sur-tout à un nouveau mode de réalisa-tion des affaires, plus rapide, plusperformant.
Jusqu’à très récemment, ces évolu-tions ont eu un impact relativement« faible » sur la manière d’aborder lasécurité des systèmes d’information.Les entreprises ont conservé ce prin-cipe fondateur de protection péri-métrique en s’appuyant sur destechnologies de sécurité de plus enplus sophistiquées (pare-feu, sys-tèmes de détection d’intrusion, etc.)dont l’objectif est un renforcementtoujours plus grand du contrôle dupérimètre externe de sécurité.
Cette réponse « technologique »essentielle est plus que jamais d’ac-tualité mais n’est plus suffisantepour assurer la sécurité du systèmed’information de l’entreprise éten-due.
Pourquoi me direz-vous ? Parce quela séparation entre frontière interneet frontière externe du système d’in-formation tend à s’estomper. Quellesen sont les causes ? La mobilité etl’inter-connectivité : mobilité dessalariés et inter-connectivité entre lesystème d’information de l’entrepriseet celui de ses fournisseurs, parte-naires et clients.
Ces évolutions et cette transition à« l’entreprise étendue » ont poussécelles-ci à se poser des questionssur la pertinence de leur approcheen matière de sécurité, notammentdes réponses apportées par la miseen œuvre du principe de protectionpérimétrique au regard de problé-matiques telles que :
• les ressources informatiques del’entreprise doivent être connectées,disponibles et accessibles aux seulespersonnes habilitées, que celles-cisoient à l’intérieur ou à l’extérieur dupérimètre du système d’informationinterne,
• des contrôles et autorisations doi-vent être mis en œuvre afin degarantir que seuls les accès voulus etappropriés sont possibles,
• un périmètre de protection doitêtre mis en œuvre et ce périmètredoit être contrôlé et surveillé,
• les systèmes sous-jacents héber-geant les applications métiers doi-vent être fiables et sécurisés,
• la confidentialité, l’intégrité, la dis-ponibilité de l’information doiventêtre assurées.
A priori, rien de neuf pour ce qui estdes principes de sécurité sous-jacents à ces problématiques. En fait,pas tout à fait.
Si les principes restent les mêmes,leur mise en œuvre par des
Le principe « d’exclusion », une approche nécessairemais plus suffisante
Sofiane-Maxime Khadir,Manager
PricewaterhouseCoopers
approches traditionnelles seules ne permettent plus toutà fait de répondre aux nouvelles modalités d’utilisationdes ressources du système d’information (mobilité etinter-connectivité).
Quel modèle de sécurité doit-on alors considérer ? Lasuite de cet article tend à montrer que les modèles desécurité basés sur le principe dit « d’inclusion » représen-tent une des réponses possibles.
Le principe « d’inclusion »,une des réponses possibles
Cette nouvelle vision de la sécurité est basée sur unconcept au sein duquel les données distribuées ainsi queles utilisateurs distants sont autorisés à communiqueravec le traditionnel périmètre interne de l’entreprise.
La clé pour répondre à cette légitimité, a priori contradic-toire avec les concepts existants de gestion de la sécuri-té (« exclusion ») mais qui répond à une évolution et à unbesoin réel des entreprises, est la capacité à gérer l’iden-tité des utilisateurs (Identity Management), tout aulong de leur « parcours » au sein du système d’informa-tion.
Les modèles de sécurité mettant en œuvre de façonconjuguée des contrôles de sécurité au niveau de l’in-frastructure technique ainsi que des mécanismes degestion de l’identité permettent d’atteindre le « pointd’équilibre » entre les deux approches « d’inclusion » et
« d’exclusion », « point d’équilibre » qui permet auxentreprises d’apporter une réponse aux deux besoinsfondamentaux que sont :
• la protection de leur infrastructure des accès non vou-lus (flux illégitimes),
• l’accessibilité à certaines ressources internes de l’entre-prise aux seuls fournisseurs, partenaires et clients habili-tés (flux légitimes).
Ces modèles de sécurité fondés sur le concept de « CISM, Security Controls and Identity Management » s’ap-puient sur les trois axes suivants, qui mis en œuvre deconcert concourent à une mise en œuvre opérationnellede la sécurité :• Maîtrise et contrôle des processus métiers de l’entreprise :matérialisation via la mise en œuvre de politiques et deprocédures permettant de s’assurer que des actionsnécessaires ont été prises afin d’identifier et de gérer lesrisques liés à l’activité de l’entreprise et aux processusinformatiques de support sous-jacents, permettant ainsià l’organisation d’atteindre ses objectifs,
• Gestion de l’identité des utilisateurs : matérialisation via lamise en œuvre d’un processus et de technologies asso-ciées spécifiques permettant d’acquérir un niveau d’as-surance raisonnable quant au fait que seuls les utilisa-teurs autorisés ont accès aux ressources nécessaires àl’accomplissement de leurs tâches, en liaison avec leursrôles et responsabilités,
• Gestion de la sécurité de l’infrastructure technique : maté-rialisation via la mise en œuvre de processus et des tech-nologies associées permettant d’assurer la confidentialité,l’intégrité et la fiabilité des traitements de l’information.
