LES BONNES PRATIQUES Présentation du 31 Mars 2005 Denis PELANCHON et Samuel JANIN
Les bonnes pratiques pour protéger son information contre les atteintes en confidentialité et en intégrité
La mise en place de bonnes pratiques C’est avant tout une question de maîtrise des risques La connaissance et l’évaluation des risques permettent d’identifier les objectifs de sécurité puis de sélectionner les mesures à mettre en place.
Il n’y a pas que la technologie pour réduire le risque Contre des menaces d’origine humaine, la technologie sera toujours en retard. Les mesures techniques sont indispensables mais totalement insuffisantes.
Le traitement des risques à l’aide de bonnes pratiques A elle seule, une bonne pratique n’apporte que très rarement un taux de couverture suffisant. Un risque est traité par un ensemble de bonnes pratiques complémentaires. Une bonne pratique participe souvent à la couverture partielle de plusieurs risques.
Il existe un référentiel international L’ISO 17799 : code of practice for information security management Donne les grandes lignes et les principes généraux pour initier, mettre en place, maintenir et améliorer la gestion de la sécurité de l’information dans une organisation.
Les briques de base pour se protéger contre certaines atteintes à la confidentialité et à l’intégrité Politique de sécurité de l’information Attribution de responsabilités Sensibilisation et formation Suivi des vulnérabilités Gestion des incidents de sécurité
Les ressources humaines Quelques exemples de bonnes pratiques pour se protéger contre certaines atteintes à la confidentialité et à l’intégrité Les ressources humaines Les rôles et responsabilités des employés, des sous-traitants et des tierces parties devraient être définis et documentés en conformité avec la politique de sécurité de l‘information de l’organisation. Des vérifications de base devraient être effectuées pour tout candidat à un poste, sous-traitant et tierce partie, en conformité avec les lois, règlements et codes d’éthique, et de façon proportionnée avec les nécessités professionnelles et le niveau de classification des informations. Les employés, sous-traitants et tierces parties devraient approuver et signer les termes et conditions de leur contrat. Ces dernières devraient faire état des responsabilités qui incombent à chacune des parties en termes de sécurité de l’information. Les responsables hiérarchiques devraient exiger de leurs employés, sous-traitants, et tierces parties qu’ils appliquent les règles de sécurité telles que définies dans la politique de sécurité et les procédures de l’organisation.
Sécurité physique et environnementale Quelques exemples de bonnes pratiques pour se protéger contre certaines atteintes à la confidentialité et à l’intégrité Sécurité physique et environnementale Les points d’accès comme les zones de livraison ou de chargement et autre endroits où des personnes non autorisées pourraient pénétrer, devraient être contrôlés et si possible isolés des équipements de traitement de l’information afin d’éviter les accès non autorisés. Les câbles d’alimentation et de télécommunication transportant des informations ou servant de support à des services devraient être protégés contre les interceptions et les endommagements. Avant toute réutilisation ou mise au rebut, tous les éléments d’un équipement contenant des dispositifs de stockage devraient être vérifiés pour s’assurer que les informations sensibles et les logiciels sous licence ont été retirés ou ont été écrasés de façon sécurisée.
Échanges d’informations Gestion des accès Quelques exemples de bonnes pratiques pour se protéger contre certaines atteintes à la confidentialité et à l’intégrité Échanges d’informations Des politiques formelles d’échanges, des procédures et des contrôles devraient être mis en place pour protéger les échanges d’informations au travers de tout types de dispositifs de communication. Les médias contenant des informations devraient être protégés contre les accès non autorisés, les mauvais usages ou la corruption pendant leur transport au-delà des frontières physiques de l’organisation Gestion des accès Des méthodes d’authentifications appropriées devraient être utilisées pour contrôler l’accès des utilisateurs distants. Le management devrait procéder à des revues des droits d’accès des utilisateurs, à intervalles réguliers et selon un processus formalisé. La politique du bureau débarrassé de tout papier ou support de stockage amovible et la politique de l’écran vide de toute information devraient être adoptées.