OPTIMISER LA SECURITE DE L’INFORMATION · une politiue, d’établi et d’atteind e des...
118
HEC – ECOLE DES MINES DE PARIS PROMOTION 2009 Mastère Spécialisé Management des Systèmes d’Informations OPTIMISER LA SECURITE DE L’INFORMATION « Entre normes, standards et approches humaines » Thèse professionnelle préparée sous la direction de M. Ludovic FRANCOIS présentée et soutenue pour l’obtention du MSIT par Arnaud GARRIGUES
Transcript of OPTIMISER LA SECURITE DE L’INFORMATION · une politiue, d’établi et d’atteind e des...
HEC – ECOLE DES MINES DE PARIS
PROMOTION 2009
Mastère Spécialisé
Management des Systèmes d’Informations
OPTIMISER LA SECURITE DE L’INFORMATION
« Entre normes, standards et approches humaines »
Thèse professionnelle préparée sous la direction
de M. Ludovic FRANCOIS
présentée et soutenue
pour l’obtention du MSIT
par
Arnaud GARRIGUES
3
REMERCIEMENTS
Mes remerciements vont tout d’abord à M. Ludovic FRANCOIS qui, par sa constance
présence et son aide, a su guider cette recherche et me permettre d’atteindre ce résultat.
Mes remerciements vont également à toutes les personnes qui ont bien voulu m’aider dans
cette recherche notamment en m’accordant un temps précieux, en acceptant de répondre à
mes questions ou encore en me guidant vers des sources de grande qualité.
4
Sommaire
INTRODUCTION .......................................................................................................................... 6
PREMIERE PARTIE : ETUDE COMPAREE DES NORMES SSI ......................................................... 9
I- ISO 27001 & ISO27002 .................................................................................................... 9
1. Principes du SMSI .............................................................................................................. 11
2. Approche et Structure ...................................................................................................... 13
3. Vers une approche pratique ............................................................................................. 17
4. Limites de la norme ........................................................................................................... 19
II- ISO 27005 ...................................................................................................................... 21
1. Objectif et Structure ......................................................................................................... 22
2. Processus d’analyse du risque .......................................................................................... 24
3. Que faire du risque ? ......................................................................................................... 25
III- EBIOS .......................................................................................................................... 28
1. Contexte ............................................................................................................................ 28
2. Positionnement ................................................................................................................. 28
3. Structure ........................................................................................................................... 29
4. Etude des Etapes ............................................................................................................... 31
IV- MEHARI ...................................................................................................................... 37
1. Analyse des enjeux et classification .................................................................................. 38
2. Diagnostic de l’Etat des services de sécurité .................................................................... 40
3. L’analyse des risques ......................................................................................................... 43
PARTIE 2 : ETUDE COMPAREE DES NORMES NON-SSI & INTELLLIGENCE ECONOMIQUE ....... 48
I- COBIT ............................................................................................................................. 48
1. IT Gouvernance ................................................................................................................. 48
2. IT Gouvernance et Sécurité ............................................................................................... 50
3. Gouvernance IT : le poids de Cobit ................................................................................... 54
5
II- ITIL ................................................................................................................................. 60
1. Historique .......................................................................................................................... 61
2. ITIL et Gouvernance .......................................................................................................... 62
3. Approche « PROCESSUS » ................................................................................................. 62
4. Approche « QUALITE » ...................................................................................................... 63
5. Périmètre .......................................................................................................................... 64
6. Soutien des Services .......................................................................................................... 65
7. Fourniture des services ..................................................................................................... 69
III- INTELLIGENCE ECONOMIQUE & STRATEGIQUE ........................................................ 73
1. Positionnement de l’Intelligence Economique et Stratégique ......................................... 73
2. Apports de l’IES ................................................................................................................. 77
3. La sécurité de l’information pour l’IES .............................................................................. 78
4. Protection du Patrimoine Informationnel : une notion étendue ..................................... 81
5. Vers une forme de gouvernance de la sécurité de l’information ? .................................. 83
4. Vers la sécurité économique............................................................................................. 84
TROISIEME PARTIE : SYNTHESES ET NOUVEAU MODELE ......................................................... 89
I- SYNTHESE DES NORMES IT POUR LA SECURITE DE L’INFORMATION ........................... 89
1. Définir la complémentarité des approches ...................................................................... 90
2. Vers un « nouveau » modèle : la Gouvernance de la Sécurité de l’information .............. 94
II- SYNTHESE GLOBALE ET MODELE ELARGIE .................................................................... 96
1. Liens normatifs .................................................................................................................. 97
2. Protéger l’information : de nouveaux axes .................................................................... 103
3. Une organisation en question ......................................................................................... 107
4. Vers une gouvernance étendue de la sécurité de l’information .................................... 109
CONCLUSION .......................................................................................................................... 112
BIBLIOGRAPHIE ....................................................................................................................... 114
6
INTRODUCTION
La sécurité de l’information est une préoccupation croissante des organisations1 tant
publiques que privées dans un contexte de concurrence avivée et marqué par des crises
fréquentes et de toute nature. Les pouvoirs publics confèrent à ces questions un niveau de
priorité remarquable avec notamment, la création récente de l’ANSSI2.
Afin de se protéger, les entreprises disposent d’une pléthore de référentiels, standards et
bonnes pratiques destinés à fournir à toute organisation les solutions les plus adéquates
pour sécuriser leur information. Cependant, l’intuition suggère aussi que les ITIL, Cobit et
autres trouvent parfois plus d’échos auprès des directions générales ou des DSI, plus
sensibles à ce type d’approche qui tend à transformer les systèmes d’informations en centre
de profit voire en différenciateur stratégique. Néanmoins, la multiplication de ces
référentiels est source de complexité et cette-même profusion ne garantit en rien que
l’intégralité des sujets soient traités.
L’intuition suggère également que la sécurité des systèmes d’information et le volet
« protection de l’information » de l’intelligence économique doivent être plus étroitement
associés pour assurer une sécurité de l’information plus efficace. L’objectif de ce travail sera
donc de donner un contenu plus précis et objectif à cette idée. L’intérêt de cette étude
repose donc sur la proposition d’une nouvelle méthode managériale prenant en compte les
avantages reconnus des normes de sécurité de l’information tout en articulant ceux-ci avec
les apports propres à une démarche d’intelligence économique.
La dimension nouvelle des attaques informationnelles implique sans doute une prise en
compte plus globale qui nécessité une nouvelle démarche, et pourquoi pas, de nouvelles
pratiques. On peut ainsi dire que le propre de l’intelligence économique serait de dégager un
sens, une logique dans des attaques qui visent désormais, de façon quasi-systématique3, les
systèmes d’information des entreprises. Plus encore, alors que le salarié est de plus en plus
souvent au centre des problématiques de sécurité de l’information, la sécurité économique
peut apporter une capacité de réaction plus efficace.
Nous tenterons donc de répondre à la question suivante : Comment assurer une sécurité de
l’information plus efficace en associant Sécurité des Systèmes d’Informations et Intelligence
Economique ?
1 Par la suite, on entendra indifféremment entreprises comme organisations.
2 Agence Nationale pour la Sécurité des Systèmes d’Informations, anciennement DCSSI.
3 Selon une étude récente du CDSE
7
Selon l’étude du CIGREF, les 3 référentiels les plus utilisés dans le monde de l’entreprise sont
ITIL, ISO27001 et Cobit. Parmi ceux-ci, la sécurité est le second point le plus fréquemment
couvert par un référentiel, interne ou externe, au sein des entreprises. La même étude du
CIGREF montre que, parmi les objectifs poussant les entreprises à utiliser un référentiel
interne ou externe, la sécurité arrive en second. Il y a donc un réel intérêt à montrer la
complémentarité de ces standards.
Pour ce faire, cette étude développera la structure, la démarche et l’approche des normes
dites « SSI » : ISO27001, ISO27002, ISO27005, EBIOS et MEHARI. Les deux dernières normes,
développées en France, apportent une vision complémentaire et très intéressante en
matière d’analyse et de gestion de risques.
Dans un second temps, nous étudierons les normes dites « non-SSI » : Cobit ou ITIL.
L’ensemble de ces normes « SSI » et « non-SSI » provient d’un domaine commun qui est
celui du management de l’IT ou des systèmes d’informations. Cet agrégat sera donc désigné
par normes « IT ».
L’étude de ces démarches procédera d’une méthode commune. En effet, leur structuration
est telle qu’elle permet l’utilisation d’un ensemble d’indicateurs communs qui en facilitent la
compréhension. Après une étude et une analyse de chaque norme, celle-ci sera évaluée en
fonction de ces indicateurs qui permettront de déterminer une démarche globale.
INDICATEURS INTERET
Objectif Définit l’objectif que se donne la
méthode
Méthode générale Concepts et approches clés de la
méthode
Périmètre A qui s’adresse le référentiel ? Sur quel
domaine se déploie-t-il ?
Définition de l’objet prioritaire. Focus du référentiel (information, SI…)
Méthode d’identification de l’objet
à protéger
Comment identifie-t-on l’actif critique
ou l’information critique, le bien
informationnel ?
Définition du risque Evaluation de la définition
Approche globale Résumé court de la démarche du
référentiel
Définition de la menace Evaluation de la définition
8
Place donnée à la notion de
sensibilisation, formation
Présence et importance de cette notion
La démarche d’intelligence économique est moins structurée et d’une certaine manière plus
récente. On peut donc affirmer que le contenu de la démarche ou de la méthode liée à la
protection ou à la sécurité de l’information est réparti ou présent dans de nombreux
documents et qu’il a évolué au cours du temps. C’est ce que nous montrerons dans une
analyse croisée des différents documents fondant la méthode.
Afin de développer le modèle d’articulation recherché, la composante du modèle global
s’intéressant uniquement à l’articulation des normes IT sera développée en premier. Dans
un dernier temps, les rapports et l’apport de l’intelligence économique avec les normes IT
seront développés avant de conclure sur une synthèse globale et la présentation de ce
nouveau modèle plus général.
9
PREMIERE PARTIE : ETUDE COMPAREE DES NORMES SSI
I- ISO 27001 & ISO27002
Selon le dossier publié par MAG SECURS4, la mise en place d’un Système de Management de
Sécurité de l’Information est un des meilleurs moyens de garantir la sécurité de
l’information. Issues des normes anglaises, les deux normes furent d’abord contenues dans
la norme BS7799 avant d’être transposées à l’ISO sous le numéro 17799 en 2000.
Cependant, cette norme ne pouvait alors générer aucune certification et c’est notamment
pour cette raison que la norme ISO27001 fut publiée en 2005 tandis que l’ISO27002
apparaissait en 2007.
Cette première norme se conçoit comme un préalable et la définition d’un cadre plus
générique mettant en jeu une démarche de sécurité de l’information. Elle en donne les
principes, les définitions, les axes mais ne permet pas, en tout état de cause, de réaliser
l’ensemble du processus. Les dispositions de la seconde procurent des éléments plus
pratiques que l’on peut réellement mettre en œuvre. Elle apporte ainsi un cadre générale et
les moyens d’une approche globale réclamée par tous les acteurs du secteur : on parle alors
d’approche holistique de la sécurité qui peut aller jusqu’à satisfaire les besoins d’un état
comme en témoigne un retour d’expérience sur les systèmes du gouvernement de Taïwan5.
Source : Livre Blanc ISO 27001 – SOLUCOM
4 MAG SECURS, n°21, SMSI : Système de Management de la Sécurité de l’Information.
5“ National information security policy and its implementation : A case study in Taiwan“.
NORMES
CHOISIES
ET
ETUDIEES
DANS LE
CADRE DE
LA THESE
10
Cette liste montre l’intérêt du corpus des normes ISO2700X : l’intégralité de la démarche est
traitée, garantissant dans le temps une sécurité de l’information à la fois en évolution mais
toujours à la pointe. La reprise du cycle PDCA, également observable dans ITIL, constitue un
des principes de bases de la norme, de même que l’approche par « Processus ». Ces
principes de bases sont au nombre de 4 : Pilotage par les risques, Amélioration continue,
Implication du Management et Approche Processus.
Facteur essentiel, la norme définit un vocabulaire, des références et des pratiques
communes. Elle facilite donc la communication, à nouveau décrite comme facteur essentiel6.
Conçue comme un « système de management », elle permet notamment de mettre en place
une politique, d’établir et d’atteindre des objectifs par la combinaison de moyens techniques
et de mesures organisationnelles7. Ils vont notamment apporter 2 éléments : l’adoption des
bonnes pratiques du secteur et une augmentation de la fiabilité.
Malgré sa jeunesse, cette norme connait une reconnaissance internationale réelle : de très
nombreuses entreprises japonaises on américaines s’en servent pour certifier un niveau de
sécurité. En France, selon une étude réalisée par SOLUCOM, 53% des entreprises interrogées
se trouvent dans une démarche de mise en place d’un SMSI (définition, projet de
certification, analyse des écarts…) tandis que 47% n’ont encore rien lancé. Plus encore, ce
corpus de normes représente une capitalisation d’expérience de qualité qui, en tant que
telle, permet d’obtenir une sorte de quintessence des bonnes pratiques observables en
matière de sécurité des système d’informations. Selon une étude du CIGREF, cette norme
est la 2ème norme le plus utilisée en entreprise, en France, pour la sécurité mais également
quelque que soit le référentiel considéré susceptible d’être utilisé par une DSI. On rappellera
que cette norme peut être utilisée indépendamment de tout effort de communication ou
sans souhait de certification.
Source : SOLUCOM
6 Cette nécessité est affirmée à de nombreuses reprises par Thierry CHAMFRAULT dans son ouvrage sur ITIL,
mais également dans le livre blanc de SOLUCOM.
7 Définition donnée par M. Fernandez-Toro dans son ouvrage : « Management de la sécurité de l’information ».
11
1. Principes du SMSI
Plus pratiquement, le SMSI procure une vision globale de la sécurité, mais pas forcément
complète. Il comporte l’ensemble des documents décrivant la politique de sécurité de
l’information avec les analyses de risques et les procédures. Mais il possède aussi un niveau
technique avec la prise en compte des éléments techniques : réseaux, firewalls. A cela
s’ajoute la définition de l’organisation du SMSI : RSSI, correspondants sécurité dans les
métiers, les filiales. Enfin, il s’intéresse à tous les éléments physiques de la protection de
l’information, par exemple, les contrôles d’accès physiques.
a) Sécurité de l’information : définitions
Le but de cette norme est la mise en place d’un système de sécurité visant à protéger les
« biens d’informations » ou information asset. La définition est assez simple : il s’agit de
protéger tout ce qui a de la valeur pour l’entreprise et qui est sous forme d’une information :
papier, matérielle, immatérielle…
La norme est d’origine anglo-saxonne : en anglais, la différence entre safety et security est
bien plus marquée qu’en français, du moins dans son usage courant. Le premier désigne la
protection physique de l’individu tandis que le second s’attarde sur la notion de malveillance
vis-à-vis de l’information. Plus généralement, la norme choisit de considérer tout ce qui a un
impact sur les critères de sécurité de l’information. Enfin, la « protection » est comme on le
verra, un terme qui fait largement référence à la préservation du caractère confidentiel.
Parmi les principes de la norme, ceux qui fondent la sécurité de l’information sont très
importants car ils sont largement partagés et qu’ils constituent la base de référence de notre
travail. Ils sont définis notamment dans une autre norme ISO (1335-1)8 :
Disponibilité : l’information est accessible et diffusable sur demande à une autorité autorisée
suivant des conditions définies à l’avance (24/24, heures ouvrables…)
Intégrité : les informations ne sont modifiées que par ceux qui en ont les droits. Les
informations doivent garder le caractère complet et correct.
Confidentialité : l’information est disponible en fonction du besoin d’en connaître ou de son
niveau de confidentialité. En pratique, elle n’est accessible qu’à ceux qui en ont le droit.
Ces critères sont les critères « primaires » de la sécurité de l’information mais plusieurs
autres ont été ajoutés par la suite : traçabilité, non-répudiation, authentification…
8 La définition est largement empruntée à celle traduite par M. Fernandez-Toro.
12
La SMSI reste un système souple pour deux raisons qui constituent les deux derniers
principes :
Le besoin de chaque critère varie suivant les entreprises et les systèmes concernés. On peut
envisager un système dont le besoin en confidentialité est nul par rapport aux besoins en
disponibilité. Ex. :c’est le cas du DNS selon certains experts.
Le SMSI n’intègre pas forcément les critères dits « seconds » dans la définition et les
principes. Mais les besoins de l’entreprise peuvent induire leur intégration sans que cela ne
porte préjudice à l’efficacité du système au contraire. L’essentiel reste l’adaptation du
système défini aux besoins (et aux risques) de l’entreprise.
b) Pilotage par les risques.
L’approche du pilotage par les risques procure un avantage indéniable. Il permet de
quantifier et de préciser les risques réels encourus par l’entreprise. Ces risques identifiés sur
une base rationnelle, quantitative et qualitative, induisent une prise de décision et donc, un
engagement d’une instance de direction qui ne peut ignorer la prise du risque, l’évitement,
le transfert…Cela permet donc d’avoir une approche efficace des mesures de sécurité,
choisies en fonction des risques et donc, plus efficiente.
Il ne s’agit donc plus d’une approche par la conformité décrite par certains experts comme
inefficace et parasitaire. Trop lourde et coûteuse, elle ne garantit pas un niveau de risque
acceptable et devient paralysante.
c) Amélioration continue
Le cycle d’amélioration « Plan, Do, Check, Act » permet de prendre conscience de la
nécessaire réévaluation des composantes du SMSI. Le système peut faire l’objet d’une
évaluation annuelle mais il peut également voir ses composantes être évaluées sur une
échelle temporelle différente en fonction d’autres besoins. On retiendra également son
caractère fractal : il est présent au niveau macro et micro de l’organisation cible.
Il s’agit plus d’un changement de culture qui prend en compte l’évolution de la sécurité, des
problématiques et des techniques inhérentes au domaine :
Plan : prévoir, se définir un objectif dans un domaine
Do : le réaliser
Check : formaliser les écarts entre les objectifs et les résultats
Act : corriger les écarts analysés dans la phase précédente.
13
d) L’approche Processus
L’approche processus est inhérente à la norme : il comporte un ensemble d’éléments
définissant le processus et permettant de l’évaluer et de l’intégrer au SMSI. Un processus est
un ensemble d’activités et de sous-activités, traitant des éléments en entrée et produisant
des éléments différents en sortie. Il est animé par des responsables et des acteurs qui
peuvent le contrôler, à l’aide d’indicateurs notamment.
Les Processus du SMSI
Ils sont au nombre de 7 et chacun d’entre eux est décrit suivant les principes de
l’amélioration du cycle PDCA :
- Piloter le SMSI - Analyser les risques - Gérer le traitement des risques - Former et sensibiliser - Contrôler le SMSI - Gérer les incidents et vulnérabilités - Gérer les documentations et les preuves
2. Approche et Structure
Parmi les différentes approches expliquant à la fois le SMSI et la démarche qui
l’accompagne, une, développée par un praticien expérimenté de la norme9, est intéressante
car elle intègre tous les éléments dans l’approche PDCA dont nous avons bien montré
l’omniprésence. Nous nous en inspirerons donc.
a) Phase PLAN
Dans cette phase vont intervenir de façon générale, la définition des objectifs de sécurité de
l’entreprise. Plusieurs éléments sont pré-requis qui font, notamment, la spécificité du SMSI.
Périmètre et Politique
Ainsi, la première étape reviendra à l’organisation de choisir le périmètre sur lequel elle veut
voir le SMSI s’exercer. Cette étape est primordiale en ce sens qu’elle définit le domaine
même sur lequel va pouvoir être défini un niveau de confiance. Son choix conditionne
également la crédibilité du système : trop restreint, il peut n’avoir qu’un intérêt limité. Trop
grand, il peut engendrer des ressources exorbitantes. Au périmètre s’ajoute la politique du
SMSI qui permet de définir le niveau de sécurité que veut atteindre l’organisation sur son
périmètre.
9 M. Fernandez-Toro
14
Ex. : Une banque peut s’engager sur un niveau de confidentialité extrême de 1/ ses échanges
2/ ses activités sur internet. Dans le cas de l’ensemble des échanges bancaires, le niveau de
confidentialité est très important et les mesures prises seront nombreuses et avec un impact
lourd. Dans un second cas, le périmètre est plus restreint et les mesures prises, peut-être
aussi nombreuses s’appliqueront à moins de ressources. Enfin, quel que soit le cas considéré,
le niveau de sécurité choisi (« confidentialité extrême ») ne garantit en rien que le ou les
sites soient accessibles ou que la banque puisse exercer ses activités 24/24.
Analyse et traitement du risque
L’analyse de risque relève essentiellement de la norme ISO27005 décrit dans la partie
suivante. Il est intéressant de relever qu’EBIOS et MEHARI que nous étudions par la suite
peuvent être utilisées dans le cadre d’une démarche 27001. Cependant, si l’absolue
conformité entre ces normes n’était pas de mise au début, les deux dernières tendent à
s’aligner en matière de vocabulaire ou encore d’indicateurs.
De manière générale, toute norme se voulant compatible avec la démarche du SMSI doit
prévoir les étapes et les résultats suivants : Identification des actifs et de leurs
Responsables, Identification des vulnérabilités, Identification des Menaces, Identification
des Impacts, Evaluer la vraisemblance (à l’aide des mesures déjà prises), Estimer les
niveaux de risque.
Les risques sont ensuite traités selon 3 modalités : Acceptation, Eviter, Transférer ou
Réduire. Cela débouche alors sur un niveau de risque dit résiduel que le management doit
accepter individuellement ou non. Dans ce dernier cas, une nouvelle session de mises en
place de mesure de sécurité doit avoir lieu donnant lieu à un re-calcul des risques résiduels.
Mesures de sécurité
La norme ISO propose 133 mesures de sécurité que l’on trouve dans l’annexe A de la 27001
ainsi que dans la 27002, enrichie alors de divers conseils et informations complémentaires.
C’est un peu le cœur de la sécurité dans le sens où ces mesures, tirées des meilleures
pratiques, vont avoir un impact direct sur le niveau de sécurité de l’information de
l’entreprise.
La démarche de sécurité veut que chaque mesure ne soit pas implémentée : il ne s’agit pas
de se conformer à la norme mais bien d’adapter le choix de chaque mesure à un risque
identifié. Par ailleurs, si aucune mesure présente ne permet de diminuer un risque identifié,
la norme inclut la possibilité d’introduire une mesure sui generis ou provenant d’un autre
référentiel.
15
L’ensemble des normes est alors repris dans un document appelé SoA pour Statement of
Application qui, pour chaque mesure, en définit l’applicabilité (oui/non) et une justification
associée. C’est une étape cruciale de la démarche SMSI.
b) Phase DO
La phase « DO » correspond à la mise en œuvre des mesures de sécurité qui ont été
retenues lors de l’étape précédente. Il peut s’agir de mesures simples, complexes ou encore
qui complètent des mesures déjà existantes en les améliorant.
Un plan de traitement des risques comprend une référence à la mesure de sécurité, une
action à entreprendre, un responsable et un niveau de priorité (exemple une date par
rapport à une autre). Le plan de traitement correspond à la mise en pratique des mesures de
sécurité retenues dans le SoA.
La phase DO comprend également des éléments complémentaires :
- Déploiement - Indicateurs => les critères communs sont ainsi une référence de même que la norme à
venir ISO27004. - Formation et sensibilisation du personnel => la formation est par nature spécialisée
de même que la population à laquelle elle s’adresse. La sensibilisation est plus générale et appliquée à tout le personnel.
- Gestion du SMSI - Détection et réaction aux incidents
Dans cette phase, l’outil naturel de l’organisation ou du comité chargé du pilotage de la
démarche, est la norme ISO27002. Cette norme est véritablement un ensemble de bonnes
pratiques accompagnées de conseils. Elle n’est pas un cadre ou une démarche ni une
méthode mais le résultat de la rencontre des populations chargées, au sein des
organisations, de la sécurité de l’information. Cela explique son caractère très large et
volontairement global.
Contrairement à ce que l’on pourrait croire et en dépit du faible nombre de certifiés, les
entretiens ont révélé que la norme ISO27002 était souvent achetée, conservée et utilisée par
les responsables sécurité, quelle que soit leur position. Sa fonction de référence, bibliothèque
de bonnes pratiques ou encore aide-mémoire est plébiscitée.
La norme est divisée en 3 niveaux : les chapitres, les objectifs de sécurité et les mesures.
Ainsi, si la norme comporte effectivement 133 mesures de sécurité, celles-ci sont structurées
au sein d’un premier niveau correspondant à un domaine général de sécurité puis à un
second niveau relevant d’un objectif de sécurité à atteindre.
16
Chaque mesure est accompagnée d’une description générale, de préconisations de mises en
œuvre et d’informations complémentaires afin d’aider à la mise en place.
Ex. : Niveau 1 = Sécurité liée aux ressources humaines
Niveau 2 : Avant l’embauche OU, pendant la durée du contrat OU départ de l’employé
Niveau 3 : Responsabilités des personnels, sanctions en cas de manquement, définitions des
responsabilités, retrait des droits d’accès...
Les chapitres de la norme sont éclairants sur la nature même des composantes de la sécurité
de l’information :
1) Politique de sécurité
2) Organisation de la sécurité de l’information
3) Gestion des biens
4) Sécurité liée aux ressources humaines
5) Sécurité physique en environnementale
6) Gestion de l’exploitation et des télécommunications
7) Contrôle d’accès
8) Acquisition, développement et maintenance des systèmes d’informations
9) Gestion des incidents liés à la sécurité de l’information
10) Gestion du plan de continuité d’activité
11) Conformité
Par ailleurs, ces chapitres et les objectifs associés fournissent naturellement les composants
d’un tableau de bord du niveau de sécurité. C’est l’usage le plus répandu de la norme 27002
car cela permet d’avoir une vision globale du niveau de sécurité par rapport aux bonnes
pratiques et définit ainsi un chemin à parcourir ou une justification vis-à-vis du top
management des efforts fournis ou des fonds à allouer. C’est également le cas lors de la
rédaction de politique de sécurité de l’information des organisations. On notera que selon
certains praticiens, la norme manque notamment d’une gestion efficace des incidents et
peut alors être utilement complété par ITIL10.
10 “ Security standardization in incident management: the ITIL approach”. Cf. Bibliographie
17
c) Phase CHECK
Le but de cette phase est de contrôler la bonne marche effective du SMSI et de relever les
erreurs, problèmes et autres qui seront corrigés dans la phase suivante. L’étape permet ainsi
de contrôler l’efficacité du SMSI mais également sa conformité vis-à-vis des objectifs prévus
par l’entreprise au début de la première phase.
La norme conseille également l’utilisation des audits internes et externes ainsi que des
processus de revue. Le SMSI doit ainsi être analysé par les managers impliqués au minimum
une fois par an afin d’évaluer son efficacité vis-à-vis de l’année écoulée et des
problématiques rencontrées.
d) Phase ACT
Cette phase permet de faire le lien avant le rebouclage sur le cycle et le lancement d’une
nouvelle phase d’amélioration. Le but est notamment de documenter les écarts entre la
norme et le SMSI en tant que tel, entre les spécifications du SMSI et la réalité. Elle permet
également de mettre à jour des mesures de sécurité inutiles ou déficientes ainsi que des
risques oubliés, non pris en compte dans l’analyse de risque précédente.
Enfin, cette phase est nécessaire pour prendre en compte l’évolution du contexte mettant
en avant de nouveaux risques pour l’entreprise. Ex. : l’investissement d’un marché fortement
concurrentiel, à l’étranger…
La norme définit trois types d’actions :
Correctives : elles agissent à la fois sur les effets d’un problème mais aussi sur ses causes
profondes.
Préventives : elles agissent sur une situation à risque qui pourrait entrainer des écarts ou
des incidents.
Améliorations : elles agissent pour améliorer l’efficacité ou l’efficience d’un processus au
cœur du SMSI.
3. Vers une approche pratique
Un des aspects problématiques de cette norme est une réputation de lourdeur. En effet, la
mise en place d’une telle démarche parait mieux convenir à une grande entreprise, pour qui
un tel système est intéressant surtout car il s’adresse au management. On notera cependant
que selon A. Fernandez-Toro, cette norme a été adoptée à la fois par des multinationales
japonaises et des PME françaises. Par ailleurs, l’auteur révèle qu’un des objectifs,
aujourd’hui disparus dans l’ISO 27001, de la norme anglaise originelle était d’améliorer la
compétitivité, le cash-flow et jusqu’à l’image de marque.
18
Cependant, comme le révèle l’étude menée par SOLUCOM, les entreprises de plus petite
taille ou ayant moins de temps et de moyens à y consacrer peuvent toutefois avoir une
approche plus légère de la norme qui s’y adapte bien. Ainsi, l’étape de certification peut
apparaitre comme un but à long-terme tandis que dans le court et moyen-terme, celle-ci
peut mettre en place une série de processus qualifiés dans l’étude de prioritaires.
Par ailleurs, l’analyse de risque reste modulable. Ainsi, si l’ISO27005 permet une analyse en
détail et en profondeur, l’on pourra se contenter d’une analyse plus macroscopique des
risques engendrés par les activités de l’entreprise et son environnement. Ensuite, l’analyse
des écarts entre la situation existante au sein de l’entreprise pourra se faire à deux niveaux :
Comparer le système de management à celui des l’ISO27001 (chapitre 4 à 8)
Comparer les pratiques de sécurité à celle développées dans l’ISO27002.
