Guide D'élaboration Du Plan Directeur de Sécurité-Annexes 3-4-5-6

Guide dlaboration du plan directeur de scurit de linformation
Guide Trousse doutils

Document adopt par :
Le Comit national sur la protection des renseignements personnels et la scurit (CNPRPS) le 23 septembre 2003 La Table des coordonnateurs rgionaux de scurit le 28 mai 2003
Juin 2003 Version 2.1
Guide de rdaction du Plan directeur de scurit de linformation

Ce guide a t labor par le cabinet KPMG sous la supervision de la Direction du Technocentre national et de SOGIQUE : M. Robert Brochu Conseiller senior en scurit et technologie Socit de gestion informatique inc. (SOGIQUE) Jacques Bergeron Associ Groupe scurit de linformation KPMG s.r.l.
Personnes consultes :
Jean Laterrire Directeur du Technocentre national Socit de gestion informatique inc. (SOGIQUE) Richard Halley Conseiller en scurit Direction des ressources informationnelles MSSS Gilles Potvin Coordonnateur des technologies de linformation Rgie rgionale de Sant et Services sociaux de Lanaudire Yvan Fournier Responsable du secteur serveur et scurit Centre hospitalier universitaire de Qubec ric Dallaire Coordonnateur de la scurit du rseau Direction des ressources informationnelles MSSS Yves Viau Coordonnateur des ressources informationnelles Rgie rgionale de Sant et Services sociaux des Laurentides Nathalie Malo Analyste-conseil en technologie de linformation Rgie rgionale de Sant et Services sociaux de Lanaudire Lucie Beauregard Coordonnatrice scurit et confidentialit / service informatique Centre universitaire de sant McGill
Denis Lebeuf Jean Asselin Officier de scurit Coordonnateur, secteur ressources matrielles, Centre hospitalier de l'Universit de Montral financires et informationnelles Association des Centres jeunesses du Qubec Normand Baker Directeur gnral CLSC Frontenac et Centre hospitalier rgion amiante
Membres du comit de lecture et de validation : Jean Laterrire Directeur du Technocentre national Socit de gestion informatique inc. (SOGIQUE) Robert Brochu Conseiller senior en scurit et technologie Socit de gestion informatique inc. (SOGIQUE) Hans Brire Coordonnateur rgional de la scurit des actifs informationnels Technocentre rgional de lEstrie ric Dallaire Coordonnateur de la scurit du rseau Direction des ressources informationnelles MSSS Jacques Bergeron Associ Groupe scurit de linformation KPMG s.r.l. Jocelyne Legras Analyste en informatique / responsable du dossier de la scurit de linformation rgionale Rgie rgionale de Sant et Services sociaux de Qubec
Dans ce document, le gnrique masculin est utilis pour simplifier la lecture du texte, mais s'applique autant pour le fminin que pour le masculin.
Pour toute question ou commentaire, veuillez communiquer avec votre coordonnateur rgional de la scurit de l'information. Remerciements Lquipe de ralisation tient remercier toutes les personnes ayant collabores avec elle.
II
Table des matires

CONTEXTE.........................................................................................................................1 1. OBJECTIFS DU GUIDE ..................................................................................................2 1.1 OBJECTIFS ....................................................................................................................2 1.2 POSITIONNEMENT DU PLAN DIRECTEUR DE SCURIT DES ACTIFS INFORMATIONNELS .............................................................................................................2 1.3 AUDIENCE ....................................................................................................................3 1.4 LIMITATIONS ................................................................................................................4 1.5 SOUTIEN .......................................................................................................................4 2. GNRALITS SUR LE PROCESSUS DLABORATION DU PLAN DIRECTEUR DE SCURIT..............................................................................................5 2.1 PRSENTATION GLOBALE DE LA DMARCHE ...................................................................6 2.2 TABLE DES MATIRES DU PLAN DIRECTEUR ....................................................................8 2.3 LIMITATIONS ................................................................................................................9 3. VALUATION DE LTAT DE LA SITUATION ACTUELLE....................................11 3.1 LES FACTEURS CLS DE RUSSITE................................................................................. 11 3.2 PRSENTATION GNRALE DE LA MTHODE UTILISE .................................................... 11 3.3 DMARCHE DTAILLE ..................................................... ERREUR! SIGNET NON DFINI. 3.4 LES TYPES DE CONTRLES ........................................................................................... 13 3.5 VALUATION DES CONTRLES ..................................................................................... 17 3.6 LTAT DE LA SITUATION ACTUELLE : QUELLES FINS SERVENT LES RSULTATS? .......... 21 3.7 STRUCTURE DES CONTRLES ....................................................................................... 25 3.7 LES SECTIONS ET CRITRES DUN TAT DE LA SITUATION ACTUELLE............................... 28 4. ANALYSE DE RISQUES ...............................................................................................29 4.1 INTRODUCTION ........................................................................................................... 29 4.2 PRSENTATION GNRALE DE LA MTHODE UTILISE .................................................... 30 4.3. DMARCHE DTAILLE .................................................... ERREUR! SIGNET NON DFINI. 5. PLAN DIRECTEUR DE SCURIT .............................................................................45 5.1 INTRODUCTION ........................................................................................................... 45 5.2 TAPES DEVANT TRE SUIVIES ..................................................................................... 45 ANNEXE 1 TABLEAU DANALYSE DES CONTRLES .............................................49 ANNEXE 2 FICHES DANALYSE DE RISQUES ..........................................................74 ANNEXE 3 TABLEAU SOMMAIRE DE LVALUATION DES CONTRLES ........122 ANNEXE 4 SOMMAIRE DES ACTIONS RALISER COURT TERME, MOYEN TERME ET LONG TERME .............................................................................129 ANNEXE 5 PLAN DIRECTEUR DE SCURIT.........................................................130
ANNEXE 6 CONTENU DES SECTIONS DE LTAT DE LA SITUATION ACTUELLE .....................................................................................................................132
ii
Annexe 3 Tableau sommaire de lvaluation des contrles

I. DIMENSION ORGANISATIONNELLE
Partie A Scurit Administrative
1. Leadership I.A.1.1 Promotion de la scurit I.A.1.2 La vision de la scurit CS CS A A
Type de contrle
Cote Actuelle
Importance du contrle (stratgique)
valuation du CS
valuation
Action CT, MT ou LT (uniquement pour les CS)
2. Organisation de la scurit I.A.2.1 Organisation de la scurit I.A.2.2 I.A.2.3 Rles et responsabilits Suivi et rapport des incidents
CS CS CS
A A B
3. Programme de gestion de la scurit I.A.3.1 Budget et ressources alloues la scurit I.A.3.2 I.A.3.3 I.A.3.4 I.A.3.5 Plan Directeur de scurit Inventaire, proprit et classification de linformation Analyse de risques Bilan Annuel de la Scurit
CS CS CS CS CS
A A A A B
4. Cadre de gestion de la scurit I.A.4.1 Manuel du cadre de gestion de la scurit
CS
122
I.A.4.2 I.A.4.3 I.A.4.4 I.A.4.5 Politique, normes et de procdures de gestion de la scurit Gestion des crises Assurance contre les dommages matriels Contrats et relations avec les fournisseurs
Type de contrle CS CO CO CO
Cote Actuelle
Importance du contrle (stratgique) A
valuation du CS
valuation
Partie B Scurit physique et du milieu

