Samedi 21 octobre 2017
NASDAQ : 6629.0532 23.9863   nasdaq0.36 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Cahier des charges sécurité : les points clés

Imprimer Envoyer à un ami Contacter la rédaction
Par Rédaction le 05/12/2001 - indexel.net
 

Si la menace virale est aujourd´hui bien connue des entreprises, une politique globale de sécurité n´est que rarement mise en place. Les enjeux sont pourtant multiples : confidentialité, authentification, intégrité, protection physique. Voici les six points clés à connaître pour l´élaboration d´un cahier des charges.

 

1) Etat des lieux

Vous souhaitez mettre en place une politique de sécurité à titre préventif ou avez subi récemment une attaque, des dégradations, des pertes de données...
Dans les deux cas, vous devez établir dans votre cahier des charges un état des lieux exhaustif :
- une analyse de l´architecture de votre système d´information
- une étude des faiblesses et failles de votre système, y compris les téléchargements abusifs d´applications, de fichiers MP3...
- une description des procédures et solutions en place.

Cette étape d´audit peut être effectuée par un prestataire spécialisé, qui réalisera notamment des tests d´intrusion.

2) Opter pour des solutions de protection physique des équipements

Souvent mise de côté, la protection physique des équipements est essentielle dans le cadre d´une politique de sécurisation globale.

Il s´agit donc de préciser la nature des protections que vous envisagez :
- les onduleurs et surtenseurs pour la protection électrique
- des systèmes de détection pour la protection anti-incendie, anti-inondation.
- des sauvegardes régulières des données sensibles, que l´on sécurise par exemple grâce à un coffre fort ignifugé ; les sauvegardes peuvent également être externalisées.
- des systèmes de verrouillage ou de marquage antivol des machines pour la protection contre le vol et/ou le vandalisme

3) Exposer les mesures nécessaires à la confidentialité des données

Pour protéger les données de toute consultation, modification ou destruction non autorisée, il est nécessaire de spécifier une solution de cryptage.

Le chiffrement des données : les « clés » permettent de chiffrer les données avant leur transmission et de les déchiffrer à réception. Plusieurs solutions possibles :
- SSH (Secure Shell) permet d´établir une connexion cryptée entre ordinateur et serveur distant ;
- PGP (Pretty Good Privacy) crypte les e-mails afin que seul les destinataires soient en mesure de les lire ;
- SSL (Secure Socket Layer) : très approprié pour les échanges de commerce électronique, SSL permet une connexion sécurisée à un site ou à une page Web (le préfixe utilisé est https) ;


Le réseau privé virtuel (VPN pour virtual private networks)
Le VPN permet de relier deux réseaux locaux par une liaison publique -à risque- que l´on sécurise. Outre la confidentialité, elle garantit en général :
- le filtrage des adresses IP ;
- l´intégrité des données ;
- l´authentification.

4) Permettre l'authentification

La signature électronique
La signature électronique garantit l´authenticité de l´expéditeur d´un message. Elle vérifie également l´intégrité du contenu transmis et induit la notion de non répudiation (l´expéditeur ne peut pas nier avoir envoyé le message).
Utile pour la transmission de documents confidentiels type factures, contrats, la signature électronique est utilisée dans le cadre des téléprocédures.
Indiquez dans votre cahier des charges les utilisateurs potentiels de la signature électronique ainsi que les solutions utilisées par vos partenaires le cas échéant.

A noter : les solutions sont légion sur le marché mais ne sont pas toujours compatibles entre elles. Les administrations détaillent sur leur site les solutions « agréées ».

L´authentification des utilisateurs
Afin d´authentifier les utilisateurs de votre réseau plusieurs modes d´identification existent :
- l´utilisation de login/mot de passe propre à chaque utilisateur ;
- l´utilisation de clés physiques, cartes à puces, badge ;
- l´authentification par empreinte digitale, vocale... (biométrie).

L´utilisation de deux de ces solutions garantit une authentification renforcée.

5) Se protéger des attaques

Le firewall
Pour protéger le réseau interne de toute intrusion, notamment via la connexion Internet, spécifiez dans le cahier des charges le(s) type(s) de filtrage souhaité(s) :
- filtrage applicatif : criblage application par application, en fonction du port utilisé
- filtrage utilisateur : autorisation ou non d´accès en fonction de l´utilisateur ;
- filtrage adaptatif : journal des transmissions de paquets IP .

Les logiciels anti-virus
Les logiciels anti-virus sont de deux types, que vous pouvez combiner ou non.
- méthode du scanning : recherche de signatures ;
- méthode heuristique : détection des modifications dans les fichiers et des comportements anormaux.

Il est important de prévoir dès le cahier des charges les modalités de mise à jour (fréquence, coût, moyen).

6) Ne pas oublier les utilisateurs

Précisez dans le cahier des charges la mise en place de sessions de sensibilisation et de formation des utilisateurs.

Sites utiles

- Le Club de la Sécurité des Systèmes d´Information Français (CLUSIF) rassemble utilisateurs et offreurs de solutions de sécurité.
- Secuser.com propose actualités, alertes et dossiers sur la sécurité.
- Sécurité.org traite de la sécurité informatique, de la sécurité des réseaux et de cryptographie.
- Cit@delle est un site d´actualité sur la sécurité informatique.
- Zataz.com, site spécialisé dans "l´underground" et le monde des hackers

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages