Professional Documents
Culture Documents
Afin de développer une politique de sécurité de l'information, il faut s'appuyer sur des normes
et méthodes. Cette tâche est généralement la première mission qu'un RSSI doit réaliser en
s'appuyant sur des normes et méthodes reconnues
Normes internationales
Une norme reconnue internationalement est la norme ISO 17999 "code of practice
for information security management", c'est-à-dire le code de bonne pratique pour
la gestion de la sécurité de l'information. Cette norme est un référentiel de bonnes
pratiques de sécurité et des contrôles liés à leurs applications.
La norme ISO 17999 est apparue en 2000 dans le monde de la sécurité des systèmes
d'information. Elle est destinée aux dirigeants, aux directeurs de système d'information et
aux responsables sécurité (Chief Security Officer, RSSI). Elle a été définie afin de répondre
au besoin d'un "label de confiance" d'un organisme reconnu internationalement. Tout comme
la norme ISO9000, bien connue de tous dans le domaine de la qualité, la norme ISO17999 a
pour objectif d'établir un label de confiance reconnu de tous en ce qui concerne la
sécurisation de l'information sous un aspect global.
• ISO 13335:
◦ concepts et modèles pour la gestion de la sécurité des TIC,
◦ techniques pour la gestion des risques relatifs à la sécurité des TIC,
◦ techniques pour la gestion de sécurité IT,
◦ sélection de sauvegarde,
◦ guide pour la gestion de sécurité du réseau;
• ISO 14516: lignes directrices pour l'utilisation et la gestion des services de tiers de
confiance;
• ISO 15408: critères d'évaluation de la sécurité des TIC;
• ISO 18044: gestion d'incidents de sécurité de l'information;
• etc.
Traitement de l'information
• Réserver l'installation et la gestion de l'infrastructure réseau à du personnel
qualifié. Aucune connexion à l'infrastructure ne doit être possible sans l'intervention
du personnel responsable (filtrage d'adresse ethernet MAC, désactivation des portes
non-utilisées sur le commutateur, instauration de règles de filtrage firewall pour le
trafic interne à l'organisation, etc.). En outre tout ajout de systèmes de communication
sans fil (WiFi) devra être associé à une encryption forte (WPA et non WEP) et les accès
distants (VPN) seront soumis à un contrôle strict. Enfin, tout matériel de
communication n'étant pas sous le contrôle total du gestionnaire sera proscrit (par
rexemple un modem sur les stations de travail).
• Réserver l'administration "système" à du personnel qualifié appointé par
l'organisation.
• Enregister toute tentative d'accès infructueux à des documents ou au système
d'information (log).
• Analyser à intervalles réguliers les enregistrements des fichiers de logs
(access log, error log, authorisation log, etc.). Cette analyse sera réalisée par du
personnel compétent. En outre, il est indispensable que chaque système informatique
synchronise son horloge avec une horloge de référence (serveur ntp).