Les bénéfices de la gestion d’identité
Comme il a été exposé dans les paragraphes précédents,la mise en œuvre de techniques de gestion de l’identitéest source de nombreux bénéfices et répond à un besoinréel des organisations en matière de sécurité.
Parmi ces bénéfices, outre ceux purement liés à un ren-forcement significatif du niveau de sécurité, on peut endistinguer deux autres qui présentent des avantagessignificatifs pour l’entreprise en matière de réduction descoûts (Retour sur investissement – ROI) et de contrôleinterne.
En effet, la mise en œuvre de techniques de gestion del’identité induit une réduction des coûts par une plusgrande efficacité en matière de gestion des habilitationsdes utilisateurs, d’intégration de nouvelles applicationset d’allègement des tâches d’administration (axes géné-rateurs de ROI).
Sur le plan du contrôle interne, cette approche fournit unoutil efficace permettant de répondre à l’objectif decontrôle majeur qu’est la séparation des tâches, sansdoute l’un des plus ardus à mettre opérationnellementen œuvre.
13
• La
rev
ue n
°75
- M
ai 2
004
Maîtrise des risques et sécurité des systèmes d’information dossier
© PricewaterhouseCoopers
© PricewaterhouseCoopers
Exclusion
EmployésPartenairesFournisseurs
ClientsInclusion
Pirates Concurrents
Intrus
Concernant la loi Sarbanes-Oxley,ces contraintes ont même été ren-forcées au mois de juin 2003 par laSEC qui a précisé les modalités d’ap-plication de la section 404 qui serontapplicables dès le 14 août 2004. Il yest notamment précisé que les pro-cédures de contrôle interne doiventpermettre de fournir une assuranceraisonnable au regard des disposi-tions mises en œuvre afin de préve-nir, d’identifier et de détecter lesactes frauduleux. Ces dispositionsdoivent notamment permettre lasauvegarde des informations élec-troniques afin de pouvoir être analy-sées et potentiellement incluses ausein de procédures légales (procé-dure « d’admissibilité »).
Elles sont également un complé-ment indispensable à des normes desécurité telles que l’ISO/IEC 17799.Cette norme, qui a été adoptée parde nombreuses organisations afinde définir un cadre structurant de « bonnes pratiques » en matière degestion de la sécurité du systèmed’information, pallie les faiblesses enmatière de sécurité et d’objectifs decontrôle associés de référentiels telsque le COSO (Comittee of SponsoringOrganizations (2)) ou encore le CobiT
(Control Objectives for InformationTechnology).
La force des techniques de gestionde l’identité est d’apporter uneréponse opérationnelle à la problé-matique de gestion des habilita-tions, à l’instar de la norme ISO/IEC17799 qui ne représente qu’un réfé-rentiel de bonne pratique sans le « mode d’emploi ».
Les principes abordés au sein de cetarticle ainsi que les démarchesméthodologiques afférentes allantde la conception à la mise en œuvreopérationnelle constituent une par-tie des éléments intégrés au sein dumodèle de sécurité ESBM –Enterprise Security Business Model -développé par PricewaterhouseCoopers.
dossier Maîtrise des risques et sécurité des systèmes d’information
14
• La
rev
ue n
°75
- M
ai 2
004
En effet, de par son approcheexhaustive et un modèle basé sur lagestion des rôles et responsabilités,les techniques de gestion de l’iden-tité renforcent les deux objectifsprincipaux liés à la séparation destâches qui sont :
• de rendre plus difficile les actionsde fraude car elles nécessitent alorsla collusion entre deux personnes ouplus,
• d’augmenter la probabilité dedétection des actes « malicieux »non intentionnels commis par despersonnels utilisant les ressourcesdu système d’information de l’entre-prise.
Elles répondent en cela à des exi-gences toujours plus fortes desrégulateurs en matière de préven-tion, de détection et de traçabilité dela fraude, notamment commise pardes employés interne.
Ces exigences ont été renforcées autravers de textes de loi récents telsque la loi Sarbanes-Oxley (section404, ) et la loi de Sécurité Financière(1) (Titre 3, Chapitre 2, applicationrétroactive pour l’exercice débutantau 1er janvier 2003, réglementationfrançaise).
© PricewaterhouseCoopers
1. Adoptée par l’Assemblée Nationale le 17 juillet2003 et publiée au Journal Officiel du 2 août 2003(Loi n° 2003-706).
2. Le Coso est considéré comme une référence parles autorités de régulation américaines en matièrede contrôle interne et est l’un des référentiels lesplus usités au monde.