Ceci fait, on pourra alors réaliser des priorités d’adoption en fonction des risques les plus
prégnants (en termes d’impact ou de vraisemblance) et démarrer la mise en place du
système de management. Une fois cela atteint, la réalisation d’une nouvelle boucle
d’amélioration permettra non seulement de contrôler l’efficacité des mesures mises en
place, d’affiner la gestion des risques et d’avancer dans la mise en place du système. Ce
discours a été confirmé lors d’entretiens ultérieurs avec des praticiens et experts de la
norme. La norme est tout à fait compatible avec une gradation dans la démarche et
l’approche. Elle ne s’oppose pas plus à l’exploitation de différents niveaux de granularité :
elle reste un guide pour le PME-PMI. Sa réputation de lourdeur est donc un peu surfaite et
peut provenir de la structure de la démarche particulièrement forte et prêtant un peu à
confusion.
De plus, le système de management n’ignore absolument pas les risques humains ou
organisationnels. Ainsi, la formation et la sensibilisation restent les activités du processus
éponyme qui font intervenir le plus largement la prise en compte de ce « risque » humain.
Comme en témoigne R. MARICHEZ, consultant sécurité, les mesures de sécurité prennent en
compte le risque humain, les facteurs sociaux fournis par des indicateurs tels que les vols, les
pertes, l’historique de l’entreprise. L’analyse de risque qui intervient comme une étape
déterminante dans la démarche 27001, prend en compte également ce facteur.
Par ailleurs, cette norme a le mérite de s’intégrer dans une approche correspondant à la
réalité actuelle des entreprises. Celles-ci interagissent quotidiennement avec des acteurs de
toute nature : le concept à la mode est alors « l’entreprise étendue ». Les limites
traditionnelles de l’entreprise deviennent alors floues, les relations qu’elle entretient avec
ses concurrents, ses fournisseurs, prestataires doivent être reconsidérées. A cet égard, la
norme prévoit une approche organisationnelle complète : les relations avec les tiers doivent
être normalisées car une démarche ISO27001 ne peut se faire seul. Ceux-ci doivent être
19
audités et les éléments juridiques afférents aux relations avec les tiers doivent également
comprendre les mesures de sécurité adéquate. La norme parle alors d’Identification des
risques provenant des tiers.
4. Limites de la norme
Les entretiens réalisés ont permis de déterminer quelles pouvaient être les limites de cette
norme. La complexité des scénarios de risques est, on l’a vu, un facteur limitant qui
s’explique par la maturation de la norme et l’évolution par l’expérience qui sera faite.
Par ailleurs, cette norme appelle d’autres commentaires. Par exemple, le SMSI n’est pas un
niveau de sécurité en tant quel. Comme le faisait remarquer M. FERNANDEZ-TORO, on peut
avoir un SMSI certifié et être piraté le lendemain. Selon lui, trois raisons décident de cela : la
définition du périmètre et du niveau de sécurité, l’exploitation du SMSI et enfin, la capacité
managériale à le faire évoluer positivement. On retrouve cette dimension dans une étude
anglo-saxonne en la matière11.
En tant que tel, une démarche ISO27001 va permettre de mettre en place un système de
management de sécurité de l’information, fondé sur une démarche de qualité, qui
permettra, s’il est correctement appliqué et utilisé d’aboutir à un niveau de sécurité sur un
périmètre donné.
Cependant, le périmètre et le niveau de sécurité sont des éléments choisis par la personne
engageant cette démarche. Si « l’ambition »12 de sécurité est faible, le SMSI sera faible. Si le
périmètre est trop restreint, le SMSI sera inefficace. De même, le processus de certification
permet de vérifier uniquement la légitimité du système à prétendre à un niveau de sécurité
donné et choisi. En conséquence, le système qui est vérifié peut-être non certifié pour le
niveau, par exemple très haut, de sécurité choisie alors qu’il le serait si la démarche visait un
niveau inférieur.
Enfin, il faut rappeler la granularité et la dimension itérative de la démarche : celle-ci est
sans cesse en amélioration et elle dépend d’un budget, d’un accompagnement managérial et
d’un soutien de la direction. Ainsi, certaines approches13 affirment qu’il est possible d’avoir
une vision des risques globale et de démarrer une démarche de façon relativement
11 “Holistic Information Security: ISO 27001 and Due Care” :Cf. bibliographie
12 Terme repris d’un entretien.
13 Telle que développée dans le Livre Blanc ISO27001 de SOLUCOM
20
simplifiée avant de continuer sur des risques plus précis et une démarche plus affinée.
Cependant, cela amoindrit aussi la portée et l’efficacité du SMSI qui en résultera.
Enfin, la démarche SMSI reste tout à fait compatible avec d’autres référentiels ou cadre
comme Cobit ou ITIL14 mais également avec des référentiels développés par des entreprises
comme le Bell Labs Security Framework15.
Lors des entretiens menés dans la phase d’exploration de ce travail, les personnes
interrogées et en position opérationnelle ont montré une réticence face à la norme. Plusieurs
éléments composent cette réticence : crainte de la lourdeur du processus, opposition
culturelle (la vision latine face à la norme anglo-saxonne) et méfiance vis-à-vis du marché
que représente la certification. Cependant, les auteurs anglo-saxons que l’aspect culturel ne
gêne pas, jugent cette norme tout à fait transposable à tout type d’organisations16.
SYNTHESE DES INDICATEURS
INDICATEURS INTERET
Objectif Système de Management de la Sécurité de
l’information
Méthode générale A partir d’une analyse du risque, construire un
système en constante évolution, choisissant de
façon efficace ses mesures de sécurité et les
contrôlant.
Périmètre Le périmètre est défini préalablement : c’est
une variable décidée par l’organisation, de
même que le niveau de sécurité.
Définition de l’objet à protéger. Information Asset ou bien informationnel
Méthode d’identification de l’objet à
protéger
Listes d’actifs par approche globale : matériel,
physique, logiciel, humain, documents, savoir-
faire.
14 “Aligning CobiT® 4.1, ITIL® V3 and ISO/IEC 27002 for Business Benefit”.
15 « Using the Bell Labs security framework to enhance information security management”.
16 Op. Cit.
21
Définition du risque Probabilité d’occurrence qu’une menace
exploite une vulnérabilité engendrant un impact
Approche globale Processus, Risque, Amélioration Continue,
Mesures de sécurité
Définition de la menace Phénomène ou évènement de nature délibérée,
accidentelle ou environnementale causant des
dommages en exploitant une vulnérabilité (vol,
incendie)
Place donnée à la notion de
sensibilisation, formation
Objectif à part entière du SMSI. Plusieurs
mesures de sécurité. Place importante mais
peut-être la moins documentée.
II- ISO 27005
La norme ISO27005, publiée le 4 juin 2008, s’inscrit dans la suite des normes dites « 2700X »
utilisées dans le cadre de la mise en place d’un système de management de sécurité de
l’information ou encore SMSI. A ce titre, elle emprunte plusieurs de ses caractéristiques
majeures mais, selon Hervé SCHAUER, peut aussi s’utiliser sans articulation particulière avec
la norme phare ISO27001. Cette capacité à être à la fois articulée ou utilisée
indépendamment avec les autres normes de la famille ISO lui apporte une visibilité
particulière dans le monde de la sécurité des systèmes d’informations. Le Livre blanc
proposé par SOLUCOM prend une position intermédiaire sur l’articulation des normes. Selon
lui, la norme est un « guide de mise en œuvre » et si elle fournit des annexes complétant les
outils de l’entreprise, elle livre surtout des éléments méthodologiques. C’est pourquoi, dans
cette vision, l’ISO27005 doit être reprise pour créer une méthodologie propre à l’entreprise,
éventuellement en relation avec d’autres normes comme EBIOS ou MEHARI.
Les différents entretiens menés, et la littérature, ont montré que la place exacte de la norme
n’est pas encore définie : pour certains, elle reste utilisable en tant que tel tandis que
d’autres praticiens identifient le besoin de recourir à d’autres méthodes plus précises.
22
1. Objectif et Structure
L’objectif propre de cette norme est de conduire l’appréciation du risque en matière de
sécurité de l’information et permettre de le traiter. Elle apporte le complément à l’ISO27002
qui fournit un certain nombre de mesures et de points de contrôles utilisés dans la gestion
de la sécurité de l’information.
Toujours selon Hervé SCHAUER, la chronologie de la famille ISO2700X17 a induit un
mouvement qui dénature mais éclaire la nature profonde de ce type de normes. En effet,
elle a induit un mouvement de conformité qui ne correspond pas à l’esprit de ces normes. La
famille ISO2700X propose en effet une démarche d’amélioration de la sécurité de
l’information, par la mise en place de système de management, dont l’approche est celle du
risque et de son analyse18.
En termes de contenu, la norme 27005 doit beaucoup à d’autres normes internationales
comme les normes anglaises (qui ont également inspiré ISO27001), des normes
australiennes et des normes françaises comme EBIOSv2. Parmi ces autres caractéristiques,
elle emprunte le cycle d’amélioration continue PDCA19 et respecte également la vision
« classique » de la sécurité des systèmes d’informations : Disponibilité, Intégrité,
Confidentialité. Enfin, la norme repose clairement sur la notion de processus, commune
également à la plupart des normes qui s’intéressent à la sécurité de l’information.
La définition du risque est également intéressante : il s’agit de la vraisemblance (ou de la
probabilité d’occurrence) qu’un évènement se produise induisant des préjudices pour
l’organisation. La mesure du risque associe la mesure de la vraisemblance et celle du
préjudice. L’adjonction de scénarios est alors utile pour l’évaluation des risques mais pas
pour l’analyse de risque. La problématique des scénarios réside alors dans le moment où ils
sont proposés : ils ne comportent pas d’éléments évolutifs comme par exemple dans le cas
d’attaques informationnelles. Or, reprendre la méthodologie régulièrement est un travail
colossal.
Elle se concentre également sur la notion d’actifs, primordiaux et de supports. En particulier,
ces derniers constituent la base de la sécurité de l’information dans le vocabulaire de la
norme. La norme ISO27005 vise à établir les risques visant les « assets » et dans la pratique,
les consultants reconnaissent qu’il faut protéger les activités de l’entreprise en assurant le
17 Les normes 27001 et 27001 sont les premières à avoir été publiées. La 27005 est la plus récente.
18 Il est intéressant de noter que l’approche par risque, de plus en plus populaire dans tous les systèmes, n’est
pas éloigné de l’intelligence ou de la sécurité économique dont l’approche est effectivement basée sur
l’analyse de menaces ou de risques, externes ou internes.
19 Egalement utilisé par ITIL.
23
fonctionnement du système d’information mais également, en protégeant l’information de
l’entreprise.
Selon A. FERNANDEZ-TORO, il n’est pas inconcevable qu’un « savoir-faire » en tant que tel
puisse faire l’objet d’une démarche de sécurité de l’information.
Pour évaluer la valeur de l’actif en question, la norme ISO27005 fournit des pistes de calculs
mais n’en impose aucune. Généralement, il s’agit de calculs basés sur la perte d’un critère de
sécurité (C,I,D) sur l’actif dont on évalue les conséquences globales, les impacts. Il peut ainsi
s’agir du coût remplacement, coût de la perte d’exploitation…La norme évoque même la
perte en termes d’image de marque. Mais plusieurs experts reconnaissent aussi que ce
même calcul puisse présenter de nombreuses difficultés : la valorisation nécessaire afin de
comparer les actifs représente le cœur de la difficulté de l’approche.
Enfin, la méthode est bâtie sur 4 processus principaux : Etablissement du contexte,
Appréciation des Risques, Traitement du Risque, Acceptation du Risques. 2 autres
processus les sous-tendent : Communication du Risque et la Revue et Surveillance du Risque.
Il est à noter que la démarche présente un aspect pratique ou opérationnel car le bilan remis
à un décideur légitime les actions entreprises mais permet également d’avoir une prise de
décision commune, particulièrement déterminante pour que la démarche de sécurisation
soit efficace. Elle est à rapprocher de la notion de « support » ou de « sponsor »
déterminante en matière de projet informatique ou de réorganisation d’envergure,
caractéristiques toutes deux présentes dans une démarche de sécurisation de l’information.
Interrogés, certains experts affirment que si la logique d’attaques informationnelles est
pertinente, la norme ne le prend pas en compte actuellement et que l’approche, très
structurée et optimisée, souffre d’un manque de capacité à intégrer des niveaux de
complexité supérieurs (notamment l’évolution dans le temps, les circonstances de
réalisation..). Ainsi, par exemple, la combinaison d’impact reste relativement compliquée et
la norme ne fournit pas de guide. Un des exemples fournis est le suivant : si plusieurs actifs
dont l’indisponibilité, pour chacun d’entre eux, entraîne un impact acceptable, la
combinaison de l’indisponibilité des actifs peut être désastreuse. Ainsi, doit-on cumuler les
résultats d’impacts ? Garder le plus important ?
La question n’est pas tranchée par la norme qui reste un guide ou une méthode qui est en
amélioration permanente. Par ailleurs, comme il a été dit précédemment, la norme est
considérée soit comme applicable directement soit un guide général : elle n’impose pas en
tant que tel une méthodologie précise de calcul. C’est pourquoi certains chercheurs
24
affirment qu’il est tout à fait possible d’utiliser des méthodes d’évaluation du risque issues
du monde de la finance au profit de la sécurité de l’information20.
Les interviews menés ont ainsi permis de mettre en avant le fait que la norme soit un
consensus : cela explique le fait qu’elle soit parfois précise, parfois moins. Cependant, au
niveau opérationnel, certains experts reconnaissent parfois que le recours à une méthode
plus éprouvée peut être nécessaire.
2. Processus d’analyse du risque
L’analyse de risque comprend l’identification des actifs critiques et l’évaluation des risques
aboutissant ainsi à un calcul des risques. La méthode propose elle-même plusieurs méthodes
de calcul mais n’en impose aucune. L’évaluation des risques intervient dans un second
temps pour donner des degrés de priorité aux risques identifiés précédemment. C’est
notamment dans ce découpage que réside la principale différence avec les autres normes
d’analyse de risque.
Le calcul du risque est basé sur une méthode mathématique simple mais donc objective et
relativement rationnelle. Le risque est ainsi calculé selon une multiplication de la valeur de
l’actif (par rapport à D,I et C) avec le niveau de menace et de vulnérabilité. En revanche,
l’évaluation du niveau de menace ou de vulnérabilité peut faire l’objet d’un apport de nature
plus subjectif. Il est souvent noté sur des échelles de 1-3 ou 1-5 dans les annexes de la
norme.
Plus intéressante cependant est la notion de risque résiduel calculé à partir du risque initial à
qui l’on retranche l’efficacité de mesures de sécurité existantes. Traditionnellement, la
mesure de sécurité bénéficie également d’une « notation » qui est ôtée du risque initial,
produisant ainsi un risque résiduel que l’on peut traiter, accepter…Cependant, plusieurs
spécialistes21 vont affirmer que cette approche est inadaptée car la mesure de sécurité
affecte non pas le risque en tant que telle mais la menace ou la vulnérabilité. Par ailleurs,
l’effet de plusieurs mesures peut se combiner de façon parfois inattendue. Deux mesures
produisant chacune un effet inefficace (le risque reste trop élevé) peuvent obtenir un effet
efficace par combinaison (le risque devient acceptable).
Plus profonde que la simple analyse menace/vulnérabilités, cette norme d’analyse des
risques s’élargit notamment aux risques légaux, réglementaires et aux facteurs humains et
sociaux. En particulier, l’étape première de définition du contexte peut s’intéresser à
20 “A New Approach for Information Security Risk Assessment: Value at Risk”.
21 Notamment Raphaël MARICHEZ, Consultant chez HSC.
25
l’histoire de l’entreprise, les incidents passés, le comportement global de l’entreprise…C’est
donc une approche qui comporte une vraie dimension subjective et ce contexte ne peut que
se nourrir et être optimisé par une pratique éclairée de l’intelligence ou de la sécurité
économique. C’est particulièrement le cas lorsque l’entreprise a pu subir des « attaques »
visant à la déstabiliser (perturbation intentionnelle du SI), à amoindrir sa réputation ou plus
simplement à pratiquer des vols d’information. En effet, les responsables de la sécurité en
entreprise ont de ces questions une vraie expertise.
Pour Raphaël MARICHEZ, consultant chez HSC, le facteur humain intervient à de nombreux
niveaux dans l’analyse de risque : Définition du périmètre, Etablissement du contexte,
Evaluation des menaces (malveillantes ou accidentelles), Conséquences métiers lors de
l’évaluation de l’impact, Calcul du Risque, Formation et Sensibilisation. Il reconnait d’ailleurs
que l’apport d’un praticien de l’IE, Directeur Sécurité ou autre, peut ajouter à l’évaluation du
risque humain et social ainsi que l’approfondissement de l’historique et du contexte de
l’entreprise. Ainsi, pour lui, les risques globaux de l’entreprise – qui vont intéresser plus
l’Intelligence Economique ou la Sécurité Economique – vont avoir des dérivés en termes de
SSI.
3. Que faire du risque ?
a) Méthodes
Il existe plusieurs manières d’envisager le risque dans cette norme. Chaque risque identifié
et quantifié dans l’étape précédente se voit accorder un traitement séparé.
Le risque peut alors être accepté : aucune mesure de sécurité supplémentaire n’est mise en
place car l’entreprise considère que le niveau de sécurité recherché n’est pas impacté par la
réalisation de ce risque.
Il faut garder en mémoire le niveau de sécurité recherché et déjà atteint. Ainsi, dans le cas
du vol d’un ordinateur portable, l’entreprise peut accepter le risque. Elle a pu, par exemple,
déjà mettre en place un chiffrement des données obligatoires ou encore ne rien faire en
jugeant qu’aucune donnée de valeur n’est jamais transportée sur un portable.
Le risque peut être évité : c’est le contraire absolu. Les conséquences sont jugées tellement
extraordinaires que l’activité créatrice de risque est abandonnée.
Par exemple, l’entreprise peut interdire l’utilisation des portables, des téléphones, des
Smartphones…
26
Le risque peut également être transféré : l’entreprise a alors recours à l’assurance ou à la
sous-traitance car elle ne veut pas assumer le risque par des mesures adéquates ou autres.
On pense à l’assurance incendie, contre le vol…En matière de sous-traitance, les prestataires
pour l’archivage de données ont été souvent cités lors des entretiens.
Le risque peut enfin être réduit : c’est le traitement le plus simple et le plus connu. Il s’agit
de mettre en place toutes les mesures nécessaires à la réduction du risque à un niveau
acceptable correspondant à l’objectif.
Chiffrement des données, antivol, protection par coque…dans le cas de l’ordinateur portable
individuel sont quelques unes de ces mesures.
Si ces 4 méthodes de traitement du risque sont retenues par la norme, il existe également
d’autres méthodes reconnues par d’autres normes et qui ne sont pas contraires. C’est le cas
du « financement du risque » par provision comme le requiert Bâle 2. Selon A. Fernandez-
Toro, on peut analyser cette méthode comme un mélange entre acceptation et transfert du
risque par une forme d’auto-assurance.
b) Amélioration
Une fois une première « session » de traitement du risque effectué, il subsiste un risque dit
résiduel. Ce risque est alors mesuré et défini comme acceptable ou non par l’organisation.
En cas de réponse négative, il faut considérer l’ajout d’une mesure de sécurité
supplémentaire.
Dans le cas du contrôle d’accès, si l’octroi de badges et le gardiennage ne suffisent pas pour
atteindre un niveau de risque supportable, on peut associer à l’accompagnement du visiteur
un ou des circuits de visite et des zones d’accès par badges et par niveau de confidentialité.
Le dernier point intéressant est que la norme oblige alors le management à se prononcer
spécifiquement sur les risques résiduels en les acceptant ou en les refusant. Cette étape est
primordiale et sanctionne la fin de l’analyse liée aux risques.
27
SYNTHESE DES INDICATEURS
INDICATEURS INTERET
Objectif Méthode ou Cadre d’analyse de risque
Méthode générale Evaluation du risque par l’étude des menaces,
vulnérabilités et scénarios.
Périmètre Le périmètre est défini préalablement : il est
indépendant vis-à-vis de la norme
Définition de l’objet à protéger. Asset informationnel : tout bien assimilé à une
information ayant une valeur pour l’entreprise
Méthode d’identification de l’objet à
protéger
Non-Applicable : cette identification est faite
ailleurs dans la famille ISO27001.
Définition du risque Probabilité d’occurrence qu’une menace
exploite une vulnérabilité engendrant un impact
Approche globale Scénario de menace, vulnérabilités et impact
Définition de la menace Phénomène ou évènement de nature délibérée,
accidentelle ou environnementale causant des
dommages en exploitant une vulnérabilité (vol,
incendie)
Place donnée à la notion de
sensibilisation, formation
N/A : Ailleurs dans la famille ISO27001
28
III- EBIOS
1. Contexte
EBIOS pour « Expression des Besoins et Identification des Objectifs de Sécurité » est une
norme d’origine française, développée par la DCSSI, maintenant ANSSI, et qui se positionne
comme norme de référence en matière de sécurité des systèmes d’informations pour les
services publiques, étatiques ou gouvernementaux.
Elle se situe en droite ligne des recommandations de l’OCDE visant à développer une
« culture de sécurité » afin de protéger les réseaux et systèmes d’informations. EBIOS, on
peut déjà le noter, ne s’intéresse pas en tant que telle à l’information mais aux systèmes.
C’est une différence notable par rapport aux autres normes, ISO ou encore Cobit.
EBIOS est une norme positionnée sur l’analyse de risque : analyse et traitement de risques.
Elle considère que les risques SSI sont liés aux risques opérationnels dans le sens où ils
agissent directement sur l’activité de l’organisation et sa capacité à exercer l’activité.
2. Positionnement
Par rapport à ISO27001, EBIOS montre une évolution importante. Ainsi, la v.3 se positionne
pour une complète compatibilité et la DCSSI a même publié une note permettant d’exploiter
les résultats d’une analyse de risques EBIOS dans une démarche 27001. On note cependant,
selon R. MARICHEZ, une profonde différence dans les approches entre les deux notamment
en termes de vocabulaire et de formalisme. Ces deux aspects sont particulièrement
déterminants car la possession d’un vocabulaire commun fait partie des apports et des pré-
requis à toute démarche : ce besoin est fréquemment mis en avant dans Cobit.
Une seconde analyse permet néanmoins d’établir des « ponts » avec l’approche
d’ISO27001 : L’expression des besoins peut-être rapprochée de l’évaluation des impacts qui
précède de la détermination d’un niveau de sécurité. Quant à l’Identification des Objectifs
de Sécurité, il s’agit des mesures de sécurité décidées après l’analyse et l’évaluation des
risques.
On peut également rapprocher EBIOS de MEHARI dans le sens où cette norme, bien que
basée sur les risques, permet de synthétiser des besoins et des objectifs de sécurité. Elle ne
se limite pas, un peu comme l’ISO27005, à fournir un cadre pour l’analyse des risques.
En revanche, elle présente également une différence majeure avec les deux normes
précitées : celles-ci font état du niveau de sécurité, et/ou de maturité, de l’entreprise. Cela
permet notamment d’établir les risques résiduels et de là, de définir la marche à suivre et les
mesures de sécurité à préconiser. EBIOS ne propose pas d’analyse ou d’audit de la sécurité
29
de l’entreprise existante : elle se borne à proposer une méthode d’analyse de risques et
d’expressions des besoins de sécurité. C’est une différence notable qui engendre un besoin
fort : le recours à une autre méthode et d’autres outils pour compléter l’effort entrepris. La
norme l’indique d’ailleurs clairement dans son introduction : « associée aux Critères
Communs (une autre norme ISO) et aux avancées dans le domaine de la gestion de la
sécurité de l’information (par exemple, la norme ISO17799 [dite aussi ISO27002], EBIOS
devient aussi une méthode de traitement des risques SSI ».
3. Structure
a) Concepts
EBIOS est une norme de sécurité des systèmes d’informations, elle ne se focalise pas
uniquement sur la notion d’information. Elle considère ainsi également les informations, les
processus, les applications, l’infrastructure, les locaux et l’aspect humain. A l’instar de la
plupart des normes, elle propose un vocabulaire fédérateur, bien que sui generis, dans une
démarche de sécurité de l’information.
Selon sa propre détermination, la méthode permet de déterminer l’environnement ou
l’objet que l’on souhaite voir sécurisé. L’avantage de la méthode est de garder une approche
globale : l’étude du contexte est, comme on le verra par la suite, une étape obligatoire et
importante.
La méthode propose ensuite une méthodologie d’analyse des besoins puis d’identifications
des menaces, vulnérabilités et donc risques. Les actions de sécurité viennent ensuite assez
naturellement.
La méthode se positionne en AMOA en cohérence avec les éléments « Identification des
besoins » qu’elle véhicule. A cet égard, elle intervient notamment auprès des décideurs ou
des managers et induit une position stratégique vis-à-vis de la sécurité. Elle est également
connue pour être adaptée et utilisée notamment au sein des entreprises de taille
respectable. Ne proposant pas de solutions techniques ou de services de sécurité22, par
exemple, elle trouve moins d’échos auprès des entreprises de dimensions plus restreintes :
l’investissement dans une démarche assez stratégique de protection de l’information se
justifie moins.
Selon le rapport du CIGREF de 2007, « Protection du Patrimoine informationnel », EBIOS est
défini comme une norme adaptée pour l’atteinte d’une cible de sécurité notamment sur un
produit technique sensible (cartes de crédits ou firewall).
22 Elle n’en propose pas en tant que telle mais les évolutions et les bases de connaissances sont bien pourvues
en la matière : l’objectif primaire n’est cependant pas la construction mais la définition du besoin.
30
Enfin, en termes conceptuels, on retrouve des éléments très proches des autres normes. Le
Glossaire livre ainsi des éléments intéressants : la définition du Bien (asset) est très proche
de celle d’ISO27001. Le bien est ainsi toute ressource qui a une valeur pour l’organisation ; la
définition étant cependant complétée avec une distinction entre éléments essentiels et
entités. De même, le risque ou la menace sont très proches dans leurs définitions : le risque
combine ainsi les éléments de menace, de vulnérabilité, de probabilité et les impacts.
Si EBIOS parait emprunter ainsi, ou s’accorder, avec les normes internationales, certaines
différences subsistent. Ainsi, l’approche « processus » est moins marquée et le cycle
d’amélioration continue n’imprègne pas aussi fortement la pratique que dans d’autres
méthodes. En revanche, la valeur ajoutée d’EBIOS est d’avoir une approche peut-être plus
modulable qu’ISO27001. Cette norme vise à installer un système de management et même
si le périmètre défini est variable, EBIOS peut viser un système d’information en tant que tel
ou un système technique. Cette approche paraît être une des caractéristiques
fondamentales de cette méthode.
b) Démarche
La démarche EBIOS est résumée par le graphique suivant :
SOURCE : ANSSI- EBIOS : « Démarche »
On remarquera que plusieurs éléments sont cohérents avec les autres approches de sécurité
de l’information : Contextualisation, Expressions des besoins de Sécurité, Identification des
ETAPE 1 :
Environnement, but et
fonctionnement.
Identification des cibles.
ETAPE 2 : Analyse des
risques
ETAPE 3 : Traitement
des risques
ETAPE 4 :
Détermination des
exigences
31
objectifs après une étude des « risques ». Cependant, l’analyse du risque n’est pas mise en
valeur dans cette approche au contraire de la menace.
Le référentiel de base, sans les autres guides méthodologiques à but très précis, contient 5
documents :
Introduction : concepts, « philosophie » de la norme
Démarche : description des processus, des enchaînements, de la logique structurelle
Techniques : ce document, encore méthodologique, complète le précédent en
donnant des méthodes précises d’évaluation ou encore en proposant des formats
des « Fiches d’expression des besoins de sécurité ».
Outillage pour l’appréciation des risques SSI : ce document est une base de
connaissance des risques observés à l’encontre des systèmes d’informations. Elle
répond à la question du « qui peut causer quoi, comment et par quel biais ».
Outillage pour le traitement des risques SSI : ce dernier document est le pendant du
précédent. Il propose une base de connaissances de mesures de sécurité déployables
en entreprise en fonction des risques identifiées et des besoins de sécurité définies.
On retiendra qu’à l’instar de MEHARI, cette norme propose, de fait, une liste ou une base de
connaissances des attaques et des solutions de sécurité. Les deux normes font, en effet, plus
que fournir une méthodologie d’analyse des risques.
4. Etude des Etapes
a) Etude du Contexte
L’étude du contexte est une étude du système à protéger, de son périmètre et de son
environnement immédiat. Il s’agit d’une activité purement fonctionnelle qui va déterminer
les limites de ce que l’on souhaite protéger tout autant que les contraintes liées à
l’environnement.
EBIOS, malgré sa terminologie propre, fonctionne en proposant ce que l’on peut appeler, par
analogie, des processus. Chaque étape est caractérisée par une entrée, un résultat ou une
sortie, des activités et des tâches. On constate d’ailleurs que le référentiel 23 décrit
précisément chaque activité et chaque tâche. Il précise également les préalables – les
« sorties » des activités précédentes – ainsi que des éléments de conseils pour mener à bien
l’activité.