1. Scurit physique I.B.1.1 Gestion des locaux informatiques I.B.1.2 Gestion des quipements informatiques CO CO
2. Protection des locaux informatiques I.B.2.1 Service continu dalimentation lectrique I.B.2.2 I.B.2.3 Prvention et dtection des inondations Prvention et dtection des incendies
CO CO CO
Partie C Scurit de la production informatique

1. Administration et protection des donnes, systmes et documents I.C.1.1 Privilges du personnel informatique I.C.1.2 Administration des serveurs CO CO CO
123
I.C.1.3 Contrle de la mise en place des systmes I.C.1.4 Gestion de la maintenance des quipements et systmes I.C.1.5 I.C.1.6 I.C.1.7 I.C.1.8 I.C.1.9 I.C.1.10 I.C.1.11 I.C.1.12 I.C.1.13 Contrle de la conformit des configurations Contrle des licences des logiciels et progiciels Antivirus Impression scuritaire et distribution Gestion des supports magntiques Sauvegarde des systmes et des donnes Plan de relve Reprise des activits Revue des journaux et de scurit et enqute
Type de contrle CO CO CO CO CO CO CO CO CO CO CO
Cote Actuelle
valuation du CS
valuation
2. Maintenance et dveloppement informatique I.C.2.1 Intgration de la scurit dans le dveloppement I.C.2.2 I.C.2.3 I.C.2.4 I.C.2.5 Gestion de la documentation Contrle des changements aux applications Modifications en cas durgence Maintenance des applications
CO CO CO CO CO
124
II. DIMENSION HUMAINE

Partie A Scurit du personnel
1. Sensibilisation et formation II.A.1.1 Programme de sensibilisation et formation II.A.1.2 Programme daccueil des employs
Type de contrle
Cote Actuelle
valuation du CS
valuation
CO CO
Partie B thique, pratiques professionnelle et imputabilit

1. Rglement intrieur, devoirs, responsabilits et sanctions II.B.1.1 Respect des rglements
CO
III. DIMENSION TECHNOLOGIQUE

Partie A Tlcommunications, rseaux et serveurs
1. Scurit de larchitecture rseau III.A.1.1 Architecture redondante et scuritaire
Type de contrle
Cote Actuelle
valuation du CS
valuation
CO
125

III.A.1.2 III.A.1.3 III.A.1.4 III.A.1.5 III.A.1.6 Scurit des rseaux internes Contrle des accs aux rseaux Chiffrement et protection de lintgrit des informations Surveillance des rseaux Journalisation et gestion des incidents
Type de contrle
Cote Actuelle
valuation du CS
valuation
CO CO CO CO CO
2. Exploitation des rseaux III.A.2.1 Gestion des privilges du personnel III.A.2.2 III.A.2.3 III.A.2.4 III.A.2.5 Administration des quipements rseau Gestion des changements Gestion des configurations rseau Procdures et plans de relve rseau
CO CO CO CO CO
3. Scurit des serveurs centraux et tlcommunications III.A.3.1 Authentification des utilisateurs III.A.3.2 Autorisation et profils daccs
CO CO CO
Partie B Applications et bases de donnes

1. Scurit de la messagerie III.B.1.1 Gestion de la messagerie III.B.1.2 Contrle antiviral de la messagerie CO CO
126

2. Applications utilisateurs et bases de donnes III.B.2.1 Journalisation des accs III.B.2.2 Contrles dapplication
Type de contrle
Cote Actuelle
valuation du CS
valuation
CO CO
127
IV. DIMENSION JURIDIQUE

Partie A Conformit aux Lois
IV. A.1.1 Respect de la rglementation extrieure
Type de contrle
Cote Actuelle
valuation du CS
valuation
CO
128
Annexe 4 Sommaire des actions raliser court terme, moyen terme et long terme
No de laction
Rfrence
Description de laction
Type daction (CT, MT, LT)
valuation sommaire des efforts
valuation sommaire des cots
129
Annexe 5 Plan directeur de scurit
Voir page suivante
130
Activits court terme (0 12 mois)

No Activit Action Projets Commentaires Rfrence Estimation des efforts - Scurit Estimation des efforts-service informatique Estimation des efforts Utilisateurs Estimation des cots
1 1
Activits moyen terme (12 24 mois)

1 1
Activits long terme (24 mois 36 mois)

1 1
131
Annexe 6 Contenu des sections de ltat de la situation actuelle

Volet I Dimension Organisationnelle
Partie A Scurit Administrative
1.Leadership
I.A.1.1 La promotion de la scurit I.A.1.2 La vision de la scurit
Mise en contexte Le leadership est lune des composantes fondamentales de toute initiative en matire de scurit de linformation. La mise en place et la gestion dun environnement technologique scuritaire, cest--dire respectant le seuil de tolrance de lorganisation, appelle une formalisation des structures de responsabilit et des moyens de gestion de la scurit de linformation. Cependant, sans un leadership adquat et une direction claire, il est difficile voire impossible de transformer lorganisation et lexercice risque dtre futile et demeurer thorique.
Le leadership en scurit de linformation permet de dsigner un promoteur de la scurit de linformation au sein de ltablissement qui supporte les actions poses en matire de scurit de linformation et qui est le rpondant selon le Cadre global de gestion.
Parmi les lments critiques du leadership, nous retrouvons notamment les items suivants :
n n n
Promotion de la scurit au sein de ltablissement; tablissement de la vision en matire de gestion de la scurit; tablissement des rles et responsabilits;
132
Les composantes peuvent tre regroupes sous les deux sections suivantes :

