La sécurité de l’information, d’un point de vue universitaire, est la science qui explore les théories et les stratégies pour protéger l’information contre les risques qui la menacent et les activités qui peuvent la violer. D’un point de vue technique, il s’agit des moyens, des outils et des procédures nécessaires pour assurer la protection des informations contre les menaces internes et externes. Sur le plan juridique, la sécurité de l’information fait l’objet d’études et de mesures visant à protéger la confidentialité, l’intégrité et la disponibilité de l’information, ainsi qu’à lutter contre les activités qui violent ou exploitent les systèmes pour commettre des crimes. C’est l’objectif et le but des lois conçues pour protéger les informations contre les activités illégales et non autorisées ciblant l’information et ses systèmes (crimes informatiques et Internet).

Le terme « sécurité de l’information » a été utilisé bien avant l’avènement des outils informatiques, mais il a trouvé son usage pratique et courant dans le domaine du traitement et de la transmission des données via des outils informatiques et de communication. À mesure que les moyens technologiques de traitement, de stockage et d’échange de données se sont répandus, en particulier par le biais des réseaux d’information, et plus particulièrement d’Internet, la recherche et les études sur la sécurité de l’information se sont considérablement développées dans divers domaines des technologies de l’information, devenant peut-être l’une des principales préoccupations de différentes entités.

Qu’est-ce que nous protégeons, de manière générale, en matière d’information ?

(Éléments de la sécurité de l’information)

Les objectifs de la recherche, des stratégies et des moyens de sécurité de l’information, qu’ils soient techniques ou procéduraux, ainsi que l’objectif des mesures législatives dans ce domaine, visent à assurer la disponibilité des éléments suivants pour toute information nécessitant une protection adéquate :

  1. Confidentialité: Cela signifie qu’il faut s’assurer que les renseignements ne sont pas divulgués ou que des personnes non autorisées n’y ont pas accès.
  2. Intégrité: Il s’agit de s’assurer que le contenu de l’information est exact, qu’il n’a pas été altéré ou altéré, et notamment que le contenu ne sera pas détruit ou modifié à quelque étape que ce soit du traitement ou de l’échange, que ce soit lors du traitement interne de l’information ou par des interventions non autorisées.
  3. Disponibilité: Il s’agit d’assurer le fonctionnement continu du système d’information et la capacité d’interagir avec les informations et de fournir des services sans que les utilisateurs ne soient empêchés d’y accéder ou de les utiliser.
  4. Non-répudiation : Cela signifie qu’il faut s’assurer que les personnes qui ont effectué des actions liées à l’information ou à ses sites ne peuvent pas nier qu’elles ont exécuté ces actions, ce qui permet de prouver qu’une action a été effectuée par une personne spécifique à un moment donné.

Tous les types d’informations nécessitent-ils les mêmes éléments de protection ?

(Principes du Plan de protection de l’information)

La garantie de tout ou partie des éléments de la sécurité de l’information dépend des informations protégées et de leurs usages ainsi que des services qui y sont liés. Tous les renseignements n’exigent pas la confidentialité ou l’assurance de non-divulgation ; Toutes les informations d’une même entité n’ont pas la même importance en ce qui concerne l’accès ou la protection contre la falsification. Par conséquent, les plans de sécurité de l’information commencent par répondre à une série de questions séquentielles :

Première question : Que voulons-nous protéger ? La réponse à cette question détermine la classification des données et des informations en termes de nécessité de protection, car les informations sont classifiées en fonction de chaque cas spécifique, allant des informations ne nécessitant aucune protection aux informations nécessitant une sécurité maximale.

Deuxième question : Quels sont les risques nécessitant une telle protection ? Le processus d’identification des risques commence par l’analyse de toute menace susceptible d’impacter les informations protégées ou de compromettre leur sécurité, depuis la déconnexion de l’alimentation électrique d’un ordinateur, jusqu’aux potentielles brèches de systèmes externes par un ou plusieurs moyens exploitant les vulnérabilités, y compris l’utilisation abusive des mots de passe des employés. Ces risques sont ensuite classés en listes sur la base de critères de classification, en évaluant les risques en fonction de leur source, de leurs moyens d’exécution, de la finalité de leurs auteurs et de leur impact sur le système de protection et les informations en jeu. Nous y reviendrons plus en détail plus tard. Une fois cette classification terminée, nous passons à la question suivante.

Troisième question : Comment allons-nous protéger ce que nous souhaitons protéger contre les risques identifiés ? Dans ce domaine, chaque entité dispose de méthodes spécifiques pour se protéger contre les risques spécifiés, dans le cadre des exigences spécifiques identifiées en matière de protection de l’information, de ses ressources financières disponibles et du budget alloué aux mesures de sécurité. Les procédures de sécurité ne doivent pas être inefficaces, mais elles ne doivent pas non plus être excessives au point d’affecter négativement les performances du système. Par exemple, si quelqu’un voulait mettre l’argent en sécurité dans sa maison, il serait raisonnable de le placer dans un coffre-fort et de renforcer les fenêtres avec des barres métalliques ou d’installer une alarme contre toute intrusion, alors que ces trois mesures seraient un moyen acceptable de se protéger contre le vol. Cependant, il ne serait ni logique ni raisonnable pour cette personne de protéger son argent en employant des gardes chez elle, en installant des décharges électriques sur les clôtures, en renforçant les portes et les fenêtres avec des barres métalliques et en ajoutant des alarmes pour chaque point de sa maison. Si nous sommes entrés et que nous avons trouvé des caméras de surveillance à chaque point, en découvrant que l’accès à la pièce contenant le coffre-fort nécessitait de surmonter des mesures d’identification spécifiques comme une carte d’identité ou un code PIN, et en entrant dans la pièce, nous avons observé qu’il ne s’agissait pas d’un coffre-fort ordinaire, mais d’une armoire de rangement complexe nécessitant plusieurs clés ou combinaisons. Il serait évident qu’une telle protection serait excessive et contre-productive.

Ce type de sécurité est inacceptable, car il complique le processus d’accès à son argent, ce qui peut l’amener à négliger toutes ces mesures de sécurité, ce qui la rend plus vulnérable au vol que les autres. C’est ce que nous appelons l’incidence sur l’efficience et l’efficacité du rendement. Dans un environnement d’information, il est naturel d’utiliser un mot de passe pour accéder à des fichiers importants ou à l’ensemble du système d’un ordinateur personnel et de ne pas partager ce mot de passe avec qui que ce soit, en plus d’avoir un ou plusieurs programmes pour lutter contre les logiciels malveillants nuisibles, tout en adoptant des mesures de sécurité raisonnables pour l’accès à Internet et en vérifiant la source des e-mails, par exemple. Si l’ordinateur fait partie d’une organisation et contient des données importantes classées confidentielles, des mesures de sécurité supplémentaires peuvent être requises ; Par exemple, le système doit inclure des pare-feu qui limitent l’accès externe et empêchent les attaques organisées sur le système ou le site d’information. Si le système échange des courriels avec des données à risque d’exposition, des techniques de cryptage appropriées doivent être appliquées. À l’inverse, il serait déraisonnable d’installer plusieurs types de pare-feu sur un ordinateur autonome non connecté à un réseau public, ou d’exiger plusieurs méthodes d’identification (comme le mot de passe, les scans biométriques et la reconnaissance vocale) pour accéder à un site Web, en imposant un nombre excessif de filtres, de pare-feu et de cryptage à long terme sur toutes les données présentes et échangées par son intermédiaire. De même, un site sécurisé contenant des données hautement confidentielles ne peut pas simplement s’appuyer sur un mot de passe pour accéder au système. Cela souligne que les mesures de sécurité doivent provenir des besoins de sécurité appropriés ; Ainsi, s’ils dépassent leurs limites, ils ont un impact négatif sur les performances, entraînant des opérations de site ou de système lentes et inefficaces, et s’ils n’atteignent pas les niveaux requis, les points de vulnérabilité augmentent, ce qui les rend plus vulnérables aux violations internes et externes.

Enquête finale : Que faire si des risques identifiés se matérialisent malgré les mesures de sécurité ? La réponse à cette question implique la planification de l’intervention en cas de catastrophe, qui comprend des étapes successives, en commençant par les procédures techniques, administratives, informatives et juridiques nécessaires dès l’événement, en passant à une phase d’analyse visant à évaluer la nature des risques survenus, leurs causes et la façon de prévenir les événements futurs. Enfin, des procédures de récupération sont mises en œuvre pour revenir à l’état pré-risque, en assurant l’exécution des actions mises en évidence par l’analyse pour éviter la récurrence du risque.

Ainsi, bien que certains éléments d’information, tels que ceux liés à la sécurité nationale et aux secrets militaires, nécessitent la plus grande attention aux éléments de confidentialité et d’intégrité, dans les contextes bancaires, il est également nécessaire de donner la priorité à l’élément de disponibilité de manière égale au sein du système lui-même. Dans les cas où les banques opèrent dans le domaine de la banque électronique ou des services à distance, le facteur de non-répudiation a la même importance que d’autres éléments. Pour les sites web, la priorisation de la composante disponibilité devient essentielle, tandis que les sites e-commerce nécessitent une attention équilibrée sur les quatre éléments, en garantissant la confidentialité, notamment en ce qui concerne les données des clients telles que les numéros de carte de crédit, ainsi que l’intégrité et la sécurité des données échangées par e-mail entre le client et le site, en veillant à ce que les bons de commande ne soient pas sujets à des altérations ou à des déformations, tout en garantissant la continuité des services du Site et en permettant l’accès au Client à tout moment pendant la navigation et l’achat, ou à tout moment où il souhaite entrer sur le Site. Il est également crucial de s’assurer que le client ne nie pas que l’action qu’il a effectuée sur le site (comme effectuer un achat) a bien été menée par lui, ni que le site ne peut nier ses relations contractuelles avec le client concernant une question donnée.

Où vont les risques et les attaques dans l’environnement de l’information ?

