Comment Ca Marche l'informatique ?
 
 Comment Ça Marche - Articles - Sécurité - Définition des besoins
 Accueil
 Forums
 Astuces
 Guide d'achat
 
   
 
 
Livres Comment ça marche?
Tout sur le hardware PC
Tout sur la sécurité
Tout sur le webmastering
Présentation des trois premiers ouvrages de la collection CommentCaMarche.net
Page d'accueil
Ajouter aux favoris
Contribuer à cet article
Ecrire à Jean-Francois Pillou
Sécurité informatique
Introduction
Définition
Définition des besoins
Mise en œuvre
Mise en œuvre
Validation
Audit de sécurité
Tests d'intrusion
Détection
Détection des incidents
Réaction
Réaction aux incidents
Version 2.0.6
 
Identification des besoins en terme de sécurité informatique Page précédente Page suivante Retour à la page d'accueil

Phase de définition

La phase de définition des besoins en terme de sécurité est la première étape vers la mise en oeuvre d'une politique de sécurité.

L'objectif consiste à déterminer les besoins de l'organisation en faisant un véritable état des lieux du système d'information, puis d'étudier les différents risques et la menace qu'ils représentent afin de mettre en oeuvre une politique de sécurité adaptée.

La phase de définition comporte ainsi trois étapes :

  • L'identification des besoins
  • L'analyse des risques
  • La définition de la politique de sécurité

Identification des besoins

La phase d'identification des besoins consiste dans un premier temps à faire l'inventaire du système d'information, notamment pour les éléments suivants :

  • Personnes et fonctions ;
  • Matériels, serveurs et les services qu'ils délivrent ;
  • Cartographie du réseau (plan d'adressage, topologie physique, topologie logique, etc.) ;
  • Liste des noms de domaine de l'entreprise ;
  • Infrastructure de communication (routeurs, commutateurs, etc.) 
  • Données sensibles.

Analyse des risques

L'étape d'analyse des risques consiste à répertorier les différents risques encourus, d'estimer leur probabilité et enfin d'étudier leur impact.

La meilleure approche pour analyser l'impact d'une menace consiste à estimer le coût des dommages qu'elle causerait (par exemple attaque sur un serveur ou détérioration de données vitales pour l'entreprise).

Sur cette base, il peut être intéressant de dresser un tableau des risques et de leur potentialité, c'est-à-dire leur probabilité de se produire, en leur affectant des niveaux échelonné selon un barème à définir, par exemple :

  • Sans objet (ou improbable) : la menace n'a pas lieu d'être ;
  • Faible : la menace a peu de chance de se produire ;
  • Moyenne : la menace est réelle ;
  • Haute : la menace a de grandes chances de se produire.

Définition de la politique de sécurité

La politique de sécurité est le document de référence définissant les objectifs poursuivis en matière de sécurité et les moyens mis en oeuvre pour les assurer.

La politique de sécurité définit un certain nombre de règles, de procédures et de bonnes pratiques permettant d'assurer un niveau de sécurité conforme aux besoins de l'organisation.

Un tel document doit nécessairement être conduit comme un véritable projet associant des représentants des utilisateurs et conduit au plus haut niveau de la hiérarchie, afin qu'il soit accepté par tous. Lorsque la rédaction de la politique de sécurité est terminée, les clauses concernant le personnel doivent leur être communiquées, afin de donner à la politique de sécurité le maximum d'impact.

Méthodes

Il existe de nombreuses méthodes permettant de mettre au point une politique de sécurité. Voici une liste non exhaustive des principales méthodes :

Page suivante

  Ce document intitulé « Sécurité - Définition des besoins » issu de Comment Ça Marche est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.