Sous-Section 1.1 Promotion de la scurit; Sous-Section 1.2 La vision de la scurit
I.A.1.1 Promotion de la scurit La promotion de la scurit par un gestionnaire de haut-niveau est lune des conditions importantes pour la russite de toute initiative corporative de protection des actifs informationnels. Cette promotion par un
gestionnaire senior confirme lengagement de lorganisation et dmontre limportance que revt la protection des actifs informationnels. Comme toute autre initiative corporative, la scurit de linformation exige une validation et un support formel de la haute direction afin den assurer le succs. I.A.1.2 La Vision de la scurit La vision de la scurit mane ncessairement des membres de la direction dun tablissement. La vision prend souvent la forme dnoncs contenus dans une politique corporative de scurit et vise communiquer les attentes de ltablissement en regard la scurit des actifs informationnels. Une vision claire permet dinfluencer la culture de
lorganisation et par consquent, lattitude des usagers. La vision doit tre cohrente avec les objectifs lis la scurit ainsi que les exigences et besoins lgislatifs, organisationnels et logistiques. 2. Organisation de la scurit I.A.2.1 Organisation de la scurit I.A.2.2 I.A.2.3 Rles et responsabilits Suivi et rapport des incidents
133
134
Mise en contexte Cette section adresse les lments relatifs lorganisation de la scurit, cest--dire les rles et responsabilits de mme que la structure organisationnelle permettant la gestion adquate de la scurit des actifs informationnels. La faon dont est structure la scurit dans une organisation dterminera, en grande partie, les orientations ainsi que les responsabilits accordes aux individus en matire de scurit. Cette
structure doit permettre latteinte des objectifs fixs par la haute direction en matire de gestion des risques. Pour ce faire, les rles et
responsabilits de chacun des acteurs ainsi que leur implication individuelle au niveau des divers systmes et des banques dinformation lors dincidents de scurit doivent tre dfinis. Parmi les lments cls relis lorganisation de la scurit, nous retrouvons notamment les items suivants :
n n n n
Gestion de la scurit; Gestion de la scurit des systmes dinformation; Responsabilits organisationnelles; Suivi des incidents.
I.A.2.1 Organisation de la scurit Lorganisation de la scurit reprsente la structure interne et la dfinition des tches en matire de protection de linformation ainsi que les responsabilits qui y sont rattaches. Selon la taille de lorganisation, les mcanismes de management de la scurit varieront. Ces mcanismes peuvent prendre la forme de comits de scurit, impliquer la nomination dun responsable de la scurit ( officier de scurit ), exiger la nomination de responsables techniques de la scurit au sein du service informatique et tre adapts aux besoins de scurit de lorganisation. Le partage des responsabilits doit indiquer clairement et spcifiquement les tches et responsabilits des intervenants en matire de scurit. Lobjectif
135
est de possder un outil permettant deffectuer une gestion efficace de la scurit logique, et ce, en tenant compte des documents dencadrement en vigueur (normes et procdures) et des exigences lgales et/ou provenant des institutions connexes.
I.A.2.2 Rles et responsabilits
Lattribution
des
responsabilits
oprationnelles
fait
rfrence
lidentification des dtenteurs dactifs informationnels, communment appels propritaires de systmes, et lattribution des rles et responsabilits oprationnelles. Cette attribution des responsabilits se manifeste gnralement par un registre dautorit des systmes dinformation. Un tel registre dsigne un ou des individus ainsi que leurs responsabilits par rapport aux divers systmes. Ce registre doit tre tenu jour et rvis rgulirement afin dassurer une responsabilisation complte des intervenants par rapport aux systmes dinformation de ltablissement.
I.A.2.3 Suivi et rapport des incidents Le systme didentification et de suivi des incidents de scurit est un lment cl permettant de grer les incidents de scurit se produisant au sein de lenvironnement informatique de lorganisation. Sans un tel
mcanisme, il est possible que des incidents de scurit ne soient pas identifis ou soient rectifis par le personnel oprationnel sans tre communiqus au personnel responsable de la gestion de la scurit. En effet, sans des mcanismes didentification, danalyse, de diffusion et de suivi appropri des incidents, il pourrait tre difficile de dceler des problmes rcurrents. De plus, certains incidents considrs comme
mineurs lorsque analyss individuellement pourraient tre symptomatiques dincident porte plus importante. Sans une vision densemble, il
136
devient difficile de mettre en relation ces incidents individuels et den interprter les impacts globaux. 3.Programme de gestion de la scurit I.A.3.1 Budget et ressources alloues la scurit I.A.3.2 I.A.3.3 Plan directeur de scurit Inventaire, proprit et classification de linformation
I.A.3.4 Analyse de risques I.A.3.5 Bilan annuel de scurit Mise en contexte Cette section traite du programme de scurit qui est en fonction dans lorganisation. Un programme de scurit doit mettre en lumire les
activits et efforts mis de lavant par la direction pour promouvoir et responsabiliser informationnels. le personnel en matire de scurit des actifs
Un tel programme est la partie visible par le
personnel exploitant de lorganisation.
I.A.3.1 Budget et ressources alloues la scurit
Le plan oprationnel de scurit de linformation identifie les projets de scurit devant tre raliss au cours de la prochaine anne. Dautre part, le plan directeur de la scurit de linformation permet de dterminer plus long terme les projets en fonction des besoins identifis dans larchitecture de scurit. Il est donc important de prciser les besoins en ressources pour raliser ces projets court et moyen terme. Un budget spcifique ddi la scurit de linformation doit tre prpar et accept par la haute direction de ltablissement afin de sassurer de lallocation adquate des ressources pour rpondre aux besoins de scurit, que les
137
priorits ont t correctement dfinies et que les problmes de scurit sont adresss adquatement avec des ressources suffisantes.
I.A.3.2 Plan directeur de scurit Le plan directeur de scurit informatique est un document qui vise fournir aux dirigeants des tablissements un outil leur permettant davoir la vision, la matrise et le contrle de la scurit de linformation et ainsi tre en mesure de poursuivre leurs activits, tout en connaissant ltat de la situation ce niveau. Ainsi, le plan directeur de scurit informatique met des recommandations sur :
n n
les mesures mettre en place ou amliorer; lordre logique et la priorit dimplantation des mesures correctives, en fonction de la situation actuelle;
un plan daction, incluant un estim budgtaire des solutions.
I.A.3.3 Inventaire, proprit et classification de linformation Les notions de proprit et de Catgorisation de linformation sont trs importantes pour sassurer que les actifs informationnels stratgiques et importants pour ltablissement sont adquatement protgs par des mesures efficaces. I.A.3.4 Analyse de risques Lanalyse de risques constitue une activit importante afin de permettre ltablissement didentifier les principaux risques en matire de scurit de linformation. Lanalyse de risques est galement un outil de sensibilisation efficace pour les utilisateurs car elle leur permet de prendre conscience des principaux risques auxquels ils sont confronts et dont ils sont responsables.
138
I.A.3.5 Bilan annuel de scurit Le bilan de la scurit permet dvaluer priodiquement ltat de la scurit et de dterminer le niveau damlioration dune priode une autre.
4.Cadre de gestion de la scurit I.A.4.1 Manuel du cadre de gestion de la scurit I.A.4.2 I.A.4.3 Manuel de gestion oprationnel de la scurit Politique, normes et procdures de gestion de la scurit
I.A.4.4 Gestion de crise I.A.4.5 I.A.4.6 Assurances contre les dommages matriels Contrats et relations avec les fournisseurs
Mise en contexte Le cadre de gestion de la scurit permet dencadrer, de coordonner et de supporter la mise en place des dispositions lgislatives qui sappliquent lorganisation, des meilleures pratiques en matire de gestion de la scurit et des standards de scurit reconnus, tout en tenant compte de lvolution des besoins et de lenvironnement technologique.
I.A.4.1 Manuel du cadre de gestion de la scurit
Le cadre de gestion de la scurit de linformation tablit entre autre les responsabilits en matire de gestion de linformation et prcise les politiques, normes et procdures en vigueur.
I.A.4.2 Manuel de gestion oprationnel de la scurit
139
Le manuel de gestion de la scurit regroupe les noncs essentiels la gestion oprationnelle de la scurit. Il constitue une source de rfrence autant pour le Responsable de la Scurit de ltablissement que les diffrentes personnes impliques dans la gestion quotidienne de la scurit de linformation. I.A.4.3 Politique, normes et procdures de gestion de la scurit Les politiques, normes et procdures formant le cadre normatif sont ncessaires afin dencadrer la scurit des systmes dinformation ainsi que les actifs informationnels.
n
La politique est un document parapluie qui dfinit la vision et la direction des mesures de scurit dans une organisation. Ce document doit tre approuv par la direction et diffus au personnel de lorganisation.
Les normes viennent appuyer les noncs de la politique. Tous les sujets inhrents scurit font lobjet dune norme distincte qui prcise les principes respecter sans tenir compte daucune plateforme ou spcificit technologique. Celles-ci sont remises aux
personnes qui sont directement concernes et sont habituellement approuves par le comit de scurit.
n
Les normes de scurit sont associes une ou plusieurs procdures selon le nombre de systmes ou de plates-formes diffrentes. Elles dfinissent de faon prcise les mesures et paramtres appliquer pour chacun des contextes. En cas de changements technologiques, les procdures doivent habituellement tre rvises.
I.A.4.4 Gestion des crises Cette sous-section vise sassurer que lorganisme dispose dune cellule de gestion des crises qui est en opration de faon continuelle en cas de dsastre ou de sinistre informatique.
140
I.A.4.5 Assurance contre les dommages matriels Cette sous-section vise sassurer que des assurances suffisantes ont t prises concernant le matriel informatique et les logiciels en cas de perte de ceux-ci suite un sinistre ou un dsastre. I.A.4.6 Contrats et relations avec les fournisseurs Cette sous-section vise sassurer que les choix des fournisseurs et la ngociation des contrats de service sont effectus de manire assurer la continuit des relations et prvenir tout bris de lien. Les contrats de service sont constitus gnralement dengagements dune firme externe envers lorganisme ou bien un dpartement informatique envers dautres groupes. Les contrats de service dterminent le niveau de ressources attribues envers un systme, les priodes de maintenance, les responsabilits des usagers et autres items. De plus, ces contrats, lorsque appliqus pour tous les systmes, sont un excellent outil de gestion de tches du personnel informatique et permettent de dfinir prcisment les intervenants lors de la maintenance et du service la clientle.