Les risques et les attaques dans l’environnement de l’information ciblent quatre composants essentiels qui constituent les technologies de l’information dans leurs manifestations les plus modernes :

  1. Dispositifs: Ceux-ci englobent tous les équipements et outils physiques qui forment les systèmes, tels que les moniteurs, les imprimantes, les composants internes, les supports de stockage physiques, etc.
  2. Logiciel: Cela inclut les commandes disposées dans un ordre spécifique pour accomplir des tâches, qui peuvent être indépendantes du système ou stockées dans celui-ci.
  3. Données: Souvent désignées comme l’élément vital des systèmes, les données feront également l’objet de crimes informatiques, comme nous le verrons. Il comprend toutes les données d’entrée et les informations extraites après traitement et, au sens large, englobe les logiciels stockés dans les systèmes. Les données peuvent être en cours d’entrée, de sortie, de stockage ou d’échange entre systèmes via des réseaux, et elles peuvent être stockées au sein de systèmes ou sur des supports de stockage externes.
  4. Communications: Il s’agit des réseaux de communication qui connectent les appareils technologiques à l’échelle locale, régionale et internationale, offrant des possibilités de violation des systèmes et constituant une véritable source de risque en soi.

Le point central du risque est l’élément humain, qu’il s’agisse de l’utilisateur ou de la personne à qui l’on a confié des tâches techniques spécifiques liées au système. La prise de conscience de cette personne quant aux limites de son autorité, sa compréhension des mécanismes de gestion des risques et l’intégrité de la surveillance de ses activités tout en respectant ses droits légaux sont des questions cruciales qu’un système de sécurité complet aborde, particulièrement dans un environnement de travail basé sur des systèmes informatiques et des bases de données.

Quels sont les principaux processus d’information liés à la sécurité de l’information ?

Les processus liés au traitement de l’information dans l’environnement des systèmes, aux technologies de traitement, à la communication et à l’échange de données sont nombreux. Cependant, les principaux processus suivants peuvent généralement être identifiés :

Classification de l’information : Il s’agit d’un processus fondamental dans la construction de tout système ou dans toute activité liée à l’information. Les classifications peuvent varier en fonction de l’organisme en question. Par exemple, les renseignements peuvent être classifiés comme accessibles, fiables, confidentiels ou hautement confidentiels, ou il peut s’agir d’informations accessibles au public ou d’informations dont l’accès est interdit.

Documentation: Les processus d’information nécessitent fondamentalement une approche systématique de la documentation linéaire de la construction du système et de tous les moyens de traitement, d’échanges et de leurs composants. En général, la documentation est nécessaire pour les systèmes d’identification et d’autorisation, la classification de l’information et les systèmes d’application. Dans le cadre de la sécurité, la documentation exige que les stratégies ou les politiques de sécurité soient consignées par écrit, y compris une documentation complète de leurs procédures et composantes, ainsi que des plans de gestion des risques et des incidents, des parties responsables et de leurs responsabilités, des plans de rétablissement, des plans de gestion de crise et des plans d’urgence liés au système lors d’un incident.

Responsabilités administratives et du personnel : Les tâches des personnes liées au système de sécurité de l’information commencent par la sélection minutieuse de personnes qualifiées qui possèdent des connaissances théoriques et pratiques approfondies. Il est essentiel que les qualifications pratiques impliquent une formation continue et ne reposent pas uniquement sur les connaissances et l’expérience existantes au moment de l’embauche. D’une manière générale, les responsabilités administratives ou organisationnelles se composent de cinq éléments ou groupes principaux : l’analyse des risques, l’établissement d’une politique ou d’une stratégie, l’élaboration de plans de sécurité, le cadre technique de sécurité – l’utilisation de dispositifs et, enfin, l’exécution de plans et de politiques. Il est important de noter que le succès des tâches administratives ou collectives au sein d’une organisation repose sur la compréhension par tout le personnel de direction (en ce qui concerne leurs tâches techniques, administratives et financières) des stratégies, des plans et des responsabilités en matière de sécurité, ce qui permet à tous les acteurs concernés de bien connaître les questions de sécurité et de les gérer. Au niveau personnel ou de l’utilisateur, les institutions doivent fournir des lignes directrices suffisantes pour assurer une sensibilisation complète et précise aux questions de sécurité. De plus, il est essentiel de cultiver une culture de sécurité parmi les employés qui équilibre l’utilisation éthique de la technologie avec les attentes d’une action immédiate en cas de constatation d’une anomalie. Les institutions devraient spécifier clairement ce que les utilisateurs sont tenus de faire et, surtout, ce qu’il leur est interdit de faire lorsqu’ils utilisent divers moyens technologiques.

Identification et autorisation : L’accès aux systèmes informatiques, aux bases de données et aux sites d’information peut être restreint par divers moyens de vérification de l’identité de l’utilisateur et de détermination de la portée d’utilisation, connus sous le nom de systèmes d’identification et d’autorisation. L’identification ou l’identité comporte deux étapes : la première est la méthode d’identification de l’utilisateur, et la seconde est l’acceptation de cette méthode d’identification, appelée vérification de l’authenticité de l’identité fournie. Les méthodes d’identification varient en fonction de la technologie utilisée, et elles constituent également des moyens de sécurité pour accéder à des informations ou à des services dans divers secteurs de systèmes, de réseaux ou de commerce électronique. En général, ces méthodes se répartissent en trois catégories :

  1. Quelque chose que la personne possède, comme une carte en plastique.
  2. Quelque chose que la personne connaît, comme des mots de passe, des codes ou des codes PIN.
  3. Quelque chose d’inhérent à l’individu, comme les empreintes digitales, les scans de la rétine, la reconnaissance vocale, etc.

Les moyens d’identification et de vérification les plus efficaces combinent toutes ces méthodes d’une manière qui ne compromet pas la facilité et l’efficacité de l’identification. Quelle que soit la méthode d’identification suivie par l’authentification du système, celui-ci doit être conforme à un cadre de sécurité et à des directives qui doivent être respectées. Par exemple, les mots de passe, qui sont la méthode la plus courante, nécessitent une politique bien pensée concernant leur longueur, leur complexité, l’évitement des mots faciles à deviner et le respect des règles contre la divulgation et l’accès non autorisé. Une fois que des méthodes d’identification appropriées sont mises en œuvre pour permettre l’accès au système, et une fois que la vérification et la correspondance de l’identité ont été confirmées, l’étape suivante consiste à déterminer la portée de l’utilisation, connue sous le nom d’autorisation, qui se rapporte aux autorisations accordées pour accéder à certains segments d’informations au sein du système. Cette question concerne les systèmes de contrôle d’accès (voir point 5).

Exploitation forestière: Différents types d’ordinateurs conservent des journaux qui révèlent l’utilisation de l’appareil et du logiciel, appelés journaux de performances ou journaux d’accès. Ces journaux de performances sont particulièrement importants dans les scénarios avec plusieurs utilisateurs, en particulier dans les réseaux où les composants peuvent être utilisés par plus d’une personne. Dans ces réseaux d’utilisateurs, il existe plusieurs types de journaux de documentation sur les performances et l’utilisation, qui diffèrent par leur type, leur nature et leur objectif. Il peut s’agir d’historiques ou temporaires, de journaux d’échange, de journaux système, de journaux de sécurité, de journaux de bases de données et d’applications, de journaux de maintenance ou de questions techniques. En règle générale, les journaux de performance doivent spécifier l’identité de l’utilisateur, l’heure d’utilisation, l’emplacement, la nature de l’utilisation (contenu) et toute information supplémentaire pertinente à l’activité.

Processus de sauvegarde : Les procédures de sauvegarde impliquent la création de copies supplémentaires des documents stockés sur l’un des supports de stockage, que ce soit à l’intérieur ou à l’extérieur du système. Les processus de sauvegarde doivent respecter des règles prédéterminées, documentées et écrites, afin d’assurer l’uniformité des normes de stockage et la protection des copies de sauvegarde. Les principales questions à prendre en considération comprennent le calendrier de sauvegarde, le stockage sécurisé des copies, les systèmes de numérotation et d’indexation, les méthodes de récupération et d’utilisation, la sécurité des lieux de stockage et le cryptage des copies contenant des données sensibles ou confidentielles.

Moyens techniques de sécurité et systèmes de prévention des intrusions :
Les moyens techniques de sécurité à utiliser dans les environnements informatiques et Internet sont nombreux, tout comme leurs objectifs et domaines d’application. Nous avons précédemment abordé les questions d’identification et d’autorisation, en particulier les mots de passe et autres méthodes d’identification. Les pare-feux, en plus de la cryptographie, des systèmes de contrôle d’accès, des systèmes de détection d’intrusion (IDS) et des logiciels antivirus, revêtent une importance croissante. Cependant, ils ne représentent pas toutes les mesures de sécurité disponibles ; ils complètent plutôt les méthodes d’identification et d’authentification avancées déjà discutées, en constituant certaines des approches techniques de sécurité contemporaines les plus importantes. Nous aborderons ces moyens autant que possible, en notant les principaux problèmes basés sur les directives de sécurité reconnues internationalement et les normes dominantes dans l’élément 1-5 de ce chapitre.

Système de gestion des incidents :
Quelle que soit l’étendue des moyens de sécurité techniques utilisés, des normes et des procédures de sécurité mises en œuvre, il doit exister un système complet pour gérer les risques, incidents et attaques, essentiel pour les organisations, en particulier les banques et les institutions financières. Le premier point à reconnaître dans ce contexte est que la gestion des incidents est un processus, et non un simple projet ou une étape unique. Cela signifie qu’il s’agit d’un processus intégré reliant une performance continue soumise à des règles prédéfinies suivies strictement avec discipline. Lorsque les incidents sont traités comme de simples événements survenus au cours des opérations, cela reflète une défaillance qui traduit une faiblesse dans le système de sécurité. Les composantes, étapes et démarches d’un système de gestion des incidents varient d’une organisation à une autre, selon divers facteurs liés à la nature des risques identifiés à travers l’analyse des risques et à ce que la stratégie de sécurité établie a révélé. Cela dépend aussi du système en question, qu’il s’agisse de systèmes informatiques fermés ou ouverts, de bases de données, de réseaux, ou d’une combinaison de ceux-ci. De plus, cela peut varier selon que nous parlons d’un système de service particulier ou de services publics via le réseau, qu’ils soient locaux ou internationaux, et selon la fonction de l’application en question. Par exemple, les étapes et contenus des plans de gestion des incidents pour les banques en ligne diffèrent de ceux des sites web informatifs. Cependant, les systèmes de gestion des incidents comprennent généralement six étapes de manière séquentielle : préparation, enquête et surveillance, confinement et éradication, récupération et retour à l’état normal, et suivi.

