La sécurité c’est d’abord et avant tout s’organiser. Puisque nous aborderons, tout au long de ce mémoire, plusieurs fois le terme « politique de sécurité », il nous paraît dès lors nécessaire d’expliquer en quoi consiste le rôle d’une politique dans la mise en place de mesures raisonnables de sécurité informationnelle, en quoi elle peut être utilisée comme une partie active de l’effort d’une entreprise pour protéger ses actifs informationnels et surtout comment celle-ci est composée.
Les politiques de sécurité permettent aux entreprises d’établir des pratiques et procédures qui réduiront la probabilité d’une attaque ou d’un incident informatique et permettront de minimiser les dommages qu’un tel incident peut produire, le cas échéant. Plusieurs perçoivent les politiques de sécurité comme un « après problème » ; la touche finale dans une recette de sécurité informatique avec des murs coupe-feu (firewall), antivirus, etc. Ceux qui pensent de cette manière font fausse route.
Par exemple, aux Etats-Unis, le General Accounting Office (GAO) a conclu qu’il lui était possible de pénétrer dans les systèmes informatiques de la NASA par suite de l’absence complète de politique de sécurité. La NASA n’avait pas établi de règles concernant l’usage de
l’Internet et des réseaux sécurisés et les quelques règles qu’elle avait promulguées étaient ou bien périmées ou bien non suivies.106 Donc, l’impact de l’absence de politique de sécurité peut être fatal pour toute entreprise.
Dans ce chapitre, nous essaierons de comprendre pourquoi les politiques de sécurité doivent être la base d’une stratégie de sécurité informationnelle cohérente et comment elles peuvent devenir un aspect pratique et efficace dans la protection des systèmes d’information, des renseignements personnels qu’ils contiennent et dans le respect des obligations légales imposées aux entreprises.
La définition la plus élémentaire du terme « politique de sécurité » est sans doute celle donnée par le Grand dictionnaire terminologique107. Ainsi, est une politique de sécurité l’« énoncé généralement de la direction d’une organisation, indiquant la ligne de conduite adoptée relativement à la sécurité informatique, à sa mise en œuvre et à sa gestion. » En termes pratiques la politique de sécurité est un document publié (ou un groupe de documents) dans lequel la philosophie, la stratégie, les diverses politiques et pratiques de l’entreprise relativement à la confidentialité, l’intégrité et la disponibilité de l’information et des systèmes d’information sont exposés. Donc, la politique est un ensemble de mécanismes par lesquels les objectifs de sécurité de l’information sont définis.
Abordons maintenant les logiques de base d’une politique de sécurité permettant la réalisation de ces objectifs. Tout d’abord, toute politique doit être rédigée en respectant une certaine philosophie. Cette philosophie présente l’approche de l’entreprise dans la mise en place d’un cadre et des lignes directrices dans la stratégie de sécurisation. Celle-ci est la base sur laquelle tous les autres mécanismes seront appliqués. Ensuite, l’entreprise devra avoir une stratégie globale, un plan qui lui permettra de respecter sa philosophie. Cette stratégie devra expliquer comment l’organisation a l’intention d’atteindre les objectifs de sécurité dans les barèmes de sa philosophie. Dans le cas des règlements internes (« policies »), ils sont de simples règles à suivre. Ils déterminent ce qui est permis ou interdit de faire en matière de sécurité des renseignements personnels. Finalement, les procédures définissent le « comment faire » pour respecter les règlements internes. Elles sont les guides pratiques, des manuels d’instruction.
La meilleure façon de louper tout projet de sécurisation d’une entreprise est de ne pas se donner un objectif. Une politique de sécurité sert avant tout de ligne directrice pour l’entreprise qui veut se doter d’un environnement fiable en procurant des objectifs de sécurité à atteindre.
« A security policy for a system is like a foreign policy for a government. […] It defines aims and goals. […] No policy means no overall strategy. […] Good policies talk to the threats. It provides a framework for selecting and implementing countermeasures against the threats. »108
Même si ceci semble évident à première vue, force est de constater que, la réalité dans laquelle la majorité des entreprises se situent est autre. Selon le rapport de mars 2002 de
106 Diane FRANK, « NASA systems full of holes », Federal Computer Week, 24 mai 1999. 107 GRAND DICTIONNAIRE TERMINOLOGIQUE, précitée, note 15.