Partie B Scurit physique et du milieu 1.Scurit Physique I.B.1.1 Gestion des locaux informatiques I.B.1.2 Gestion des quipements informatiques
Mise en contexte Les progrs constants de la technologie ont, en quelques annes, modifi le paysage du monde informatique ainsi que le comportement des utilisateurs en regard de la scurit des systmes d'information. Cette volution a marqu l'architecture des centres informatiques et entrane
141
frquemment la rpartition physique des systmes informatiques dans des locaux plus ou moins scuriss. Il est donc ncessaire que des solutions organisationnelles et techniques soient en place afin de mieux matriser les risques physiques lis linformatique (incendie, dgts deau, intrusion) ainsi que les problmes pouvant survenir au niveau de l'environnement de fonctionnement des ordinateurs et postes de travail (alimentation lectrique, climatisation, cblage, perturbations magntiques et lectromagntiques, etc.). I.B.1.1 Gestion des locaux informatiques La gestion des locaux informatiques limite laccs de ces locaux aux personnes autorises. Ce processus permet galement de savoir en tout temps quels sont les dtenteurs, par exemple, des cartes daccs et de sassurer que leur utilisation est conforme la politique de ltablissement. Le contrle daccs des locaux sensibles est la mise en application de moyens scuritaires tels que des serrures lectroniques indpendantes dans chaque local sensible. Cette mesure affine les accs au niveau de certaines salles des personnes autorises plutt qu lensemble de ldifice. Ainsi une personne ayant un droit daccs limmeuble ne pourrait pas pntrer dans des locaux sensibles. Les locaux sensibles ne disposant pas de systme anti-effraction, une protection efficace des quipements et documents entreposs nest pas garantie. La protection anti-effraction permet de protger les locaux sensibles contre les tentatives deffraction laide de moyens tels que des portes et fentres blindes. Cela permet galement de ralentir la progression des fraudeurs dans les diffrents locaux sensibles, tout en permettant lintervention prcoce des services de scurit. Cette sous-section vise galement sassurer que des mcanismes de surveillance adquats ont t installs dans les locaux contenant des quipements informatiques sensibles et que cette surveillance est adquatement applique.
142
La dtection dintrusion dans les locaux sensibles permet de prvenir rapidement les agents de scurit quun ou plusieurs individus ont tent de pntrer dans lesdits locaux. Les dgts occasionns aux quipements prsents dans les locaux sensibles seront de moindre importance si les dlais dintervention sont rduits au minimum. Finalement, si le cblage dune organisation est vulnrable, la disponibilit et la confidentialit du rseau de lorganisation peuvent tre compromises. Le contrle daccs au cblage permet de restreindre les accs aux personnes autorises. Il permet aussi dempcher quun individu puisse endommager ou dtruire partiellement ou en totalit le cblage. Enfin, il permet dempcher la mise en place dappareils dcoute des activits du rseau. I.B.1.1 Gestion des quipements informatiques La gestion des quipements informatiques permet dexercer un contrle rigoureux sur le parc informatique, grce la tenue dun inventaire et la mise en place de procdures visant protger celui-ci contre le vol ou lutilisation non-autoriss. Ce processus facilite formalise galement les modalits de mise au rebut des quipements, et leur sortie du primtre de ltablissement.
2.Scurit Environnementale I.B.2.1 I.B.2.2 I.B.2.3 Service continu dalimentation lectrique Prvention et dtection des inondations Prvention et dtection des incendies
Mise en contexte
143
Cette sous-section vise identifier si le site sur lequel se trouve la salle informatique est susceptible dtre vulnrable divers risques naturels et humains tels que des tremblements de terre, des inondations, des attaques terroristes, des accidents davion si un aroport est proximit, des
accidents de trains sil y a la prsence proche dun chemin de fer, etc.
I.B.2.1 Service continu dalimentation lectrique Cette sous-section vise sassurer que les installations informatiques bnficient dune alimentation continue en matire lectrique et que des dispositifs sont prsents afin de palier une interruption temporaire de lalimentation lectrique ou des variations dans lalimentation lectrique. I.B.2.2 Prvention et dtection des inondations Cette sous-section vise mesurer si lorganisme a situ son site
informatique un endroit scuritaire afin de minimiser les inondations. Elle vise galement mesurer les mesures mises en place afin de dtecter les ventuelles inondations dans la salle informatique ou les salles contenant des quipements manipulant des actifs informationnels sensibles. Enfin, elle permet de sassurer que lorganisme vrifie rgulirement ces mesures. I.B.2.3 Prvention et dtection des incendies Cette sous-section vise dterminer si lorganisme dispose dquipements suffisants pour dtecter les incendies dans les locaux contenant des actifs informationnels sensibles. Cette sous-section vise galement dterminer si lorganisme dispose dquipements suffisants pour combattre les incendies dans les locaux contenant des actifs informationnels sensibles et que les employs attitrs sont forms adquatement. Enfin, elle permet de sassurer que lorganisme vrifie rgulirement ces mesures.
144
145