Quels sont les risques, menaces, vulnérabilités, types d’attaques et leurs méthodes techniques ?

3-1 Concepts et terminologie :

Les frontières entre crime et actes immoraux semblent floues dans l’environnement informatique et Internet. Distinguer et réguler ces frontières est essentiel pour déterminer quand un acte peut être considéré comme un crime parmi les crimes informatiques et Internet ou simplement un abus sans intention criminelle. Cette question a suscité un large débat des années 1960 au milieu des années 1970, coïncidant avec l’essor des crimes informatiques. Ce débat a resurgi avec la prolifération de l’Internet et les nouvelles activités qu’il a introduites, avec des désaccords constants sur la question de savoir si ces activités sont des crimes ou simplement des pratiques contraires à l’éthique qui ne s’élèvent pas au niveau de crime.

Par exemple, il y a aujourd’hui un débat considérable sur la question de savoir si les publicités par courriel non sollicitées envoyées en masse aux utilisateurs peuvent être classées comme une pratique répréhensible ou un acte justifiant la responsabilité. À mesure que ce phénomène a pris de l’ampleur, il a été exploité dans de nombreux cas pour envoyer des milliers de messages à un système spécifique à un moment donné, dans le but de perturber ses opérations et de provoquer une attaque par déni de service, puis de prétendre que l’acte n’était qu’une erreur de réexpédition de messages publicitaires précédemment envoyés. Compte tenu des nombreux problèmes connexes menaçant la vie privée et l’intégrité de l’utilisation des systèmes, les législateurs de divers pays se sont retrouvés obligés de réévaluer leur position sur les courriels et le spam. Cette réévaluation a conduit à une série de mesures législatives proposées dans les pays occidentaux, y compris les États-Unis et l’Union européenne, pour réguler les questions relatives aux courriels et contrer les manifestations négatives et les activités illicites liées à ce phénomène. Cependant, un débat persiste pour savoir si ces activités constituent des crimes ou si elles sont des comportements qui, bien que non acceptables sur le plan éthique ou professionnel, ne constituent pas des actes criminels.

Menaces : Cela désigne un danger potentiel auquel un système peut être confronté, incluant des individus (tels que des espions, criminels professionnels, ou hackers), des éléments menaçant des dispositifs, des logiciels ou des données, ou des événements tels que des incendies, des pannes de courant ou des catastrophes naturelles.

Vulnérabilités : Cela fait référence à un élément, un point ou un emplacement dans un système susceptible d’être exploité par un attaquant, permettant une intrusion. Par exemple, les individus utilisant le système pourraient être une vulnérabilité si leur formation pour utiliser et protéger le système est inadéquate. Une connexion Internet pourrait également constituer une vulnérabilité, notamment si elle n’est pas cryptée. De plus, l’emplacement physique d’un système pourrait être une faiblesse s’il manque de mesures de sécurité et de protection. En général, les vulnérabilités sont les forces motrices derrière les menaces ou les risques. Ce terme est lié au concept de contre-mesures, qui désigne les techniques utilisées pour protéger le système, comme les mots de passe, les serrures, les outils de surveillance, les pare-feu, etc.

Risques : Ce terme est souvent utilisé de manière interchangeable avec « menace », bien qu’il fasse en réalité référence à l’impact des menaces lorsqu’elles se produisent. Une stratégie de sécurité de l’information réussie est basée sur l’analyse des risques ; ce processus est continu et non un plan limité. Il commence par des questions sur les menaces, puis sur les vulnérabilités, et enfin sur les contre-mesures appropriées pour répondre à ces menaces et prévenir les vulnérabilités.

Incidents : Ce terme englobe les risques et les erreurs, en faisant référence à des actions intentionnelles et non intentionnelles dans le contexte des études de sécurité de l’information technique. Il inclut les attaques et les erreurs techniques. Cependant, la définition précise de ce concept dans les cadres de gestion de la performance et juridiques doit inclure les incidents non intentionnels, pouvant provenir de risques naturels sans facteurs intentionnels, ou d’erreurs techniques non intentionnelles.

Attaques : Ce terme décrit les assauts basés sur leurs résultats ou leurs cibles. Par exemple, on parle d’attaques par déni de service, d’attaques terroristes, d’attaques logicielles, d’attaques d’employés malveillants, ou d’attaques de falsification. Le terme « violation » est souvent utilisé de manière interchangeable avec les attaques, décrivant diverses formes d’assauts techniques, le rendant ainsi synonyme d’assaut.

Détermination des risques, vulnérabilités, et types d’assauts techniques :
Ainsi, après avoir défini les points d’attaque dans l’environnement électronique (section 1-3) et clarifié certains concepts liés aux risques et aux assauts, la question se pose : Quels sont les risques, vulnérabilités de sécurité et modèles d’assauts auxquels est confrontée la technologie de l’information ? Ces risques sont-ils uniformes ou varient-ils en fonction de la technologie, des usages et des objectifs ?

Fait 1 : Il faut d’abord comprendre qu’un ordinateur entièrement sécurisé est simplement un ordinateur qui n’a pas encore été connecté à une source d’alimentation, reste dans sa boîte, et n’a pas encore été utilisé. Une fois qu’un ordinateur est mis en service, les risques émergent, allant des dangers traditionnels auxquels est confronté tout bien mobile aux risques spécifiques associés à la nature et aux fonctions de cet appareil, qui peuvent également inclure des risques où l’appareil lui-même devient une source de danger pour les intérêts et les droits des autres.

Fait 2 : Discuter des risques, des vulnérabilités de sécurité et des modèles d’attaques techniques n’est pas une description des modèles de criminalité informatique et sur Internet (voir le chapitre 2). Par exemple, le crime de destruction de données implique intrinsèquement plusieurs types de risques et est lié à différents modèles d’attaques techniques découlant de diverses vulnérabilités de sécurité. Bien que les virus soient un moyen courant d’attaquer les données, la destruction des données peut également se produire par de nombreux autres moyens et diverses techniques qui atteignent le même objectif ou peuvent même être physiquement réalisées par des activités destructrices. Par conséquent, les discussions sur les risques se recoupent souvent lorsque nous parlons de crimes et que nous cherchons à les définir et à les identifier. Cette intersection ne doit pas nous conduire à la confusion. Par exemple, un crime d’accès non autorisé ou d’intrusion implique de nombreux types de risques et d’agressions, portant souvent le même nom, tels que l’accès non autorisé à un réseau ou l’accès non autorisé à un système informatique, etc. Par conséquent, dans le chapitre 2, nous aborderons les modèles de crimes informatiques et sur Internet, leurs réalités, l’ampleur du phénomène et les tendances des pertes et des dommages qui en résultent. Cependant, nous nous concentrerons ici sur les types d’attaques, leurs méthodes techniques, les risques et les vulnérabilités techniques. En lisant ces risques et méthodes ainsi que les modèles de criminalité, nous formons une image complète de l’identification des risques de sécurité de l’information, des vulnérabilités et de la nature des agressions.

Fait 3 : Chaque jour dernier, de nouvelles menaces apparaissent dans le domaine des failles de sécurité. Nous sommes confrontés quotidiennement à de nouvelles technologies, à de nouveaux logiciels et à de nouveaux protocoles. Chaque jour, un programmeur innove dans le domaine de l’informatique et d’Internet, ce qui donne lieu soit à des innovations positives qui profitent à l’humanité sous des applications positives de la créativité intellectuelle, soit à des innovations négatives qui sont exploitées à des fins illégales, commettent des actes criminels ou adoptent un comportement moralement répréhensible. Ainsi, l’identification des risques, des vulnérabilités et des agressions est un processus continu, qui évolue jour après jour, distinguant les différents plans de sécurité les uns des autres.

Fait 4 : Il existe une définition des risques en fonction des moyens, de la nature de l’information et du cas d’usage. De même, il existe une définition des vulnérabilités de sécurité basée sur l’environnement et la technologie considérée. La vérité principale est qu’aucun auteur, chercheur ou référence ne fournit une liste exhaustive des risques, des agressions et des vulnérabilités de protection, car cela nécessiterait une connaissance approfondie de tous les moyens technologiques et de leurs utilisations, sans parler d’imaginer ce qui ne peut être conçu en termes de motifs et de forces motrices derrière les attaques englobant un large éventail d’individus, des criminels hautement qualifiés aux novices. y compris des amateurs, des experts et des personnes mal intentionnées, ainsi que des individus bien intentionnés et des espions ostracisés par la société aux côtés d’autres se faisant passer pour des héros populaires comme Robin des Bois.

En conséquence, sur la base des faits et des concepts susmentionnés, les théories et les mécanismes d’identification des listes de risques et d’agressions varient en fonction de la théorie de la classification et de son fondement. Il s’agit de théories et de critères différents qui peuvent faire en sorte que la liste des risques diffère en termes d’ampleur et de portée, parfois en ne différant que par la terminologie tout en couvrant les mêmes risques.