23 EBIOS V2 – Section 2 – Démarches p. 9 ets
32
Ainsi, l’Etude du Contexte fait intervenir 3 activités et plusieurs tâches :
Etude de l’organisme : présentation, architecture conceptuelle, contraintes
générales, référentiel réglementaire général
Etude du système-cible : éléments essentiels, enjeux, hypothèses, règles de
sécurité….
Détermination de la cible de l’étude : entités, relations entités-éléments
Le résultat de ce processus est la définition d’un système cible à protéger ou étudier. Ce
système est considéré dans un ensemble plus vaste qu’est l’organisme auquel il appartient.
L’analyse des activités de cette étude de contexte permet d’ailleurs de développer une
qualité d’EBIOS. Le référentiel prétend en effet être capable de s’adapter à de multiples
dimensions : ainsi l’étude du système peut-être globale ou plus précise suivant le résultat, en
termes de vision des risques, recherché.
b) Expression des Besoins de sécurité
Le but de cette étape qui intervient dans un second temps est d’estimer les risques et de
définir les critères de risque propres à l’entreprise. Elle doit permettre de formuler les
besoins de sécurité adaptés aux fonctions et aux informations rendues ou manipulées par
l’organisation. L’approche reste opérationnelle, ce qui rappelle MEHARI, en lien avec le
métier de l’entreprise, sans aucune référence ou préférence technique.
Cette étape est composée de deux activités :
Réalisation des fiches de besoins : Critère de sécurité, Echelle de besoins, Impacts
Synthèse des besoins de sécurité : Besoins de sécurité
La réalisation des fiches de besoins apporte la définition, en commun, des critères de
sécurité, des échelles de besoins et le choix des impacts devant être traités. Les critères de
sécurité sont essentiellement les mêmes que dans toutes les normes SSI : Disponibilité,
Intégrité et Confidentialité. La norme propose cependant l’adjonction d’élément
complémentaire que l’on retrouve régulièrement : Preuve, Contrôle…
Le document « Techniques » propose par ailleurs une échelle de 0 à 4 pour évaluer le besoin
de chaque critère pour un élément du système d’information, 4 représentant un besoin
absolu.
Les impacts ne sont pas mesurés en tant que tel, ce qui représente une nouveauté pour
cette norme. Ils sont choisis par le groupe de travail de l’entreprise chargée de la mise en
place de la démarche de sécurité comme étant les plus représentatifs pour la sécurité de
l’entreprise. Ainsi, ils sont définis comme les exemples ci-dessous :
33
- Perte de service
- Perte d’image de marque,
- Infraction,
- Atteinte à la vie privée….
- …
La conjonction des différents éléments issus des démarches précédentes permet donc de
dresser une fiche d’expression des besoins de sécurité pour chaque élément essentiel
(identifié dans l’étape précédente) en associant les critères de sécurité de l’élément avec les
impacts préjudiciables à l’événement.
Ex. pour l’ELEMENT ESSENTIEL 1 :
Impact 1 Impact 2 Besoins de sécurité
Critère de sécurité
1
Dégradation des
performances
Interruption de
service…
Avoir un réseau de
secours…
Critère de sécurité
2
Modification
accidentelle
Modification
délibérée
Avoir un
enregistrement des
modifications +
contrôle d’accès
La dernière activité de l’Etape, la synthèse va alors permettre de déterminer un besoin
global de sécurité pour chaque critère au sein de chaque élément essentiel : il s’agit de juger
de l’importance relative de chacun des critères pour l’élément considéré. La norme propose
à cet égard, une échelle de 0 à 4. Les besoins exprimés sont intrinsèques, en dehors de
l’analyse de risque et des mesures existantes : ils constituent la mesure de référence et la
valeur du critère pour l’élément. De forts risques accroissent le besoin de sécurité tandis que
des mesures efficaces diminuent le besoin d’actions correctives.
c) Etude des Menaces
Cette étape permet d’identifier précisément les risques en analysant les menaces et les
vulnérabilités pesant sur les éléments essentiels ou le système. On retrouve ainsi, avec la
notion d’impact identifiés préalablement, les composantes du risque : menace, vulnérabilité
et impact. Cependant, la notion de probabilité n’est pas aussi perceptible que dans d’autres
normes. Plus encore, les étapes, telles que décrites dans EBIOS, éparpillent la notion de
risque au profit de celle de la menace.
On remarquera qu’EBIOS consacre une activité entière à la notion de menace qui induit celle
d’attaque. Le risque étant une approche plus généraliste, on retrouve les éléments liés aux
problématiques d’accidents ou de mauvaise manipulation dans la partie précédente. Cette
34
partie apporte en fait le complément à la notion de risque dans une approche globale de
gestion des risques SSI : l’élément intentionnel. Cette distinction est cohérente non
seulement avec le tropisme d’EBIOS : vers des éléments essentiels de nature
gouvernementale ayant à traiter des informations classifiées ou encore des systèmes de
défense, à incidence régalienne. Enfin, on remarquera que cette étape, la troisième en
terme de chronologie, est placée à égalité dans le « schéma » EBIOS avec la partie
précédente : elle complète bien en effet, la notion de risques.
Cette étape comporte 3 activités :
Etude des origines des menaces : origines des menaces, méthodes non retenues
Etude des vulnérabilités
Formalisation des menaces
Chaque méthode d’attaque est caractérisée par un impact en termes de critères CID de
sécurité. Chaque élément du système cible se voit alors affecter une liste de méthodes
d’attaques pertinentes, les méthodes associées, un type (naturel, humain, comportemental)
et une cause (accidentelle ou délibérée). C’est à ce niveau qu’est également affecté un
coefficient ou une valeur représentant le potentiel d’attaque. Généralement, ce niveau est
évalué sur une échelle de 1 à 3 : 1 (accidentel et aléatoire) à 3 (haut degré d’expertise,
d’opportunité et de ressources).
A ce niveau, l’utilisation du guide « Outillage pour appréciation des risques » permet de
faire la liste des entités à considérer, de déterminer les méthodes d’attaques ou éléments
menaçants communs et les vulnérabilités qui sont notamment utilisées. Le niveau des
vulnérabilités est également évalué sur une échelle de 0 à 4 : 4 représentant une extrême
facilité et 0, une quasi-impossibilité.
En fin d’étape, la formalisation des menaces permet d’évaluer le niveau d’opportunité des
menaces, équivalent au niveau des vulnérabilités utilisées. Cela permet notamment de
hiérarchiser les menaces mais cet effort n’est en rien obligatoire contrairement à d’autres
méthodes où cette tâche reste importante.
Ex. : Pour le Personnel Exploitant, on considérera les personnels en charge de l’exploitation
et de la maintenance en raison de leur accès privilégiés au système. En termes de menaces,
on pourra considérer l’abus de droit, l’erreur d’utilisation…Enfin, en termes de vulnérabilités,
on pourra citer le climat social conflictuel, la crédulité, le manque de sensibilisation…
d) Identification des objectifs de sécurité
Cette étape est à rapprocher de l’étape générique de traitement des risques. Les menaces
identifiées préalablement sont confrontées aux besoins de sécurité afin de déterminer des
objectifs de sécurité. Enfin, la détermination des niveaux de sécurité permet d’aboutir à des
risques résiduels.
35
Cette étape comporte 3 activités :
Confrontation des menaces aux besoins :
Formalisation des objectifs de sécurité
Détermination des niveaux de sécurité
La première activité permet de déterminer le niveau réel des risques pesant sur le système
cible. Les besoins de sécurité, qui déterminent l’importance de l’élément, sont confrontés
aux menaces, ce qui permet de hiérarchiser les risques. On rappellera que tant les besoins
de sécurité que les menaces sur un élément essentiel ont été exprimés en fonction d’un
dénominateur commun que sont les critères CID. Les besoins de sécurité concernés sont
alors équivalents aux besoins de sécurité de l’élément considéré. Ex. : si l’élément N a un
besoin de disponibilité absolu égal à 2, par rapport à une méthode d’attaque Z impactant la
disponibilité, son besoin de sécurité concerné sera également égal à 2.
Cette première activité va également permettre de formaliser explicitement les risques au
travers de scénarios et de hiérarchiser les risques. Le résultat sera un ensemble de risque
retenus non traités ou résiduels qu’il faudra justifier : si un risque est écarté, il faut prouver
qu’il n’affecte que très peu un besoin de sécurité et/ou dont l’opportunité de menaces est
faible.
La seconde activité est déjà une méthode de traitement du risque : il s’agit de définir les
objectifs de sécurité couvrant les risques retenus en tenant compte des éléments de
contexte définis dans la première étape : politique de sécurité, hypothèse,
environnement…Il est intéressant de constater qu’EBIOS revient sur le traitement du risque
selon 3 axes : l’origine des menaces, la réduction des vulnérabilités ou encore l’action sur les
conséquences. Ces axes peuvent utilement se compléter et la couverture du risque permet
alors de considérer la compatibilité et l’efficacité attendue de l’objectif de sécurité vis-à-vis
du risque. Elle est notée de 0 à 2, 2 représentant une couverture complète. Enfin, il s’agira
de montrer les défauts de couverture.
La troisième étape concerne la capacité des objectifs de sécurité ou leur résistance. Ainsi, la
mesure de sécurité devra montrer un certain niveau d’efficacité afin de compléter l’objectif
de sécurité, répondant ainsi au potentiel d’attaque des éléments menaçants. Le niveau de
sécurité à atteindre est mesuré sur une échelle de 1 à 3 comme l’est le potentiel d’attaque.
Cette étape permet également de définir le niveau d’assurance ou EAL pour Evaluation
Assurance Level qui permet de définir le niveau de confiance que l’on peut attendre de la
mise en œuvre des objectifs de sécurité. Ces EAL proviennent de la norme ISO1540824 et
sont au nombre de 7, le dernier présentant le plus haut niveau d’assurance.
24 Critères Communs d’Evaluation de la Sécurité des technologies de l’information
36
e) Détermination des exigences de sécurité
A ce niveau, il s’agit de déterminer les mesures à prendre pour atteindre les objectifs de
sécurité définis avec leur niveau de résistance et de confiance. En particulier, la couverture
d’une exigence de sécurité devra être égale au niveau de résistance de l’objectif de sécurité
considéré. L’utilisation de la base de connaissance est ainsi fortement recommandée,
laquelle se base extensivement sur la norme ISO précitée.
SYNTHESE DES INDICATEURS
INDICATEURS INTERET
Objectif Expression des besoins et des objectifs de
sécurité par la conduite d’une analyse de risque.
Méthode générale Identification des cibles, menaces et besoins de
sécurité. Notamment pour des actifs du système
d’informations
Périmètre Le périmètre est défini préalablement : c’est
une variable décidée par l’organisation. On parle
aussi de cible
Définition de l’objet à protéger. Système d’informations
Méthode d’identification de l’objet à
protéger
Composants du système d’information :
matériels, éléments physiques, logiques,
processus.
Définition du risque Combinaison d'une menace et des pertes qu'elle
peut engendrer, c’est-à-dire de l'opportunité de
l'exploitation d'une ou plusieurs vulnérabilités
d'une ou plusieurs entités par un élément
menaçant employant une méthode d'attaque et
de l'impact sur les éléments essentiels et sur
l'organisme.
Approche globale Processus, Risque, Amélioration Continue,
Mesures de sécurité
Définition de la menace Attaque possible d’un élément menaçant sur
des biens (avec la méthodologie).
Place donnée à la notion de
sensibilisation, formation
Large place donnée à ces notions mais peu
d’éléments concrets de définition.
37
IV- MEHARI
MEHARI est caractérisée tout d’abord par l’identification des situations de risques qui sont
caractérisées par un actif subissant une dégradation (notamment en termes de Disponibilité,
Intégrité, Confidentialité) et les circonstances dans lesquelles se produit cette dégradation.
MEHARI propose une description des situations de risque les plus courantes et indique que
la norme permet d’en ajouter certaines. Parmi celles-ci, on peut trouver le départ d’un
personnel à ressource stratégique, l’indisponibilité d’un composant, le vandalisme, l’accès
non autorisé au système…
Elle peut être intégrée autant dans une analyse systémique des situations de risque que lors
d’analyse ponctuelle ou dans le cas d’un projet informatique25. Selon YOSECURE, MEHARI
apporte une vision intéressante car elle se concentre notamment sur les processus métiers
et les impacts, en termes de critères de sécurité de l’information, ayant des conséquences
sur les métiers. Elle définit alors la notion « d’enjeux critiques » et de « vulnérabilités
fortes ».
MEHARI établit d’abord les enjeux majeurs et les analyses avant de décider quelles sont les
mesures à prendre. Elle procède de même avec les vulnérabilités avant d’associer enjeux et
vulnérabilités : les deux permettant d’analyser les risques et de déterminer les mesures à
prendre. Selon les « Principes et Mécanismes »26 de la norme, ces 3 démarches sont
indépendantes et peuvent être combinées en fonction des besoins et des circonstances.
Source : CLUSIF
25 Introduction à MEHARI, CLUSIF
26 Document du CLUSIF
38
Les circonstances contiennent en fait la menace qui cause un impact à l’actif : type
générique, mode d’action (vol, copie, usurpation d’identités), l’acteur qui met à exécution la
menace. Cependant, MEHARI ne fait pas de référence à une vulnérabilité quelconque lors de
cette phase, arguant que le caractère évolutif des vulnérabilités ne permet pas de les
prendre en compte. Les vulnérabilités seront utilisées lors de l’évaluation des risques et de la
réduction.
La particularité de MEHARI peut ainsi être définie comme une infinité de résultat et de
niveau de granularité inhérente à la norme. Alors que l’on peut, par exemple, trouver une
forme plus prescriptive dans les lignes des autres normes. Selon le rapport 2007 du CIGREF,
« Protection du Patrimoine informationnel », MEHARI est une méthode intéressante mais
inductive. Les questionnaires d’audit construits en la suivant, même pour une cible unique,
seront pratiquement toujours différents. La norme se place elle-même en adéquation avec
les normes ISO27001 et suivantes bien qu’elles affirment proposer des démarches et
aptitudes différentes.
L’analyse de risque qui suit l’identification des situations de risques est composée de
plusieurs éléments : la valeur de l’actif, la probabilité que survienne l’évènement et les
éventuelles mesures diminuant le risque.
En particulier, la norme affirme proposer des mesures de sécurité allant au-delà des
systèmes informatiques proprement dit. Cela dit, ISO27001 prend en compte des éléments
juridiques, humains et organisationnels : les mesures de sécurité ne sont pas toutes
destinées aux services informatiques. MEHARI affirme par ailleurs apporter des mesures
techniques alors que l’ISO27001 se focaliserait sur les aspects organisationnels et
techniques.
1. Analyse des enjeux et classification
Cette partie de la démarche permet notamment de répondre à la question suivante : « Que
peut-on redouter et, si cela devait arriver, serait-ce grave ? ». L’enjeu de sécurité est alors la
ou les conséquences d’un évènement de sécurité de l’information impactant directement la
bonne marche de l’entreprise, de l’organisation ou de ses activités.
La démarche est radicalement différente de celle proposée notamment dans les normes ISO
bien que l’on puisse comme on l’a vu précédemment établir des parallèles. MEHARI se veut
une méthode compatible et s’inscrivant dans la pratique de l’ISO27005, qu’elle considère
comme un guide générique.
Cependant, cette démarche est la première et la plus transversale : en tant que préalable,
elle permet ainsi de choisir une démarche par la suite et de bâtir un plan d’action. La
classification des enjeux interviendra lors d’une démarche plus systématique mais il est à
noter que la norme s’accommode particulièrement bien d’une approche très spécifique à
39
chaque enjeu et des dysfonctionnements associés, entraînant le choix de mesures
appropriées. Elle recommande cependant une approche systématique garante de
mutualisation, notamment budgétaires. Ce découplage est propre à MEHARI d’une certaine
manière bien que l’on puisse très bien envisager la mise en place d’un SMSI sur une base
restreinte.
a) Analyse des enjeux
L’analyse des enjeux de la sécurité permet également de mettre en évidence les
dysfonctionnements que l’entreprise redoute. Ces dysfonctionnements sont ensuite évalués
selon une échelle de gravité. L’analyse se déroule en 4 étapes :
Identification des activités majeures et de leur finalité : on notera que la description et la
démarche d’analyse font appel à la notion de processus, ce qui rapproche la norme des
autres approches de sécurité de l’information. L’approche peut-être micro ou macro : faire
appel aux responsables ou alors évaluer chaque processus jugés critiques et ses sous-
processus.
Identification des dysfonctionnements redoutés de chaque activité : les dysfonctionnements
sont décrits au niveau fonctionnel et technique. Ils ne sont cependant pas établis en fonction
des critères habituels et font apparaître les conséquences pour une meilleure
compréhension des enjeux « métiers ». L’analyse fonctionnelle fait apparaitre des
dysfonctionnements de type : défaut de ponctualité, de conformité, d’exhaustivité, de
justesse…27 L’analyse technique fait intervenir les moyens matériels, immatériels ou encore
en personnels : à ce niveau, les critères CID sont pris en compte dans la description.
Evaluation de la gravité des dysfonctionnements pour chaque activité : les
dysfonctionnements analysés s’appliquant aux activités critiques identifiées sont ensuite
évalués en fonction d’une échelle de gravité : 1 (non-significatif), 2 (Important), 3 (Très
grave), 4 (Vital). Les critères de gravité peuvent être accompagnés de la mesure de plusieurs
paramètres dits « significatifs » et qui dépendent de l’activité envisagée.
Détermination et validation d’une échelle de valeur globale pour l’entité : cette approche
permet notamment de définir quels sont les niveaux de basculement d’une situation de
gravité donnée à une situation plus grave ou moins grave. Les « seuils de criticité » ayant été
définis préalablement notamment dans la partie précédente. Cette activité étant
essentiellement une synthèse.
Enfin, les ressources de l’entreprise sont classées en fonction des 3 critères de base (D, I,C).
L’approche par les dysfonctionnements ou par la classification des ressources donne des
27 MEHARI – « Guide de l’analyse des enjeux et de la classification »
40
résultats différents exprimant des enjeux de sécurité : la première est plus pratique mais la
seconde permet une communication plus efficace.
b) Classification des informations et des ressources
Le propre de cette activité est de donner une valeur transmissible et réutilisable en termes
techniques de l’échelle des enjeux et dysfonctionnements identifiés préalablement en
termes d’activités de l’entreprise. Cette activité vise donc tout d’abord à identifier les
ressources (information, équipements, infrastructures…) qui doivent être classifiées. Ensuite,
chaque élément est analysé en fonction de sa capacité à induire un dysfonctionnement et en
y associant une gravité.
De façon tout à fait intéressante, la norme définit la notion « d’étiquette » de sécurité
attribuée à chaque ressource ou information. A la manière des stipulations de confidentialité
associées à certains documents, ces étiquettes permettent aux utilisateurs de garder
conscience du niveau de sécurité associé aux ressources. On retiendra, en outre, que la
norme garde une approche dissociée de l’information et du système d’informations.
MEHARI insiste sur les actifs communs ou les infrastructures communes qu’aucun processus
métier n’aura pu identifier comme critique. Quelques exemples sont données comma la
messagerie, l’archivage… Ces services communs doivent ainsi être identifiés à part mais la
difficulté même réside dans la pratique globale de la norme qui se veut très « métier ».
Elaborer une échelle de valeurs décrivant le niveau de gravité d’un dysfonctionnement ou
son impact métier reste souvent une démarche complexe et délicate. En effet, elle suppose,
dans le cas de MEHARI, de passer d’une transcription linéaire à une transcription en termes
techniques et enfin l’attribution d’une valeur numérique représentant, peu ou prou, le
niveau de gravité avec les problèmes propres à l’utilisation d’échelles restreintes.
Cependant, la norme fournit tout de même plusieurs indicateurs globaux comme la valeur
des indicateurs (souvent de 1 à 4) et des conseils précis. A ce titre, elle se veut une norme
précise et directement utilisable ou transposable. Elle attire aussi l’attention sur le caractère
stratégique de certaines décisions : un dysfonctionnement peut être Très Gave ou Vital et le
choix même de sa classification peut emporter d’importantes conséquences.
2. Diagnostic de l’Etat des services de sécurité
L’analyse des vulnérabilités est conçue, dans MEHARI, comme le révélateur de l’état et des
performances des services de sécurité de l’information. Les vulnérabilités ne sont pas
seulement techniques : elles comprennent toutes les « faiblesses » de l’entreprise qui la
rendent vulnérable à toute action humaine, technique, accidentelle, organisée qui peuvent
causer un impact sur les enjeux de sécurité, les ressources.
41
Dans cette approche, un « service » de sécurité est un ensemble de solutions techniques et
organisationnelles répondant, produisant une fonction de sécurité. Un service de sécurité
peut alors comprendre un ou plusieurs sous-services de sécurité également appelés
« constituants » de sécurité qui concourent à la fourniture du service de sécurité. Ces sous-
services peuvent faire appel à des mécanismes de sécurité. La documentation de MEHARI
comporte ainsi 200 sous-services de sécurité qui seront évalués lors du diagnostic ou de
l’audit.
Les mesures de sécurité peuvent être « Générales » lorsque elles sont utiles ou nécessaires
pour le maintien de la SSI mais se situant au niveau du pilotage, de l’organisation…sans
influence sur une situation de risque précise. Elles seront au contraire « Techniques »
lorsqu’elles ont un rôle précis, un effet immédiat sur une situation de risque. Ex. : le système
de contrôle d’accès vs. le processus inclus dans la PSSI sur les stagiaires ou les visiteurs.
On retiendra d’ailleurs que MEHARI prend en compte un élément de réputation de
l’entreprise, ce qui est cohérent avec sa vision centrée sur la continuité de l’activité de
l’entreprise. Ainsi, « l’attaque réussie d’une faille de sécurité représente toujours une image
négative »28.
Une des particularités de la norme est la définition préalable d’un « schéma d’audit » sui
generis dont la fonction est de garantir la cohérence du compromis entre exhaustivité et
holisme. En effet, si l’on peut, comme le prévoit la norme, regrouper des services de
sécurité, certaines solutions ou certains services devront être évalués séparément. Cette
approche bien particulière, idiosyncratique, de MEHARI a pour corollaire un schéma d’audit
différent suivant chaque entreprise mais également suivant chaque personne procédant à sa
définition.
Un service de sécurité doit être évalué afin de prendre en compte la « culture » de sécurité
de l’entreprise et établir le plan d’action permettant de pallier aux risques, enjeux ou
vulnérabilités identifiées préalablement. Pour ce faire, la norme retient 3 critères :
L’efficacité du service : il sera mesuré indirectement par le niveau de compétences
nécessaires pour outrepasser le mécanisme de sécurité ou la « force » d’un évènement
naturel (incendie, inondation) nécessaire pour altérer le fonctionnement du service.
La robustesse du service : elle sera évaluée uniquement pour les services techniques et
dépendra de la capacité du service à résister à une action visant à le court-circuiter ou à
l’inhiber.
28 MEHARI, « Principes et Mécanismes », CLUSIF
42
Les moyens de contrôle de son fonctionnement : les services de sécurité doivent être
surveillées pour évaluer leur efficience, leur bonne marche et notamment leur interruption.
Il faudra donc évaluer l’efficacité de ces moyens de contrôle.
L’ensemble de ces évaluations permet alors de déterminer un niveau de qualité du service
de sécurité étudié. Noté de 1 à 4, il évalue non pas la qualité intrinsèque du service de
sécurité mais surtout la capacité de résilience du service évalué à des attaques
intentionnelles ou des problématiques accidentelles. Les évaluations sont réalisées dans le
cadre d’un audit qui est pratiqué dans le cadre d’un plan d’audit. Une des spécificités de
MEHARI est de permettre de réaliser un schéma d’audit sui generis en fonction des variantes
locales, autrement dit, de l’idiosyncrasie de l’entreprise. Cette approche est assez différente
de celle des autres normes comme le montre le rapport du CIGREF précité.
La norme intègre une base de référence de qualité des services de sécurité qui permet
notamment de connaitre des services de sécurité, d’évaluer les résultats attendus et les
mécanismes à mettre en place ainsi que les mesures de qualité. La version 2007 de la norme
établit, dans les questionnaires, une corrélation avec les points de contrôle de la norme
ISO27002. Le diagnostic de sécurité de type MEHARI s’intègre donc dans une démarche plus
globale de mise en place d’un SMSI par exemple, démontrant ainsi le caractère modulaire de
la norme. Contrairement à d’autres normes, cependant, MEHARI affirme avoir un niveau
d’exigence relatif à une garantie « d’assurance sécurité ».
Ces services de sécurité sont classés en 12 catégories :
1. Organisation
2. Sécurité des sites et bâtiments
3. Sécurité des locaux
4. Réseaux étendus intersites
5. Réseau local
6. Exploitation des réseaux
7. Architectures et sécurité des systèmes
8. Production informatique
9. Sécurité applicative
10. Sécurité des projets et développements applicatifs
11. Protection de l’environnement de travail
43
3. L’analyse des risques
a) Potentialité et mesures de réduction
En lieu et place du risque, la norme lui préfère les notions de scénarios ou de situations de
risques ainsi que d’évaluation ou de niveau de risque : « un scénario de risque est la
description d’un dysfonctionnement et de la manière dont ce dysfonctionnement peut
survenir. Le dysfonctionnement comprend lui-même un sinistre, c'est-à-dire des
détériorations directes, et des conséquences indirectes de ce sinistre. Il est aussi courant de
parler de situation de risque, avec l’idée sous-jacente que l’entreprise est exposée à
l’occurrence d’un tel scénario ». On retrouve la plupart des éléments présents dans les autres
normes liées aux risques : Impact, Occurrence ou vraisemblance, vulnérabilités (la façon
dont le dysfonctionnement intervient) et la menace (la cause). En effet, MEHARI intègre les
circonstances dans lesquelles se produisent les dysfonctionnements et ainsi la menace qui
exploite la vulnérabilité. Cependant, même si on peut ainsi se rapprocher de l’approche de
l’ISO27005 par exemple, la méthode reste différente : elle se focalise sur la détérioration ou
le dysfonctionnement.
Les situations de risque ou scénarios peuvent indifféremment être extraits des bases de
connaissances de MEHARI ou bien des enjeux majeurs et de l’échelle de valeur des
dysfonctionnements. La seconde approche est plus parlante car elle correspond à
l’historique de l’entreprise et à sa vision. La première permet de compléter mais aucune ne
garantie l’exhaustivité.
Le scénario sera ainsi formellement décrit par : le type de conséquence, le type de
ressources impliquées, les types de cause. La probabilité que le risque se réalise est fonction
de plusieurs facteurs et notamment les mesures de sécurité. L’échelle de probabilité est ici
clairement définie sur une échelle de 0 (Non envisagé) à 4 (très probable) pour chacun des
facteurs.
Cette potentialité est donc due à plusieurs facteurs :
Exposition naturelle au risque : elle dépend de la situation de l’entreprise géographique,
sociale, économique. C’est une évaluation à la fois dans le temps mais aussi conjoncturelle.
Risque pris par les auteurs d’un acte volontaire : il s’git d’évaluer le risque ressenti par un
agresseur potentiel du système d’informations de l’entreprise. Son action est malveillante et
sans doute nuisible. Ce ressenti dépend des moyens existants pouvant le freiner, de la
capacité à rassembler des preuves pour le confondre, des sanctions inconnues (élément
juridique), du niveau de connaissance et donc de publicité des moyens de protection. Ici
interviennent les mesures de sécurité qui ont été définies dans l’audit des services de
sécurité : c’est leur effet dissuasif qui sera noté sur l’échelle déjà définie.
44
Conditions de survenance du scénario : le déclenchement d’un scénario n’arrivera que si
certaines conditions sont réunies. La trivialité des conditions fait augmenter le risque : degré
de compétences nécessaires, importance des moyens à mettre en œuvre…Les notes
attribuées reflètent alors l’effet dissuasif des mesures : le niveau 1 correspond à un effet
préventif nul alors que le niveau 4 correspond à un effet dissuasif très important.
Une fois la potentialité du scénario établie, il faut alors définir l’impact occasionné par la
réalisation du scénario. En premier lieu, les impacts sont définis en cas de réalisation
complète du risque, sans tenir compte du niveau atteint par les mesures de sécurité. Les
impacts sont également classés en 4 catégories :
Niveau 1 : Non- significatif
Niveau 2 : Important. Les impacts restent supportables mais atteignent globalement les
opérations de l’entité, ses résultats ou son image.
Niveau 3 : Très Grave. L’avenir de l’entité n’est pas compromis mais les impacts sont très
graves : financiers, images, désorganisation.
Niveau 4 : Vital. L’avenir et l’existence même de l’entité sont compromis.
A la suite, plusieurs facteurs sont évalués qui vont alors, probablement, atténuer les risques.
Il est à noter que MEHARI tient compte des mesures de sécurité à tous les
niveaux (probabilité et impact). Ainsi, il faut bien retenir les deux temps que sont
l’évaluation de la potentialité du risque et l’évaluation de l’impact du risque.