Partie C Scurit de la production informatique 1.Administration et protection des donnes, systmes et documents I.C.1.1 Privilges du personnel informatique I.C.1.2 Administration des serveurs I.C.1.3 Contrle de la mise en place des systmes I.C.1.4 Gestion de la maintenance des quipements et des systmes I.C.1.5 Contrle de la conformit des configurations I.C.1.6 Contrle des licences des logiciels et progiciels I.C.1.7 Antivirus I.C.1.8 Impression scuritaire et distribution I.C.1.9 Gestion des supports magntiques I.C.1.10 I.C.1.11 I.C.1.12 I.C.1.13 Sauvegarde des systmes et des donnes Plan de relve Reprise des activits Revue des journaux de scurit et enqute
Mise en contexte Cette section regroupe les lments qui sont ncessaires afin dassurer la protection des systmes dans lenvironnement de production. Cet
environnement reprsente lensemble des systmes et donnes utilises par les divers intervenants de lorganisme qui doivent tre administrs avec vigilance. De plus, certains lments, comme par exemple la gestion des licences, sils ne sont pas effectus rigoureusement, pourraient
entraner des rpercussions lgales et porter atteinte la rputation de lorganisme. I.C.1.1 Privilges du personnel informatique
146
Bien que les administrateurs du rseau et des systmes aient besoin daccs largis par rapport aux utilisateurs dits rguliers, il est essentiel que ces accs soient contrls et vrifis rgulirement. Ces vrifications, sont ncessaires pour tre en mesure de prvenir ou dtecter des abus de privilges ou des activits douteuses sur les systmes. Les accs et
agissements sur les systmes de la part des administrateurs doivent tre journaliss et surveills. De plus, une rvision annuelle des privilges et droits daccs devrait tre effectue dans le but de sassurer que les privilges donns correspondent toujours aux besoins rels des tches effectuer.
I.C.1.2
Administration des serveurs Ladministration des serveurs consiste maintenir et grer les serveurs qui soutiennent les applications de lorganisation. Ces serveurs doivent tre maintenus pour assurer un fonctionnement optimal et viter des pannes et problmes. Cette administration doit prendre la forme de mises jour aux systmes dexploitation ainsi que la surveillance par du personnel autoris. Seules les personnes comptentes doivent avoir accs aux serveurs critiques de production. Cette sous-section traite galement de lautomatisation de ladministration. Lautomatisation de ladministration signifie que certains lments de ladministration quotidienne sont automatiss afin de librer le personnel de tches rptitives et souvent rendre le processus plus fiable. De plus, le tl-pilotage permet aux employs dadministration des systmes daccder au systme partir dun endroit autre que le bureau. Donc, en cas de problme avec les systmes, un administrateur peut tre en mesure de corriger la situation dans un dlai rapide sans avoir se dplacer.
I.C.1.3
Contrle de la mise en place des systmes
147
La mise en production est une activit critique pour tout systme dinformation. Il sagit de mettre en fonction les changements (majeurs ou mineurs) dans lenvironnement dexploitation. Cette mise en production doit tre effectue de faon diligente et mthodique. Avant toute mise en production, il faut que des tests appropris soient effectus pour confirmer officiellement que les changements dsirs ont bel et bien t effectus et quil ny ait aucune rpercussion sur les autres fonctions. En effet, lors de maintenances des systmes informatiques, il est possible que les changements aient des effets ngatifs sur dautres aspects du systme ou crent une brche au niveau de la scurit.
I.C.1.4
Gestion de la maintenance des quipements et systmes Le contrle de la maintenance, qui englobe tous les lments qui sont effectus sur lapplication soit pour ajouter une fonctionnalit, corriger un problme technique ou simplement effectuer de la maintenance prventive doit tre encadr de faon rigoureuse. La maintenance doit tre effectue de faon mthodique, pour que les modifications puissent tre journalises et suivies. Par ailleurs, il est important que le personnel qui effectue la maintenance annote leur travail pour que le personnel qui fera la maintenance dans le futur soit en mesure de comprendre les modifications qui ont t apportes auparavant. Cette sous-section concerne galement le contrle de la tl-maintenance, qui permet de sassurer que la maintenance distance est effectue de manire scuritaire et que lauthentification est adquate. La tlmaintenance doit tre effectue dans un environnement scuritaire, autant pour le personnel de maintenance de lorganisme que pour les fournisseurs le cas chant. Enfin, les contrats de maintenance (ou de service) qui sont fournis par des firmes externes sont frquemment un lment important dans
lexploitation informatique dun organisme. Ces contrats, qui peuvent
148
grandement varier selon les besoins et ressources internes doivent tre en mesure de rpondre aux besoins de disponibilit et de temps de rponse ncessaires. Pour les systmes jugs critiques par lorganisme, il faut que le contrat de service stipule un temps de rponse qui est satisfaisant pour assurer une continuit des affaires dans un dlai raisonnable. Pour des raisons financires, il faut que les contrats de maintenance soient rdigs en fonction des tches que le personnel interne nest pas en mesure deffectuer ou qui sont trop exigeantes au niveau du temps.
I.C.1.5
Contrle de la conformit des configurations Les postes de travail des utilisateurs des tablissements doivent suivre une configuration standard afin dviter les brches de scurit. Le contrle de cette configuration devrait tre effectu rgulirement par le personnel de ltablissement. La conformit de postes usagers relve directement dune cohrence au niveau de la gestion des licences ainsi que de la scurit des postes de travail. Luniformit des installations pour les usagers facilitera galement le support ces derniers ainsi que la gestion des licences pour les applications qui y sont installs.
I.C.1.6
Contrle des licences des logiciels et progiciels La gestion des licences, bien quelle reprsente un lment non technique de la scurit informatique reprsente un risque lgal pour tout organisme qui ne gre pas correctement les licences dapplications informatiques. Ne pas grer les licences peut entraner des rpercussions lgales importantes, ainsi quune perte inestimable de productivit si lorganisme se trouvait dans un dficit important de licences versus le nombre rel dapplications utilises.
I.C.1.7
Antivirus
149
La protection antivirale des serveurs est essentielle dans la mesure ou les donnes contenues et les actions effectues sont critiques pour les oprations courantes de ltablissement. Tous les serveurs devraient tre munis de protection contre les virus. Si un serveur devient infect, il est possible que tous les systmes du parc informatique le deviennent galement si une protection adquate nest pas dploye
systmatiquement. La protection contre les virus au niveau des postes de travail est un mcanisme essentiel dans les oprations informatiques actuelles. Le rle des antivirus au niveau des postes de travail sert surtout dtecter des virus qui pourraient provenir dun mdia tel un CD-ROM ou une
disquette. De plus, les virus pourraient tre contenus dans un fichier qui t acquis par le biais du rseau Internet. Si le virus nest pas dtect sur le poste de travail, celui-ci risque de se propager partout au sein de ltablissement et possiblement causer des pertes de donnes et de productivit. Il est essentiel que les mises jour des antivirus soient effectues rgulirement et de faon automatise tant sur les postes de travail que sur les serveurs.
I.C.1.8
Impression scuritaire et distribution