3-2-1 Classification des attaques en fonction des zones et des points de protection :

Dans le domaine technique, nous devons protéger, et nous devons protéger, l’environnement physique entourant les appareils et les systèmes, ce que l’on appelle la sécurité physique. Cet environnement est la cible de certains types d’agressions et de risques. Les organisations doivent se protéger contre les risques associés aux employés ; Ainsi, il y a des agressions liées aux affaires des employés et des individus, des agressions concernant les données elles-mêmes et les systèmes qui y accèdent, et enfin, des agressions liées au fonctionnement du système. Cette classification, endossée par un large secteur d’experts techniques ou de chercheurs dans le domaine de la sécurité de l’information, ne représente pas une définition précise, bien qu’elle soit particulièrement inclusive puisqu’une seule agression peut trouver sa place dans une ou plusieurs de ces classifications. Généralement, les risques et les agressions sont classés selon cette vision comme suit :

Premièrement : Atteintes à la sécurité physique :

  • Plongée dans les bennes à ordures : Fait référence aux attaquants qui fouillent la corbeille et les matériaux restants d’une organisation à la recherche de tout ce qui peut aider à pénétrer dans le système, comme des documents avec des mots de passe, des sorties informatiques pouvant contenir des informations utiles, des disques durs mis au rebut ou des documents écrits, des disques, des notes ou tout ce qui révèle des informations contribuant à la violation. Pour comprendre les risques associés aux déchets technologiques, il convient de noter que le ministère américain de la Justice a déjà vendu des déchets d’appareils techniques après avoir décidé de s’en débarrasser, ce qui comprenait un système informatique doté d’un disque dur contenant toutes les adresses liées à un programme de protection des témoins. Bien que ces informations n’aient pas été exploitées, le risque de révéler ces adresses a nécessité la réinstallation de tous les témoins et le changement de leur lieu de résidence et d’identité, ce qui a entraîné des coûts considérables simplement en raison de l’incapacité à disposer correctement des disques.
  • Écoutes téléphoniques: Il s’agit simplement d’un accès physique au réseau ou de connexions système pour l’écoute clandestine ou le vol de données transmises par câbles, effectué par des méthodes simples ou complexes selon le type de réseau et les connexions physiques.
  • Espionnage des émanations : Réalisé à l’aide de dispositifs techniques pour capturer les ondes émises par divers types de systèmes, tels que la capture d’ondes optiques d’écrans d’ordinateur ou d’ondes audio d’appareils de communication.
  • Déni ou dégradation du service : Fait référence à l’endommagement physique du système pour empêcher la fourniture de services. Par exemple, dans le domaine d’Internet, cela peut impliquer diverses techniques telles que l’inondation du système avec des messages électroniques pour le désactiver.

Deuxièmement : Infractions à la sécurité du personnel :

Les risques concernant le personnel et les employés, en particulier les risques internes, sont un domaine d’intérêt majeur pour les entités de sécurité de l’information, car les individus de l’intérieur ont le potentiel de réaliser ce qui ne peut théoriquement pas être accompli de l’extérieur. Le défi de la détection de ces individus demeure sans un système de performance et d’autorisation permettant un suivi. En général, il existe différents noms et catégories pour ces risques, que nous allons passer en revue ici. Il est important de noter que ces risques englobent à la fois les menaces internes et externes. Avant d’en discuter en détail, il peut être utile de fournir une liste de sites Web notables et de mesures efficaces pour traiter les risques internes.

Masquerading: Fait référence à un accès non autorisé au système à l’aide d’identifiants d’identification appartenant à un utilisateur autorisé, par exemple en exploitant le mot de passe et le nom d’un utilisateur ou en exploitant les privilèges d’un utilisateur autorisé. Bien que ce type d’atteinte soit courant dans les environnements organisationnels internes et externes, sa classification dans la catégorie des atteintes liées au personnel découle de sa fréquence dans les environnements internes en raison d’erreurs commises par les employés dans l’échange de mots de passe et les méthodes d’identification. Cela peut également résulter de l’observation de ces informations d’identification à l’aide de techniques présentes sur le lieu de travail interne qui permettent d’acquérir des mots de passe ou des identifiants.

Ingénierie sociale : Cette méthode relève parfois des protections de sécurité physique et implique la sécurisation d’informations essentielles à la violation par le biais d’interactions sociales en manipulant un individu du système – souvent une personne – pour qu’il fournisse un mot de passe ou des informations facilitant l’attaque. Un exemple simple est celui d’une personne qui contacte un employé et lui demande un mot de passe système sous prétexte qu’elle travaille pour la maintenance, le développement ou d’autres services. La nature personnelle de l’obtention des informations a conduit à la classification de celle-ci dans la catégorie de l’ingénierie sociale.

Harcèlement: Comprend diverses formes de menaces et d’actions dirigées contre des individus, impliquant souvent l’envoi de messages de harcèlement ou de menaces, pouvant conduire à du chantage ou à des farces ennuyeuses. Ce comportement ne se limite pas aux e-mails, mais englobe également les interactions dans les salons de discussion, les actualités en ligne et les bulletins électroniques. Il ne se limite pas à un lieu de travail, mais est présent dans diverses interactions en ligne. Il est important de noter qu’il est souvent considéré comme un problème plus individuel qu’organisationnel, ce qui le classe dans cette classification.

Piratage de logiciels : Il s’agit de copier un logiciel sans autorisation ou de l’utiliser matériellement sans autorisation, ou de l’imiter d’une manière qui enfreint les droits des créateurs. Cette activité relève des attaques contre les logiciels en général et est devenue son secteur à part entière au sein des crimes informatiques, discutés en détail dans le troisième volume de cette série. Cependant, le fait de le classer dans la catégorie des préoccupations relatives au personnel découle d’actions impliquant la copie de logiciels par des individus ou des employés, généralement sur des supports ou des appareils indépendants, pour les partager avec des amis et la famille ou les utiliser dans d’autres environnements de travail.

Troisièmement : Violations de la communication et de la sécurité des données

Cette catégorie fait référence aux activités qui ciblent les données et les logiciels, englobant deux groupes :

Attaques de données

  • Copie non autorisée de données : Ce processus courant implique un accès non autorisé au système, permettant l’appropriation de tous types de données par copie, y compris les informations, les commandes, les logiciels, etc.
  • Analyse du trafic : L’idée ici est que l’attaque se concentre sur l’étude des performances du système pendant les interactions et la surveillance des communications pour identifier les comportements des utilisateurs, les faiblesses, le moment des attaques et d’autres problèmes. Cela relève du concept de surveillance des mouvements du système pour faciliter les attaques.
  • Canaux secrets : Il s’agit pratiquement d’une forme de violation du stockage, où l’attaquant cache des données, des logiciels ou des informations appropriés (comme des numéros de carte de crédit) à des endroits spécifiques du système. Les finalités peuvent varier, y compris la préparation d’une attaque future, la couverture d’une violation antérieure ou simplement le stockage de données illicites.

Attaques logicielles

  • Trappes : Une porte dérobée est une vulnérabilité ou un point d’accès dans un logiciel qui permet à un attaquant d’accéder au système de manière discrète, un peu comme une porte dérobée dans une maison qu’un cambrioleur pourrait utiliser pour entrer.
  • Détournement de session : Cela n’implique pas l’utilisation de méthodes techniques avancées pour saisir les données. Il s’agit plutôt de l’exploitation de la session d’un utilisateur légitime pour observer ou manipuler le système lorsque l’utilisateur est distrait, dans le but de saisir des données ou d’obtenir des informations pour de futures violations ou activités perturbatrices.
  • Attaques par tunneling : À l’origine, le tunneling fait référence à une méthode technique légitime de transfert de données sur des réseaux incompatibles, mais il devient une violation lorsque des paquets de données légitimes sont utilisés pour transporter des données illicites.
  • Attaques de synchronisation : Il s’agit de méthodes techniques complexes pour l’accès non autorisé à des logiciels ou à des données, exploitant le moment de l’exécution d’une attaque en fonction des intervalles de fonctionnement au sein du système. Ils englobent diverses techniques d’exécution d’attaques, telles que les conditions de course et les attaques asynchrones.
  • Code malveillant (par exemple, virus, chevaux de Troie, vers, bombes logiques) : Ces types de logiciels nuisibles exploitent les systèmes pour la destruction, le vol ou des tâches illégales. Ils diffèrent par leurs structures, leurs méthodes de dommages et leurs stratégies d’attaque. Les virus représentent aujourd’hui une forme d’attaque répandue, aggravée par le rôle d’Internet dans la propagation des logiciels malveillants à l’échelle mondiale et causant des pertes massives.

Quatrièmement : Violations de la sécurité des opérations :

Lorsque nous décrivons les risques associés aux opérations de sécurité, nous pouvons en fait être confrontés à tous les types de risques, d’attaques et de violations. Toutefois, d’un point de vue technique étroit, cinq catégories de méthodes sont référencées ici : certaines ciblant les stratégies de connexion au système, d’autres ciblant les systèmes de saisie et de traitement des données, et d’autres classées comme des actes préliminaires visant à accéder non autorisé à divers types de réseaux. Il est nécessaire de mentionner brièvement ces méthodes et violations, en mettant l’accent sur d’autres activités et modalités connexes liées en particulier aux violations de réseau, en clarifiant les vulnérabilités critiques déterminées par des études spécialisées sur la sécurité de l’information.

  • Manipulation des données : Cette attaque vise l’altération des données ou la création de données fictives lors des phases d’entrée ou de sortie, réalisées par le biais de diverses méthodes techniques qui mettent à mal la sécurité des étapes de saisie ou d’extraction des données.
  • Usurpation d’adresse IP : Contrairement à son usage courant, le « spoofing » fait davantage référence à la tromperie et à l’imitation qu’à la dissimulation. Il est associé aux attaques de virus Internet, où un attaquant se fait passer pour un utilisateur autorisé, manipulant l’adresse du paquet de données pour le faire paraître légitime au sein d’un réseau.
  • Reniflage de mot de passe : Auparavant, les violations de mot de passe étaient souvent commises en devinant des mots de passe faciles à retenir, mais aujourd’hui, les logiciels peuvent capturer les mots de passe lorsqu’ils traversent des segments de réseau.
  • Balayage: Cette méthode utilise des logiciels (tels que des numéroteurs) pour générer de manière aléatoire d’éventuels mots de passe ou numéros de téléphone, ce qui augmente les risques d’accès non autorisé.
  • Privilèges excédentaires : Ce concept est lié à une stratégie de sécurité cruciale où les utilisateurs du système ont défini des champs d’utilisation. Cependant, dans la pratique, les privilèges peuvent être étendus sans que vous le sachiez, ce qui entraîne d’importantes atteintes à la sécurité.

Classification des risques en fonction de la position des données dans le système et sur le support technique

Les informations sont confrontées à divers risques lors des étapes de collecte, de traitement, d’extraction (lecture, impression ou téléchargement), de transmission et de stockage. Chaque étape comporte ses risques associés et des mesures de protection spécifiques. La plupart des listes de classification des risques fonctionnent sur la base de la position des données dans le système. Par exemple, la classification d’INTERPOL organise les risques en trois catégories :

  1. Risques lors de la création, de l’extraction, de la modification et de la suppression d’informations : Se référant aux informations présentes dans le système.
  2. Risques pendant le transport : Liés aux données échangées entre les systèmes informatiques.
  3. Risques pendant le stockage : Associé aux informations enregistrées sur des supports externes.

