République Tunisienne Premier Ministère La sécurité informatique: lexpérience dun utilisateur Tunisien Présenté par Hassen SOUKNI Chargé de mission au Premier Ministère Tanger – Janvier 2008
La sécurité informatique: Pourquoi?Pourquoi? Comment?Comment?
Mais dabord quest ce que la sécurité informatique? Au niveau le plus simple, il sagit d éviter le risque derreurs provoquées par des utilisateurs pas suffisamment initiés et pas nécessairement mal intentionnés, le risque des erreurs de manipulation, … Au niveau le plus simple, il sagit d éviter le risque derreurs provoquées par des utilisateurs pas suffisamment initiés et pas nécessairement mal intentionnés, le risque des erreurs de manipulation, … A un niveau supérieur, il sagit déviter toute intrusion dans le système et toute tentative daccès non autorisée, ayant pour but de prendre connaissance des données qui y sont consignées, ou de les modifier afin de semer le trouble. A un niveau supérieur, il sagit déviter toute intrusion dans le système et toute tentative daccès non autorisée, ayant pour but de prendre connaissance des données qui y sont consignées, ou de les modifier afin de semer le trouble.
La sécurité informatique: Pourquoi?
Disons le, la sécurité informatique, est dabord un souci politique, plus quadministratif ou technique. Disons le, la sécurité informatique, est dabord un souci politique, plus quadministratif ou technique. Mais il faut toujours convaincre les politiciens afin que le souci de sécurité ne freine pas le programme. Mais il faut toujours convaincre les politiciens afin que le souci de sécurité ne freine pas le programme.
Pour lutilisateur: le souci de sécurité se justifie par: Pour lutilisateur: le souci de sécurité se justifie par: La gestion dune matière sensible, en rapport avec lintérêt national, une matière qui engage la responsabilité politique et même civile à certains égards de plusieurs personnes, et qui peut revêtir un aspect confidentiel. La gestion dune matière sensible, en rapport avec lintérêt national, une matière qui engage la responsabilité politique et même civile à certains égards de plusieurs personnes, et qui peut revêtir un aspect confidentiel.
Un système nest crédible et fiable que quand il garantit la sécurité des informations qui y sont consignées. Un système nest crédible et fiable que quand il garantit la sécurité des informations qui y sont consignées. La relation entre le décideur qui a recours au système, quil soit ministre ou autre, dune part, et le responsable du système, dautre part, repose sur lentière confiance et la conviction que le système est hautement sécurisé. La relation entre le décideur qui a recours au système, quil soit ministre ou autre, dune part, et le responsable du système, dautre part, repose sur lentière confiance et la conviction que le système est hautement sécurisé. Cest pour cela que le système dinformation peut offrir une base de données exhaustive, puisque originellement elle est alimentée par toutes les informations utiles. Il ny a pas de rétention dinformation vis-à-vis du système.
Le moindre doute qui plane sur la sécurité, ou la moindre faille peut être fatale pour la crédibilité du système, voire pour sa survie. Elle remet en question, par la même, la confiance que le décideur place dans le responsable du système dinformation.
En fait, les politiciens, en général non techniciens, placent plus leur confiance dans la personne qui gère le système que dans le système de sécurité lui-même. Il faut savoir les mettre en confiance. Leur conception et leur vision de la sécurité passe par la personne qui la gère. En fait, les politiciens, en général non techniciens, placent plus leur confiance dans la personne qui gère le système que dans le système de sécurité lui-même. Il faut savoir les mettre en confiance. Leur conception et leur vision de la sécurité passe par la personne qui la gère.
La sécurité informatique: Comment?
2 niveaux de réponses: Administratif, en tant quutilisateur dun système, dont on doit garantir la sécurité, Administratif, en tant quutilisateur dun système, dont on doit garantir la sécurité, Technique, qui relève de la compétence des informaticiens, et des outils mis à leur disposition, mais reste toujours du domaine de responsabilité de lutilisateur, lui-même assumant lentière responsabilité devant le décideur. Technique, qui relève de la compétence des informaticiens, et des outils mis à leur disposition, mais reste toujours du domaine de responsabilité de lutilisateur, lui-même assumant lentière responsabilité devant le décideur.