Ainsi, le risque peut-être confiné, pallié ou encore transféré. Ces termes rappellent les
mesures appliquées au risque dans d’autres normes : le risque est alors évité (suppression
de l’activité), transféré (assurance…), diminué (par des mesures).
Le risque est confiné lorsque des mesures de sécurité, intervenant directement sur les
conséquences en les réduisant, sont prises. C’est le cas des cloisonnements anti-feu, des
systèmes de détection mais également des systèmes anti-virus ou encore de surveillance du
réseau. Ces mesures sont évaluées sur une échelle de 1 (effet nul des mesures de
confinement) à 4 (effet important sur les mesures de confinement).
Les mesures dites palliatives désignent au contraire l’évaluation des mesures prises à la suite
du déclenchement du scénario. Au contraire des premières qui tendent à détecter ou à
éviter, celles-ci sont utilisées pour évaluer la qualité de la réaction en cas de crise
notamment. L’évaluation porte alors sur une échelle équivalente.
Enfin, le risque peut-être transféré par voie juridique ou encore d’assurances qui
permettent de récupérer tout ou partie des pertes finales occasionnées par la réalisation du
risque. L’évaluation des situations de risques, l’adéquation des polices d’assurance et la
45
capacité à apporter la preuve et donc à conserver les traces influent sur la qualité du
transfert de risque. De même, une échelle de 1 à 4 permet d’en mesurer l’effectivité.
b) Résultante du risque
Une des problématiques générales est l’évaluation du risque dans le cadre d’un scénario. En
effet, on peut définir la probabilité qu’un scénario se produise en fonction de critères que
l’on « combine » afin d’obtenir une vision globale. Cependant, cette combinaison doit alors
prendre en compte l’efficacité d’une mesure de sécurité ayant un effet quelconque sur le
risque. Plus encore, ces mesures peuvent être multiples. Il reste à l’heure actuelle difficile
d’évaluer la combinaison des critères de risque et d’y « retrancher » la capacité des mesures
de sécurité. A cet égard, la norme ne fournit pas vraiment de méthode de calcul et fait appel
à une notion globale d’expérience.
Le schéma ci-dessous, extrait de la norme résume parfaitement la démarche de MEHARI qui
est axée sur une approche par questionnement et permet d’en comprendre les aspects
principaux.
Source : MEHARI-CLUSIF
Une fois la décision prise et ce, pour les différents scénarios identifiés, la démarche est de
définir des plans et politiques de sécurité à la fois au niveau stratégique mais aussi
Exposition
naturelle,
Risques pris par
l’acteur,
Conditions de
Survenance Mesures de
confinement,
palliatives ou
de transfert
46
opérationnelle. Le choix de cette démarche oriente ainsi clairement cette norme vers des
grands groupes pour lesquels ladite distinction prend tout son sens29.
DEMARCHE GLOBALE DE MEHARI
SOURCE : CLUSIF-MEHARI
29 Cette orientation est reconnue explicitement dans la partie « Principes et Mécanismes » de la norme.
Enjeux,
Dysfonctionne
ments et
Classification
des actifs
Analyse de
Risque
Analyse des
vulnérabilités
du système
d’information
47
SYNTHESE DES INDICATEURS
INDICATEURS INTERET
Objectif Analyse des risques business et de leurs
déclinaisons en matière de SI pour faire évoluer
la sécurité de l’information
Méthode générale Approche business, très pratique. Approche
classique de l’analyse de risque
Périmètre Le périmètre est défini préalablement : ce sera
notamment les processus métiers critiques de
l’entreprise
Définition de l’objet à protéger. Informations et toutes les composantes du
système d’informations
Méthode d’identification de l’objet à
protéger
Analyse des enjeux business critiques et
classification des actifs informationnels en lien
avec les enjeux.
Définition du risque Actif subissant une dégradation (notamment en
termes de Disponibilité, Intégrité,
Confidentialité) et les circonstances dans
lesquelles se produit cette dégradation.
Approche globale Processus métiers critiques, actifs
informationnels, Mesures de sécurité
Définition de la menace Cause première appartenant aux circonstances
de réalisation du risque et causant, en définitif,
l’impact sur l’actif
Place donnée à la notion de
sensibilisation, formation
La base de connaissance de MEHARI consacre
un thème de sécurité à cette approche avec une
description relativement poussée.
48
PARTIE 2 : ETUDE COMPAREE DES NORMES NON-SSI &
INTELLLIGENCE ECONOMIQUE
I- COBIT
Cobit est un référentiel qui s’attarde sur la notion de gouvernance du système d’information
comme part de la gouvernance plus générale de l’entreprise. Développée par l’ISACA
(Informations Systems Audit and Controls Association), une association américaine de
professionnels ; sa diffusion est soutenue en France par l’AFAI. Cobit reste une des normes
les plus répandues notamment en matière d’audit des systèmes d’information et de
l’organisation qui les accompagne. Elle répond par ailleurs à un problème de contrôle et
d’assurance demandés par le top management : en effet, selon une enquête menée par
PWC30, les entreprises ne considèrent plus l’externalisation comme une réponse aux
problématiques posées par les SI et tendent à les rapatrier s’obligeant ainsi à traiter in situ
les problèmes. Toujours selon la même étude, Cobit répond aussi à des besoins posés dans
le cadre des audits et contrôles liés à la loi Sarbanes-Oxley.
1. IT Gouvernance
Selon Thierry CHAMFRAULT, la gouvernance est un concept qui permet de réunir dans une
même approche, un même plan, les institutions, les règles et les comportements en vue
d’optimiser les processus de décisions et de les rendre acceptable. Les premiers documents
américains ou canadiens31 la définissent comme : « l’ensemble des mécanismes
d’organisation sur le plan des structures, des procédures et des comportements nécessaires à
l’équilibre entre les instances de direction, les instances de contrôle et les actionnaires ». Plus
encore, la notion de gouvernance présente désormais un caractère « fractal » et distribué :
chaque entité d’une organisation possède sa propre responsabilité en matière de
gouvernance locale. Et chaque entité devra appliquer des principes de gouvernance peu ou
prou identique.
Selon F. GEORGEL, l’IT gouvernance cherche, plus pratiquement à atteindre 5 objectifs :
Meilleure gestion décisionnelle au niveau du top management
Meilleur contrôle de l’IT
Clarification du rôle en amont et aval de la DSI ainsi que des rôles internes.
Responsabilité accrue des personnels et prestataires
30 Price Waterhouse Coopers
31 1994 : « Guidelines of Improved Corporate Governance » et “Principles of Corporate Governance”.
49
Optimisation des processus
Ces objectifs permettent à l’auteur de déduire 8 axes de la démarche de gouvernance au
niveau de la fonction et des services informatiques. Ils sont présentés couplés avec une
approche tirée d’un article étudiant les entreprises anglo-saxonnes32. On remarquera que la
plupart des axes sont communs ce qui indique une conception commune, mais qu’il existe
quelques divergences :
Alignement sur la stratégique de l’entreprise => Strategic Alignment
Management des ressources et des infrastructures => Capability Management
Gestion de la gouvernance et des ressources humaines => Inexistant
Maîtrise des risques sur le plan technologique et structurel => Risk Management
Gestion de la performance des services => Performance Management
Contrôle et Audit des systèmes et processus => Control and Accountability
Valeur économique des ressources informatiques Delivery of business value
through IT.
Maturité des infrastructures et des processus
Parmi ces axes, certains atteignent directement la question de la sécurité des systèmes
d’information et permettent de développer le lien entre IT Gouvernance et sécurité de
l’information. La gestion des ressources humaines est ainsi notoirement importante
considérant l’impact du facteur humain en sécurité. La notion de maîtrise des risques est
ainsi dans la droite ligne des pratiques de la SSI, de même que les audits et contrôles. La
performance du système comporte un aspect déterminant car il assure notamment tant la
disponibilité que l’intégrité des données, éléments auxquels la sécurité de l’information
s’attache particulièrement. Enfin, la question de la maturité n’est pas sans lien : elle
détermine un niveau de base et une conscience en matière de gestion qui permettent
d’évaluer les marges de progression : cette approche reste valable en matière de sécurité de
l’information. Certains auteurs estiment même ce référentiel tout à fait adapté à la
protection des systèmes d’informations et des infrastructures de communication étatiques33
et n’hésitent pas à faire le lien avec les besoins informationnels mis en jeu dans un
évènement de type « 11 Septembre ».
32 “Exploring IT Governance in Theory and Practice in a Large Multi-National Organisation in Australia IT
Governance”.
33 “Using Cobit to secure information assets”.
50
C’est pourquoi, en matière de sécurité de l’information, on peut évoquer de façon réaliste
l’hypothèse d’une forme de gouvernance de la sécurité de l’information. A cet égard, le SMSI
est une forme de gouvernance. De même, l’intelligence économique propose dans ses
derniers développements, une forme de gouvernance.
2. IT Gouvernance et Sécurité
L’ouvrage de F. GEORGEL fournit une définition générique des grands axes de la
gouvernance IT. Comme il a été démontré ci-dessus, certains sont en lien directs avec des
problématiques de sécurité de l’information. En termes méthodologiques, il s’agit donc, non
pas de définir une « gouvernance » de la sécurité de l’information mais bien de montrer en
quoi cette démarche apporte à cette question. C’est notamment le cas de la gestion des
ressources IT et des performances, des Risques IT et de la partie « Audit & Contrôle » que
nous verrons successivement
a) Ressources IT et Performances
Le management des ressources IT ou IRTM relève notamment de la sécurité en ce qu’il
assure et met en place les moyens nécessaires au bon fonctionnement et à la pérennité du
système IT. L’auteur distingue 3 niveaux : le management stratégique des ressources, le
proactif et l’actif.
Le premier niveau concerne notamment la définition des modèles d’architecture
d’entreprise en matière de service et d’infrastructures IT. Il s’agit d’avoir une architecture
dont le rôle est bien de soutenir l’activité de l’entreprise ou de l’organisation. Parmi les
architectures documentées, on retiendra le TOGAF (Open Group Architectural Framework),
EAF (Enterprise Architecture a Framework) pour le domaine civil. Dans le domaine militaire,
on retrouve des éléments connus comme le C4ISR (Command, Control, Communications,
Computers, Intelligence, Surveillance and Reconnaissance) ou encore le DoDAF,
l’architecture du Département de la Défense américain.
En termes de sécurité de l’information, l’architecture reste un socle dont le but est de lier
objectifs et ressources. La définition même, par exemple, des réseaux, des réseaux virtuels,
de leur multiplication…sont des facteurs architecturaux qui ont une influence directe sur, par
exemple, la capacité de résilience de l’entreprise en cas d’attaque par saturation. Ainsi, le
modèle EAF de J. ZACHMANN fait appel à une notion d’architecture de sécurité bien que
basée essentiellement sur la question des droits d’accès.
51
Le management proactif présente moins d’intérêt pour la sécurité de l’information. En effet,
ils se concentrent sur une notion d’efficacité et d’efficience à long-terme : optimisation des
réseaux, des composants. On se trouve ainsi plus sur des questions d’urbanisation que de
sécurité, bien qu’une urbanisation bien conçue puisse élever notablement le niveau de
maturité et donc de sécurité (cartographie des infrastructures et des applications,
maitrise…).
Le management actif est en fait l’exploitation de la ressource. Il a un très fort intérêt pour la
sécurité de l’information mais pas forcément en termes de gouvernance. L’exploitation,
considérée ici au travers d’ITIL, reste une fonction déterminante mais la gouvernance IT,
dans sa partie exploitation, présente moins d’intérêt pour la fonction sécurité de
l’information.
En effet, on limitera la fonction de la gouvernance, en matière de sécurité de l’information, à
la capacité de prendre conscience de l’importance des processus associés à l’exploitation, à
les contrôler et les revoir.
La performance, au sens de la gouvernance, apporte deux éléments qui concernent
directement la sécurité de l’information. Selon cette approche, la performance ne se veut
pas un résultant mais une action constante, mesurable, qui permet d’optimiser, parfois dans
le détail du processus ou de la structure, l’utilisation des ressources IT.
Monitoring : la surveillance d’indicateurs, parfois appelés KPI (Key Performance Indicators),
est un moyen permettant de contrôler la bonne marche des serveurs, des applications, en
52
résumé de l’IT. La sécurité de l’information, largement composée d’éléments ayant trait à la
sécurité informatique, peut avoir un très grand intérêt à la structuration d’indicateurs ou à
l’utilisation de ressources dédiées à une forme de surveillance du réseau (IDS…).
Supervision : la supervision se distingue du Monitoring pour deux raisons : une analyse à
long-terme et une phase d’exploration et de recherche. La pratique du data-mining dans les
historiques et les informations recueillies lors de l’exploitation permet de repérer des cycles,
des éléments redondants…qui sont des clés pour l’amélioration de la performance IT. De
même, la sécurité de l’information est autant une pratique réactive que proactive : déceler
par l’analyse des indicateurs de faible intensité permet par exemple de prévoir une attaque.
b) Gestion des risques
Selon SOLUCOM, l’approche proposée par Cobit reste fondée sur l’analyse de risques. Même
si ceux-ci peuvent être plus larges, notamment face aux questions d’efficacité et d’efficience
ou encore de traçabilité, la démarche n’en est pas moins fondamentalement proche. Ainsi,
on peut définir 4 types de risques pour l’entreprise : Stratégique, Opérationnel, Lié aux
projets, juridique ou de litige.
Cependant, l’approche « gouvernance » a une approche plus limitée de la sécurité
informatique, liée notamment à la question d’attaques. Pour autant, elle juge très justement
l’impact crucial de l’interruption de service, qui relève pour elle du risque mais pas de la
sécurité. Le résultat final est un périmètre équivalent mais découpé différemment. En
matière de sécurité de l’information, cela représente éventuellement une problématique
d’organisation et de répartition des rôles mais pas une différence notable en termes
d’approches comme le montre la publication de SOLUCOM.
En revanche, l’approche globale de l’IT gouvernance présente un intérêt fort. De par son lien
avec la gouvernance d’entreprise, elle apporte des critères communs en matière de gestion
de risques. Elle n’est pas tournée uniquement vers les risques IT mais accepte une vision non
technologique et plus globale.
La structuration de la gestion des risques est proche de celle des autres normes bien que
chacune puisse présenter des différences. Ainsi, le risque est identifié à partir d’une menace
qui se réalise dans le cadre d’un scénario produisant des conséquences. Pour mémoire, le
risque « iso » est la probabilité d’occurrence de la réalisation d’un scénario mettant en jeu
une menace exploitant une vulnérabilité et produisant un impact. Au-delà de la différence
de vocabulaire, on note bien l’absence de la notion de vulnérabilité dans le système de
gouvernance présenté par l’auteur.
Pour autant, le schéma d’analyse du risque est proche de celui des autres normes :
Identification, Analyse, Classement, Traitement. L’identification du risque est suivie de
l’évaluation de son niveau en termes de probabilités et d’impact. Le classement qui s’en suit
permet alors de définir les mesures appropriées permettant de « réduire » le risque. Encore
53
une fois, on note la légère différence : bien que la réduction du risque, au sens gouvernance,
accepte plusieurs dimensions de la réaction face au risque, il s’agit d’un problème de
vocabulaire.
L’identification du risque reconnait les risques humains, technologiques, d’activité et
naturels. En termes de risques humains, par exemple, on sait que les entreprises américaines
perdent environ 50 milliards de dollars par an. On ne s’attardera pas sur le contenu de la
notion qui fait souvent appel à des analyses extérieures (FBI…), preuve en est que la notion
de risques humains est peu, voire pas, structurée dans les normes « IT ». En revanche, on
notera qu’au niveau des risques technologiques, il existe d’ores et déjà des indicateurs
permettant de gérer au mieux le risque : MTBF (Mean Time Between Failure) indicateur du
temps moyen de crash d’un disque dur ce qui influe sur la disponibilité et l’intégrité des
informations. On ne retrouve pourtant pas dans cette typologie, certains risques, pris en
compte par ailleurs : risques de guerre notamment.
L’évaluation du risque est traitée assez simplement et sans doute de façon indicative : Fort,
Moyen, Faible. L’utilisation de critères communs, transmissibles et mobilisables reste une
préoccupation forte de la démarche de gouvernance. De même, le traitement du risque est
abordé de façon moins spécifique. C’est plutôt la prise en compte des différentes démarches
dans la démarche de gouvernance qui importe. On notera la forte compatibilité de cette
approche avec les autres normes de gestion de risques déjà vues : ISO27005, EBIOS,
MEHARI.
Le dernier grand apport de la démarche de gouvernance, transposable dans une démarche
de sécurité de l’information, est l’audit et le contrôle. S. Thiery-Dubuisson affirme que l’audit
est un « processus permettant de connaître, de mesurer et de corriger des asymétries
d’informations ». Le processus permet notamment de vérifier les écarts entre les
informations indicatives sur l’état de la fonction IT possédées ou crues par le management
avec les informations relevées dans le cadre de l’audit. Les écarts ainsi mesurés peuvent
alors définir une marge de progression. Cette démarche, inscrite à son plus haut niveau, est
indispensable à toute pratique de sécurité et légitime donc l’hypothèse de l’importance de la
gouvernance en matière de sécurité de l’information.
Le contrôle et l’audit, bien que proche, diffèrent de par leur origine : le contrôle est interne,
l’audit est externe. Il est cependant tout aussi nécessaire car il peut avertir (gestion active),
évaluer (gestion pro-active) et permettre de progresser (gestion stratégique). Il permet ainsi
de maitriser l’activité de l’IT. Ce processus comprend une dimension sécurité et s’inscrit donc
parfaitement dans la protection de l’information. Il peut aussi être intégré ou repris dans
une démarche plus globale de protection de l’information.
54
3. Gouvernance IT : le poids de Cobit
a) Généralités
Le poids de Cobit dans les démarches d’audit et de contrôle en fait donc un passage obligé
dans l’étude de l’apport de l’IT Gouvernance à la sécurité de l’information. Comme tout
référentiel, il est par ailleurs structurant et influe donc sur la forme de la gouvernance. C’est
ce qui ressort de l’étude menée par PWC : l’entreprise s’approprie le référentiel, souvent par
étapes, et cette étape peut-être particulièrement contraignante. Par ailleurs, selon une
étude du CIGREF, Cobit est le 3ème référentiel le plus utilisé par les entreprises.
On le retrouve d’ailleurs plébiscité par des entreprises aux besoins et aux méthodes aussi
différentes que des industriels de l’automobile ou encore la grande distribution sans compter
les entreprises concernées par Sarbanes-Oxley. Ces deux types d’industrie, bien que
différentes, s’appuient très fortement sur leur système d’information notamment en matière
de supply-chain : c’est dire la flexibilité et l’intérêt du référentiel.
En ce qui concerne Cobit, on pourra retenir 3 critères permettant de décrire ses spécificités :
information-based, processus, indicateurs.
Le premier critère fait référence au fait que le référentiel considère l’information au même
sens que l’ISO27001. Il ne se fonde pas sur la notion de système, de technique ou
d’infrastructures mais bien sur la notion d’information délivrée expliquant ainsi l’intérêt de
la mesure de la dissymétrie de l’information. Il peut donc s’agit de comptabilité, de planning,
de relation client, de production, de gestion des stocks…
Il présente ainsi un lien direct avec les pratiques de l’Intelligence économique en ce sens que
l’information est considérée comme le vecteur ou le matériau permettant la réalisation des
activités de l’entreprise ou de l’organisation. Cobit a donc également une forte approche
« métier » et alignement.
Cobit est structuré en processus à l’instar d’ITIL. Cette approche bien particulière qui n’est
pas forcément au cœur de chacune des normes est tout de même significative. Il prend en
compte également la notion de domaine (plusieurs processus) et la notions d’activités et de
tâches (qui, à plusieurs, composent un processus).
Cobit est essentiellement un référentiel qui permet de mesurer, de contrôler et d’auditer. La
démarche de suivi et de contrôle est déterminante, comme on l’a vu, dans la démarche de
gouvernance. Cobit fournit donc un ensemble d’indicateurs qui vont informer les
manageurs, les utilisateurs et les auditeurs. Sa structure standardisée, commune et
partagée, va en effet permette d’être plus efficace dans ces processus d’acquisition
d’information sur le fonctionnement de l’IT au sens large.
55
b) Structure et fonctionnement du référentiel
Selon F. GEORGEL, la structure de Cobit peut être résumée en 6 points-clés ou notions
fondamentales.
Synthèse : le but de Cobit reste de fournir des informations synthétiques, permettant aux
manageurs une décision éclairée et plus rapide.
Cadre de référence : ce cadre relie les besoins en informations de l’entreprise avec les
ressources dont elle dispose et de là, définit les contrôles appropriées permettant de
s’assurer que les besoins sont correctement comblés. Le référentiel présente également de
très forts liens avec la sécurité de l’information en ce sens qu’il permet d’analyser les
« dissymétries » d’information. Il contient ainsi les notions suivantes :
Besoins de l’entreprise : l’entreprise a besoin d’information juste, au bon moment et adressé
à la bonne personne. Cette capacité de l’IT à fournir ce service est ainsi garante d’une valeur
ajoutée. Il existe 7 critères permettant de qualifier les réponses aux besoins de l’entreprise :
efficacité (qualité et pertinence), efficience (rapidité), confidentialité, intégrité, disponibilité,
conformité, fiabilité. On peut ici noter une différence majeure avec les approches de
l’intelligence économique : alors que celle-ci se focalise souvent sur la protection et donc la
confidentialité, Cobit se focalise sur la « bonne » et « juste » circulation de l’information.
Ressources informatiques : la ressource, qui répond aux besoins, est multiple dans Cobit. Elle
comprend : les données, les systèmes applicatifs (traitement), les technologies (bases de
données, réseau…), les installations (infrastructure), les personnels.
Processus de Gestion : le processus de gestion est ici global. Il s’agit des objectifs de contrôle
vis-à-vis de l’organisation, de la mise en œuvre. Le processus de gestion du référentiel est
découpé en 4 domaines, 34 processus et 318 activités. Les 34 processus sont des objectifs
généraux de contrôles tandis que les 318 activités forment des contrôles plus détaillés.
Planification et Organisation => Contrôler que l’entreprise ait mis en place les moyens
nécessaires pour répondre à ses besoins en informations dans le temps
Acquisition et mise en place => Contrôler que la stratégie mise en place dans la phase de
planification soit bien respectée, soit car les écarts sont comblés, soit car les investissements
sont faits
Distribution et Support => Fourniture des « services informationnels » et gestion de la
sécurité. Il s’agit également de fournir le support, de s’assurer de la continuité des activités.
C’est le processus qui présente le plus d’intérêts en matière de sécurité de l’information
même si la dimension demande à être prise en compte avant.
Monitoring : mise en place du contrôle interne et des audits externes.
56
Domaines et Processus de Cobit
Source : AFAI/ Jean-Pierre DELVAUX (cours HEC/MSIT)
Guide de Management : il fournit au manager des outils de mesure permettant d’avoir un
regard critique sur les indicateurs-clés de performance des processus, de mettre en place
des contrôles, de sensibiliser aux risques et de se comparer. On retrouve ainsi les facteurs de
maturité, les facteurs-clés de succès, les indicateurs clés de performance et les indicateurs
clés d’objectifs. A défaut d’avoir une transposition directe, cette forte concentration sur les
indicateurs peut avoir un impact fort en matière de sécurité de l’information. Bien défini, ces
indicateurs peuvent être d’excellents outils des manageurs pour orienter les efforts de
sécurité ou détecter en avance des signaux faibles ou autres.
Objectifs de contrôle : ce thème permet d’avoir une certaine efficacité dans la maitrise de la
mise en place des contrôles. Chaque objectif de contrôle répond à un besoin de vérification
de l’existence et de la validité d’un processus, pour chaque domaine. La description logique
comprend donc : le moyen de contrôle, le besoin associé, un domaine associé et une
ressource. Le besoin peut-être primaire ou secondaire, permettant ainsi une pondération.
On retiendra que l’objectif de contrôle DS5 – Assurer la sécurité des systèmes - pondère la
disponibilité et la fiabilité (qui sont assez proches) comme Secondaire. Au contraire,
l’intégrité et la confidentialité sont notées comme primaire. Cette vision se rapproche d’une
EXEMPLES
DE
SERVICES
LIEES A LA
SECURITE
57
démarche intelligence économique plus que de l’ISO27001, par exemple, pour qui la
disponibilité est un critère souvent déterminant.
Guide de l’Audit : le dernier point important est le guide de l’auditeur qui offre une
méthodologie complète à l’auditeur pour vérifier l’existence et l’efficacité des contrôles.
Plusieurs points offrent un intérêt certain : l’approche globale et la justification du risque. En
effet, l’approche globale vise à donner à l’auditeur une vision compréhensive et générale de
la situation de l’entreprise. Elle se rapproche de l’étude du contexte que l’on retrouve
souvent dans les autres normes. Ici, l’auditeur se focalisera sur les besoins, les risques, les
rôles, la structure de l’organisation…Dans un dernier temps (après, l’évaluation des étapes
de contrôles et le contrôle de la conformité), l’auditeur aura à cœur de « justifier le risque »,
c'est-à-dire de présenter quelles sont les contrôles déficients qui engendre donc un certain
aveuglement permettant ainsi la réalisation de menaces (qui sont présentées) causant des
impacts (mesurés).
c) Le processus DS5
Ce processus est intéressant car il concerne directement les questions de sécurité. Plusieurs
sources concordantes34 affirment que Cobit et ISO27001 peuvent fonctionner ensemble.
Plus encore, si l’ISO27001 formule des besoins de gouvernance, ceux-ci seront largement
comblés par l’utilisation de Cobit. En revanche, l’implémentation du seul processus DS5 ne
couvre pas à lui tout seul, les besoins de sécurité exprimés par ISO27001 qui peuvent
apparaitre dans d’autres processus. L’étude plus approfondie de ce processus est également
éclairant sur la nature même du référentiel.
« Assurer la Sécurité des systèmes » est donc un des 34 processus du référentiel qui
appartient au domaine « Délivrer et supporter ». Celui prévoit 11 objectifs de contrôles en
lien avec la gouvernance et la sécurité :
- Management de la sécurité de la fonction IT
- Plan de sécurité IT
- Gestion des identités
- Gestion des accès
- Test, Surveillance et veille de sécurité
- Définition des incidents de sécurité
- Protection des technologies de sécurité
- Gestion des clés cryptographiques
34 ISACA d’une part. A. Fernandez-Toro dans son ouvrage d’autre part.
58
- Détection, Prévention et Correction des codes malveillants
- Sécurité des réseaux
- Echange de données sensibles
Comme il est d’usage dans Cobit, l’aboutissement du processus et son niveau de maturité
est matérialisé par une échelle de 1 à 6. Un SMSI fonctionnel, apte à être certifié, doit
atteindre un haut niveau, au minimum 4 pour satisfaire les exigences de la norme.
Les niveaux de maturité mesuré pour chaque processus sont : 0/Inexistant, 1/Initialisé,
2/Reproductible, 3/Défini, 4/Géré, 5/ Optimisé. Ils sont mesurés suivant 6 attributs ou
dimensions : Sensibilisation et Communication, Politiques standards et procédures…suivant
une « matrice » :
1 Sensibilisation et
Communication
2 Politiques
standards et
procédures
3 Outils et
automatisation
Compétences
et Expertise
4 Responsabilité
Opérationnelle
et Finale
5 Définition
des
objectifs et
métriques
La description du processus est accompagnée d’une matrice de Rôles et Responsabilités,
éléments qui constituent une des bases de la gouvernance d’entreprise. Le modèle RACI
(Responsible, Accountable, Consulted, Informed) est couramment utilisé.
Enfin, le référentiel propose plusieurs indicateurs permettant de mesurer le niveau de
maturité et l’atteinte des objectifs assignés au processus.
Ex. : Nombre d’incidents avec un impact sur l’activité de l’organisation, nombre de violations
d’accès, pourcentage des utilisateurs non-conformes à la politique des mots de passe,
pourcentage des clés de chiffrement révoqués, nombre d’accès et/ou d’IP non autorisées sur
le réseau…
59
La démarche d’audit selon Cobit présente donc un intérêt certain, notamment dans une
démarche de pilotage par les risques. Elle apporte par ailleurs une forte valeur ajoutée dans
la gestion de la sécurité des SI entendue au sens large. Enfin, dans une démarche plus
globale de sécurité de l’information, elle offre un cadre de réflexion sur le contrôle tout à fait
intéressant.
SYNTHESE DES INDICATEURS
INDICATEURS INTERET
Objectif Etablir une gouvernance du système
d’informations par le contrôle
Méthode générale Approche processus, indicateurs, information,
objectifs de contrôle, modèle de maturité
Périmètre Le périmètre est : DSI de l’entreprise, toute la
fourniture d’information dans l’entreprise
Définition de l’objet prioritaire. Le référentiel focalise sur l’information (et son
corollaire, l’asymétrie d’information)
Méthode d’identification de l’objet à
protéger
N/A
Définition du risque Information subissant une dégradation vis-à-vis
des critères D,I,C
Approche globale Référentiel produisant des moyens de contrôle
d’objectifs remplis par l’IT vis-à-vis de besoins
business
Définition de la menace N/A
Place donnée à la notion de
sensibilisation, formation
Concept de culture de sécurité mais très peu
décrit y compris en termes d’indicateurs de
contrôle et/ou de mesures
60
II- ITIL
ITIL pour Information Technology Infrastructure Librabry est un ensemble de bonnes
pratiques liées à la gestion de service et notamment la production informatique. Elle
comporte un volet sécurité et permet notamment aux gestionnaires d’un système
d’information d’en garantir certaines caractéristiques comme la disponibilité, à travers une
démarche et une politique de service. Il s’agit essentiellement d’une « bibliothèque » ou
d’un ensemble de bonnes pratiques qui tentent d’aider le manager en le plaçant dans une
perspective client et d’un renforcement de la valeur ajoutée. Enfin, l’approche par
« processus » et la recherche d’une excellence dans le service peuvent être des guides dans
la mise en place d’une démarche d’intelligence économique.