108 Bruce SCHNEIER, Secrets and Lies: Digital Security in a Networked World, John Willey & Sons, New
Ernest & Young109, environ 50 % des entreprises à travers le monde n’ont aucune politique de sécurité et de celles qui en ont, rares sont celles qui, à l’aide d’un programme de formation, la font connaître à leurs employés. Ce sont des failles alarmantes et certaines entreprises, tant dans le secteur privé que public, peuvent être considérées comme irresponsables dans leur approche de la sécurité informatique, la gestion de laquelle est maintenant critique pour la survie du commerce et maintenir un avantage compétitif. La politique de sécurité est à la sécurité informatique ce que la loi est au droit. Sans la politique, les mesures de sécurité seront développées sans une démarcation claire des objectifs et de la responsabilité, menant à l’augmentation des vulnérabilités.
Il n’y a aucun modèle standard applicable à toutes les entreprises. Chaque politique de sécurité doit être rédigée en tenant compte de la philosophie de l’entreprise et surtout en fonction de ses objectifs. L’identification des objectifs est l’un des résultats obtenus par l’analyse des risques, processus essentiel traité en détail dans la prochaine sous partie. Elle doit être rédigée en considération des ressources financières et le type d’information qui doit être protégée. Les objectifs typiques, aussi repris par les diverses lois concernant la protection de données sensibles, incluent la confidentialité, l’intégrité de l’information et la disponibilité des systèmes, soit les 3 qualités fondamentales de la sécurité informationnelle.110
Toutefois, pour être efficace une politique de sécurité doit respecter certains points. Le respect de ceux-ci s’avère être la manière la plus sure de réussir le processus d’acceptation du document, tant par l’administration que par les employés. Elle doit être, avant tout, réaliste et afin d’être efficace elle doit être perçue par les utilisateurs comme profitable. La politique doit être accessible et mise à disposition des employés de manière rapide, sous peine de tomber dans l’oubli organisationnel.
En bref, la politique de sécurité devrait préférablement, et de manière non exclusive, regrouper les éléments suivants : le préambule expliquant l’objectif de la politique, la confidentialité des données personnelles, la gestion des documents, la désignation d’un point unique de dénonciation des incidents, la mise en place d’outils de préservation de preuves de l’incident, une équipe d’avertissement de risques et nouvelles menaces, détermination des responsabilités et des sanctions, procédure de sauvegarde des informations cruciales et de recouvrement, les virus et l’authentification.
Dans certains domaines de l’industrie, les entreprises ont des obligations légales relativement à l’intégrité et la confidentialité de certaines informations. Dans plusieurs cas, le seul moyen de faire la preuve de diligence raisonnable est de présenter en preuve la politique de sécurité publiée et connue. Parce que la politique de sécurité est normalement publiée, et parce qu’elle représente la décision exécutive, elle peut être tout ce que l’entreprise a besoin pour convaincre un client potentiel, un partenaire ou un investisseur du niveau de maturité de l’entreprise. De plus en plus, les entreprises requièrent de la part de leurs partenaires commerciaux la preuve des mesures de sécurité adéquates avant de conclure un accord et encore une fois une politique de sécurité est un bon commencement. Vous trouverez en annexe un exemple de politique simple en matière de sécurité et de confidentialité.
109 ERNEST & YOUNG, «Global Information Security Survey 2002», Ernest & Young LLP, mars 2002, en
ligne: Ernest & Young < http://www.eyindia.com/pdfs/Info%20Security%20Survey%202002.pdf>.
110 Joël HUBIN, Sécurité informatique, entre la technique et droit, Cahiers du C.R.I.D. nº 14, Facultés
Mais avant de rendre des décisions, à court et à long terme, concernant la sécurité, l’entreprise doit avoir une vision claire et précise de leur profil de risque. Le risque consiste en la combinaison des ressources informationnelles qui ont une valeur monétaire et les vulnérabilités qui peuvent être exploitables. La magnitude du risque est le produit de la valeur de l’information et le degré de risque d’exploitation d’une vulnérabilité.