Comme règle générale, les données revêtant un aspect hautement confidentiel ne doivent jamais figurer dans lapplication. Une donnée qui sort du support documentaire jalousement gardé dans une armoire fermée à clé, voire dans un coffre- fort des fois, court le risque dêtre révélée dune manière ou dune autre. La notion de transparence et de démocratisation de laccès à linformation ne peut avoir quune valeur relative quand il sagit dinformation ayant trait à la sécurité et à la souveraineté de lEtat, ou aux secrets personnels des individus.
Comme règle générale également, le système dinformation doit être conçu, autant que faire se peut, par des compétences nationales. Ainsi, le risque est moindre. Comme règle générale également, le système dinformation doit être conçu, autant que faire se peut, par des compétences nationales. Ainsi, le risque est moindre.
Au niveau administratif, Au niveau administratif, Les mesures suivantes sont à prendre: A – Concernant les personnes habilitées à accéder au système: Il faut: + En limiter le nombre et bien sélectionner celles qui travaillent sur le système et qui ont un apport réel. Le système est loin dêtre un élément du décor du bureau ou un cadeau à certains responsables. + Initier les personnes identifiées à la manipulation du système, pour éviter toute erreur qui pourrait être fatale.
B – Concernant la gestion et les privilèges accordés aux utilisateurs: Il faut: Centraliser la saisie des données, ou tout au moins instaurer un outil de contrôle systématique de toutes les données saisies. Centraliser la saisie des données, ou tout au moins instaurer un outil de contrôle systématique de toutes les données saisies. Accorder des privilèges daccès différents en fonction des besoins réels et de la capacité de manipulation. Il faut déterminer de façon précise les privilèges dutilisation des uns et des autres (saisie, collationnement, consultation, …). La sélection doit être faite de façon très réfléchie et rationnelle Accorder des privilèges daccès différents en fonction des besoins réels et de la capacité de manipulation. Il faut déterminer de façon précise les privilèges dutilisation des uns et des autres (saisie, collationnement, consultation, …). La sélection doit être faite de façon très réfléchie et rationnelle
Par exemple, Le ministre ne peut avoir systématiquement le privilège de modifier; il est même recommandé quil nait que la possibilité de consulter.
C – Concernant le sécurité physique des ordinateurs Des consignes précises sont données aux utilisateurs de bien prendre soin de ordinateurs, soit: Ne pas permettre à des personnes étrangères au service de consulter lapplication, encore moins de la manipuler, la responsabilité pour chaque ordinateur étant strictement personnelle. Ne pas permettre à des personnes étrangères au service de consulter lapplication, encore moins de la manipuler, la responsabilité pour chaque ordinateur étant strictement personnelle. Ne pas laisser lordinateur ouvert en quittant le bureau. Ne pas laisser lordinateur ouvert en quittant le bureau. Lemplacement même de lordinateur doit être étudié. Lemplacement même de lordinateur doit être étudié.
Au niveau technique, Au niveau technique, Un train de mesures nous sont dictées par les techniciens; elles ne sont pas soumises à discussion; nous, utilisateurs, nous conformons presque strictement à ces mesures. Nous en citons en vrac quelques unes: + Isoler le système de linternet, en dautres termes, ne pas utiliser un ordinateur pour lapplication gouvernementale et linternet en même temps. + Utiliser un réseau dédié, physiquement isolé de tout autre réseau.
+ Identifier un mot de passe personnel et régulièrement modifié pour toute personne habilitée à accéder au système. + Contrôler laccès au système de façon à détecter toute intrusion. Des tests et des simulations dattaque sont entrepris de façon régulière.
+La sauvegarde des données est effectuée quotidiennement. En outre, des opérations daudit sécurité sont entreprises que ce soit de façon programmée ou de façon improvisée auprès de tous les utilisateurs du système.
La dernière mesure est de rester à lécoute des techniciens et croire que de nouvelles mesures peuvent toujours être imaginées pour améliorer les conditions de sécurité. La dernière mesure est de rester à lécoute des techniciens et croire que de nouvelles mesures peuvent toujours être imaginées pour améliorer les conditions de sécurité.
Messieurs, Mesdames les techniciens, éclairez-nous: Messieurs, Mesdames les techniciens, éclairez-nous: Nous avons fixé lobjectif: zéro papiers
Peut-on parler du risque zéro?
شكراMerci THANK YOU