ITIL définit ce que peut-être un « bon » service informatique au travers de qualités simples :
Aligné avec les métiers et/ou la stratégie de l’entreprise : le SI propose les
fonctionnalités, les infrastructures…correspondant aux besoins des métiers. Il les
rend plus efficace et ne les alourdit pas.
Correspond aux besoins actuels et futurs : renvoie à des questions de
dimensionnement et de capacités d’évolution
Il est connu des métiers : il apporte le meilleur car les métiers savent ce qu’il est, ce
qu’il fait, ses opportunités
Il est industrialisé : il possède la capacité à s’effectuer sur un large périmètre en
raison de sa normalisation notamment
Enfin, le service est mesuré : il est donc contrôlable et auditable.
Le positionnement de l’informatique devient alors celle d’un prestataire interne, au sein de
l’entreprise, ce qui le pousse à adopter un point de vue client pour l’ensemble des métiers.
Au final, le lien est assez évident avec l’intelligence économique qui propose également un
service en direction d’un ou plusieurs métiers, de la Direction Générale.
L’approche d’ITIL est indéniablement une approche de qualité des services informatiques
délivrés. En cela, son lien avec la sécurité n’est pas direct : la sécurité parait être comprise
comme une condition sine qua non d’une bonne production de service, à un niveau attendu
et défini. En cela, on note une première et lourde différenciation d’une approche de sécurité
de l’information plus simple. Plusieurs praticiens cependant trouvent en ITIL des qualités
importantes pour l’amélioration du niveau de sécurité au sein des organisations et en
promeuvent l’utilisation35.
35 « Sorting the Standards ».
61
Cependant, l’apport premier d’ITIL est notamment de se rapprocher d’une réalité de
production : la sécurité, même non placé au premier plan, est intégrée dans l’environnement
plus large, de la production informatique. En conséquence de quoi, l’approche d’ITIL garantit
une cohérence entre la sécurité et la pratique quotidienne, même améliorée, des services
informatiques.
1. Historique
ITIL est né en Grande Bretagne en 1989. Sa genèse remonte à 1984 quand le gouvernement
britannique ordonna au CCTA, Central Computer & Telecommunications Agency, de rédiger
un « Code des bonnes pratiques » de la production informatique.
En 1988 parait alors le GITIMM pour Government IT Infrastructure Management
Methodology qui est déjà un ensemble de références et de bonnes pratiques. Publiés dans le
domaine public, les fascicules du CCTA deviennent la première version d’ITIL suite à un
investissement relativement important. Il faut garder en mémoire que le pouvoir de la
norme est particulièrement déterminant dans le monde des affaires modernes et qu’en la
matière, la Grande-Bretagne peut s’enorgueillir de plusieurs « fleurons » avec ITIL mais aussi
ISO27001, qui s’inspire très largement d’une autre norme anglaise.
De 1989 à 1993, plusieurs versions sont publiées, enrichissant le référentiel pour aboutir à la
version 2 d’ITIL en 2000. La version de 2000 est celle du succès car c’est à partir de celle-ci
que l’adoption du standard devient générale. C’est essentiellement sur cette version que
nous nous baserons, avec des références aux suivantes, cependant. Il est à noter que la
version de 2000 propose un ensemble de bonnes pratiques dédiées exclusivement au
Management de la Sécurité.
En 2005 intervient ITIL Refresh puis en Juin 2007, ITIL V3 est publiée. La sécurité n’y prend à
priori pas une place aussi clairement désignée que dans les versions précédentes mais
plusieurs éléments y font clairement référence : notamment la « Gestion des Evènements ».
Aujourd’hui, selon l’étude du CIGREF36, ITIL est le référentiel le plus utilisé du marché dans le
domaine de la production mais également sur tous les référentiels susceptibles d’être
utilisés par les services IT de l’entreprise. Une autre étude montre également son caractère
flexible : la majorité des utilisateurs ne l’appliquent pas entièrement mais uniquement pour
certaines structures ou pour une partie donnée du référentiel37. 2% des organisations
seulement déclarent appliquer complètement le référentiel qui n’impose pas cette
complétude.
36 Les référentiels de la DSI : état de l’art, usages et bonnes pratiques
37 ITIL Implementation Trending Up, But Adoption May Slow. Cf. Bibliographie
62
2. ITIL et Gouvernance
La Gouvernance d’entreprise est désormais une obligation contrôlée et imposée à la plupart
des entreprises. Il s’agit d’un ensemble de règles qui établissent les orientations, le système
de contrôle, le processus décisionnel. Elle se met en place sous une pression réglementaire
forte due notamment aux normes de type Bâle 2 et aux lois de types Sarbanes-Oxley38.
Selon l’Institut de la Gouvernance des Systèmes d’Information (CIGREF/AFAI), les 7 piliers de
la gouvernance des SI sont :
- Soutenir les objectifs de l’entreprise en matière de création de valeur
- Accroître la performance des processus du SI
- Accroître leur orientation client
- Maitriser les aspects financiers du SI
- Développer les solutions et compétences correspondant aux futurs besoin de l’entreprise en matière de SI
- Assurer la gestion des risques liés au système d’information
- Développer la transparence
La norme ITIL n’est pas une norme de gouvernance et plusieurs experts s’accordent sur le
fait que la norme actuelle la plus performante et répandu en matière de gouvernance des
systèmes d’informations est bien COBIT. Cependant, ITIL soutient la gouvernance au travers
de deux aspects : réduction des risques opérationnels liés aux systèmes d’informations et
amélioration de la performance.
ITIL traite dans l’aspect sécurité au travers de différents niveaux, en particulier la continuité
de l’activité (réduction des incidents et dysfonctionnements, traitement des évènements…),
et ainsi, diminue l’effet des risques opérationnels. Il y a donc un lien fort même si le niveau
d’application diffère sensiblement entre la Gouvernance des SI et l’excellence de la
production informatique et ce lien est notamment constitué par l’aspect sécurité/gestion
des risques.
3. Approche « PROCESSUS »
L’approche par processus est inextricablement liée à ITIL. Selon l’ouvrage de T.
CHAMFRAULT39, un processus « est un enchainement d’activités réalisées avec des moyens
38 CHAMFRAULT, T. & DURAND, C., « ITIL et la Gestion des Services », DUNOD.
39 Op. Cit.
63
et selon des règles pour générer un produit en sortie destinée à satisfaire les clients ou en
vue d’atteindre un objectif ».
Dans la terminologie « ITIL », un processus comprend des tâches élémentaires, structurées
dans des procédures. Le processus dispose d’un objectif, est contrôlé par un « Propriétaire »
au travers de paramètres de qualité et d’indicateurs de performance. Il est initié par une
entrée et se termine par des éléments de sortie.
Le tryptique « Processus, Contrôle, Indicateurs » est récurrent notamment dans le domaine
de la sécurité de l’information. Il s’intègre notamment dans toute démarche visant à
manager la sécurité de l’information.
Enfin, le processus fait appel à des contributeurs avec des rôles précis, des contributions
correspondant à des ressources. C’est à ce niveau qu’intervient la gestion du processus mais
pas son contrôle.
4. Approche « QUALITE »
ITIL n’est pas une norme de sécurité de l’information à proprement parler. Elle garantit plus
des caractères liés à la sécurité des systèmes d’informations et aux opérations qu’à
proprement parler une sécurité liée à l’information.
Par ailleurs, ITIL est également une démarche de qualité. Cela implique notamment qu’elle
se réfère à un positionnement d’amélioration permanente ainsi qu’à la prévention. D’autres
critères existent mais interviennent moins en matière de sécurité.
La prévention implique notamment une prise en compte des dysfonctionnements et des
incidents le plus tôt possible. Cette démarche a un impact fort en matière de sécurité car elle
atteint directement les notions de continuité, intégrité voire de confidentialité.
Le modèle de la Roue de DEMING, encore appelé PDCA, constitue le cœur de l’amélioration
permanente. PDCA pour « Plan, Do, Check, Act » constitue un cycle d’actions qui
garantissent l’amélioration permanente. Il est intéressant de constater qu’il est érigé en
« mantra » dans les usines de Corée du Sud. Il est par ailleurs repris dans les normes
ISO2700x, témoignant de leur attachement à un modèle de qualité.
L’action « PLAN » correspond à une définition d’objectifs et à une planification des actions à
entreprendre. Elle définit le processus, les indicateurs de performances, les ressources à
allouer…
« DO » réalise les actions, produit les résultats et les indicateurs et fait intervenir les autres
parties prenantes.
L’étape « CHECK » permet de suivre le processus et les indicateurs de performance. Elle
audite le processus, vérifie les écarts et définit les chemins à suivre pour amélioration.
64
La dernière étape prend acte des actions correctives ou préventives et les applique. Elle
définit également de nouveaux et meilleurs indicateurs de performance, fait évoluer la
documentation.
Cette approche qualité est au cœur de la majorité des normes de sécurité aujourd’hui
d’autant que celles-ci font de plus en plus référence au système d’ISO, lui-même fortement
inspiré d’ITIL ou des normes anglaises en général.
5. Périmètre
Le périmètre couvert par ITIL est assez large : il couvre l’ensemble du cycle de vie des
services informatiques comme en témoigne le schéma suivant :
Les processus ITIL sont pour certains, en lien direct, avec une problématique de sécurité.
Notamment dans le cas de la continuité de service ou de la gestion des capacités. En
revanche, selon T. CHAMFRAULT, la gestion de la sécurité reste un processus transverse,
couverte par un ouvrage ITIL mais indépendant des processus décrits ci-dessus. Il s’agit d’un
module indépendant.
Afin d’illustrer l’apport d’ITIL en matière de sécurité, nous nous concentrerons sur certains
processus ITIL en particulier en illustrant leurs apports vis-à-vis de la sécurité. Pour le
domaine « Soutien des Services », les processus « Gestion des Incidents » et « Gestion des
Problèmes » seront les plus intéressants. Pour le domaine, « Fourniture de Services », les
processus « Gestion de la Disponibilité » et « Gestion de la continuité de services » seront les
plus appropriés.
65
Plusieurs experts40 s’accordent à dire que le processus transverse « Gestion de la Sécurité »
se base extensivement sur l’ISO27001. Cette assertion est confirmée par les experts de
SOLUCOM qui affirment que l’ISO20000 qui reprend extensivement ITIL, désigne l’ISO27001
comme la norme pour la gestion de la sécurité. Il est à noter que l’aspect sécurité est un
enrichissement d’ITIL qui n’apporte que peu d’éléments en tant que tel contrairement au
référentiel lui-même qui apportera des éléments très forts à toute démarche de sécurité,
notamment en matière de continuité d’activité41.
En conséquence, on retiendra l’apport de d’ITIL sur l’aspect continuité de service
notamment en donc, en termes de sécurité, au niveau de la disponibilité. M. Fernandez-
Toro, interrogé, affirme qu’il existe de très nombreux ponts entre ISO27001 et ITIL mais que
subsiste une différence fondamentale : ITIL parle d’informatique alors qu’ISO27001 parle
d’informations…
6. Soutien des Services
a) Gestion des Incidents
Le processus de Gestion des Incidents permet de mettre en place une organisation
adéquate, réagir au mieux, le tout afin de respecter le niveau de service décrit. Par ailleurs,
les auteurs42 insistent sur la communication des incidents, y compris aux clients, notion
déterminante alors que le premier réflexe en matière de sécurité de l’information est bien
souvent de dissimuler l’incident lié à la sécurité de l’information.
Un « incident » est : « tout évènement, qui ne fait pas partie des opérations standard,
pouvant provoquer une interruption de service ou altérer sa qualité ».
Tout d’abord, on retiendra que le « Centre de Services » mis en place dans une démarche
ITIL est « propriétaire » de tous les incidents (se produisant donc lors de la phase de
production). Focaliser la gestion des interventions sur une même entité est un gage
d’efficacité. En matière de sécurité de l’information, le partage des tâches entre le RSSI, le
DSI et un Directeur de la Sécurité peut sans doute être préjudiciable pour le traitement
effectif des problématiques liées.
La démarche proposée est également largement transmissible : CRIME ((Caractérisé, Réparé,
Identifié, Mis en Œuvre, Evalué). Il s’agit d’un processus itératif permettant de Caractériser
le motif de la panne et de Réparer rapidement en évitant le problème. Une fois le service
rétabli, on peut alors Identifier la cause, Mettre en œuvre la solution propre à résoudre
40 HSC et Yosecure
41 « ITIL updates to cover Security, Outsourcing ».
42 Op. Cit.
66
définitivement le problème et enfin, Evaluer la qualité de la solution retenue. Chaque
incident est ainsi traité au cas par cas et suivi, notamment par l’émission de ticket qui
permettre d’avoir une traçabilité de l’accident.
En revanche, l’aspect « prédictif » des incidents et la démarche proactive qui en découle ne
sont pas également traduisibles. Si dans une approche « classique » de sécurité, les éléments
de disponibilité et d’intégrité peuvent effectivement faire l’objet de telles mesures, les
atteintes à la « confidentialité » le sont moins. En pratique, il est relativement difficile de
prévoir des attaques informationnelles et les solutions proactives ne sont pas, de la même
manière, candidates à évaluations, tests…
Dans la démarche, l’incident est tout d’abord décrit, le plus précisément possible avec l’ajout
d’éléments de contexte ou d’avancement. Ce type de démarche trouve actuellement un
écho notamment dans les référentiels de types SIEM « Security Information Event
Management ».
Ensuite, l’incident se voit attribuer un caractère de priorité composé de deux indicateurs :
impact et urgence. L’impact est défini par : Bloquant (au-delà de 10 personnes ou VIP),
Bloquant pour une personne, Non-bloquant. L’urgence est définie par : Critique, Forte
Faible. La priorité (1, 2, 3) est déduite d’une matrice à deux axes (Impact, Urgence) et
permet de déterminer le temps de réaction nécessaire : < 1h, < 8h, sous trois jours.
Le niveau de complexité peut induire plusieurs éléments : une incapacité à résoudre
l’incident au premier niveau et le développement de boucles de résolutions. Il est alors
envisageable d’avoir recours à des acteurs de niveau hiérarchique supérieur, qu’il faut alors
connaitre et être capable de joindre. Ce type d’approche n’est pas étranger à toute gestion
de crise, y compris « informationnelle ».
Le traitement de l’incident est suivi par le Centre de Services notamment. En conséquence,
son état évolue dans le temps et se voit notamment caractérisé dans le cadre des
informations de gestion de la description.
En matière de traitement, la sécurité de l’information bénéficie de la dichotomie de la
norme. En effet, le traitement de l’accident implique une action temporaire mais également
une action de plus long-terme qui vise à déterminer la cause première des incidents. Ainsi,
par exemple, la découverte dans les journaux des serveurs d’accès non autorisé implique
une réaction immédiate de patch ou encore de correction…Mais elle implique également
une démarche plus longue qui consiste à étudier pourquoi une telle vulnérabilité existe,
comment elle a été exploitée afin de proposer des démarches réduisant, transférant ou
évitant le risque. Cependant, certains analystes affirmer qu’ITIL, aussi efficace soit-il pour les
activités de l’organisation, peut induire un effet néfaste en maintenant les problèmes et
leurs solutions à des niveaux très opérationnels. Il peut ainsi brouiller la vision à des niveaux
67
de management qui pourrait avoir une vision plus large du problème et déceler ainsi des
causes plus profondes43.
Le cas typique est une activité récurrente de tentatives d’intrusions, efficaces ou non,
pouvant affecter la bonne marche des serveurs. La réaction « ITIL » typique dans ce cas
pourra être très pratique : redémarrer le serveur, reconfigurer un firewall ou encore se
couper momentanément du réseau. La partie « investigation » qui suivra n’aura pas
forcément comme idée de chercher des causes externes de malveillance alors que les
responsables sécurité pourront être au courant que des attaques sont en cours parce que
l’entreprise est visée à ce moment précis. Si ces responsables ne sont pas informés au plus
tôt parce que le Centre de Services gère efficacement la panne et ne communique que peu,
l’entreprise prend, au final, un risque supplémentaire.
Les activités du processus sont ainsi :
- Détecter et enregistrer
- Classer et apporter une première assistance
- Diagnostic
- Résoudre et Rétablir le service
- Clôturer l’incident
- Communiquer, Suivre, Piloter et affecter
ITIL insiste également de façon importante sur la communication entre les acteurs impliqués
dans la gestion des incidents. Les auteurs44 en déduisent qu’il s’agit d’un véritable catalyseur
mais également le point faible des organisations. La sécurité de l’information possède
également une très forte sensibilité à ce type de problématiques d’autant que, les exemples
le montrent, une multitude d’acteurs se voit impliqué, notamment lorsque les attaques
informationnelles sont coordonnées.
La mesure de l’efficacité du processus se fait autour de 4 indicateurs clés de performance
(KPI) correspondant aux 4 facteurs critiques ou clés de succès du processus : Résoudre
rapidement les incidents, Maintenir des services de qualité, Améliorer le business et la
productivité des services et Garantir la satisfaction. En matière de sécurité de l’information,
on pourrait également trouver des indicateurs complémentaires visant les autres aspects
que sont l’intégrité et la confidentialité.
43 “Security standardization in incident management: the ITIL approach”. Cf. Bibliographie
44 Op. Cit.
68
b) Gestion des problèmes
La gestion des problèmes fait le pendant de la gestion des incidents en gérant notamment
les causes premières ayant des implications à court-terme, des incidents, traités dans le
processus précédent. Il est à noter que la norme prévoit et documente les transferts entre
processus. Un processus se caractérisant par un ensemble d’activités s’appliquant sur un
input et se traduisant par un output.
Par définition de la norme, le problème est la cause inconnue d’un incident significatif ou de
plusieurs accidents présentant les mêmes symptômes.
Contrairement au processus précédent qui est synchrone avec l’incident, celui-ci est
asynchrone avec le problème identifié. Un des avantages de ce processus est qu’il engendre
une documentation importante en matière de problèmes et de solutions retenues.
Conserver ainsi une « mémoire » de l’entreprise en matière informatique est un élément
déterminant en matière de sécurité de l’information. Il pourra être ainsi très utile dans
l’établissement du contexte propre à l’entreprise en cas d’analyse de risque sur un projet,
une démarche d’amélioration de la sécurité…
Par ailleurs, il est à noter que la Gestion des Problèmes suit également les activités et étapes
décrit par l’acronyme CRIME. Il faut, en revanche, garder à l’esprit que chaque incident ne
crée par forcément un problème à résoudre (consommant généralement plus de
ressources).
Par la suite, le processus est très proche du précédent. Il diffère néanmoins sur les éléments
quantitatifs d’impact et d’urgence définissant la priorité. L’impact est Majeur (affectation du
business pendant plus de 3 jours cumulés), Significatif (affectation sur plus d’une journée
cumulée), Mineur (inférieur à une journée). L’urgence est Critique (le système génère plus
de 1000 connexions par jours), Forte (entre 100 et 1000) ou Faible (moins de 100
connexions par jour). La priorité (1, 2, 3) est calculée dans une matrice constitué par les axes
« Impact » et « Urgence ».
Les activités du « Processus de gestion » sont :
- Contrôle des problèmes
- Contrôle des erreurs connues
- Gestion proactive
- Communiquer, suivre, piloter et affecter les problèmes.
Les facteurs critiques de succès sont l’amélioration de la qualité de services, minimiser
l’impact des problèmes et en réduire le coût. Différents indicateurs sont proposés par la
norme afin d’en mesurer l’effectivité.
69
La Gestion des problèmes et la Gestion des incidents sont deux processus particulièrement
intéressants dans la norme car il apporte une vision opérationnelle à la dimension
« Disponibilité » de la sécurité de l’information. Bien que traditionnellement informatique, la
disponibilité d’un document de première importance ou d’un service critique pour le
business de l’entreprise constitue à la fois une composant de la sécurité mais également un
angle d’attaque dans le cadre d’attaques informationnelles.
c) Gestion des configurations
La gestion des configurations oblige à identifier les actifs. C’est donc un vrai apport dans une
démarche 27001. Sans entrer plus loin dans les détails, il s’agit notamment de s’assurer que
l’on maitrise tous les composants de l’infrastructure nécessaires à la fourniture de services.
Maitriser une connaissance exhaustive de l’ensemble des éléments composant l’aspect
informatique de l’organisation est essentiel pour déterminer quoi protéger. Cette
connaissance porte sur les matériels, les logiciels, les infrastructures réseaux, l’organisation,
les processus et les hommes qui les utilisent.
Si ITIL établit cette cartographie à des fins de qualité de service, cette action apporte une
assurance supplémentaire en matière de sécurité de l’information et permet d’aller plus vite
dans une démarche de « protection » ou de « sécurisation ».
7. Fourniture des services
a) Gestion de la disponibilité
La gestion de la disponibilité répond en fait au besoin vital que représentent les services
informatiques pour l’activité de l’entreprise. Dans certains cas, par exemple, la banque,
l’indisponibilité des services informatiques engendrent un arrêt de l’activité même de
l’organisation.
Ce processus permet de s’assurer que les services informatiques sont dimensionnés et
structurés en vue de garantir un niveau de service prédéfinis. L’optimisation, notamment en
termes de coûts, entre également dans ses responsabilités. En revanche, il ne s’attarde pas
sur la récupération, notamment après un désastre quelconque, qui relèvera du processus
suivant, la Gestion de la Continuité de service.
L’intérêt de la gestion de la disponibilité est notamment un caractère transversal : le
déroulement du processus va notamment dépendre du niveau de complexité des systèmes
d’informations, de la capacité du support, des fournisseurs et des procédures. Elle procède
donc d’éléments tant techniques qu’organisationnels ou humains.
En termes de sécurité de l’information, elle va garantir notamment la bonne marche et la
disponibilité des informations et des systèmes permettant ainsi à l’entreprise de conserver
un mode de travail nominal. Par ailleurs, l’avantage de la norme est notamment de définir
70
communément un niveau de service. Celui-ci va être au cœur de la gestion de la disponibilité
et permettra, même en mode dégradé, de conserver la satisfaction des utilisateurs et de
permettre la bonne marche de l’organisation.
Cet élément de gestion apporte un autre intérêt en termes de sécurité de l’information : elle
va permettre d’identifier, et dans une certaine mesure de quantifier, le niveau de support
apporté par l’informatique aux métiers. C’est donc une perspective opérationnelle, métiers
des plus importantes d’autant qu’à l’instar des autres activités ITIL, elle considère un unique
point d’entrée pour l’informatique.
En termes pratiques, la Gestion de la Disponibilité va avoir un effet de gestion de la fiabilité,
c'est-à-dire, sa capacité à ne pas s’écarter d’un niveau de service requis. Une définition
proposée est également « son indépendance vis-à-vis des dysfonctionnements
opérationnels ». Elle va également tenir compte et gérer la résilience et la redondance des
services informatiques. Sa capacité à revenir ou à rester dans un état nominal, opérationnel
sera calculée suivant 7 axes : anticipation des pannes, détection des pannes, diagnostic des
pannes, résolution, redémarrage après panne, restauration des données et des services,
niveau de maintenance préventive.
La gestion de la disponibilité est composée de 2 processus et de plusieurs activités :
Planification de la disponibilité : analyser les exigences métiers de disponibilité,
Concevoir les niveaux de disponibilité à fournir, Concevoir les reprises et
recouvrements, Contribuer aux politiques de sécurité des TI, Veille technologique…
Amélioration de la disponibilité : Collecter les données opérationnelles, vérifier les
niveaux de service…
ITIL fournit par ailleurs des exemples utiles de calculs d’opportunité de la disponibilité qui
prennent en compte des impacts financiers, d’images, des coûts tangibles et intangibles.
Cette gestion apporte donc de nombreux apports en termes de sécurité de l’information
directement ou indirectement. Elle se situe dans une logique à long-terme de préservation
de la capacité. Au contraire, le processus suivant gère la surprise et la capacité à continuer
en cas de « crise » ou de fonctionnement anormal.
b) Gestion de la Continuité
La Gestion de la Continuité intervient lors d’une interruption importante et non prévue des
activités : elle fait le pendant à l’activité précédente. Son but est de fournir une « énergie »
ou un « service » informatique pour soutenir les activités critiques de l’organisation. Elle doit
également être préparée à fournir les solutions assurant la survie de l’entreprise en cas de
« crises ». Ainsi, ITIL, dans la phase de déclenchement des plans, fait intervenir diverses
procédures qui doivent avoir été correctement préparé : prévenir le Comité de Crise,
71
collecter les informations, moyens et autorités de communication, équipes à prévenir,
systèmes d’alertes, de rotation ou autre…
Elle permet ainsi la rédaction et la mise en place du plan d’urgence et des mesures liées à la
continuité des métiers de l’entreprise ainsi que de l’informatique. L’intérêt de cette norme
est d’inciter l’entreprise à avoir une vision rationnelle de ses activités en définissant les
processus critiques qui lui permettent d’exister : c’est l’analyse des processus métiers
critiques.
La Gestion de la Continuité se rapproche par ailleurs beaucoup des pratiques liées à la SSI :
elle requiert la définition d’une politique, l’allocation des ressources et la mise en place
d’une structure avec des processus bien définis et des moyens de contrôle. Par ailleurs, elle
est basée sur la conduite d’analyse de risque Métiers en termes financiers, de réputation…et
des mesures associées. A cet égard, elle fonctionne comme une analyse de risque : analyse
et évaluation, étude des mesures existantes, choix de traitement des risques et acceptation
des risques résiduels. Le vocabulaire est également classique en la matière : actifs à
protéger, menaces, vulnérabilités, le tout engendrant des risques auxquels on pallie par des
contre-mesures. En revanche, si ITIL fournit un cadre générique, la norme ne donne pas
forcément des éléments plus précis. L’utilisation d’EBIOS ou de MEHARI ou encore ISO27005
n’est pas contre-indiquée considérant la souplesse de ces normes et méthodes.
La gestion de la continuité des services s’insère ainsi dans la Gestion de la Continuité
Business de l’entreprise mais elle se focalise, bien évidemment, sur la notion d’information
ou plus exactement, de services informatiques. Elle se construit également en lien fort avec
la Gestion de la Sécurité et selon certaines sources, ce processus est souvent confié aux
responsables de la sécurité de l’information. Elle prévoit ainsi une série de plan au niveau
stratégique : Réaction d’urgence, évaluation des dommages, Documents vitaux, gestion de
crise et relations publiques et de niveau plus technique, fonctionnel ou métiers. Cet
ensemble permet alors de développer le plan de continuité propre à la DSI qui fonde la
gestion de la continuité.
Enfin, ITIL rappelle notamment l’importance des tests initiaux nécessaires pour évaluer
l’efficacité de ces plans. Elle rappelle également que les plans peuvent devenir rapidement
caducs et doivent ainsi être repris fréquemment : c’est la logique du schéma PDCA.
Peu connu des responsables sécurité en tant que tel, parfois en dehors du scope du RSSI, ITIL
est un outil assez efficace pour gérer l’efficacité des services informatiques. Il existe de
nombreux retours positifs dans des domaines aussi variés que la banque, l’industrie lourde,
l’industrie chimique, la distribution…Mais l’important reste la flexibilité de cette « bible » de
bonnes pratiques et son adoption progressive. Ainsi en témoignent les 10 règles proposées
par un analyste45 : Commencer « petit », Etudier l’existant afin de mesurer les plus gros
45 « ITIL catches on ». Cf. Bibliographie
72
problèmes et l’avancement, Commencer par la partie « Gestion des Incidents » car c’est le
plus visible, Etre flexible et pas une police du processus, Trouver les bons outils
informatiques pour gérer les services, Avoir un fort support, Pouvoir s’inscrire dans la durée.
SYNTHESE DES INDICATEURS
INDICATEURS INTERET
Objectif Bonnes pratiques pour la gestion des services
informatiques
Méthode générale Définition de processus et de bonnes pratiques
améliorant la qualité et l’efficacité au niveau de
la « production » des services IT.
Périmètre Initialement : Services informatiques.
Plus récemment : tout « service » au sein d’une
organisation
Définition de l’objet à protéger. Service, Satisfaction, Processus
Méthode d’identification de l’objet à
protéger
Identification des « services » rendus par la
fonction informatique au sein des
organisations : supply-chain, bureautique, GRC…
Définition du risque Pas de définition formelle. Tout élément
affectant potentiellement le niveau de service
requis : incident, problème, changement...