La scurit des documents qui sont imprims doit faire lobjet dune directive de scurit prcise. Bien que les documents imprims ne fassent plus partie de linformatique, ces impressions peuvent contenir des informations confidentielles provenant de divers systmes. Il est essentiel que des mcanismes de protection et de destruction volontaire de ces imprims existent dans lorganisme pour que des informations de nature sensible ne soient pas perdues ou jetes aux ordures sans tre dtruites de faon approprie. interdits dimpression si ncessaire. De plus, certains documents ou informations sensibles, qui sont disponibles dans les systmes devraient tre
150
Cette sous-section mesure galement les contrles associs la distribution des rapports produits par le centre informatique de ltablissement. On y mesure les moyens de protection des rapports confidentiels. I.C.1.9 Gestion des supports magntiques Cette sous-section traite de ladministration des supports magntiques, principalement pour ceux qui sont utiliss pour les copies de sauvegarde. Des procdures crites doivent tre prsentes cette fin. De plus, des procdures de vrification priodique de la qualit des copies de sauvegardes doivent tre prsentes afin de sassurer que les copies de sauvegarde peuvent tre lisibles et rcuprables en cas de problme dexploitation. I.C.1.10 Sauvegarde des systmes et des donnes Cette sous-section vise sassurer que de faon rgulire des copies de scurit sont prises pour tous les systmes, ces copies de scurit des informations de nature hautement sensible sont conserves dans les locaux extrieurs au site dorigine et que les copies de secours sont entreposes lextrieur des locaux de ltablissement, idalement dans la vote dune entreprise spcialise qui en assure le transport dune faon scuritaire. De plus, cette section vise sassurer que les copies de sauvegarde des systmes dinformation locaux sur micro-ordinateurs autonomes sont soumises aux mmes rgles de sauvegarde.
I.C.1.11
Plan de relve Cette sous-section vise sassurer quun plan de relve existe pour les applications critiques autant sur lenvironnement central de
ltablissement que pour les applications distribues. Le plan de relve
151
devrait comporter des lments tels que les numros de tlphone des personnes stratgiques, des fournisseurs informatiques, des lieux de rassemblement et autres.
I.C.1.12
Reprise des activits Les procdures de reprise des oprations devraient tre des sousensembles dun plan de relve informatique. Ces procdures devraient dcrire les tapes suivre ainsi que les mesures prendre en cas de sinistre affectant les applications. Ces procdures de reprise doivent galement inclure les procdures descalade.
I.C.1.13
Revue des journaux de scurit et enqute La gestion des incidents informatiques au niveau de la scurit devrait faire lobjet dune gestion et dun enregistrement centralis. Cette
centralisation fera en sorte que tout vnement de scurit sera signal au responsable et sera enregistr de faon ce quil puisse y avoir un suivi et gestion de ses vnements. En utilisant un systme central, le responsable sera en mesure de classer les vnements, remarquer les vnements rcurrents ou similaires et formuler des recommandations le cas chant. Sans un systme central, il y a des risques que les responsables de la scurit ne soient pas informs des vnements et que ces derniers ne puissent tre en mesure de formuler des solutions permanentes des problmes rcurrents ou mener une enqute sur des anomalies significatives. Cette sous-section vise galement mesurer les procdures adoptes par ltablissement afin dinvestiguer les anomalies dtectes par lanalyse des journaux et de mettre en place les actions ncessaires.
152
Partie C Scurit de la production informatique 1.Administration et protection des donnes, systmes et documents I.C.2.1 I.C.2.2 I.C.2.3 I.C.2.4 I.C.2.5 Intgration de la scurit dans le dveloppement Gestion de la documentation Contrle des changements aux applications Modifications en cas durgence Maintenance des applications
Mise en contexte Les activits de maintenance et de dveloppement de systmes savrent des tches qui comportent plusieurs risques de scurit. La maintenance des applications implique que des changements aux applications existantes sont effectus. Ces changements pourraient crer des brches de scurit, de linstabilit du systme et autres imprvus. Le dveloppement, qui reprsente une activit de cration dune nouvelle application, doit tre soigneusement planifi. En effet, si la scurit nest pas planifie ds le dbut, il est possible que des contrles permettant de prvenir lentre de donnes errones ou non autorises soient absents mais cependant ncessaires selon les meilleures pratiques. Ces aspects lis lintgrit, la confidentialit et la disponibilit pourraient tre fortement ngligs ou simplement rajouts la fin sans une intgration parfaite au systme.
I.C.2.1
Intgration de la scurit dans le dveloppement

Lors du dveloppement dun systme dinformation, la mthode de dveloppement devra comprendre les aspects de scurit ds la phase de ltude prliminaire. La scurit, dans tout nouveau systme dinformation doit tre imbrique dans les fonctionnalits mme du systme au lieu dtre ajoute lorsque celui-ci est termin. Sans une mthodologie de dveloppement dont la
153
scurit est une partie intgrale, il est possible de retrouver des failles de scurit importantes lors de la mise en production ou des tests de performance de lapplication finale. De plus, tout au long du dveloppement, des mcanismes de validation des besoins de scurit devraient avoir lieu pour tre en mesure dassurer un niveau de scurit optimal lors de la livraison du produit fini. Enfin, une mthodologie de dveloppement devrait tre utilise pour tous les projets en technologie de linformation et comprendre des tapes de contrle et dassurance qualit.
I.C.2.2
Gestion de la documentation La documentation relative un systme est un lment essentiel pour les changements ainsi que son exploitation. Lors des changements dans le systme, le dtail de ceux-ci devraient tre inscrits de faon systmatique dans un journal ou autre document pour tre en mesure de retracer les modifications effectues dans le cas ou ces dernires doivent faire lobjet dune rvision.
I.C.2.3
Contrle des changements aux applications Selon une base dvnements ou des commentaires rcurrents dusagers, il devrait, dans toute organisation qui maintient elle-mme ses systmes informatiques, avoir un mcanisme de contrle des changements. Ce
mcanisme devrait tre en mesure de corriger des problmes mineurs et dtecter des problmes potentiels suite une rvision du code source. I.C.2.4 Modifications en cas durgence Une procdure structure de gestion des cas durgences et des pannes, autant au niveau applicatif quau niveau technique devrait tre en place. Le support de premier niveau et de second niveau doivent tre structurs et documents de faon centralise.
154
I.C.2.5
Maintenance des applications Les applications achetes ou imparties devraient bnficier dun contrat de maintenance et cette dernire devrait tre contrle au mme titre que modifications effectues aux logiciels dvelopps linterne.
155
Volet II Dimension Humaine

