Groupe de travail " Sécurité Internet"
|
Guide d’élaboration d’une Politique de Sécurité Internet .
* * *
A l’usage des responsables de la sécurité des systèmes d’information (RSSI) des établissements de crédit et des entreprises d’investissement .
Ce guide d’élaboration d’une politique de Sécurité Internet est issu des travaux du Forum des Compétences, qui a jugé, fort de l’expérience des établissements qu’il regroupe, du caractère indispensable d’une Politique de Sécurité Internet (PSI). La vocation de ce document est d’aider le Responsable de la Sécurité du Système d’Information, qui souhaite écrire ou adapter la PSI de son établissement.
Réactivité et flexibilité sont les maîtres mots des projets Internet. La sécurité Internet n’est en rien étrangère à ces notions dans la mesure où elle est traitée en amont des projets dans le cadre d’une approche générale de la sécurité des systèmes d’information. Il est ainsi conseillé de promouvoir au sein des établissements une politique de sécurité plutôt que traiter en aval la partie sécurité des projets Internet. Il s’agit de proposer aux chefs de projet, en amont, un cadre de référence. L’approche sécurité des projets, pour être efficace, doit être soutenue à tous les niveaux par une volonté d’action, c’est-à-dire une politique.
Une politique telle la politique de sécurité de l'entreprise, la politique de gestion des réseaux ( qui inclut la sécurité des réseaux), la politique de gestion du système d'information ou la politique de gestion de la qualité est un ensemble de règles ou de principes consignés dans un document destiné à atteindre un certain nombre d'objectifs.
La politique de sécurité exprimera les objectifs de sécurité, d'une part, à partir d'une analyse des risques et, d'autre part, à partir d'une évaluation des contraintes (techniques, humaines, économiques, organisationnelles). L'analyse des risques provient de l'identification des enjeux, des menaces et des vulnérabilités.
La politique se décline en trois volets :
- définition des règles de sécurité ;
- mise en oeuvre des moyens matériels, logiciels, permettant de respecter ces règles et de contrôler leur application ;
- mise en oeuvre de l'organisation permettant à chaque entité du groupe de collaborer à la politique générale.
La politique de sécurité Internet présente une caractéristique supplémentaire. Si elle repose sur le même modèle que les autres politiques de l'entreprise ( analyse des risques et évaluation des contraintes), elle doit également s'intégrer aux politiques existantes et notamment à la politique de sécurité de l'entreprise et à la politique de gestion des réseaux.
De par la nature même du canal Internet - canal de diffusion d'information fondé sur une interconnexion mondiale de réseaux- la politique de sécurité Internet d'une entreprise d'appuie fortement sur la politique de sécurité des réseaux. Mais pour couvrir l'ensemble des risques que présente Internet, il est nécessaire de prendre également en compte :
- la sécurité des applications Internet ;
- la sécurité liées à l'utilisation d'Internet par les collaborateurs de l'entreprise ;
- la maîtrise des prestations externalisées.
La vocation du RSSI est de prescrire les processus et règles de sécurité et de s'attacher à les rendre contrôlables.
Il n'est pas chargé d'assurer la maîtrise d'oeuvre ni la maîtrise d'ouvrage des moyens matériels et logiciels permettant de respecter les règles de sécurité. Il n'est pas non plus contrôleur interne mais participe par son action à la maîtrise des risques de l'établissement. A ce titre, le Livre blanc sur la sécurité des systèmes d'information décrit le RSSI : " disposant de la confiance de la Direction générale, suffisamment technicien mais disposant d'une hauteur de vue qu'un trajet dans les différentes directions opérationnelles lui aura permis d'acquérir, il lui appartiendra d'impulser et de coordonner les actions dont certaines seront entreprises par d'autres directions que la sienne.
Il revient aux responsables opérationnels d'exercer le contrôle interne de premier niveau et de s'assurer du respect des diligences et procédures prescrites par la PSI. Le contrôle interne de second niveau est de la responsabilité de la fonction d'audit/inspection. Le contrôle du troisième niveau incombe aux instances externes à l'établissement, dont les autorités de tutelle.
Ce guide est une trame destinée à être adaptée par le responsable de la sécurité des systèmes d'information (RSSI) de chaque établissement. Le présent document n'établit pas de PSI applicable à tous les établissements de crédit ou entreprise d'investissement. Chaque établissement, voire chaque type d'application a des enjeux qui lui sont propres et qui évoluent dans le temps.
La première partie a pour objet de "délimiter le périmètre de la PSI" . Avant de se lancer dans la rédaction d'une PSI, il est en effet légitime de se demander pourquoi les documents généraux de sécurité ne sont pas tout simplement appliqués. En d'autres termes, ce guide propose une démarche de travail, invitant le RSSI à reprendre les éléments de sécurité des documents existants et à les positionner vis-à-vis d'internet.
La deuxième partie présente l'élaboration de la PSI en tant que projet mené par le RSSI, qui sera confronté à un ensemble de questions : quels seront les participants à la rédaction de la PSI, quel en sera le support, quel calendrier mettre en place?
Le guide est accompagné d'un support de rédaction thématique. Les membres du groupe de travail du Forum des Compétences se sont efforcés de traiter les problèmes de façon générique, sous l'angle des principes ( organisationnels, méthodologiques) et non de façon technique, afin de conférer au guide une certaine pérennité. Cette partie illustre les thèmes abordés en faisant ressortir les points qui semblent prioritaires.
Ce support est complété par un ensemble de fiches techniques qui approfondissent les sujets relevés dans l'étude thématique.*
* Introduction du livrable page 7