Approche globale Processus, Qualité, Amélioration Continue,
Service
Définition de la menace Non-traitée
Place donnée à la notion de
sensibilisation, formation
Place importante notamment sur l’évolution de
la communication, la place du service IT ou
encore le changement de culture
73
III- INTELLIGENCE ECONOMIQUE & STRATEGIQUE
1. Positionnement de l’Intelligence Economique et Stratégique
L’intelligence économique est une discipline relativement récente. Cependant, ce n’est que
la théorisation à des fins d’éducation et d’industrialisation de pratiques bien plus anciennes,
courantes et souvent nécessaires pour l’entreprise. L’Intelligence Economique (IE) est une
démarche qui met l’information au cœur de ses préoccupations, c’est une démarche qui vise
à maitriser l’information stratégique en procurant l’information utile au bon moment et au
bon endroit. C’est une démarche par ailleurs qui se veut réellement globale : dans le sens où
les grandes entreprises peuvent réagir plus vite à l’environnement international, cette
démarche vise très fortement les PME-PMI. Reconnues pour leur importances, ces
entreprises n’ont pas forcément conscience de leurs vulnérabilités ni de leurs richesses. En
conséquence, il parait nécessaire des les sensibiliser et de les former plus avant dans le
domaine. C’est notamment le sens des propos de l’OCDIE 4 rédigé par E. DELBEQUE,
directeur de l’IERSE.
Synthétiser les différents référentiels, bonnes pratiques publiés dans le domaine de
l’intelligence économique, de la sécurité économique fait apparaitre une évolution profonde
de la pratique. En conséquence, nous nous efforcerons de conserver un développement
itératif qui montre cette évolution afin de mettre en exergue le positionnement de l’IES vis-
à-vis de la sécurité de l’information.
Selon le SGDN qui a publié, sous la présidence du Haut-Responsable à l’Intelligence
Economique, M. A. JUILLET, un ensemble d’éléments définissant la pratiques de l’IE, cette
discipline ou pratique comporte 5 pôles :
1) Environnement et Compétitivité
2) Intelligence Economique et organisations
3) Management de l’information et des connaissances
4) Protection et défense du patrimoine informationnel et des connaissances
5) Influence et contre-influence
Pour compléter cette définition, on peut également citer celle du Rapport Martre de 1994 :
« L’intelligence économique peut être définie comme l’ensemble des actions coordonnées
de recherche, de traitement et de distribution en vue de son exploitation, de l’information
utile aux acteurs économiques, obtenue légalement dans les meilleures conditions de
qualité, de délais et de coût ». Cette définition omet cependant l’aspect « Protection » qui y
sera adjoint plus tard. Cette omission parait lourde de sens en ce que l’IES n’est pas,
initialement, un concept lié à la protection de l’information mais uniquement un outil
74
nécessaire avec l’évolution de la notion vers un concept de maîtrise de l’information. Cela
est également vrai dans le rapport du CIGREF de 2003 qui joint la nécessaire protection de
l’information, absente de la définition première.
Par ailleurs, les documents du SGND définissent les différentes composantes de la sécurité
de l’information :
- La donnée brute
- L’information : la donnée conceptualisée et interprétée
- La connaissance : l’information assimilée par l’humain
- Le savoir-faire : la mise en pratique de la connaissance.
Source : CIGREF
Une telle disposition peut d’ores et déjà permettre d’émettre plusieurs remarques. En effet,
les 3 éléments que sont l’Intelligence économique et les organisations, le management de
l’information et des connaissances et la protection du patrimoine informationnel se
rapprochent intuitivement des travaux menés et de certains des objectifs donnés à la
Direction des Systèmes d’Informations. D’autant que la tendance en la matière, pour les
grandes entreprises, est d’aller vers une notion de Direction des Services d’Informations. Le
CIGREF, dans plusieurs rapports, met en avant le rôle et la place privilégiée occupés par le
Systèmes d’Informations dans une démarche d’Intelligence Economique46. Par ailleurs, en-
dehors de toute évolution conceptuelle, l’informatique joue un rôle prépondérant à tous les
niveaux des axes cités. Nous nous concentrerons sur l’aspect « Protection » et sa description
dans les bonnes pratiques de l’Intelligence Economique.
L’étude menée par l’IHEDN47 montre que le DSI est de plus en plus impliqué dans les
questions liées à l’Intelligence Economique et Stratégique. Plus encore, le responsable de
46 Intelligence Economique et Stratégique – Les systèmes d’information au cœur de la démarche
47 Bournois, F. & Romani, P-J., « L’intelligence économique et stratégique dans les entreprises françaises »,
IHEDN, Economica.
75
l’IES est impliqué dans 61% des cas dans la définition de la politique de sécurité des systèmes
d’informations, alors même que ladite politique est du ressort de la DSI. Cependant, une
évolution notable intervient avec la transformation du RSSI en Directeur de la Sécurité de
l’Information et on peut donc imaginer une fusion de certaines pratiques. Il est à noter que
si, dans la majorité des cas, IES et SSI sont gérées séparément, les domaines tendent à
fusionner lorsque l’entreprise fait partie des 3 leaders du marché ou encore que l’entreprise
a pu subir des attaques.
L’approche de l’Intelligence Economique est notamment de considérer la notion d’attaques
ou d’actions offensives utilisant l’information. Une des typologies existantes48 prend ainsi le
parti de décrire les attaques comme suit :
« POUR » l’information : veille, investigation, pratiques douteuses, vol…
« PAR » l’information : subversion, rumeurs, mensonges, atteintes à la réputation
« CONTRE » l’information : perturber les réseaux de communication, empêcher la libre
circulation de l’information nécessaire.
Son corollaire, les risques informationnels sont, selon l’OCDIE 4 : les groupes de pressions,
les attaques sur l’image ou la notoriété, la désinformation, l’intelligence économique plus
offensive, la désinformation, la divulgation d’informations sensibles, la perte et le vol
d’informations vitales, les rumeurs, la communication non maitrisée.
Or, l’évolution notoire de la cybercriminalité vers une forme de mercenariat offre désormais
pléthore d’outils et de possibilités. Plus encore, les outils, tout à fait neutre, proposés par
des chercheurs et librement disponibles sur Internet, permettent souvent d’obtenir des
informations très intéressantes sur l’entreprise. Cela est également dû en partie au manque
de formation des collaborateurs qui laissent parfois échapper trop de données. L’IE apporte
aussi une notion de perte d’information par le « bavardage » électronique, l’utilisation
extensive des nouveaux moyens de communication et la prise de conscience, désormais
partagée, de la dimension majoritaire de la faille interne.
Ainsi, l’IES apporte une vision très pratique et en prise directe avec la réalité des attaques
utilisant des biais informatiques. Elle apporte également une vision précise des failles
humaines. C’est donc une composante indéniable de toute démarche de sécurité de
l’information. En témoigne ainsi les exemples choisis dans le document du CIGREF de 2003
qui, en introduction du chapitre dédié à la protection de l’information, exemples
uniquement basés sur des failles humaines sans lien direct avec l’informatique.
En revanche, l’IE permet de prendre conscience de la dimension des attaques
informationnelles, parfois décrites comme l’IE offensive. Ainsi, les exemples dits d’Infoguerre
48 Op. Cit.
76
sont de véritables opérations de déstabilisation des entreprises qui comprennent bien
souvent des éléments atteignant directement le système d’informations. On retiendra la
définition de P. LOINTIER et P. ROSE49 : « L’infoguerre peut se définir comme l’ensemble des
actions mises en œuvre pour affecter les informations et les fonctions informationnelles d’un
concurrent dans le but de dégrader son système de décision. Elle concerne toutes les activités
qui pourront apporter une domination informationnelle ».
Dans ses « Outils Communs de Diffusion de l’Intelligence Economique », le Haut-
Responsable de l’Intelligence Economique, alors placé sous la tutelle du SGDN reprend cette
thématique d’attaques informationnelles et met en exergue la prise en compte de ces
questions dans les autres pays. Rédigé par différents auteurs, le premier des OCDIE, rédigé
par Nicolas MOINET, établit ainsi un parallèle entre les systèmes de renseignement
américain et leur activisme en matière économique. De même, au Japon, la culture du
renseignement est considéré comme noble, au contraire de la France et cette pratique a pu
avoir des effets en France ainsi que le montre un exemple, dans la région Poitou-Charentes
ayant suscité une intervention de la DST. On pense également aux problèmes rencontrés par
un exploitant minier des informations de valeurs à de faux investisseurs chinois.
Par ailleurs, le concept même de « Protection » du patrimoine informationnel ne coïncide
pas tout à fait avec le périmètre même de sécurité des systèmes d’informations. En effet, ce
dernier recouvre un domaine plus large car il implique des éléments de continuité et
49 Guichardaz P., Lointier P. et Rosé P., L’Infoguerre, stratégie de contre intelligence pour les entreprises, Dunod,
1999
77
d’intégrité alors que l’IE parait se focaliser sur des notions de confidentialité et de protection
des documents rendus confidentiels.
2. Apports de l’IES
a) Valorisation et identification de l’information-clé
En revanche, si la SSI apporte une vision élargie à la protection de l’information, elle ne
permet pas forcément d’établir une gradation quant à la valeur de l’information. Les travaux
liés à l’IE ont, au contraire, fourni des méthodes de calcul de la valeur de l’information50.
Toute démarche d’IE démarre par une évaluation de l’information stratégique
Un autre rapport51 du CIGREF délivre une vision du périmètre de protection de l’information
en s’attardant sur la protection de l’information sensible pour l’entreprise. Ainsi, celle-ci gère
des informations appartenant à des tiers, ses propres informations mais délègue aussi des
informations à des tiers. Cette vision innovante permet de placer l’entreprise dans son
environnement immédiat, relativement complexe, mais permet une synthèse qui permet
d’envisager des suites opérationnelles.
Le rapport de 2003 du CIGREF met en avant les menaces du Patrimoine Informationnel et en
distingue notamment deux : accidentelles ou intentionnelles. Ce type d’approche, bien que
proche de la réalité, ne présente pas la même maturité que les approches par la gestion de
risque ou la qualité de service des normes de la SSI, de la production informatique… De
mêmes, les bonnes pratiques relevées (méfiance, sensibilisation…) ne présentent pas le
même niveau d’aboutissement que, par exemple, l’ISO27002.
On trouve également une thématique de grand intérêt dans différents travaux menés sur
l’Intelligence Economique. En effet, la notion de signaux faibles, que l’on retrouve également
dans la pratique de la criminologie, est reprise dans les OCDIE 2 du SGDN. La détection,
l’anticipation et l’analyse des signaux dits faibles peuvent permettre de voir venir une
attaque informationnelle. En matière de sécurité de l’information, cette approche reste
50 Martinet Bruno et Marti Yves-Michel, L’intelligence économique, comment donner de la valeur
concurrentielle à l’entreprise, Éditions d’Organisation, 2001
51 CIGREF – 2008 – Protection de l’information, Enjeux, gouvernance et bonnes pratiques
78
originale. Un signal faible est selon l’OCDIE 3, « une information de faible résonnance
annonciatrice d’un évènement ».
Cependant, l’IE accorde une place importante à la notion de sécurité et selon le CIGREF, « la
mise en place d’une démarche d’IES passe obligatoirement par une analyse rigoureuse sur la
sécurité des systèmes d’information ». Le même rapport place également le DSI et son
service comme, à la fois le coordinateur privilégié de la démarche d’IES, mais également
comme l’acteur le mieux placé pour protéger le patrimoine informationnel. Le rapport du
CIGREF de 200552 donne également un rôle prépondérant au DSI en le chargeant d’identifier
les menaces, de détecter les attaques et gérer les produits de sécurité. Son rôle est
également déterminant en matière de gestion de crise et de formation des utilisateurs.
a) Gestion de crise
Parmi les pratiques de plus en plus associées à l’Intelligence Economique, se trouve la
gestion de crise. De plus en plus de cabinet associent les pratiques considérant que la
gestion des « crises informationnelles », qui suivent logiquement les attaques
informationnelles doivent être gérées par les manageurs de l’information stratégique.
Dans une pratique commune avec ITIL, le rapport insiste sur la notion de communication
comme étant le meilleur moyen d’amoindrir les dégâts causés par la crise. Une « bonne »
communication ne résout pas le problème ou l’incident pas plus qu’il ne détermine la cause
de la crise, mais en amoindrit largement les effets.
3. La sécurité de l’information pour l’IES
b) Classification et confidentialité
Comprise comme une des activités de l’IES, la protection des informations se focalise sur le
maintien d’un niveau de confidentialité de l’information. Cette position répond notamment
à une réponse aux éléments offensifs que la discipline a depuis longtemps enregistrés et
documentés. Cette vision est particulièrement claire dans la définition donnée par un
rapport du CIGREF publié en 200553 ainsi que dans celui de 2008 qui affirme que si « les
entreprises ont des téraoctets de données *…+ seulement 1% des informations sont à
protéger ».
Trois types d’informations sont à protéger :
1- Stratégiques et concurrentielles
52 L’intelligence économique appliquée à la direction des systèmes d’information
53 L’intelligence économique appliquée à la direction des systèmes d’information.
79
2- Personnelles : celles qui concernent les salariés. Le rapport se limite uniquement à ceux de la DSI mais en réalité, le risque existe pour l’ensemble des employés. C’est d’ailleurs une obligation légale engendrant un risque juridique pour le chef d’entreprise.
3- Les savoir-faire, spécification techniques, produits industriels… : cette approche est intéressante car au-delà des documents, la protection du savoir-faire requiert aussi une considération à l’humain, une gestion des risques pour éviter qu’une unique personne ressource détienne une compétence-clé et en préparer sa transmission.
Lors d’un entretien avec un responsable sécurité, celui-ci a insisté sur la notion de
compétence-clé et des effets négatifs liés en particulier dans le cas de la fonction
d’administrateur système qui possède une capacité de nuisance formidable si sa
« succession » n’est pas préparée avec soin : « astuces » non transmises, mot de passe non
modifiés avec des accès très privilégiés…
Le rapport propose d’ailleurs un système de classification : Stratégique, Critique, Interne,
Métier et Publique. On retiendra que selon le rapport « Tout n’est pas protégeable et tout
n’est pas à protéger ».
Source : CIGREF
La mise en place d’un système de confidentialité, avec des degrés divers, et la rédaction de
règles de communication et d’utilisation sont alors prescrits. On retiendra que le rapport
désigne le RSSI comme une personne-ressource pour mettre en place les éléments
techniques nécessaires.
Le rapport de 2008 du CIGREF propose un autre système de classification, conçu dans les
années 90, s’inspirant des pratiques industrielles, du monde de la défense. Ce système a été
modifié notamment pour une entreprise qui livre ainsi un retour d’expérience repris dans le
rapport. Les informations sont classées par : Niveau A – Stratégique, Niveau B – Critique,
Niveau C – Sensible.
80
Les documents du SGDN54 proposent par ailleurs la tenue d’un audit d’intelligence
économique. Celui-ci, très large, comprend tant les aspects de management de
l’information stratégique que ceux reliés à la sécurité. Les DSI, RSSI, informaticiens sont
parmi les personnes à interviewer. Les éléments liés aux réseaux, à la sécurité, à
l’intelligence des risques…doivent être pris en compte. Cependant, cette démarche n’est pas
aussi structurée que d’autres démarches d’audit (ISO27001, Cobit) mais rien ne s’oppose à
l’utilisation concomitante de ces méthodes.
c) Divers processus
Le rapport du CIGREF de 2005 détaille un certain nombre de processus éclairant le
positionnement de l’IE en matière de sécurité de l’information. En particulier, 3 sont liés à la
sécurité de l’information :
- Stockage - Protection - Formation
On notera tout d’abord que détacher la protection du stockage est incohérent vis-à-vis des
pratiques de sécurité des systèmes d’informations. On retrouve cette dichotomie dans les
documents du SGDN. En effet, assurer la disponibilité de l’information est aussi important
que d’en assurer, éventuellement, la confidentialité. L’un comme l’autre peuvent avoir des
effets radicaux et négatifs sur la continuité du business. Par ailleurs, le stockage (à court ou
long terme) peut nécessiter un chiffrement, or, l’outil parait réservé à la protection. Ensuite,
la présence du RSSI au niveau des deux premiers processus est intéressante mais sa
présence en matière de formation des personnels pourrait également être considérée.
Source : CIGREF
En matière de protection, l’approche retenue est celle du management du risque : le
référentiel faisant appel notamment à MEHARI, norme d’analyse des risques développée par
le CLUSIF. Par ailleurs, le processus fait appel à des activités physiques (armoire forte, anti-
feu…), humaines ou organisationnelles (charte, dimensionnement des contrats, et mise en
place d’un système de classification des informations. Le document propose également
54 OCDIE 2
81
quelques propositions pratiques : vérification des informations sur les slides de conférence,
marquage des documents…
4. Protection du Patrimoine Informationnel : une notion étendue
Le rapport de 2007 du CIGREF, « Protection du Patrimoine Informationnel » propose une
vision en 3 parties de la sécurité de l’information : Sécurité Technique, Juridique (à noter que
le risque juridique est en plein développement pour les praticiens de la sécurité de
l’information, et l’Assurance. Cette évolution de la pratique de la sécurité des systèmes
d’informations qui connait désormais un risque juridique croissant est également mis en
exergue dans le rapport de 2008 du CIGREF sur la gouvernance de la protection de
l’information55 et dans les OCIDE du SGND. Ces derniers insistent par ailleurs sur la
contextualisation des attaques et la mise en relation nécessaire avec les services de l’Etat
dans ce dernier cas.
Par ailleurs, en évolution avec la pratique précédent, le développement de ce référentiel
inclus le domaine de la sécurité des systèmes d’informations sous l’appellation « Sécurité
Technique ». A ce titre, il se réfère aux normes de sécurité de type ISO27001 ainsi qu’aux
critères communs de sécurité : Disponibilité, Intégrité, Confidentialité, Traçabilité (qui n’est
pas toujours présents dans les normes). Cependant, il est à noter que le document ajoute
des critères de sécurité secondaire : « Identification, Authentification et Pérennité ». Le
SGDN intègre l’audit DICP dans la « boite à outils » de la démarche de sécurisation de
l’information.
Un autre document apporte des éléments de définition de la composition du « Patrimoine
informationnel ». Dans l’OCDIE 4, le SGDN propose une typologie générique des risques
informationnels que l’on pourrait inclure. Il ajoute une typologie des « Risques
informatiques » qui sont : sécurisation insuffisante des SI, défaillance des équipements
informatiques, non-respect des habilitations, utilisations de logiciels contrefaits,
perte/dégradation ou piratage, divulgation d’informations sensibles, attaques virales, pertes
d’informations vitales, intrusion informatique, atteinte à la notoriété/image, espionnage
économique, groupe de pression ».
55 Op. Cit.
82
Source : CIGREF
Considérant que les 3 critères premiers empruntent largement à la notion de sécurité des
systèmes d’informations et aux normes afférentes, il parait plus logique de se concentrer sur
les aspects suivants puis les domaines juridiques et assurance. En ce qui concerne les autres
critères, la notion de protection du patrimoine informationnel fait appel aux différentes
techniques existantes en assurant le respect. Le mérite du document est notamment de
mettre en exergue des éléments particulièrement importants de la gestion technique de la
sécurité de l’information. Ces éléments, abordés par ailleurs dans d’autres normes, revêtent
un aspect primordial par rapport à la pratique des attaques informationnelles, c’est
pourquoi ce livre blanc leur donne une telle prépondérance.
Ainsi, à titre d’exemple, la traçabilité est un outil de l’intégrité. Mais elle prend une
importance particulière car la notion de protection du patrimoine informationnel s’élargit
vers une question de protection de l’activité de l’entreprise. En conséquence, la capacité à
suivre l’historique des données peut emporter un impact juridique et avoir une forte
influence sur la capacité de l’entreprise à poursuivre son activité. Dans le cas de la Pérennité,
ce critère prend une place importante car la capacité à disposer facilement de documents
importants, notamment juridiques, peut avoir un impact similaire à l’exemple précédent.
L’approche juridique permet notamment de donner un contenu, une valeur et une définition
à l’information. Elle permet aussi à l’entreprise d’avoir une approche plus large, parfois
proactive, vis-à-vis de son patrimoine informationnel. La seule sécurité de l’information
pouvant parfois avoir une vision plus réduite. Ainsi, tant le patrimoine que l’information ont
une définition juridique dans les textes et l’on pourrait alors définir celui-ci comme
« l’ensemble des données protégées ou non, valorisables ou historiques d’une personne
83
physique ou morale »56. Elle apporte également un élément supplémentaire : l’intégrité de
l’information ne se mesure plus uniquement à l’intégrité informatique par exemple (l’égalité
d’un hash) mais également à la préservation d’un sens, notamment juridique. Elle met enfin
en avant, la persistance des risques juridiques induits par les systèmes d’informations, le
régime de responsabilité des chefs d’entreprise…
Cette approche juridique a des conséquences pratiques : elle permet de prendre conscience
de la nécessité de la mise en place d’une PSSI, d’une charte d’utilisation des moyens
informatiques opposables ainsi que l’inclusion dans les contrats de travails, contrats avec les
tiers, fournisseurs, conventions de stages, règlements intérieurs d’éléments faisant
référence à la sécurité. C’est toute la vie juridique de l’entreprise qui prend ainsi une
nouvelle dimension, notamment car les éléments d’information de l’entreprise sont ainsi
juridiquement protégés, ce qui permet d’engager des actions dans certains cas.
Le rapport de 2008 sur la gouvernance de la protection de l’information permet ainsi de
préciser les apports juridiques. La rédaction de la charte, la mise en place de clauses d’audit
avec les fournisseurs et prestataires, la rédaction des contrats de travail et la formation
doivent faire intervenir conjointement DRH et Direction Juridique.
En revanche, si l’approche par les risques semble être au cœur de la démarche, la notion de
risque est tout à fait différente. Il s’agit ici de « Menaces », « Vulnérabilités », « Sensibilité ».
Le DSI et/ou le RSSI prend à nouveau toute sa place dans la démarche : il est cœur d’une
démarche efficace visant à protéger le patrimoine informationnel.
5. Vers une forme de gouvernance de la sécurité de l’information ?
Le rapport de 200857 insiste sur la notion de mise en place d’une gouvernance de la sécurité
de l’information afin d’en garantir une efficacité optimale. Cette démarche doit s’appuyer
sur un engagement fort, de longue durée de la part des sponsors que peuvent être les
membres de la direction. Elle doit s’appuyer sur une analyse de risque qui engendre des
besoins en mesures de sécurité (cette approche est celle de l’ISO27001). Par ailleurs, le
document affirme que la référence à des normes de types ISO27002 est particulièrement
utile dans une telle démarche.
L’ensemble de la démarche d’Intelligence Economique vise à développer un management de
l’information stratégique qui soit transverse et irrigue l’ensemble de l’entreprise. Cette
évolution, qui place le DSI au cœur de ces problématiques, est en adéquation avec les
directions prises par les normes de qualité et de production informatique, comme ITIL, qui
opte pour une démarche de qualité de service orientée vers le « client ». Cette approche
56 Rapport du CIGREF – 2007 – Protection du patrimoine informationnel.
57 Op. Cit.
84
tend à faire de la DSI un fournisseur « d’énergie informationnelle » et à en garantir le
fonctionnement. Dans cette vision, la protection de l’information requiert donc une
démarche globale car elle atteint toute l’entreprise. La démarche de gouvernance est par
ailleurs justifiée par l’importance de l’information et de la connaissance au sein des
entreprises modernes et par son corollaire, les attaques informationnelles. Elle justifie donc
une évolution horizontale (vers plus de transversalité) mais également verticale (avec un
support de la direction). La transversalité se manifeste alors par l’existence de
coordinateurs-métiers de Protection de l’information et l’appropriation, par les métiers, de
leurs informations à forte valeur. Cette organisation va de pair avec un échelon central
garant de la Sécurité des Systèmes d’information et d’un échelon technique autour de la
fonction IT.
Cette démarche de sécurisation de l’information est donc un aboutissement de la notion de
management de l’information stratégique.
4. Vers la sécurité économique
a) Contexte
La notion de sécurité économique est plus récente : elle tente de montrer comment
l’entreprise, « forcée » à communiquer, en devient plus vulnérable. Ainsi, l’AFNOR, dans un
exercice sur la sécurité économique et juridique, affirme que : « Toute organisation
(entreprise quelque soit sa taille, administration, association,…) est potentiellement
menacée par des actions susceptibles de mettre en péril la qualité de la confiance
concernant les informations sensibles qu’elle détient. »
L’obligation est faite à l’entreprise de dévoiler des informations à ses salariés (pour leur
travail), des fournisseurs ou prestataires (pour l’accomplissement de la mission qui leur est
confiée), à des personnels externes (les auditeurs)…Ces informations, parfois sensibles,
représentent une masse de données qu’il devient difficile de contrôler. La confiance devient
un élément primordial.
On note ainsi que le document fait référence en matière de protection de l’information (on
parle de « protection adaptée ») aux critères de sécurité communs, CID. Comme on le verra,
la protection de l’information tend à faire référence à la préservation du caractère
confidentiel tandis que la sécurité de l’information est plus large et emporte des enjeux de
risque opérationnels plus importants.
Selon l’AFNOR, le but de la sécurité économique est alors de mettre en place les moyens
d’assurer une qualité de confiance suffisante pour la préservation des intérêts de
l’entreprise. Les menaces étant alors entendues dans un sens assez large mais prenant
largement en compte le caractère humain et souvent, agressif et malveillant.
85
Le référentiel de l’AFNOR apporte cependant un élément relativement nouveau : le
pragmatisme comme critère incontournable. La sécurité de l’information emporte certaines
contraintes qui pèsent parfois lourdement dans le processus métier quotidien : cette
question a été plusieurs fois évoquée dans les entretiens menés. Même dans des enceintes
où la sécurité de l’information peut prendre une importance plus grande, les contraintes
liées aux mesures de sécurité de l’information sont parfois impossibles à tenir.
Il en résulte une question de processus mal faits ou mal respectés qui impactent directement
à la fois la capacité de l’organisation à accomplir ses tâches mais également son niveau de
sécurité. Ainsi, le document parle de mesures « applicables, ergonomiques et
incontournables ».
Parmi celles-ci, on retiendra le fait que chacun doit pouvoir connaitre le niveau de
confidentialité ou l’importance du document qu’il détient. Le document propose ainsi une
approche en 4 niveaux : Secret, Confidentiel, Diffusion Contrôlée et Libre calculé en fonction
du préjudice qu’une diffusion incontrôlée peut causer et des risques pris par l’entreprise à
diffuser cette information.
Il existe plusieurs écoles en matière de confidentialité comme l’a montré les entretiens. On
peut ainsi développer un système précis (mentions, niveaux, règles) qui présente l’avantage
de responsabiliser directement le détenteur, momentané ou durable, de l’information. Il
astreint en revanche à une discipline plus forte car un document à très forte valeur ajoutée
devient directement repérable en cas de pertes ou d’erreurs de manipulation. Ex. : un
document « Secret » ou « Très-secret » avec la mention portée de manière visible est
directement repérable au milieu d’une foule d’informations. La seconde approche consiste à
sensibiliser les différentes catégories de personnels à la valeur et aux risques présentés par
l’information qu’ils manipulent. Ex. : l’information financière pour le contrôle de gestion,
l’information personnelle pour les RH…
Mais les mesures doivent également prendre en compte les critères plus traditionnels de la
sécurité de l’information : Disponibilité, Intégrité, Confidentialité même s’ils ne sont traités
que partiellement. En revanche, on constate à nouveau que la norme n’aborde que très
partiellement les conditions techniques de réalisation nécessaires à l’atteinte d’un niveau
donné de sécurité. Il y a une forme de « délégation » de la technique aux personnels,
prestataires ayant les compétences de compréhension alors que, si la sécurité se doit d’être
globale, certaines problématiques mêlent inextricablement les questions techniques et
d’usages. Ex. : le nomadisme.
c) Critères
Les critères de sécurité économique et de protection de l’information ainsi décrits :
- Dissuasive : présenter des éléments dissuadant sans révéler son fonctionnement
86
- Globale : être apte à agir sur les différents terrains de la sécurité de l’information
- Dynamique : les mesures sont évolutives, la morphologie des attaques et des attaquants évoluent comme doit le faire l’organisation de la sécurité
- Ajustée : adaptée aux risques et aux problématiques de l’entreprise.
Un entretien a permis à un opérationnel de dévoiler ainsi un modèle d’inspiration de la
sécurité de l’information. On parle alors de « Défense en Profondeur », souvent représentés
par une succession de cercles concentriques représentant à la fois des niveaux de sécurité
mais également des niveaux d’accès ou de physionomie de l’information.
d) Pratique
La pratique liée à la sécurité économique se veut éminemment pragmatique. Elle ne peut
cependant être exhaustive mais considère un certains nombre de situations rencontrées par
les personnes d’une organisation.
Ainsi, au-delà de l’aspect système de confidentialité, le document de l’AFNOR propose une
série de comportement en lien avec le niveau de classification du document. Ainsi, par
exemple, la diffusion des documents estampillés « Secret » dépend notamment du besoin
d’en connaître et ne doit pas faire l’objet de transaction par fax ou messagerie électronique.
Information
à très haute
valeur,
Secret
Protection
« Physique »,
Gardiennage,
…
Dispositif de
protection
de natures
diverses
Information à
moindre
valeur
87
De même, leur rédaction doit être faite dans un local sécurisé, sur un ordinateur coupé du
réseau et les brouillons doivent être déchiquetés.