Partie A Sensibilisation et formation
1.Sensibilisation et formation
II.A.1.1 Programme de sensibilisation et formation II.A.1.2 Programme daccueil des employs Mise en contexte La sensibilisation et la formation la scurit de linformation permettent de faire prendre conscience aux divers types dintervenants, tels que les gestionnaires, les utilisateurs, les administrateurs de rseau, les nouveaux employs, etc., limportance de cet aspect, de la valeur des informations quils manipulent, de leurs responsabilits et des lois en vigueur sur la confidentialit des informations. De plus, la sensibilisation et la formation des usagers doivent tre transmises ds larrive des employs par un programme daccueil afin de sassurer quils soient au fait des enjeux de scurit de linformation. Un programme daccueil est essentiel afin de sassurer que les nouveaux employs de ltablissement soient informs des enjeux de scurit de linformation. Ce programme devrait tre
dispens lors des premires journes lemploi de ltablissement et porter sur les enjeux de scurit de ltablissement ainsi que les attentes de ltablissement et le rle du nouvel employ
II.A.1.1
Programme de sensibilisation et formation
La sensibilisation permet aux employs de comprendre les enjeux lis la confidentialit, lintgrit et la disponibilit de linformation quils manipulent. La formation des utilisateurs et surtout la formation du personnel appartenant au groupe de scurit permet de maintenir et damliorer leur performance et connaissance affrents la mise en application de la scurit informatique.
156
Cette section vise galement sassurer que le climat social est adquat au sein de ltablissement et que des mesures de sensibilisation sont prsentes. Elle vise sassurer que les employs adhrent aux objectifs de ltablissement en matire de scurit.
II.A.1.2 Programme daccueil
Le programme daccueil des nouveaux employ doit comporter tous les lments requis, entre autres la signature dun code dthique, lexplication de limportance de la protection des renseignements pour ltablissement et la remise de la politique de scurit. Partie B thique, pratique professionnelle et imputabilit
1.Rglement intrieur, devoirs et responsabilits
II.B.1.1 Respects des rglements
Mise en contexte La conformit et le suivi, lments importants dans un contexte hospitalier, sont ncessaires dans la mesure ou une organisation doit
sassurer que ses employs respectent les rglements internes et adoptent un comportement thique.
II.B.1.1
Respect des rglements
Le respect des rglements internes reprsente un dfi pour toutes les organisations. Ces rglements sont frquemment complexes et coteux appliquer et exigent de lorganisation dy affecter du personnel. Par
contre, les obligations ne doivent pas tre ngliges ou oublies par les membres, car les pnalits pourraient tre importantes tant au niveau financier que de la rputation. Pour tre en mesure de se conformer toutes ces dispositions, une organisation doit se doter de mcanismes de
157
sensibilisation et de contrle afin de sassurer que les rglements internes sont suivis et appliqus correctement afin de protger linformation de ltablissement. Ces mcanismes peuvent prendre la forme dune
personne dsigne, de comits ou autres.
158
Volet III Dimension Technologique