Les risques varient également en fonction du support technique considéré ; Par exemple, les dangers associés aux ordinateurs en réseau diffèrent de ceux des machines autonomes. Les menaces qui pèsent sur les sites e-commerce divergent de celles de simples profils informationnels.

Il s’agit du deuxième critère, avec le critère de la position des données, dans les listes de menaces et de méthodes de violations techniques établies par divers organismes chargés de l’application de la loi, dont INTERPOL.

Classification du risque et des méthodes techniques de violation en fonction des techniques d’attaque courantes, des objectifs et de la valeur des données

D’un troisième point de vue, de nombreuses listes de classification des risques ne sont pas définies de manière uniforme ; Leurs critères de classification varient, ce qui influe sur la façon dont les méthodes d’infraction et les risques sont caractérisés. Différents acteurs commettent des violations en fonction de la prévalence de types spécifiques d’attaques. Par exemple, en l’an 2000, les attaques par déni de service sur les sites Web ont considérablement augmenté, parallèlement aux attaques de virus à l’échelle mondiale, tandis que les discussions actuelles se concentrent sur les attaques contre les sites de commerce électronique à des fins financières via divers stratagèmes de fraude sur Internet.

Les violations et les risques pourraient également être classifiés en fonction du type d’information ciblée à protéger. Les bases de données militaires suscitent l’intérêt de divers espions professionnels ou d’acteurs parrainés par l’État, tandis que d’autres violations visent simplement à démontrer des compétences de piratage sans mauvaise intention.

Les risques de cybersécurité se concentrent de plus en plus sur la sécurité des serveurs, qui hébergent des sites web ou fournissent des services en ligne. Les registres des risques répertorient souvent les menaces les plus répandues à un moment donné, détaillant des problèmes tels que les erreurs techniques, la fraude, les employés mécontents, les risques physiques et d’infrastructure, les attaques malveillantes, l’espionnage industriel et les logiciels malveillants.

L’une des activités les plus importantes dans la réalisation de projets d’information récents, notamment dans la création de sites Web pour le marketing, le commerce électronique et les services financiers électroniques, est de développer une vision complète des risques juridiques auxquels le site est susceptible d’être confronté et d’identifier les mécanismes juridiques pour les gérer. Ce processus est très similaire au processus d’analyse des risques techniques et est mené par des autorités juridiques qualifiées dans le domaine du droit des technologies de l’information. Il n’est pas exagéré de dire que les sites Internet arabes et les projets d’investissement en information en arabe manquent de vision et de compréhension claires dans ce domaine. Bien que le risque de négliger les risques juridiques touche tous les sites et institutions, il devient une menace démultipliée dans les domaines du commerce électronique et des affaires électroniques, en particulier dans les domaines de la banque sans fil et de la banque en ligne.

L’analyse des risques juridiques est un processus continu qui commence dès le démarrage et la préparation d’un projet. Elle identifie tous les besoins juridiques du projet, en plus d’analyser les processus techniques, marketing, opérationnels et liés à la performance associés au projet du point de vue des relations et responsabilités juridiques, tout en définissant les exigences de protection juridique et en prenant en charge les responsabilités anticipées.

Quelles sont les mesures de sécurité techniques ?

4-1 Portée et fondements des mesures de sécurité

Ce dont nous parlons ici n’est pas une spécification des produits de sécurité, car chaque jour un nouveau produit émerge et il y a une réévaluation constante des mesures de sécurité. Ces mesures et produits vont des moyens de protection physique aux solutions logicielles et de protection, ainsi qu’aux théories et protocoles de protection. Il ne serait pas exagéré de dire que le marché des mesures de sécurité a évolué en termes de nombre de produits disponibles par rapport au marché des dispositifs et solutions eux-mêmes, car chaque produit et programme nouveau nécessite une certaine quantité de mesures de protection technique.

Ce guide ne vise pas à évaluer les mesures de sécurité existantes ; par exemple, il ne traite pas de l’efficacité des pare-feu ou de la capacité des réseaux privés virtuels à fournir sécurité et confiance. Il présente plutôt les catégories courantes de mesures de sécurité de l’information, chacune regroupant des milliers d’outils qui varient selon les besoins et la nature spécifique de l’objet protégé.

Ainsi, lorsqu’il est question de mesures, il existe un principe fondamental et des éléments de preuve spécifiques :

Le principe : Chaque système a ses propres besoins, et l’erreur de réplication et d’ignorance du besoin réel revient à ne pas fournir de protection.

L’erreur courante réside dans la croyance que les systèmes informatiques et réseaux partagent des besoins de sécurité similaires. Même au sein de la même catégorie de systèmes informatiques qui utilisent le même logiciel d’exploitation ou reposent sur les mêmes mesures et solutions de mise en réseau, une divergence des exigences de protection persiste en raison de la différence dans la nature opérationnelle et la nature des données elles-mêmes, des modes d’utilisation, et finalement de l’équilibre nécessaire entre les mesures de sécurité et la performance et l’efficacité du système.

La mise en place de mesures de sécurité efficaces nécessite de partir des besoins spécifiques de l’institution et de ses objectifs de sécurité, comme expliqué précédemment et comme sera encore développé dans la section 1-5. Cela repose sur la compréhension des besoins internes : ce que nous protégeons diffère de ce que d’autres protègent ; les sources de risque auxquelles fait face une institution financière, par exemple, diffèrent de celles auxquelles est confrontée une institution militaire ou le système informatique d’un utilisateur individuel. Les besoins de protection des logiciels d’un ordinateur et des données qu’il stocke varient largement des besoins de protection d’un réseau interne ou de la sécurisation des connexions à un réseau mondial.

Ainsi, les technologies de sécurité sont liées à des besoins spécifiques basés sur des critères et des faits précis, et reposent également sur l’équilibre entre les exigences de protection et la vitesse de performance, ainsi que sur l’équilibre entre les besoins de protection et le budget alloué aux mesures de sécurité. La raison d’utiliser les technologies d’une entreprise particulière simplement parce qu’elles sont mondiales ou distinguées ne correspond pas à la stratégie de sécurité elle-même. Il ne serait pas exagéré de dire que des centaines d’institutions, en particulier dans le secteur financier, ont utilisé un ensemble de technologies, y compris des pare-feu et des logiciels de cryptage qui étaient efficaces dans d’autres contextes, mais n’ont pas réussi à résoudre leurs problèmes de sécurité. En même temps, s’ils parvenaient à les résoudre, ils avaient un impact négatif sur l’efficacité des performances et l’efficacité du système.

Preuves techniques – Chaque type de mesure de sécurité a ses institutions et ses preuves techniques, et il y a une spécialisation croissante dans chacun de ces domaines. Autrefois, le marché des mesures techniques se résumait à l’offre de produits et de services ajoutés à l’offre de diverses entreprises technologiques, servant souvent d’outils pour d’autres produits et services. Alors que les entreprises technologiques consacrent encore des unités aux produits de sécurité, le marché s’est spécialisé et a conduit à l’émergence de grandes entreprises opérant dans le domaine de la sécurité de l’information, de ses mesures et de ses solutions. La recherche et les études stratégiques, ainsi que les études juridiques, se sont orientées vers le traitement indépendant des mesures de sécurité. Il existe des preuves et des études exhaustives dans des domaines tels que les virus et leurs contre-mesures, le cryptage et ses solutions, ainsi que les mesures d’identification et de contrôle d’accès, entre autres.

4-2 Mesures de sécurité communes

Les mesures de sécurité de l’information comprennent un ensemble de mécanismes, de procédures, d’outils et de produits utilisés pour prévenir ou réduire les risques et les menaces auxquels sont confrontés les ordinateurs, les réseaux et les systèmes en général, y compris les bases de données.

Comme nous l’avons mentionné précédemment, les mesures de sécurité sont de nature et d’objectif diverses, mais nous pouvons principalement classer ces mesures en fonction de leurs objectifs de protection dans les catégories suivantes :

  1. Mesures d’identification et d’authentification de l’utilisateur : Ces mesures visent à garantir que seules les personnes autorisées accèdent au système ou au réseau. Cette catégorie comprend divers types de mots de passe, les cartes à puce utilisées pour l’identification, les méthodes de reconnaissance biométrique basées sur des caractéristiques biologiques spécifiques des utilisateurs, divers produits qui fournissent des mots de passe temporaires ou électroniquement variables, les clés cryptées et les serrures électroniques qui définissent les zones d’accès.
  2. Mesures de contrôle d’accès : Ces mesures permettent d’assurer la légitimité de l’utilisation du réseau et de ses ressources. Elles comprennent des méthodes qui établissent les droits des utilisateurs, les listes d’utilisateurs, les privilèges d’utilisation et d’autres arrangements qui permettent de contrôler la légitimité de l’accès au réseau dès le départ.
  3. Mesures de confidentialité des données et des messages : Ces mesures visent à empêcher la divulgation d’informations à des parties non autorisées, à assurer la confidentialité des informations grâce à des techniques de cryptage des données, à la protection des copies de sauvegarde, à la protection physique des appareils et des composants du réseau, et à l’utilisation de filtres et de routeurs.
  4. Mesures d’intégrité des données et des messages : Il s’agit de mesures qui garantissent que le contenu des données n’est pas modifié par des parties non autorisées, y compris des techniques telles que l’encodage, les signatures électroniques et les logiciels antivirus.
  5. Mesures de non-répudiation : Ces mesures visent à faire en sorte qu’un utilisateur ne puisse pas nier les actions qu’il a effectuées. Ceci est crucial dans les environnements de commerce électronique et les contrats en ligne et repose actuellement sur des technologies de signature électronique et des certificats émis par des tiers.
  6. Mesures d’enregistrement et de surveillance : Il s’agit de technologies utilisées pour surveiller les utilisateurs du système afin d’identifier les personnes qui ont effectué des actions spécifiques à des moments précis, englobant tous les types de logiciels et de journaux électroniques qui enregistrent l’utilisation.