Enfin, la norme prévoit également le dimensionnement des locaux et des chemins parcourus
par les personnels extérieurs en fonction des niveaux d’accès, des badges associés et des
zones de confinement à éviter. A cela est associée une protection extensive
(éventuellement) des locaux : gardiennage, vidéosurveillance, badges…
En résumé, la notion de sécurité économique est une vision de sécurité globale appliquée
non seulement à l’information mais également aux systèmes, locaux et personnels de
l’organisation. Elle présente cet intérêt d’être particulièrement pragmatique mais
parallèlement le défaut d’avoir une approche peut-être trop rigide. Rappelons que les
normes de la SSI préconisent de mener, avant tout, une analyse de risques pour adapter les
mesures à l’existant (1) et aux besoins correspondant aux risques résiduels acceptés (2).
Ainsi, l’approche dite de sécurité économique reste basée sur les fondamentaux déjà
observés dans les autres documents relatifs à l’intelligence économique : l’approche et le
facteur humain. Elle répond à ces risques par plusieurs actions :
Formation et Sensibilisation qui prennent une importance déterminante
Apprendre à utiliser des moyens de chiffrement
Processus, Procédures et Mesures organisationnels
Eteindre les téléphones portables avant d’utiliser oralement des informations de type
1 ou 2.
Approche juridique : le droit est un moyen de protection, il est adapté aux besoins
d’encadrement des actions des personnels. Elle met en avant la responsabilisation
des personnels intervenants dans le périmètre de l’entreprise.
Charte de confidentialité, Responsabilisation des acteurs, Poursuites judiciaires en
cas de détection d’atteintes.
Les 10 Clés de la Sécurité
1 Admettre que toute entreprise possède des informations à protéger (fichier client,
prototypes, contrats d’assurance, plan marketing, …)
2 Faire appel à l’ensemble des capacités de l'entreprise (logisticiens, gestionnaire de
personnel, informaticiens, juristes, financiers …) pour faire l’inventaire des informations
sensibles, des risques encourus, des points faibles et pour proposer des améliorations à sa
protection. Le responsable de la sécurité ne peut rien s'il est seul
88
3 Ne pas chercher à tout préserver, à tout verrouiller : classifier les informations en
fonction des préjudices potentiels et des risques acceptables
4 Vérifier le niveau de protection des informations sensibles en utilisant une grille d’auto-
évaluation (voir exemple en annexe 6)
5 Exploiter l’information ouverte sur l’environnement dans lequel évolue l'entreprise,
comme pourrait le faire un concurrent, mais aussi un partenaire, un prestataire de service,
un fournisseur, … pour identifier d’éventuelles menaces.
6 Utiliser les compétences et expertises extérieures, ne pas hésiter à porter plainte en
cas d’agression.
7 Mobiliser le personnel, les partenaires : tout incident doit être signalé
8 Se conformer aux textes législatifs et réglementaires en vigueur
9 Gérer le dispositif, anticiper les évolutions (techniques, concurrentielles,
réglementaires) et adapter la protection en conséquence
10 Imaginer le pire afin d’avoir un début de réponse … au cas où.
En guise de conclusion, les 10 règles de la sécurité selon la sécurité économique révèlent
également le tropisme naturel de cette approche :
Sa capacité à révéler l’importance des informations pour une entreprise et à les
identifier (le point 1)
Lors d’un entretien, un responsable révélait que sa première mesure avait été de
s’entretenir avec les responsables métiers et de leur montrer qu’ils avaient TOUS des
secrets même sans le savoir.
Son approche globale des compétences au profit d’une « protection » de
l’information, c'est-à-dire notamment de son caractère confidentiel (en rouge)
L’utilisation extensive du domaine juridique (en bleu)
89
TROISIEME PARTIE : SYNTHESES ET NOUVEAU MODELE
I- SYNTHESE DES NORMES IT POUR LA SECURITE DE L’INFORMATION
Lors de la partie précédente, nous avons étudié la structure et les apports, parfois
complémentaires, parfois différents des normes et référentiels à la sécurité de l’information.
Ces mêmes méthodes dont nous avons montré les incontestables apports ont également
des faiblesses qui peuvent être comblées par un autre référentiel.
Il parait donc désormais intéressant de montrer comment ces normes peuvent être
associées, articulées et utilisées de façon complémentaire. A cette fin, la littérature retenue
dans la bibliographie fournit de très intéressantes informations.
Cette démarche de synthèse parait également tout à fait utile préalablement aux étapes
suivantes de cette étude : développer le modèle de sécurité de l’information proposé par
l’Intelligence Economique et confronter ces deux approches.
Par ailleurs, si elle s’inscrit dans une continuité logique de la problématique de cette étude,
l’articulation des référentiels reste un large champ de recherche. On a ainsi déjà montré que
les positionnements desdits référentiels étaient très différents : ITIL est au niveau de la
« production » informatique, ISO27001 s’adresse aux managers avec un regard tourné avec
les formalisateurs et le top-management et enfin, Cobit s’inscrit dans la gouvernance
d’entreprise.
Les personnels des organisations qui vont utiliser ces référentiels sont alors placés à des
niveaux sensiblement différents voire très éloignés et vont tout simplement « ignorer » la
pratique des normes à un autre niveau58. Ainsi, certains analystes montrent qu’ITIL peut
contenir certaines informations ou problèmes à un niveau très opérationnel en ignorant que
d’autres praticiens, dans le cadre de leur norme, pourrait avoir besoin de ces informations59.
Or, en matière de sécurité, le principe d’unification est primordial comme le montre les
auteurs : ISO27001 est ainsi accueilli comme LE référentiel unificateur qui répond à ce
besoin de globalité. Hervé SCHAUER affirme ainsi dans la Préface de « Management de la
Sécurité de l’information » que « la norme ISO27001 est la révolution qui manquait à ce
secteur souffrant cruellement d’une opacité entre les mondes de la direction et celui de la
technique ».
58 « The Needs for Cobit Mappings »
59 “Security standardization in incident management: the ITIL approach”
90
1. Définir la complémentarité des approches
Dans un premier temps, nous comparerons les différentes normes propres à la SSI en tant
que telle afin de considérer les domaines couverts, la complémentarité ou l’absence de
certains points. L’utilisation des indicateurs définis et traités pour chacune des normes dans
la partie précédente permettra notamment de réaliser cela.
Dans un second temps, ce seront les 3 normes les plus utilisées qui seront articulées : Cobit,
ITIL et ISO avec l’intégration des apports spécifiques à EBIOS et MEHARI. S’il a été montré
dans la première partie en quoi les normes ne traitant pas spécifiquement de la SSI
apportaient des éléments déterminants, les praticiens et les chercheurs ont depuis
longtemps travaillé sur ce que l’intuition suggère afin de formaliser les relations entre ces
normes.
On trouve ainsi plusieurs retours d’expérience dont un, très positif, de mise en place de ces 3
normes, au bénéfice de la sécurité de l’information chez Lockheed-Martin60. Le même cas
démontrera d’ailleurs le bénéfice de chaque norme en termes de sécurité et plus
spécialement ITIL qui, parmi les normes, consacre le moins « d’effort » à la sécurité.
Cela permettra de déterminer les relations existantes qui ouvrent la voie à un modèle de
sécurité de l’information plus généraliste bien que se basant uniquement sur les normes
d’origine « technique ».
a) Comparaison des domaines couverts par les normes SSI
Cette partie s’attachera donc à montrer succinctement le positionnement respectif des 3
normes SSI étudiées : EBIOS, MEHARI, ISO2700X. Ce que nous apprennent notamment le
travail mené sur ces normes et révélés par les indicateurs est que l’approche par le risque
est commune : c’est la « bonne pratique » la plus commune en matière de démarche.
Selon le GAO, la Cour des Comptes des USA, la démarche de sécurité de l’information
procède généralement comme suit, en 4 étapes : Analyse du Risque, Implémentation des
politiques et mesures de sécurités, Développement de la culture de sécurité, Surveillance
et contrôle61.
Le schéma ci-dessous permet de montrer quels sont les positionnements de chaque norme.
En conséquence, il est aisé de conclure que la norme la plus globale est bien l’ISO27001.
Cependant, on constate également que les autres normes comme EBIOS ou MEHARI
60 Sorting the Standards.
61 A New Approach for Information Security Risk Assessment: Value at Risk
91
permettent également de pratiquer l’analyse de risques et que les bases de connaissances
ou les « Outils »62 des autres méthodes sont également très riches d’enseignement.
Cependant, cette approche synthétique ne rend pas justice à l’apport réel de certaines des
méthodes proposées ainsi dont les spécificités peuvent être intéressantes. Ainsi, sur le
schéma suivant, on voit qu’ISO27001 fonctionne sur la notion de périmètre global tandis
qu’EBIOS s’intéresse plus au système d’information et que MEHARI fait le lien entre les
processus critiques et les éléments du système d’informations.
62 Ex. : dans EBIOS, « Outillage pour le traitement des risques SSI »
92
Un modèle intermédiaire pourrait donc être celui-ci-dessous. Il montre l’intégration des
normes et la dimension plus globale de l’ISO 271001 ainsi que la capacité des autres à
nourrir la démarche de sécurité de l’information. Par ailleurs, on notera que, tant MEHARI
qu’EBIOS, tendent dans leur dernière version à documenter plus précisément leurs rapports
avec la norme ISO. Enfin, ISO reste la seule norme globale à adopter un principe constant
d’amélioration : le cycle PDCA.
b) Comparaison des domaines couverts par les autres normes
L’utilisation et la combinaison de plusieurs standards ou référentiels n’est pas inconnue dans
le monde de l’entreprise. A l’exemple de Lockheed-Martin évoquée dans l’étude d’ITIL peut
s’ajouter celui de Renault. L’industriel, dans sa partie informatique, délivre une vision selon
laquelle il est tout à fait possible d’articuler Cobit et ITIL, le premier délivrant un moyen de
contrôle et le second permettant une optimisation opérationnelle.
De façon plus théorique, M. DELVAUX63 livre des éléments permettant de relier les différents
processus de Cobit et ITIL. Cette articulation permet ainsi de mettre en place les éléments
suivants :
Une excellence opérationnelle par ITIL qui permet de délivrer la qualité de service, la
gestion des problèmes, des incidents, de la continuité…
63 Formation délivrée dans le cadre du MSIT
93
Un contrôle au niveau du management qui permet ainsi de vérifier l’efficacité des
décisions prises, de la gestion des risques.
Par ailleurs, l’ISACA a fourni un travail considérable en définissant pour chaque processus
d’ITIL et chaque objectif de contrôle de Cobit, les alignements possibles64. Le même travail
fait le lien entre les normes ISO 27002, ITIL et Cobit. Afin, d’illustrer cette articulation, on se
référera au processus DS5 de Cobit, qui traite de la gestion de la sécurité. Cependant,
considérant les domaines couverts par les normes, des éléments ayant trait à la sécurité
peuvent être trouvés ailleurs : il s’agit simplement d’illustrer la complémentarité possible et
existante.
Ainsi, illustrer l’articulation de ces 3 normes permet de considérer plus précisément leur
intérêt en termes de sécurité. De façon générale, plusieurs analystes plaident ainsi pour un
modèle plus global que nous allons décrire. Conscient des « limites » de chaque norme en
matière de sécurité, ces praticiens constatent qu’une articulation intelligente des standards
permet de répondre à l’ensemble des besoins de l’entreprise.
64 « Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit »
94
Ex. : Alignement des référentiels dans le cas d’une partie du processus DS5.
2. Vers un « nouveau » modèle : la Gouvernance de la Sécurité de l’information
Les analyses conduites dans la partie précédente ont montré comment les différentes
normes, SSI ou non, pouvaient être articulées sans réel problème de compatibilité. Un
important effort de l’ISACA fait même le parallèle avec une description extensive des liens65.
Cependant, si ces normes peuvent être adoptées conjointement, rien ne dit que la sécurité
de l’information peut bénéficier de cette association ou articulation. C’est le point évoqué
ici. A cet égard, plusieurs articles et informations retirées de la phase de recherche de cette
étude plaident pour une combinaison.
Ainsi, un analyste affirme que les USA sont parmi les leaders dans les pertes et fuites
d’information et affirme de là qu’une approche combinant les standards est le meilleur
moyen de garantir à la fois les besoins en sécurité de l’information mais également de
conformité légale66. ISO apporterait ainsi le « comment » tandis que Cobit définirait le
« quoi »67.
Il est à noter cependant que ce sont les approches centrées autour de Cobit qui induise ce
type de conclusion. Ainsi, selon une étude68, les entreprises ayant instauré une gouvernance
65 Op. Cit.
66 Combining Information Technology Standards to Strengthen Network Security »
67 “Information Security Governance”
68 « Exploring IT Governance in theory and Practice in a Large Multi-national Organisation in Australia,”
95
jugée de qualité ont des taux de retour ou de rentabilité d’au moins 20% sur les
investissements réalisés. Cela reste vrai pour les investissements en matière de sécurité.
En guise de conclusion pour l’étude d’une synthèse des normes SSI, nous proposons donc ici
ce modèle de gouvernance de la sécurité de l’information fondée extensivement sur les
éléments tirés de la recherche mais également des entretiens. On note ainsi l’importance de
Cobit autour duquel les autres normes semblent s’articuler.
Cela permet de développer deux conclusions :
Focaliser sur Cobit permet de montrer que la gouvernance reste le point crucial. C’est
l’élément fondateur d’une sécurité de l’information efficace et la raison de ce modèle. Mais
cela permet de montrer aussi qu’une démarche efficace est notoirement stratégique et cela,
avec ou sans Cobit.
En revanche, le modèle proposé montre bien que certaines parties restent peu ou mal
décrites. Ainsi, si l’approche du GAO insiste largement sur l’aspect formation et
sensibilisation, les normes, bien que le mentionnant, reste généralement assez vague sur
cette notion. Or, elle reste déterminante et souvent la clé d’une sécurité de l’information
efficace comme : l’approche et l’aspect humain de la sécurité reste la clé.
De plus, l’approche humaine de la sécurité de l’information est très certainement la
dimension la moins apte à être standardisée. Elle dépend en effet par trop d’éléments
conjoncturels, culturels, métiers. Elle peut cependant, faire l’objet d’un recueil de bonnes
pratiques qui sera toutefois limité dans certains cas par les diversités de culture d’entreprise.
96
II- SYNTHESE GLOBALE ET MODELE ELARGIE
Lors des parties précédentes, nous avons établi plusieurs éléments : la structure et la
démarche des normes dites « SSI » à la sécurité de l’information, l’apport des référentiels et
bonnes pratiques dites « non-SSI » (Cobit, ITIL, IE) à la sécurité de l’information. Par la suite,
dans une démarche progressive, nous avons mis en avant la complémentarité des normes
d’origine technique et proposé plusieurs moyens de les articuler et de les utiliser ensemble.
Cette toute dernière partie a donc pour but d’articuler ces normes et référentiels avec les
bonnes pratiques de l’Intelligence économique ou de la sécurité économique. Pour
développer cette approche, nous nous focaliserons sur plusieurs points : des exemples
choisis d’articulations précises entre une norme et l’approche « IE ». Ex. : ITIL et IE ou encore
Cobit et IE. Nous invoquerons également l’analyse de risque, qui en tant que support et base
de l’approche SSI, peut être enrichie par l’intelligence économique. Nous montrerons
ensuite que la sécurité de l’information, telle que vue dans l’SIO27001 par exemple, peut
être grandement améliorée par l’ajout de nouveaux axes de réflexion. Nous continuerons
avec des propositions de modèles évolués d’organisation avant de conclure avec un nouveau
modèle de sécurité de l’information.
97
1. Liens normatifs
Dans cette partie seront évoqués les liens relevés dans la démarche de recherche entre les
bonnes pratiques de l’intelligence économique et les normes du domaine des systèmes
d’information.
a) IE & ITIL
Les liens entre l’intelligence économique et ITIL sont plus profonds que ceux que l’on peut
percevoir au premier abord. En effet, nous avons bien montré à la fois la dimension
stratégique de l’IE tout autant que le focus opérationnel d’ITIL. Cependant, une forme de
complémentarité peut-être observé sur 3 axes :
Service de veille
Gestion de crise
Détection des signaux faibles
Un service, un processus ou encore une démarche de veille sont des éléments au cœur
d’une démarche d’intelligence économique. L’information est en effet le matériau premier
de la démarche qu’il s‘ agisse de rendre l’entreprise plus efficace, plus apte à gagner un
marché ou encore de la protéger. Un service au sens non organisationnel de veille est très
important quelque soit le domaine considéré : surveillance de l’image, de la concurrence…
L’expérience personnelle de l’auteur, dans le cadre d’un stage en veille, montre que ce
service est complexe. Processus itératif, lourd et chronophage, la veille doit être exactement
dimensionnée aux besoins du client le plus tôt possible pour deux raisons : perte de temps,
d’informations et de valeur ajoutée pour le client, perte de temps et d’argent pour le
prestataire.
La recherche a ainsi permis de montrer que les bonnes pratiques d’ITIL pouvaient s’appliquer
partout en entreprise69. Ainsi, dans le cas de l’article cité, l’entreprise avait mis en place un
unique centre de service autant pour les changements de matériels que pour les
modifications financières des dispositions liées à la retraite des employés. L’expérience
montre donc l’adaptation des principes à des niveaux très variés et, considérant le manque
de standardisation du processus de veille, il pourrait être intéressant de s’inspirer d’ITIL.
Plus pratiquement, on trouve dans la description du cycle de vie d’un service70, une aide
précieuse pour un management qui veut optimiser la qualité, le contrôle d’un service rendu
69 « ITIL adopts a service mentality »
70 « ITIL et la gestion des services »
98
à une entreprise. Traditionnelle, un cycle de vie d’un service commence par une phase de
Planification suivie des phases suivantes : Design, Build, Run, Dead.
En matière de qualité, la vision suivante peut être préférée : Spécification, Fabrication,
Déploiement, Exploitation. On notera l’insistance d’ITIL sur deux points : développer les
besoins en termes de services dés le début et les formaliser en Exigences de Service. Cela se
traduit par une définition la plus précise possible des besoins d’informations du client, des
sources privilégiées, des exclusions, du format rendu, de la fréquence…En gardant à l’esprit
qu’un service de veille qui produit trop d’informations tue l’information : on appelle parfois
cela l’infobésité.
Par la suite, il faudra tester la capacité du service à répondre aux besoins requis avant de
l’exploiter. Ex. : produire un livrable test, lancer une semaine test avant pour corriger des
défauts déjà visibles…
En cours d’exploitation, il faudra s’assurer de mesurer la qualité de service par des
indicateurs conçus auparavant. Ex. : livraison des livrables en temps et en heure, vérification
aléatoire d’informations pour contrôler l’absence d’oubli…
Si l’apport d’ITIL en termes de qualité de service, notamment pour la veille, est
incontestable, le référentiel apporte également une aide certaine en matière de gestion de
crises.
Comme il est montré dans le rapport 2005 du CIGREF71, la gestion de crise est une
composante essentielle dans une stratégie d’intelligence économique pour essentiellement
3 raisons : la crise induit des besoins forts en information, la crise impacte les capacités de
l’organisation à maintenir ses flux d’informations, la crise peut avoir pour origine un
problème lié à une information.
Ainsi, on peut d’ores et déjà constater que, tant ITIL que l’IE apporte un soin tout particulier
à la communication. Si ITIL se focalise sur une réponse rapide et une communication
orientée vers les utilisateurs ou les clients de ses services, le but est bien le même : occuper
l’espace informationnel pour éviter les dommages causés par la crise.
Par ailleurs, ITIL est au plus près du développement opérationnel des impacts de la crise,
notamment car les systèmes d’informations doivent pouvoir fournir, même en mode
dégradé, un certain nombre de services. Ainsi, le processus de gestion de la disponibilité
permet de détecter au plus tôt les problématiques pouvant survenir, notamment lors
d’attaques sur les systèmes d’informations de l’entreprise. Par ailleurs, ce processus est lié à
la disponibilité des documents vitaux de la bonne marche de l’entreprise, la gestion de crise
et les relations publiques.
71 « L’intelligence économique appliquée à la DSI »
99
Enfin, la gestion de la continuité est typiquement un processus lié à la gestion de crise car il
se propose d’analyser et de gérer la préparation des activités de l’entreprise à une
interruption de service non prévue et brutale.
Le dernier apport d’ITIL porte sur la détection des signaux dits « faibles ». Véritable
problématique développée par l’Intelligence Economique, les signaux faibles sont des
évènements épars, souvent non reportés mais dont la corrélation pourrait révéler un
problème plus profond (attaques envers l’entreprise, problèmes de structure…).
Cette problématique a été abordée lors des entretiens : il en ressort que si la plupart des
normes font appel à la notion d’indicateurs, aucune ne signale en tant que telle la
problématiques des signaux faibles. Cependant, il est tout à fait légitime de conditionner ou
de spécifier l’implémentation des normes et des indicateurs pour relever ces types
d’informations.
Par ailleurs, la synergie entre les responsables de la sécurité économique ou toute autre
entité chargée de la sécurité de l’information est nécessaire. En effet, selon plusieurs
chercheurs72, l’utilisation d’ITIL dans le cadre du management des incidents tend à confiner
l’information des problèmes survenus à des niveaux très opérationnels. Or, par nature, le
traitement des signaux faibles nécessite une vue d’ensemble et une approche de nature
« stratégique » : l’association de deux démarches peut donc apporter une meilleure « vue »
de la situation de sécurité.
b) IE & Normes SSI
Dans cette partie, nous aborderons les liens existant entre l’intelligence économique et les
différentes normes « purement » SSI traitées dans cette étude : ISO27001, EBIOS et MEHARI.
Tout d’abord, rappelons que l’Intelligence Economique, au regard de la sécurité de
l’information, ne s’est préoccupé que tardivement de cette problématique. Le
« Rapport Martre » qui fonde une « doctrine » de l’Intelligence économique et stratégique
ne comporte pas de volet protection et si les derniers documents du SGDN font référence à
la sécurité de l’information, ils la délèguent volontairement aux « techniciens ». Cependant,
la démarche d’IES ou encore de sécurité économique appelle plus volontiers une notion de
protection de l’information, ou encore de sureté, que de sécurité des systèmes
d’informations.
Cela implique notamment deux éléments essentiels qui ont été mis en valeur dans les
parties précédentes : l’identification de l’information à valeur ajoutée et la valorisation, au
72 “Security standardization in incident management : the ITIL approach”
100
profit de la culture de sécurité, de l’idée que l’organisation peut-être « attaquée » et peut se
faire dérober des informations.
Cette approche d’identification est réellement une des dimensions de la valeur ajoutée de
l’IES. Lors d’un entretien avec un Responsable Sécurité dans une entreprise, une des ses
premières actions lorsqu’il a été en poste a été susciter la conscience chez les opérationnels
qu’ils détenaient des « secrets ». Autrement dit, des informations à très fortes valeurs
(techniques, astuces, savoir-faire, expérience) qui fondaient le succès de l’entreprise dans
son secteur et qu’il fallait protéger. Le même responsable avait été reçu par des managers
relativement inconscients de ce qu’ils possédaient : la phase d’identification a été
primordiale.
En matière de sécurité de l’information, cette méthode apporte donc deux éléments :
Identification de certains actifs informationnels critiques : ce qui est un besoin dans
toutes les démarches
Mise en place de systèmes de classification qui sont généralement propre à ce type
de méthode.
Un entretien avec des consultants spécialistes de la SSI, organisationnelle et technique, a
montré que généralement, les systèmes de classification étaient déjà mis en place dans les
entreprises. Cela relève généralement peu d’une prestation ISO27001 même si celle-ci y fait
référence.
L’apport de l’IE aux méthodes de sécurité de l’information se fait également sur un autre
plan : l’enrichissement de l’analyse des risques. Cet apport se fait également sur deux plans :
- L’ajout de dimensions
- L’enrichissement à certaines étapes de l’analyse
Le premier élément est l’ajout de deux dimensions essentielles liées à la protection de
l’information. La première est ce que l’on appelle généralement « l’aspect humain » et le
second, le risque juridique.
Comme nous le verrons par la suite, ces deux dimensions constituent un apport véritable de
l’IE à l’amélioration du niveau de sécurité de l’information. Mais il s’agit ici uniquement de
l’apport aux normes, démarches et méthodes déjà standardisées d’une part et à l’analyse de
risque d’autre part.
Ainsi, l’apport de l’élément humain est de montrer que l’entreprise est à la fois susceptible
d’être l’objet d’attentions malveillantes mais également que ses employés, tous les
101
personnels avec qui l’organisation interagit sont susceptibles d’être utilisés dans de telles
attaques. Ainsi, par exemple, une étude de l’IHEDN publiée en 2000 montre que le
responsable de l’IE est d’autant plus partie prenante à la rédaction et la définition de la
PSI/PSSI si l’entreprise a été victime de nombreuses attaques. L’IES peut donc enrichir
l’analyse de risque à ce niveau notamment en apportant les informations nécessaires, tirées
de la veille ou de l’historique de l’entreprise, même dans le cas où celle-ci fait appel à des
notions très mathématiques de calcul du risque.
L’entretien mené auprès de consultants spécialistes des normes ISO2700X a montré que
l’aspect « social engineering » n’était pas réellement pris en compte ou alors au travers de
l’item « Formation et Sensibilisation ». Or, si les chiffres tendent à montrer que l’aspect
humain est primordiale73 dans la sécurité de l’information, il ne représente pas autant dans
les normes en question. Il manquerait éventuellement une notion de pondération différente
de celle apportée par l’analyse de risque.
Par ailleurs, l’IES considère largement le risque juridique, c'est-à-dire les problématiques
liées non seulement au non-respect des lois et textes en vigueur mais également tous les
problèmes et dommages que cela peut causer. Ainsi en est-il de la responsabilité extensive
du chef d’entreprise en matière de protection des informations, de sécurité du système
d’informations. La démarche d’intelligence économique attire ainsi l’attention sur les risques
encourus et incite les acteurs à utiliser tous les recours et outils légaux à la disposition,
notamment après les attaques informationnelles mais également dans le cadre de toutes les
relations de l’organisation (chartes, contrats, clauses de confidentialités…). Cet aspect est
nettement plus prégnant dans la démarche IES que dans les normes dites SSI qui cependant,
développe l’obligation de respecter le cadre juridique local.
L’IES apporte également des éléments d’enrichissement à deux niveaux lors des étapes
d’analyse de risque produisant des scénarios ou établissant le contexte.
Ainsi, MEHARI fait notamment appel à des notions d’écosystème de l’entreprise lors qu’elle
établit l’exposition naturelle au risque de l’entreprise. Le contexte économique, social et
géographique est ainsi analysé pour « calculer » cette valeur. Dans le cas d’EBIOS, l’étude du
contexte ou de l’environnement ainsi que celle des menaces peut bénéficier d’une vision
plus complète et sur le long-terme des évènements ayant affecté l’entreprise. La norme fait
également allusion à des vulnérabilités très intéressantes comme « le climat social délétère
ou conflictuel » qui sera très bien mis en valeur et analysé par des praticiens IES. Enfin, la
définition du périmètre d’application de l’analyse de risque que l’on retrouve partout, mais
73 Thierry CHAMFRAULT parle d’une responsabilité des failles de sécurité à 85% humaine.
102
notamment dans ISO27001 peut également bénéficier du concept de défense en profondeur
que l’on retrouve notamment en IES74.
Un entretien a pu montrer que la production des scénarios, liée à ISO 27005, rigidifie la
succession des évènements : les scénarios ne sont pas forcément assez évolutifs. L’IES peut
apporter des compléments d’informations qui ne sont pas en possessions des managers
impliqués dans la démarche afin de corriger ce tropisme. Cependant, leur apport doit être
encadré afin de ne pas être entrainé par les tendances naturelles de l’IE liées à la
confidentialité, la malveillance…
Enfin, l’IES fournit également une continuité en rejoignant les pratiques notamment de
l’ISO27001. Ainsi, les éléments d’enquête post-intrusion ou post-attaques qui doivent être
étudiées peuvent bénéficier d’une vision plus large ou plus humaine des attaques.
Lors d’un entretien menée avec un responsable sécurité, celui-ci a montré qu’une attaque
sur une entreprise afin de récupérer de l’information ne commençait pas forcément par une
intrusion informatique mais tout simplement par la fouille des poubelles ou encore le
« tamponnage » lors de salons…L’intrusion informatique peut alors arriver bien plus tard
mais la correction des failles de sécurité doit prendre en amont le risque occasionné, par
exemple, par un document papier non détruit qui contiendrait des éléments liés aux mots de
passe ou autre et qui aura fourni la première piste pour l’intrusion.
c) IE et Cobit
Les liens entre l’intelligence économique et Cobit sont plus restreints que pour les autres
normes. On notera tout de même que l’un comme l’autre sont focalisés sur la notion
d’information, ce qui les rapproche.
Par ailleurs, leur niveau d’exécution ou d’utilisation reste stratégique et leur but final est
l’établissement d’une gouvernance. Cobit cherche ainsi à établir une gouvernance des
services d’informations, son processus DS5 peut-être interprété comme une forme de
gouvernance de la sécurité de l’information. Or, cet objectif est également apparent dans les
derniers textes de l’intelligence économique qui cherche également à établir une forme de
gouvernance. On retrouve par ailleurs des intérêts communs : l’intégrité et la confidentialité
sont des critères plus importants pour ces deux approches que la disponibilité.