Une brève clarification des mesures de sécurité les plus courantes dans les systèmes d’information :

  • Logiciel antivirus : Bien que les technologies antivirus soient répandues et comptent parmi les mesures de sécurité les plus reconnues, l’étendue de leur application et de leurs stratégies révèle des lacunes et des malentendus importants sur leurs rôles. En général, il existe cinq mécanismes de base par lesquels ces produits antivirus détectent les virus susceptibles d’infecter le système, et il existe des règles fondamentales qui garantissent l’efficacité de ces mesures, en s’appuyant fondamentalement sur l’équilibre entre les nécessités de ces technologies pour protéger le système et les impacts potentiels de leur utilisation abusive sur les performances et l’efficacité.
  • Pare-feu et réseaux privés virtuels (VPN) : Les pare-feu ont considérablement évolué depuis leur création, lorsqu’ils se contentaient de filtrer le trafic de données sur la base de règles simples. Les logiciels de pare-feu modernes, tout en utilisant des méthodes de filtrage, font bien plus que cela, comme l’établissement de réseaux privés virtuels, la surveillance du contenu, la prévention des virus et la gestion de la qualité de service. Tous ces services reposent fondamentalement sur des pare-feu placés à la périphérie du réseau. Au cours de la dernière décennie, les pare-feu n’ont été que des outils de base agissant comme des passerelles vers Internet, essentiellement des gardes à la périphérie du réseau, régulant le trafic de données et maintenant la sécurité du réseau. Les premiers pare-feu pour les réseaux sont apparus en 1980 en tant que routeurs utilisés pour segmenter ces réseaux en petits réseaux locaux (LAN). De tels pare-feu ont été déployés pour limiter la propagation des problèmes rencontrés par une partie du réseau à d’autres sections. Les premiers pare-feu ont été utilisés pour la sécurité au début des années 1990 et étaient des routeurs de protocole IP avec des règles de filtrage qui pouvaient ressembler à ceci : « autoriser cet utilisateur à accéder à ce fichier » ou « empêcher cet utilisateur (ou ce programme) d’entrer dans cette zone (ou ces zones) ». Bien que ces pare-feu soient efficaces, ils étaient limités : il était souvent difficile de maîtriser l’établissement de règles de filtrage, et parfois il était difficile d’identifier les composants applicatifs qui devaient être restreints à l’accès au réseau. Dans d’autres cas, les éléments du réseau, tels que les employés qui y travaillent, changent, ce qui nécessite des modifications des règles. Par conséquent, la prochaine génération de pare-feu est devenue plus performante et plus flexible pour les modifications.

Des pare-feu ont été déployés sur ce que l’on appelle les hôtes Bastion. Le premier pare-feu de ce type, utilisant des filtres et des passerelles d’application (serveurs proxy), a été créé par Digital Equipment Corporation (DEC), qui s’est appuyée sur le pare-feu de DEC pour développer les premiers pare-feu produits par l’entreprise. En juin 1991, DEC a lancé son premier pare-feu, et dans les mois qui ont suivi, une personne nommée Marcus Ranum de Digital a créé un logiciel proxy et réécrit une partie du code du pare-feu, ce qui a conduit à l’introduction du produit de sceau DEC, qui consistait initialement en un système externe connu sous le nom de Gatekeeper, le seul système capable de communiquer avec Internet. Il y avait aussi une passerelle de filtrage et un proxy de messagerie interne.

À partir de ces débuts simples, la concurrence féroce entre les fournisseurs pour une part de marché des pare-feu a stimulé l’innovation, non seulement en accélérant les performances des pare-feu et en améliorant les services, mais aussi en intégrant des capacités qui dépassaient celles disponibles à l’époque. Ces capacités comprenaient :

  • Authentification de l’utilisateur : Le premier ajout important que les développeurs ont apporté aux premiers pare-feu a été de solides capacités de vérification d’identité. Si les politiques de sécurité d’une organisation autorisent l’accès au réseau à partir d’un réseau externe, tel qu’Internet, une certaine forme de vérification de l’identité de l’utilisateur doit être utilisée. L’authentification consiste simplement à s’assurer de la validité de la revendication d’identité de l’utilisateur au-delà de la simple vérification d’un nom d’utilisateur et d’un mot de passe, qui ne sont pas, en soi, des moyens forts d’identification de l’utilisateur. Sur une connexion non sécurisée, telle qu’un lien non crypté sur Internet, les noms d’utilisateur et les mots de passe peuvent être copiés et réutilisés dans des attaques par rejeu. Les méthodes efficaces de vérification de l’identité de l’utilisateur utilisent des techniques de cryptage telles que les certificats numériques ou les calculs de clés privées. Grâce aux certificats numériques, les attaques par rejeu peuvent être évitées car le nom d’utilisateur et les mots de passe copiés ne permettraient pas d’accéder au réseau.
  • Réseaux privés virtuels : Le deuxième ajout aux pare-feu Internet était le chiffrement inter-pare-feu – initialement représenté par le produit « ans interlock » – que nous appelons maintenant réseaux privés virtuels (VPN). Ces réseaux sont considérés comme privés parce qu’ils utilisent le cryptage, et ils sont « virtuels » car ils utilisent Internet et les réseaux publics pour transmettre des informations privées. Alors que les VPN étaient disponibles avant les logiciels de pare-feu, en utilisant des modems ou des routeurs pour le cryptage, ils ont ensuite été intégrés dans les logiciels de pare-feu. Grâce à la technologie VPN, les entreprises peuvent remplacer les installations de communication louées et les canaux cryptés sur les réseaux publics, comme Internet.
  • Filtrage du contenu : Au cours des deux dernières années, il est devenu courant d’utiliser des pare-feu comme outils de surveillance du contenu entrant sur le réseau. Parmi les ajouts incorporés dans le logiciel de pare-feu, citons l’analyse antivirus, la surveillance des adresses Web, la restriction des scripts Java et la surveillance et la surveillance des mots de passe.
  • Appliances pare-feu : Il s’agit d’une nouvelle génération de pare-feu que les fournisseurs ont commencé à introduire l’année dernière. Cette génération comprend plusieurs technologies, y compris des solutions de pare-feu clés en main qui ne nécessitent aucune configuration par l’utilisateur et peuvent être utilisées immédiatement après l’acquisition sans qu’il soit nécessaire d’apporter des modifications spécifiques au système d’exploitation ou à l’infrastructure existante.

Les mesures de sécurité Internet sont passées de niveaux de protection individuels ou unidirectionnels, reposant sur la mise en place de mesures de protection, y compris des pare-feu, à la frontière séparant le réseau privé des routeurs se connectant au réseau mondial (Internet), à une sécurité à plusieurs niveaux qui fournit des couches de défense supplémentaires pour des types spécifiques d’informations ou de systèmes d’information au sein du réseau privé. Les mesures de sécurité multidirectionnelles et polyvalentes utilisent différents mécanismes pour assurer une sécurité complète du système, comprenant trois domaines principaux : 1) les étapes de gestion de la sécurité, y compris les stratégies et les objectifs, les produits, les règles de production, la recherche et l’analyse ; 2) Types de sécurité couvrant la prévention ou la protection, l’enquête, la détection et l’action ; et 3) les mesures de protection, y compris la protection des systèmes, des serveurs et des réseaux d’infrastructure.

Chiffrement

À l’heure actuelle, les techniques et les politiques de chiffrement font l’objet d’une attention particulière dans le domaine de la sécurité de l’information, car la protection par chiffrement représente le moyen le plus important d’atteindre les trois fonctions de sécurité : la confidentialité, l’intégrité et la disponibilité de l’information. Les technologies de cryptage sont intégrées dans différents moyens techniques visant à protéger ces éléments. Assurer la confidentialité des informations repose désormais entre autres méthodes sur le chiffrement des fichiers et des données, le chiffrement des mécanismes d’authentification et des mots de passe. Le mécanisme de protection de l’intégrité du contenu repose sur le cryptage des données échangées et sur la garantie qu’au moment du décryptage, le message électronique n’a pas fait l’objet de modifications ou de changements. Le cryptage est généralement le presque seul moyen d’assurer la non-répudiation des actions sur les réseaux électroniques. Par conséquent, le cryptage représente une stratégie holistique pour atteindre les objectifs de sécurité d’une part et est un élément essentiel d’autres technologies et mesures de sécurité, en particulier dans l’environnement des entreprises électroniques, du commerce électronique, de la messagerie électronique et, d’une part, des données échangées par des supports électroniques.

En termes de concept, le cryptage passe par deux étapes principales : la première consiste à transformer le texte en clair en codes illisibles, et la seconde consiste à décrypter le texte codé dans sa forme originale et lisible. Ce processus est exécuté par un logiciel de cryptage, dont le type et la fonction varient. En ce qui concerne les méthodes de cryptage, il existe le cryptage symétrique et le cryptage basé sur des clés qui peuvent être publics, privés ou une combinaison. Pour aborder les principaux objectifs, éléments et techniques de cryptage, nous fournissons des documents sélectionnés sur ces questions ainsi que leurs sources.

5. Qu’est-ce qu’une stratégie de sécurité de l’information et comment est-elle élaborée ?

5-1 Concepts initiaux et déterminants

Qu’est-ce qu’une stratégie de sécurité de l’information ? Une stratégie de sécurité de l’information, ou politique de sécurité, est un ensemble de règles que les individus appliquent lorsqu’ils traitent de la technologie et de l’information au sein d’une organisation. Il s’agit de la gestion et de l’accès aux systèmes d’information.

Quels sont les objectifs de la stratégie de sécurité de l’information ? La stratégie de sécurité de l’information vise à :

  1. Définir les obligations et les responsabilités des utilisateurs et des administrateurs en matière de protection des systèmes et des réseaux informatiques ainsi que de protection de l’information sous toutes ses formes, tout au long de ses étapes de saisie, de traitement, de stockage, de transmission et de récupération.
  2. Déterminer les mécanismes électroniques par lesquels les obligations spécifiées sont réalisées et mises en œuvre par les personnes impliquées dans l’information et ses systèmes, y compris la définition des responsabilités en cas de danger.
  3. Décrivez les procédures permettant de dépasser les menaces et les risques et d’y faire face, y compris les parties responsables de l’exécution de ces procédures.

Qui élabore les stratégies de sécurité de l’information ? Lors de la préparation d’une stratégie concernant la sécurité de l’information, pour qu’elle soit efficace, productive et ciblée, elle doit impliquer la participation, la compréhension, l’acceptation et la mise en œuvre de divers niveaux opérationnels au sein de l’organisation, ainsi qu’un besoin noté de coopération et de soutien total de tous. Par conséquent, les personnes concernées par la préparation de la politique de sécurité de l’information sont réparties dans de nombreux rangs et entités au sein de l’organisation. Cependant, en général, il s’agit des agents de sécurité des sites, des gestionnaires de réseau, du personnel des unités informatiques, des responsables de diverses unités organisationnelles telles que les affaires, le marketing, la recherche, etc., ainsi que de l’équipe d’intervention en cas d’incident, des représentants des groupes d’utilisateurs, de la haute direction et du service juridique.

Quand une stratégie de sécurité de l’information est-elle qualifiée de réussie ? En termes d’utilisation efficace : Pour qu’une stratégie de sécurité de l’information soit considérée comme fondamentalement réussie, elle doit être appliquée de manière exhaustive dans tous les secteurs de la gestion et être acceptée dans la pratique par les responsables de sa mise en œuvre, parallèlement à la disponibilité d’outils d’orientation et de lignes directrices pour assurer la durabilité de l’exécution sans relâche. La mise en œuvre se réfère ici à l’utilisation effective d’outils techniques de protection d’une part et à l’application pratique des règles de travail avec les données et leurs systèmes d’autre part. La stratégie n’est pas couronnée de succès s’il y a une ambiguïté ; Ainsi, il doit être clair, précis dans son contenu et compréhensible par toutes les parties prenantes.

En ce qui concerne le contenu : les aspects fondamentaux de la sécurité de l’information s’étendent aux différentes facettes liées aux systèmes d’information, à leur gestion et à leur interaction, ainsi qu’aux questions relatives à l’information elle-même et à la manière dont les autres traitent l’information de l’organisation. Ainsi, la stratégie doit englober une politique claire concernant l’acquisition et l’achat d’appareils et d’outils techniques, de logiciels, de solutions opérationnelles et de solutions de gestion de systèmes. Elle devrait également inclure une stratégie de confidentialité de l’information, définissant les types d’information, leurs valeurs et leurs descriptions en matière de confidentialité, et détaillant les exceptions que la stratégie adopte concernant le droit à la vie privée des employés, ainsi que les justifications de ces exceptions, telles que la surveillance des courriels ou la supervision de l’accès au sein de l’organisation ou le contrôle de l’accès aux fichiers des utilisateurs au sein de l’organisation. Les stratégies d’accès aux réseaux et à l’information doivent définir clairement les droits et les privilèges de chaque personne de l’organisation pour accéder à des fichiers ou à des zones spécifiques du système, ainsi que les politiques de gestion des communications externes, des appareils et des moyens de communication utilisés, des programmes nouvellement introduits et des stratégies de messagerie avec d’autres.

La stratégie d’information inclut également les stratégies d’abonnement, qui définissent la politique de l’organisation concernant les abonnements d’entités externes à son réseau ou à ses systèmes, ainsi que les stratégies de gestion des risques et des erreurs, en précisant la nature des risques, les procédures de signalement et de gestion de ces derniers, ainsi que les parties responsables de leur prise en charge.

5-2 Quelles sont les Fondations et les Principes de la Stratégie de Sécurité de l’Information ?

Les principes de la sécurité de l’information doivent commencer par l’identification des risques, des objectifs de protection, des lieux de sécurité, des modèles de protection nécessaires et des précautions contre les risques. Les bases sur lesquelles reposent les stratégies de sécurité de l’information en fonction des besoins variés de chaque organisation s’articulent autour de la réponse à trois questions principales : Qu’est-ce que je veux protéger ? De quoi est-ce que je veux protéger ces informations ? Comment puis-je protéger ces informations ?

Principaux objectifs de la protection des données :

  1. Confidentialité: Veiller à ce que les renseignements ne soient pas divulgués ou consultés par des personnes non autorisées.
  2. Intégrité: S’assurer que le contenu de l’information demeure exact et inaltéré, en particulier confirmer que le contenu n’est pas détruit ou altéré par une intervention non autorisée.
  3. Disponibilité de l’information ou du service : Veiller à ce que les utilisateurs de l’information ne soient pas confrontés à un refus d’accès ou d’utilisation de celle-ci.

Domaines de la sécurité de l’information :

  1. Sécurité des communications : Il s’agit de protéger les informations lors de l’échange de données d’un système à un autre.
  2. Sécurité informatique: Il s’agit de protéger tous les types et modèles d’informations au sein du système, tels que la protection des systèmes d’exploitation, des logiciels d’application, des programmes de gestion de données et de divers types de bases de données.

La sécurité de l’information ne peut être assurée sans une protection intégrée dans les deux secteurs grâce à des normes de sécurité qui garantissent une telle protection, en utilisant différents niveaux de sécurité correspondant à leur nature.

Modèles et niveaux de sécurité de l’information :

  1. Protection physique : Cela inclut tous les moyens qui empêchent l’accès aux systèmes d’information et aux bases de données, tels que les serrures, les barrières, les salles sécurisées et autres mesures de sécurité physique.
  2. Sécurité personnelle : Il s’agit des employés qui travaillent au sein du système technique pertinent, ce qui implique la mise à disposition de mesures d’identification personnelle pour chacun d’entre eux et la garantie de la formation et de la qualification des personnes chargées des mesures de sécurité, ainsi que la sensibilisation aux questions de sécurité et aux risques de violation des informations.
  3. Sécurité administrative : Il s’agit du contrôle de gestion des systèmes d’information et des bases de données, comme le contrôle des logiciels externes ou étrangers à l’extérieur de l’organisation, l’enquête sur les failles de sécurité et la supervision des activités de surveillance, y compris la surveillance administrative des abonnements externes.
  4. Sécurité des médias et des connaissances : Il s’agit de contrôler la reproduction de l’information et la destruction des sources d’information sensibles lorsqu’on décide de ne pas les utiliser.

Risques

Différents risques peuvent menacer les systèmes d’information, y compris les systèmes de commerce électronique. Les plus notables de ces risques sont les suivants :

  1. Intrusions dans le système : Cela se produit lorsqu’une personne non autorisée s’introduit dans un système informatique et se livre à des activités non autorisées, telles que la modification de logiciels d’application, le vol de données confidentielles ou la destruction de fichiers, de logiciels ou du système lui-même à des fins d’utilisation illicite. Les violations traditionnelles peuvent se produire par le biais d’actions telles que l’usurpation d’identité et le déguisement, où l’intrus se fait passer pour une personne autorisée. Par ailleurs, les vulnérabilités du système peuvent être exploitées en contournant les mesures de contrôle et de protection ou en recueillant des informations physiques ou morales, comme fouiller dans la corbeille d’une organisation à la recherche de mots de passe ou d’informations sur le système ou l’ingénierie sociale, lorsqu’une personne accède à des sites d’informations sensibles au sein du système, tels que des mots de passe ou des appels téléphoniques.
  2. Abus d’autorisation : Cela se produit lorsqu’une personne autorisée utilise le système à des fins autres que celles pour lesquelles elle a reçu l’autorisation. Ce risque est considéré comme un danger interne dans le cadre d’une utilisation abusive par les employés de l’organisation, mais peut également être un risque externe, comme un intrus utilisant le compte d’une personne autorisée en devinant son mot de passe ou exploitant une vulnérabilité du système pour y accéder légitimement ou par le biais de parties légitimes avant de se livrer à des activités illicites.
  3. Plantation de vulnérabilité : Ce risque résulte souvent d’une intrusion d’un individu non autorisé ou d’utilisateurs légitimes qui franchissent les autorisations qui leur ont été accordées, créant ainsi un point d’entrée qui permet ensuite une violation. L’un des exemples les plus connus d’implantation de vulnérabilités est un cheval de Troie, un programme qui sert ostensiblement un objectif légitime mais peut être utilisé secrètement pour des activités illicites, par exemple, l’utilisation d’un programme de traitement de texte pour modifier et formater du texte alors que son véritable objectif est d’imprimer tous les fichiers système et de les enregistrer dans un fichier caché. permettant à l’intrus d’imprimer ce fichier et d’obtenir le contenu du système.
  4. Surveillance de la communication : Sans s’introduire dans l’ordinateur de la victime, l’auteur peut obtenir des informations confidentielles qui facilitent souvent les futures violations du système simplement en surveillant les communications à partir de l’un des points ou liaisons du réseau.
  5. Interception des communications : De même, sans casser le système, dans ce cas, un intrus intercepte les données transmises pendant le processus de transmission et les modifie en fonction de ses objectifs malveillants. L’interception pourrait impliquer la création d’un faux système intermédiaire par lequel les utilisateurs doivent passer et auxquels ils doivent volontairement fournir des informations sensibles.
  6. Déni de service : Cela se produit par le biais d’activités qui empêchent un utilisateur légitime d’accéder à des informations ou d’obtenir un service. L’un des types de déni de service les plus répandus consiste à envoyer un grand volume d’e-mails simultanément à un certain site, ce qui entraîne des pannes du système en raison de son incapacité à gérer la surcharge, ou à rediriger de nombreuses adresses IP de sorte que la fragmentation des paquets ne puisse pas se produire, ce qui entraîne une congestion du serveur.
  7. Déni d’action : Ce risque se manifeste lorsque le destinataire ou l’expéditeur ne reconnaît pas l’action qu’il a effectuée, niant avoir personnellement émis une demande d’achat via Internet.

Les stratégies efficaces découlent de la capacité à établir un système continu d’analyse des risques et d’évaluation des besoins en matière de protection. L’analyse des risques est essentiellement un cadre institutionnel complet pour la sécurité du comportement et de l’action qui commence par une préparation minutieuse basée sur la compréhension, l’identification des éléments, des processus et des risques du système, suivie de l’identification des normes de menace et du niveau de protection nécessaire et des mesures de sécurité associées, se terminant par la spécification d’un critère de perte acceptable envisagé malgré le niveau de protection et la préparation à faire face aux risques.