En revanche, ce que Cobit apporte à une démarche IE est la structuration très forte de ses
objectifs de contrôle et des indicateurs associés. L’IE, dans les textes analysés, ne montre pas
74 La DCSSI a d’ailleurs publié une application du concept de défense en profondeur à la SSI.
103
une inclination pour ce contrôle et cette surveillance aussi structurées alors qu’elle pourrait
en avoir besoin : la démarche de veille correspond aussi à ces attentes.
2. Protéger l’information : de nouveaux axes
On a vu dans la partie précédente quels étaient les liens entre l’IES et les différentes normes
liées à la sécurité des systèmes d’information ou aux SI de manière plus généraliste. Dans
cette partie, nous nous attarderons sur l’apport particulier de l’IES aux politiques et aux
pratiques de sécurité de l’information au travers de deux axes assez innovants : la protection
étendue du patrimoine informationnel de l’entreprise et le facteur humain.
a) Protection du patrimoine informationnel
L’utilisation des méthodes de sécurité des systèmes d’informations permet de révéler que,
malgré quelques tropismes particuliers75, l’information est considérée sous une forme
élargie : la donnée, l’application, les machines mais également les infrastructures et le
papier.
Pour autant, l’information, bien que conçue très généralement dans ces méthodes, est
présente dans l’organisation sous d’autres formes. L’IES considère également le savoir-faire
de l’entreprise ainsi que ses compétences et connaissances propres. On peut également
parler de « mémoire de l’entreprise à conserver ».
Or, lier le « Knowledge Management » avec la sécurité de l’information n’est pas une
préoccupation actuelle des normes SSI en tant que tel. Elle est pourtant nécessaire. Ainsi,
une étude76 montre l’importance du caractère humain de la sécurité de l’information, établit
des analogies entre sécurité de l’information et gestion de la connaissance et propose, outre
une nécessaire collaboration, une redistribution des tâches. Cette approche n’est rien de
moins que la structuration du modèle développé par l’intelligence économique.
Par ailleurs, le rapport du CIGREF sur la Protection du Patrimoine Informationnel prévoit
comme critères de sécurité de l’information la pérennité et l’authentification qui n’en sont
pas dans les approches plus techniques. Ils apportent cependant une vision plus « politique »
de la question de la sécurité de l’information et notamment à propos de la conservation des
savoir-faire.
Ainsi, l’apport du Knowledge Management (KM) à la sécurité de l’information peut-être
réalisé par les méthodes de KM qui font appel à la notion de primes à la participation,
contrairement à la SSI qui fait appel à la sanction. La préservation du patrimoine
75 Comme EBIOS pour les systèmes d’informations même si on peut constater une forte évolution.
76 Information Security and Knowledge Management: Solutions Through Analogies
104
informationnel et la participation à sa structuration peuvent ainsi être ou récompensés ou
sanctionnés.
b) « Ecce homo »
Comme on a pu le voir, le facteur humain est sans doute le pivot de la sécurité de
l’information. L’intelligence économique nous amène à considérer l’aspect malveillant
d’actions humaines dirigées contre l’organisation : elle amène donc les managers
responsables de la sécurité de l’information à reconsidérer leur position vis-à-vis des
personnels.
L’approche juridique répond ainsi à cet encadrement des actions humaines dans des
conventions réciproques qui vont permettre de protéger l’entreprise en cas de problème lié
à l’information. Un système d’incitations financières, pénales ou autres vont permettre
également de garantir un certain comportement. Cette approche est réellement mise en
valeur dans une démarche d’IES mais elle existe tout autant, parmi d’autres, dans les normes
SSI.
Mais au-delà de ça, l’IES apporte réellement une vision centrée sur l’humain en tant que
menace certes mais pas seulement, ce qui la différencie de la pratique générale de sécurité
de l’information. Certains chercheurs ont ainsi établi77 qu’il existait un réel fossé entre les
responsables de la sécurité de l’information et les utilisateurs. Et au-delà des dispositions
prévues pour les contrats, la sensibilisation ou la formation, les normes SSI souffrent sans
doute d’être un peu trop « lisses » : même si chaque entreprise doit choisir, après une
analyse de risque, les mesures qu’elle doit prendre, certaines sont sans doute plus
importantes que d’autres et l’IES a, peut-être, le mérite de le rappeler.
Qu’est-ce qu’un utilisateur pour un manager de la sécurité ? Une faille, une menace, un
risque, un danger….rarement un partenaire. Dans l’article précité, les auteurs montrent bien
qu’il existe un vrai problème de compréhension et de communication entre les managers
sécurité et les opérationnels.
Qu’est-ce que les responsables sécurité pour un opérationnel ? Une contrainte, une menace
(punition…), un « empêcheur de tourner en rond »…
L’auteur de cette thèse a ainsi pu constater la prégnance de cette distance dans le cadre
d’une expérience dans le domaine de la défense à un niveau opérationnel.
Afin de prouver l’existence de cette problématique, l’étude fournit plusieurs éléments de
comparaison. Elle s’est notamment intéressée à la vision comparée des utilisateurs d’un côté
77 « The information digital divide between information security managers and users »
105
et des managers de la sécurité d’autre part autour de 3 questions : le rôle de chacun d’entre
eux dans la sécurité, la mise en place des mesures de sécurité et les menaces et les
vulnérabilités.
Afin de montre le gap, les schémas suivant sont instructifs. Le premier montre le rôle de
l’utilisateur suivant les deux visions tandis que le second s’attarde sur l’importance
comparée des différentes vulnérabilités.
L’Utilisateur « JANUS » de la sécurité de l’information
Source : The information digital divide between information security managers and users
Source : The information digital divide between information security managers and users
106
Cette approche met donc en exergue à la fois la problématique de compréhension et de
relation entre l’utilisateur et le responsable sécurité mais aussi les divergences de vision et
de sensibilité entre les deux populations. Sur le second schéma sont entourés en rouge les
points où la différence est la plus forte :
Erreur humaine, manque d’attentions
Social engineering => les professionnels en mesurent le risque, fort, contrairement aux
utilisateurs.
Spam et hacking => les utilisateurs y voient une forte menace contrairement à la
réalité mesurée par les professionnels du secteur.
Ce manque de communication et de compréhension est issu d’une « tradition » ou d’une
culture qui a peu ou pas cherché à se comprendre. T. CHAMFRAULT, dans l’introduction d’un
de ses ouvrages sur ITIL, commence par ce lieu commun : « l’informatique, ce n’est pas du
sérieux ». De l’autre côté, les professionnels de la sécurité voient le même manque de
sérieux chez les utilisateurs, par malveillance ou simple erreur. Ainsi, une récente étude de
KPMG montre qu’en 2009, la première cause de vol d’informations est bien le vol ou la perte
d’un ordinateur.
Malgré les apports de normes comme ISO27001 qui réunit autour d’une même démarche les
différentes parties prenantes de la sécurité, la dimension humaine, c'est-à-dire la
responsabilisation effective et le développement d’une culture de sécurité reste largement
perfectible.
A ce propos, l’IES apporte plusieurs éléments de réflexion qui commence par la
responsabilisation de l’utilisateur. Mais, plus encore, les sessions de formation et de
sensibilisation doivent être éminemment pratiques et surtout, les responsables en sécurité
de l’information doivent par-dessus tout communiquer, se montrer, évoluer au sein de
l’entreprise afin d’être visible.
Ainsi, de plus en plus, les écrans de veille sont utilisés afin de faire passer des messages de
sécurité. Ou encore, on infligera une image un peu choquante en guise de fond d’écran ou
d’écran de veille, l’utilisateur qui aura oublié de verrouiller son écran. Mais, pour cela, il faut
être visible, présent et disponible.
Enfin, la dernière dimension de cet aspect humain de la sécurité est la dissuasion. La
présence du manager en sécurité de l’information, sa visibilité et sa communication doivent
rappeler les notions de sécurité à l’utilisateur tourné vers un travail quotidien prenant. Les
mêmes efforts doivent également rappeler les sanctions afin d’avoir un effet de dissuasion
sur les éléments clairement malveillants ou incitatifs sur les éléments enclins à commettre
des erreurs. Cela, afin de combattre l’inflation remarquable des vols d’informations par des
107
employés malveillants qui a augmenté de 94% entre 2008 et 2009 selon la même étude de
KPMG.
Cet ensemble d’outils, qui replace l’utilisateur au centre de la sécurité de l’information, doit
tendre à créer, diffuser puis maintenir une culture de sécurité de l’information parmi les
collaborateurs de l’organisation.
3. Une organisation en question
Dès le début de ce travail de recherche s’est posée la question de l’organisation de la
sécurité de l’information. Réunir deux approches aux origines si diverses mais aux objectifs
communs induisait un questionnement de management, d’organisation et de responsabilité.
Il est intéressant de noter que lors de chaque entretien, les responsables opérationnels ont
choisi de donner la responsabilité de la sécurité de l’information à leur domaine
d’appartenance (Direction Sécurité, Systèmes d’informations) arguant des besoins propres à
l’entreprise mais également à la culture.
Plusieurs modèles s’affrontent ici :
Celui du RSSI traditionnel souvent lié à la DSI
Celui du RSSI indépendant et lié à la DG.
Celui du Directeur de Sécurité s’occupant de la protection de l’information
Un modèle plus théorique lié aux services du risque
Parmi les modèles rencontrés lors des interviews, les facteurs clés expliquant la structuration
de la fonction sont notamment : la culture, le cœur de l’entreprise…Ainsi, il a été possible
d’observer un modèle mettant au centre un responsable sécurité des systèmes
d’informations relativement indépendant mais également un responsable sécurité
d’entreprise animant une démarche commune de sécurité de l’information avec des
responsables informatiques.
C’est pourtant un besoin comme l’exprime Isabelle TISSERAND dans une interview : elle note
ainsi l’ouverture des compétences du RSSI qui évolue vers une fonction de DSI ou Directeur
de la Sécurité de l’Information. Elles notent ainsi que certains RSSI collaborent de plus en
plus avec des politologues, des sociologues, des juristes mais également et toujours des
techniciens.
Un entretien avec des spécialistes en SSI a également montré l’évolution profonde de la
108
fonction de RSSI. Du giron de la DSI, il en vient à se rapprocher de la Direction Générale ou
alors celle des risques opérationnels. Le monde anglo-saxon parle d’ailleurs de CIO : Chief
Information Officer, il possède un tropisme technique moins prononcé que le RSSI latin au
profit d’une approche plus globale. Par ailleurs, l’observation d’organigrammes d’entreprise
a pu révéler que la fonction de RSSI peut se répliquer aux niveaux de filiales afin que la
fonction puisse également être développée au niveau d’un groupe mais également de ses
unités.
Il existe cependant plusieurs critères communs à toutes les démarches qui permettent de
répondre en partie à cette question organisationnelle. En effet, considérant la fonction
particulière qui conduit à assurer la sécurité de l’information et les contraintes associées, on
peut relever plusieurs critères :
Le responsable de la sécurité de l’information doit être délivré de toute appartenance
fonctionnelle (notamment vis-à-vis de la DSI) sans quoi il ne pourra assurer la diversité des
métiers qui composent sa fonction.
La diversité même des métiers qui composent la sécurité impose une approche globale de la
sécurité de l’information. Rapprocher le RSI de la Direction Générale parait donc être la
meilleure solution pour garantir son efficacité. Il s’agit plus d’une fonction de pilotage.
Le profil même de la personne exerçant cette fonction ne peut pas être unique : il doit avoir
un parcours et un profil de nature diversifiée. Ex. : lors d’un entretien, un responsable
sécurité opérationnel a ainsi mis l’accent sur le fait qu’un RSSI « technique » ne peut assurer
la fonction liée au gardiennage, à la politique de visite ou de badges, il s’agit de métiers
différents.
En guise de conclusion et avant d’aborder le modèle globale liée à cette étude, voici le
modèle d’organisation inspiré des diverses pratiques observées et considérant les
contraintes présentées.
109
4. Vers une gouvernance étendue de la sécurité de l’information
Dans un premier temps, nous avons vu la structuration des normes dites SSI puis l’apport
des normes IT à la sécurité de l’information avant de développer l’évolution de la protection
de l’information dans une démarche IES. Puis, dans un second temps, nous avons synthétisé
et articulé ces référentiels afin de montrer l’existence d’une démarche globale de sécurité de
l’information fondée sur des normes provenant du domaine des systèmes d’informations.
Enfin, dans un dernier temps, nous avons montré les apports précis de l’IES à la sécurité de
l’information, que ce soit dans une démarche normative, vis-à-vis de la sécurité de
l’information en tant que telle mais également par rapport aux questions d’organisation. Ces
apports confondus permettent, in fine, de dresser un modèle étendu de gouvernance de
sécurité de l’information justifiée par deux raisons : l’apport à tous les niveaux de l’IE et sa
vision plus large des risques encourus par l’organisation.
L’apport de l’Intelligence Economique et Stratégique à la sécurité de l’information peut se
voir à tous les niveaux, il est global :
Par ailleurs, l’Intelligence Economique permet de mieux appréhender l’environnement de
l’entreprise en la positionnant dans un écosystème complexe susceptible de porter atteinte
à ses opérations et à ses informations. Ainsi, l’IES peut –être positionnée comme une
démarche générale de maitrise des risques se focalisant sur l’information comme moyen de
maitrise. C’est en tous cas ce que montre un rapport du CIGREF78 ou les entretiens menés
qui montre la démarche globale de gestion des risques mis également en valeur dans la
définition de l’organisation.
78 Intelligence Economique et Stratégique. Les systèmes d’information au cœur de la démarche. Cf. Cas Total.
110
Comme il a été mis en valeur dans les parties précédentes, la tendance naturelle des
normes, méthodes, référentiels ou démarches de toute nature est de former une
gouvernance de la sécurité de l’information. La globalité nécessaire de l’approche, la
diversité des métiers impliqués, le besoin de support et de soutien au plus haut niveau
plaident en effet pour cette approche.
Plus encore, la notion d’analyse de risque est au centre de toutes les démarches, qu’il soit
très formalisé ou beaucoup moins. Cette notion de risque est intéressante car elle se traduit
notamment au niveau organisationnel que l’on a présenté ci-dessus.
Enfin et cependant, la caractérisation le plus efficiente de ce modèle reste sûrement le
concept de sécurité économique. On le retrouve développé par des chercheurs79 qui
montrent ainsi que la sécurité de l’information devient de plus en plus une composante
essentielle de la gouvernance d’entreprise. En effet, les impacts informationnels sont de plus
en plus de nature à causer des dégâts à l’activité de l’organisation : il faut donc les intégrer à
une démarche globale visant à assurer une « business security » ou encore sécurité
économique.
Ce concept de sécurité économique peut-être analysé comme l’articulation des normes,
méthodes, référentiels et bonnes pratiques issus du monde l’IT et de la Sécurité des
Systèmes d’Informations avec une démarche d’intelligence ou de sécurité économique. La
sécurité économique peut-être décrit comme suit :
Une démarche au plus haut niveau visant à protéger l’activité de l’organisation,
considérant la prégnance définitive de l’information au sein des organisations
(information, données, applications, infrastructures, connaissances, compétences, savoir-
faire).
Une démarche basée sur les risques : informationnels, opérationnels, juridiques…
79 From information security to…business security ?
111
Une démarche qui réunit de nombreux métiers et nécessite une organisation nouvelle :
un RSI – Responsable de la Sécurité de l’Information se nourrissant des apports métiers
des Risques Opérationnels, des RSSI « locaux » chargés des éléments plus techniques et
des responsables organisations pour la culture de sécurité.
Une démarche centrée sur l’humain et le système de management afférent visant à créer,
diffuser et maintenir une vraie culture de sécurité
Cet ensemble de composantes permet donc de déterminer un modèle s’inspirant des
travaux réalisés par les différentes approches. La sécurité de l’information se conçoit donc
comme une démarche stratégique, incluse dans un régime plus général de gestion des
risques, centrée sur une approche humaine mais à forte composante technique.
MODELE DE GOUVERNANCE ELARGIE DE LA SECURITE DE L’INFORMATION
COMPOSANT DE LA SECURITE ECONOMIQUE
112
CONCLUSION
La question à laquelle cette étude tente d’apporter une réponse était de trouver et de
définir les modalités d’articulation à deux niveaux. Le premier consistait à aligner et
proposer un modèle commun pour l’apport des normes IT à la sécurité de l’information. Le
second niveau propose un modèle de sécurité de l’information élargie tiré de l’articulation
des normes IT agrégées avec les pratiques liées à l’Intelligence Economique qui doit sa
structuration actuelle au monde de la sécurité et de la défense.
Ces approches se différencient par de nombreux aspects et parmi ceux-ci, deux paraissent
particulièrement prégnants : la contrainte méthodologique et la contrainte d’origine. L’IE
puise ses méthodes notamment dans celles développées dans le cadre du traitement de
l’information d’intérêt stratégique ou militaire. Or, en France, ces méthodes sont réputées
être « humaines », c'est-à-dire à la fois axée sur l’individu, le personnage mais également
avec un certain niveau de souplesse et de pragmatisme.
De l’autre côté, les normes issues du monde de l’IT sont particulièrement contraignantes car
elles proviennent notamment du monde anglo-saxon mais ont également été rédigées par
des populations fortement liées aux services informatiques. Cela reste toutefois à tempérer
dans le cas particulier des normes SSI. Mais ce caractère contraint et la pesanteur de la
structure est amplement démontrée par les efforts d’articulation formels entrepris par
l’ISACA et autres organismes dont les livrables sont particulièrement denses.
Cependant, si ces efforts apportent l’assurance que la compatibilité des normes IT est
possible, ladite articulation au profit de la sécurité de l’information doit faire l’objet d’un
travail de précision que cette étude s’est attachée à fournir en montrant le caractère central
des normes ISO mais également les capacités d’ITIL à donner de fortes fondations et celles
de Cobit à piloter efficacement. C’est le premier résultat positif de cette étude.
L’apport de l’Intelligence économique est donc triple et constitue le deuxième apport de ce
travail. Premièrement, la démarche de protection du patrimoine informationnel permet
d’enrichir la pratique de chacune des normes dédiées spécifique à la SSI. On peut parler
d’apport fonctionnel.
Mais cette démarche de protection apporte également une vision innovante en fournissant
de nouvelles pistes de réflexion pour la protection de l’information. C’est ici que se place les
notions élargies d’informations intégrant le savoir-faire par exemple. Mais aussi, la capacité
à proposer de nouveaux modèles de management et de pilotage de la
sécurité (communication, dissuasion, incitation). On peut parler d’enrichissement de la
notion de sécurité de l’information.
Le dernier apport peut-être qualifié de stratégique. Comme d’autres, l’Intelligence
économique développe la démarche de gouvernance dont le caractère global répond aux
multiples dimensions de la sécurité de l’information. Mais elle apporte également une vision
113
nouvelle des risques courus par l’entreprise en la plaçant dans un environnement plus
agressif voire malveillant intégrant la protection de l’information. C’est la sécurité
économique telle que l’a développée les praticiens et théoriciens du secteur.
Le modèle présenté ici en guise de conclusion du travail est également un modèle de
Sécurité Economique. Il se différencie de la notion définie par les autres travaux car il
intègre notamment la dimension informatique et toute la qualité de ses démarches dans une
approche unifiée. Il s’en différencie également en intégrant cette approche unifiée avec la
démarche d’intelligence économique proposant un modèle plus global mais aussi plus précis
de sécurité de l’information abordant l’organisation de la fonction.
En conclusion, nous retiendrons que ce modèle est le résultat d’un effort d’unification. Il
peut et doit être amélioré notamment en considérant plus précisément ses différentes
composantes en les améliorant mais également en le testant au sein des organisations. Ce
n’est que comme cela qu’il pourra acquérir une forme de validité.
114
BIBLIOGRAPHIE
CIGREF/IE
ETIENNE, L., Intelligence Economique et Stratégique, les systèmes d’informations au cœur de
la démarche, CIGREF, Mars 2003.
MERLAND, J.P., L’intelligence Economique appliquée à la direction des systèmes
d’informations, Démarches et Fiches pratiques, CIGREF, Mars 2005.
CRCI-ARIST Midi Pyrénées, Bonnes pratiques en Intelligence Economique dans des PME-PMI
de MIDI-PYRENEES, CCI Midi-Pyrénées, Avril 2005.
Guide des bonnes pratiques en matière d’intelligence économique, Ministère de l’Economie
de l’Industrie et de l’emploi, Février 2009.
Guides bonnes pratiques en matière d’intelligence économique Préfecture de la Région
Franche-Comté, Nov. 2008
ROUHIER, S., Protection de l’Information – Enjeux, gouvernance et bonnes pratiques, CIGREF
2008.
CAPRIOLI, E., de KERVASDOUE, P., PEPIN, J.F., RIETSCH, J.M., Protection du patrimoine
informationnel, CIGREF, 2007.
ROUHIER, S., Indicateurs Sécurité – Guide pratique pour un tableau de bord sécurité
stratégique et opérationnel, CIGREF, 2007.
ROUHIER, S., Sécurité des systèmes d’information – Quelle politique globale de gestion des
risques ?, CIGREF, Sept. 2002.
CLUSIF
Présentation MEHARI, CLUSIF, Novembre 2007.
Menaces informatiques et pratiques de sécurité en France, CLUSIF, Ed. 2008
MEHARI 2007 – Guide de l’analyse des risques, CLUSIF, 2007
MEHARI 2007, Présentation générale, CLUSIF, 2007
MEHARI 2007, Principes et mécanismes, CLUSIF, 2007
MEHARI 2007 Edition2 – Guide de l’analyse des enjeux de la classification, CLUSIF, 2007
MEHARI 2007 – Guide du diagnostic de l’état des services de sécurité, CLUSIF, 2007.
DCSSI
115
Expression des besoins et Identification des objectifs de sécurité – EBIOS, DCSSI, Juil. 2004
Meilleurs pratiques pour la gestion des risques SSI – Utilisation spécifique de la méthode
EBIOS pour rédiger une FEROS, DCSSI, Avril 2005.
Exploitation des résultats de la méthode EBIOS dans le cadre d’une démarche ISO27001,
DCSSI, Nov. 2005
Utilisation Spécifique de la méthode EBIOS pour élaborer une PSSI, DCSSI, Sept. 2004
Exploitation des résultats de la méthode EBIOS pour élaborer un schéma directeur SSI, DCSSI,
Mars2003.
Exploitation des résultats de la méthode EBIOS pour rédiger un SSRS, DCSSI, Nov. 2006
EBIOS, Référentiel de compétences, Nov. 2004
EBIOS, Section 1 – Introduction, DCSSI, Fév. 2004
EBIOS, Section 2 – Démarche, DCSSI, Fév. 2004
EBIOS, Section 3 – Techniques, DCSSI, Fév. 2004
EBIOS, Section 4 – Outillage pour l’appréciation des risques SSI, DCSSI, Fév.2004
EBIOS, Section 5 – Outillage pour le traitement des risques SSI, DCSSI, Fév. 2004
Elaboration de politiques de sécurité des systèmes d’information, PSSI, Mémento, DCSSI,
Mars 2004.
Guide pour l’élaboration d’une politique de sécurité des systèmes d’information, PSSI, Section
1 – Introduction, DCSSI, Mars 2004.
Guide pour l’élaboration d’une politique de sécurité des systèmes d’information, PSSI, Section
2 – Méthodologie, DCSSI, Mars 2004.
Guide pour l’élaboration d’une politique de sécurité des systèmes d’information, PSSI, Section
3 – Principes de sécurité, DCSSI, Mars 2004.
Guide pour l’élaboration d’une politique de sécurité des systèmes d’information, PSSI, Section
4 – Références SSI, DCSSI, Mars 2004.
Elaboration de Tableaux de bord SSI, Mémento, DCSSI, Fév. 2004
Elaboration de tableaux de bord SSI, Section 1 – Méthodologie, DCSSI, Fév. 2004
Elaboration de tableaux de bord SSI, Section 2 – Exemple d’application, DCSSI, Fév. 2004
Elaboration de tableaux de bord SSI, Section 3 – Proformae, DCSSI, Fév. 2004
116
Maturité SSI, Approche méthodologique, DCSSI, Nov. 2007
Cobit
GEORGEL, F., IT Gouvernance – Maîtrise d’un système d’information, DUNOD.
RIKHARDSSON, P., BEST, P., GREEN, P., ROSEMAN, M., Business Process Risk Management
Compliance and Internal Control : a research Agenda, 2006.
HARDY, G., CoBIT Guidance for Service Managers, CoBIT Focus, Avril 2009.
HESCHL, J., The need for CoBIT Mappings, CoBIT Focus, Avril 2009
HAWKINS, K .W., ALHAJJAJ, S., KELLEY, S.S., Using CoBit to secure information assets, The
Journal of Governement Financial management, Eté 2003, Vol. 52, Iss. 2, p.22.
ITIL
CHAMFRAULT, T. & DURAND, C., “ITIL et la Gestion des Services”, DUNOD, 2006.
HAYES, J., have data ? will travel, IT Security, Engineering & Technology, 6-19 Sept. 2008.
BAER, ., ITIL adopts a service mentality, Manufacturing Business Technology, Mars 2008.
LUMMP, T., From high availability and disaster recovery to business continuity solutions, IBM
Systems Journaln, Vol. 47, No. 4, 2008.
ANTHES, G., ITIL catches on, Computer World, Oct. 31, 2005.
THIBODEAU, P., ITIL Update to Cover Security, Outsourcing, Computer World, Fév. 5, 2007.
ITIL Implementation Trending up, but adoption may slow, Computer Economics Report, Mars
2009.
FORTE, D., Security standardization in incident management : the ITIL approach, network
Security, Janvier 2007.
ISO
ISO 27001 / ISO 27002 / ISO 27003 / ISO 27004 / ISO 27005
FERNANDEZ-TORO, A., “Management de la sécurité de l’information – Implémentation ISO
27001”, EYROLLES, 2007.
FREEMAN, F., Holistic Information security : ISO27001 and Due Care, Information Systems
Security, p. 291-294, No. 16, 2007
LACHAPELLE, E., SAINT-GERMAIN, R., Bonnes pratiques pour gestion de la sécurité de
l’information – Livre Blanc.
117
ISO 27001 – le nouveau nirvana de la sécurité ?, SOLUCOM, Oct. 2008.
KU, C., CHANG, Y., DAVID, Y., National information security policy and its implementation : a
case study in Taiwan, Telecommunications Policy, 2009.
McGEE, A., BASTRY, F., CHANDRASHEKHAR, U., VASIREDDY, S., FLYNN, L., Using the Bell Labs
Security framework to enhance the ISO 17799/27001 Information Security management
system, Bell Labs Technical Journal, No. 12, p. 39-54, 2007.
SGDN
Outils communs de diffusion de l’intelligence économique, SGDN, HRIE.
COMPARATIFS (articles traitant d’une ou plusieurs normes à titre comparatifs)
STRAUSS, J., Risk IT et ISO 2700x, complémentarité ou concurrence ?, CLUB ISO 27001,
ALTRAN, Juin 2009.
NELSON, A., Building a governance foundation, BASELINE MAG, Déc. 2008.
HARRELL, K., LAMBO, T., Combining Information technology Standards ton Strengthen
Network Security, CoBIT Focus, Juil. 2008.
WINNIFORD, M., CONGER, S., ERICKSON-HARRIS, L., Confusion in the ranks : IT Service
Management Practice and terminology, Information Systems Management, No. 26, p.153-
163.
WILLSON, P. POLLARD, C., Exploring IT Governance in theory and Practice in a Large Multi-
national Organisation in Australia, Information Systems Management, No. 26, p. 98-109.
BRADBURY, D., Understanding Governance, BACKBONE, Mai-Juin 2008.
ROBINSON, N., IT excellence starts with governance, JOURNAL OF INVESTMENT
COMPLIANCE, VOL. 6 NO. 3, p. 45-49, 2005.
VIOLINO, B., IT framewoks demystified, Fév. 2005.
SIPONEN, M., WILLISON, R., Information security management standards : problems and
solutions, Information and management, No. 46, p. 267-270, 2009.
ALBRECHTSEN, E., HOUDEN, J., The Information security digital divide between informations
security managers and users, Science Direct, Computer Security, No. 28, p. 476-490, 2009.
VIOLINO, B., Sorting the standards, Computer World, Avril 2006.
Gheorghe, Mirela,IT Governance Principles, Journal of Accounting and Management
Information Systems, No.18/2006, pp. 86-102
118
Ozcelik, Yasin and Rees, Jackie, A New Approach for Information Security Risk Assessment:
Value at Risk, Purdue University, Mai 2005.
Glaser, Timo and Pallas, Frank ,Information Security and Knowledge Management: Solutions
Through Analogies, September 12, 2007.
Kumar, Vineet, Telang, Rahul and Mukhopadhyay, Tridas,Optimal Information Security
Architecture for the Enterprise(January 1, 2008)
SOLMS, B. SOLMS, B., From information security to…business security ?, Computers &
Security, n°25, p. 271-273.
SOLSM, B., Information Security Governance : CoBIT or ISO17799 or both ?, Computers &
Secuirty, N°24, p.99-104
IT Governance Institute, « Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business
Benefit », ITGI, 2008.