Prévention des risques d’atteinte à la protection de l’information

Dans le domaine de la protection des communications et de la sécurité informatique, les mesures préventives se traduisent par des services de sécurité. Ce terme ne fait pas référence à des services au sens habituel, mais est apparu en raison de l’essor d’entreprises spécialisées dans la sécurité de l’information qui fournissent ces services. En général, il existe cinq types essentiels de services de sécurité visant à protéger cinq éléments primaires dans le domaine de l’information :

  1. Services d’identification et d’authentification : Ces services visent à vérifier l’identité d’une personne, en particulier lorsqu’elle s’identifie. Ils protègent contre les activités de dissimulation et d’usurpation d’identité. Ainsi, il existe deux types de services d’identification : l’identité personnelle, dont le plus connu est le mot de passe, et la vérification de l’origine des informations.
  2. Services de contrôle d’accès : Ces services sont utilisés pour protéger contre l’accès non autorisé aux ressources et aux informations du système, y compris l’accès non autorisé à des fins de sécurité, la divulgation non autorisée, la modification non autorisée, la destruction non autorisée et l’émission non autorisée d’informations et de commandes, ce qui rend les services de contrôle d’accès essentiels à la réalisation et à la vérification de l’autorisation.
  3. Services de confidentialité des données et des messages : Ces services protègent les informations contre la divulgation non autorisée à des entités non autorisées. La confidentialité implique généralement la dissimulation d’informations, éventuellement par cryptage ou par d’autres moyens, tels que l’identification de leur ampleur, de leur quantité ou de leur destination.
  4. Services d’intégrité des données et des messages : Ces services visent à protéger contre les risques d’altération des données lors de la saisie, du traitement ou de la transmission. La notion de changement de sécurité fait référence à l’annulation, à l’altération ou au réenregistrement de pièces, et ces services visent également à protéger contre la destruction totale ou la suppression totale non autorisée des données.
  5. Services de non-répudiation : Ces services visent à empêcher l’entité qui effectue une action de nier que la transmission de données ou l’activité a eu lieu.

Ces cinq services avancés représentent les principaux domaines de protection dans le domaine de l’information ; La protection doit s’étendre à l’identification, aux activités d’accès, à la confidentialité, à l’intégrité du contenu et à la non-répudiation.

Qu’en est-il de la stratégie de sécurité Internet ?

Les aspects fondamentaux de la sécurité de l’information, dans la réalisation de la sécurité Internet, se concentrent sur trois domaines : la sécurité du réseau, la sécurité des applications et la sécurité du système. Chacun d’entre eux comprend des règles et des exigences qui diffèrent les unes des autres, et les systèmes de sécurité dans ces trois domaines doivent être intégrés pour fournir les mesures préventives nécessaires, car ils sont également interconnectés avec des niveaux généraux de sécurité tels que la sécurité physique, la sécurité personnelle, la sécurité administrative et la sécurité des médias. Précédemment, nous avons abordé les éléments liés aux systèmes, aux logiciels et aux données ; Maintenant, nous devons nous pencher sur la sécurité des réseaux :

La protection offerte par la sécurité du réseau est celle de la communication et de l’échange entre un ordinateur du réseau (soit un système client, soit un serveur) et un autre ordinateur du réseau. Si le système client se connecte directement à Internet sans qu’aucune mesure de sécurité n’ait été mise en place entre ce système et le réseau, tout paquet de données transmis peut être soumis à ce qui suit :

  • Un. Il peut être altéré pendant la transmission.
  • B. Sa source peut ne pas apparaître comme l’entité qui l’a envoyé.
  • C. Il peut s’agir d’une attaque ciblant le système.
  • D. Il peut ne pas atteindre sa destination.
  • E. Elles peuvent être lues et divulguées par des parties non autorisées.

De plus, la sécurité du réseau vise à protéger le réseau lui-même tout en instillant la confiance entre les utilisateurs du système final concernant les mesures de sécurité disponibles lors de leur interaction avec le réseau et en montrant en outre que le réseau lui-même contient des mesures de sécurité de sorte que l’ordinateur de l’utilisateur n’a pas besoin de mesures spéciales.

Les mesures de sécurité du réseau comprennent :

  1. Assurance de l’identité et de l’intégrité : Cela permet de s’assurer que le système récepteur a confiance dans la protection des paquets d’information et confirme que les informations reçues n’ont pas été modifiées.
  2. Confidentialité: Cela permet d’éviter que le contenu des paquets d’information ne soit divulgué, sauf à des destinataires précis.
  3. Contrôle d’accès: Cela limite strictement les communications entre les systèmes émetteur et récepteur.

5-3 Listes de contrôle de l’examen et de la vérification – Durabilité de l’examen et cadre des plans et stratégies de sécurité des bâtiments

Il existe de nombreuses listes de contrôle et audits concernant les questions de sécurité de l’information et les exigences en matière de politiques et de stratégies de sécurité pour les systèmes d’information et les communications. Ils servent principalement à fournir une sorte de guide d’audit qui aide les organisations ou les individus à construire leurs fondamentaux de sécurité et à définir un cadre général pour les devoirs des membres du personnel, des consultants et des parties impliquées dans la gestion des systèmes d’information et des applications de communication. En même temps, ces listes de contrôle ou guides d’audit fournissent aux organisations et aux individus un cadre général pour comprendre les éléments et les exigences de la construction de systèmes de sécurité informatique et réseau spécifiques.

Parmi les questions généralement abordées par ces listes de contrôle, citons :

  • Les obligations de la direction d’assurer l’existence d’une politique de sécurité documentée et de vérifier la présence de processus d’analyse des risques, de plans de sécurité, d’établissements techniques de sécurité et de politiques de gestion des communications externes. Ils évaluent également dans quelle mesure les employés sont au courant de la politique de sécurité et s’ils comprennent leurs responsabilités, et si les nouveaux employés reçoivent une formation et une orientation sur le plan décrit.
  • Les aspects organisationnels de la gestion de la sécurité, qui ont trait à l’existence d’une autorité spécialisée au sein de l’établissement et à l’existence d’un guide écrit, de plans et de responsabilités pour gérer les processus d’exécution, l’identification, la gestion des incidents et les plans d’urgence.
  • Questions relatives aux qualifications et aux compétences des employés, à l’évaluation de la conformité aux normes de sécurité à titre personnel ou aux obligations professionnelles, y compris les objectifs liés à la sécurité lors de l’embauche, de l’emploi et de la cessation d’emploi pour quelque raison que ce soit, ainsi que la disponibilité des dispositions contractuelles dans les contrats des employés et une description précise de leurs obligations en matière de gestion de l’information.
  • Questions relatives aux prestataires de services ou de conseils, tels que les consultants et les auditeurs, qui se concentrent sur les dispositions de sécurité de leurs contrats.
  • La classification de l’information est importante en ce qui concerne la disponibilité et les normes.
  • Questions relatives aux logiciels concernant l’achat, l’utilisation, les politiques de téléchargement, les licences, la gestion des logiciels développés en interne et les droits d’accès et d’utilisation de ceux-ci, y compris les questions de protection associées aux logiciels techniques et juridiques.
  • Questions relatives à la quincaillerie et à l’équipement concernant l’adéquation de l’évaluation des besoins et des critères d’utilisation des équipements au travail, leurs applications, leur mise hors service et les audits d’entretien.
  • La documentation est importante en ce qui concerne la disponibilité d’une stratégie de documentation pour tous les éléments du système et tous les principes fondamentaux et processus des plans et politiques de sécurité.
  • Problèmes liés aux supports de stockage système externes concernant l’identification des supports de stockage utilisés, la catégorisation, la préservation, l’accessibilité et l’élimination.
  • Questions d’identification et de vérification des utilisateurs concernant la vérification de l’identité et des limites et délégations autorisées, s’assurer de la présence des politiques régissant ces éléments et des moyens mis en œuvre pour identifier et vérifier les utilisateurs.
  • La sécurité du système est importante en ce qui concerne la disponibilité des méthodes de vérification en ce qui concerne le moment et les utilisateurs concernés.
  • La communication concerne le contrôle des moyens et des applications de communication interne et externe, la documentation des mouvements de communication, la protection des processus de communication, les normes techniques utilisées en la matière, ainsi que les stratégies de confidentialité, la surveillance, le suivi et l’utilisation du courrier électronique.
  • Problèmes de gestion de fichiers et d’enregistrement des performances concernant la documentation adéquate, l’archivage et la vérification des sources de création et de modification lors de la manipulation des fichiers, des bases de données et des logiciels d’application.
  • Les données de sauvegarde sont importantes en ce qui concerne les durées de performance de sauvegarde et les protocoles de stockage, la catégorisation, la documentation et le chiffrement, le cas échéant.
  • La protection physique comprend la vérification que les équipements et les infrastructures sont dotés de mesures de protection et de procédures correctives en termes d’énergie et de connexions, l’évaluation des précautions disponibles contre les catastrophes naturelles ou les incidents intentionnels, ainsi que la sécurisation de l’emplacement de stockage des équipements et des supports et la preuve écrite des mesures de sécurité.
  • Questions relatives aux incidents et aux violations, impliquant la disponibilité d’une équipe dédiée à cet effet et les objectifs de l’équipe concernant son rôle, ainsi que le maintien du contact avec les entités d’enquête officielles, les forces de l’ordre et l’expertise spécialisée dans les affaires complexes ou celles qui ne sont pas compétentes dans l’institution.
  • Plans d’urgence et de rétablissement pour atténuer les dommages et revenir à la normale.
  • La divulgation de l’information concerne ce qui doit être accessible à tous ou à des secteurs spécifiques, en vérifiant la clarté de la stratégie de traitement des médias concernant les incidents et les violations.

Bien que ces listes de contrôle puissent différer d’une organisation à l’autre et d’un individu à l’autre, en fonction du contexte, des besoins et des types de systèmes et d’informations dans les pratiques, nombre d’entre elles constituent un cadre général et une référence appropriés pour la création de ces listes et guides, notamment ceux fournis par un groupe d’experts dans le domaine de la sécurité de l’information approuvé par Interpol.

Conclusion

La compréhension de ces classifications permet d’avoir une vue plus complète des menaces de cybersécurité. Il met l’accent sur la nécessité de défenses stratégiques adaptées aux complexités de la gestion des données organisationnelles et à l’évolution du paysage des cybermenaces. Il est essentiel de reconnaître les faiblesses potentielles et d’établir des pratiques de sécurité solides pour atténuer ces risques.

Did you enjoy this article? Feel free to share it on social media and subscribe to our newsletter so you never miss a post! And if you'd like to go a step further in supporting us, you can treat us to a virtual coffee ☕️. Thank you for your support ❤️!

Categorized in:

Etudes de sécurité