Partie A Tlcommunication, rseaux et serveurs
1.Scurit de larchitecture rseau
III.A.1.1 III.A.1.2 III.A.1.3 III.A.1.4 III.A.1.5 III.A.1.6
Architecture redondante et scuritaire Scurit des rseaux internes Contrle des accs aux rseaux Chiffrement et protection de lintgrit des informations Surveillance des rseaux Journalisation et gestion des incidents
Mise en contexte Cette section traite des problmatiques architecturales relies lexploitation dun primtre rseau scuritaire. Les aspects tels que
lutilisation des protocoles rseau, le fractionnement en fonction des zones de sensibilits, la dfinition des routes et autres lments relis larchitecture du rseau y sont analyss
III.A.1.1
Architecture redondante et scuritaire Lanalyse des lments darchitecture est une vrification des quipements rseau qui doivent fournir lorganisme un niveau de disponibilit lev des systmes dinformation. Les lments observs se situent surtout au niveau des lments susceptibles de crer un goulot dtranglement au rseau. Cest--dire crer un ralentissement ou panne gnrale de par leur mauvais fonctionnement.
III.A.1.2
Scurit des rseaux internes Lanalyse de la sensibilit des rseaux internes est une activit essentielle dans la mesure ou les activits informatiques de ltablissement utilisent
159
des informations sensibles et lInternet. Les sous-rseaux font en sorte que des informations et systmes critiques puissent tre isols de lexterne et des usagers non autoriss. La sensibilit de ces sous-rseaux varie surtout en fonction de la sensibilit de linformation que contiennent les systmes qui y sont situs. Le partitionnement du rseau interne, valu en fonction de la sensibilit des sous-rseaux, est ltude du bien fond du partitionnement selon le type et la sensibilit des informations contenues sur les systmes. De plus, cette valuation tablit si chacun des domaines dtient suffisamment de scurit en fonction des informations contenues. III.A.1.3 Contrle des accs aux rseaux Laccs aux rseaux par le biais de lignes tlphonique (modem) est une mthode frquemment utilise par les organismes dans le but de faciliter la gestion distance des systmes ou de permettre aux employs daccder leurs donnes distance. Cette mthode daccs comporte de nombreux risques. Lutilisation de modems signifie quune personne qui accde au rseau de cette manire augmente les risques dintrusion lis lutilisation des modems. Lorsque la scurit de ces mcanismes daccs distance est mal configure, les donnes de lorganisme pourraient tre la cible de pirates informatiques. Cette sous-section traite galement du contrle des accs des adresses IP par des mcanismes qui effectuent le filtrage des demandes daccs des services tel que lInternet ou autre. Ces mcanismes, lorsquen place, effectuent un rle important au niveau des accs des systmes critiques ou au rseau public. Ils sont en mesure de bloquer laccs dune personne un service rseau simplement en reconnaissant lidentifiant de son poste de travail. Enfin, le contrle des accs sortant est un mcanisme qui permet ou refuse aux usagers dun rseau informatique deffectuer des communications avec le rseau public Internet.
160
En fonction des organisations et des
politiques qui les rgissent, il est possible que le personnel nait pas accs Internet ou quil en ait seulement un accs partiel. Les contrles daccs sortants font en sorte que ces politiques soient mises en place et respectes, cest dire que seule la personne qui devrait avoir accs aux sites Internet par exemple soit en mesure dy accder.
III.A.1.4
Chiffrement et protection de lintgrit des informations Le chiffrement des changes reprsente le transfert dinformations sur un rseau, tout en utilisant un moyen technologique rendant illisible les informations aux personnes qui pourraient tenter dintercepter ces donnes entre le moment de leur envoi et de leur rception. Ces mcanismes de chiffrement sont cruciaux lorsque des donnes sont transmises sur Internet en dehors du RTSS et contiennent des informations sensibles. Pour les tablissements qui changent des informations sensibles et qui requirent un niveau lev dintgrit, lutilisation de signatures numriques devient essentielle. Ces signatures, qui utilisent un protocole de chiffrement, assurent une transmission scuritaire des donnes entre le client et le systme en question.
III.A.1.5
Surveillance des rseaux La surveillance des rseaux permet aux administrateurs de ne pas tre pris au dpourvu et dtre proactif face aux incidents qui peuvent survenir. La surveillance des rseaux doit inclure des mesures et des analyses priodiques ainsi quun systme de dtection des intrusions et danomalies pour fournir aux administrateurs tous renseignements ncessaires pour assurer la disponibilit et lintgrit du rseau.
III.A.1.6
Journalisation et gestion des incidents Les journaux dvnements sont essentiels lorsque ltablissement dsire obtenir des informations sur les agissements dun individu en particulier
161
ou des agissements collectifs sur un systme prcis. La journalisation et les journaux machines sont souvent les principaux outils de contrle permettant dassurer limputabilit des usagers des systmes
dinformation. En effet, les journaux peuvent servir en cas dincident de scurit retracer un prsum coupable. ventuellement les informations journalises peuvent tre utilises dans la prise de dcision en matire de mesures disciplinaires ou lgales. La gestion des incidents informatiques au niveau de la scurit devrait faire lobjet dune gestion et denregistrement centralis. Cette
centralisation fera en sorte que tout vnement de scurit sera signal au responsable et sera enregistr de faon ce quil puisse y avoir un suivi et gestion de ses vnements. En utilisant un systme central, le responsable sera en mesure de classer les vnements, remarquer les vnements rcurrents ou similaires et formuler des recommandations le cas chant. Sans un systme central, il y a des risques que les responsables de la scurit ne soient pas informs des vnements et que ces derniers ne puissent tre en mesure de formuler des solutions permanentes des problmes rcurrents ou mener une enqute sur des anomalies significatives.
2. Exploitation rseau
III.A.2.1 III.A.2.2 III.A.2.3 III.A.2.4 III.A.2.5
Gestion des privilges du personnel Administration et maintenance des quipements rseau Gestion des changements Gestion des configurations rseau Procdures et plan de relve rseau
162
Mise en contexte Lexploitation des rseaux se rsume toutes les facettes relies la gestion et au maintien du bon fonctionnement des systmes dinformation ainsi que des rseaux qui les supportent. Ces facettes permettent que les infrastructures technologiques soient conserves un niveau optimal de performance relativement aux exigences des usagers et de la direction.
III.A.2.1
Gestion des privilges du personnel Bien que les administrateurs du rseau aient besoin daccs largies par rapport aux utilisateurs dits rguliers, il est essentiel que ces accs soient contrls et vrifis rgulirement. Ces vrifications sont ncessaires pour tre en mesure de prvenir ou dtecter des abus de privilges ou des activits douteuses sur les systmes. Les accs et agissements sur les quipements rseaux de la part des administrateurs doivent tre journaliss et surveills. De plus, une rvision annuelle des privilges et droits
daccs devrait tre effectue dans le but de sassurer que les privilges donns correspondent toujours aux besoins rels des tches effectuer.
III.A.2.2
Administration des quipements rseau Ladministration des quipements rseaux consiste maintenir et grer les quipements qui soutiennent le rseau ministriel. Ces quipements
doivent tre maintenus pour assurer un fonctionnement optimal ainsi quviter des pannes et problmes. Cette administration doit comprendre des mises jour aux systmes dexploitation ainsi que la surveillance par du personnel autoris. Seules les personnes comptentes doivent avoir accs aux quipements critiques de production. Ces quipements incluent le cblage, un lment essentiel du rseau. Sans cblage appropri, le rseau ne peut pas fournir les services attendus. Pour la gestion du cblage rseau, le Ministre doit disposer dun plan de
163
cblage. Les cbles doivent tre identifis pour pouvoir rapidement retrouv le cble dfaillant en cas de problme. Tout le cblage doit tre analys rgulirement pour prvenir les disfonctionnements potentiels. Cette sous section traite galement de lautomatisation de lexploitation, signifiant que certains lments de lexploitation quotidienne sont automatiss pour tre en mesure de librer le personnel de tches rptitives et souvent rendre le processus plus fiable. De plus, le tlpilotage permet aux employs dadministration des systmes daccder aux quipements rseaux partir dun endroit autre que le bureau. Donc, en cas de problme avec les systmes, un administrateur peut tre en mesure de corriger la situation dans un dlai rapide sans avoir se dplacer.
III.A.2.3
Gestion des changements La mise en production est une activit critique pour tout quipement rseau. Il sagit de mettre en fonction les changements (majeurs ou
mineur) dans lenvironnement dexploitation. Cette mise en production doit tre effectue de faon diligente et mthodique. Avant toute mise en production, il faut que des tests appropris soient effectus pour confirmer officiellement que les changements dsirs ont bel et bien effectus et quil ny ait aucune rpercussion sur les autres fonctions. En effet, lors de maintenances des quipements rseaux, il est possible que les changements aient des effets ngatifs sur dautres aspects du rseau ou crent une brche au niveau de la scurit. Cette sous-section traite galement du contrle de la maintenance, qui englobe tous les lments qui sont effectus sur les quipements rseaux pour soit rajouter une fonctionnalit, corriger un problme technique ou simplement effectuer de la maintenance prventive doit tre encadre de faon rigoureuse. La maintenance doit tre effectue de faon mthodique, pour que les modifications puissent tre journaliss et suivies. Par
164
ailleurs, il est important que le personnel qui effectue la maintenance annote leurs travaux pour que les employs qui feront la maintenance dans le futur soit en mesure de comprendre les modifications qui ont t apportes dans le systme. III.A.2.4 Gestion des configurations rseau La conformit des configurations des quipements rseaux et des cartes rseaux des postes usagers relve directement dune cohrence au niveau des fonctionnalits offertes ainsi que de la scurit. Le plan de sauvegarde des configurations rseaux est un mcanisme continuel qui dtermine la frquence des copies de sauvegarde, les items sauvegards, la rotation des mdias ainsi que le stockage lextrieur des donnes critiques sil y a lieu. En cas de sinistre, ces copies seront la pierre angulaire de la relve des oprations informatiques. sauvegardes, lorganisation pourrait perdre plusieurs Sans ces pour
mois
reconfigurer les quipements. De plus, il est essentiel que les mdias et donnes soient tests rgulirement pour sassurer quelles soient disponibles rapidement en cas de besoin. III.A.2.5 Procdures et plans de relve rseau
Les procdures de reprises des oprations devraient tre des sous-ensembles dun plan de relve informatique. Ces procdures devraient dcrire les tapes suivre ainsi que les mesures prendre en cas de sinistre et que le rseau ministriel serait affect ou inaccessible. De plus, des copies de la documentation ainsi que tout matriel essentiel au bon fonctionnement des applications critiques devraient tre conserves lextrieur. Le plan de relve devrait comporter des lments tels que les numros de tlphones des personnes cl, des fournisseurs informatiques, des lieux de rassemblement et autres.
3. Scurit des serveurs centraux et tlcommunications
165
III.A.3.1 Authentification des utilisateurs III.A.3.2 Autorisation et profils daccs
Mise en contexte Compte tenu de la dcentralisation des systmes informatiss et de la facilit daccs aux configurations des systmes dexploitation des serveurs, cette section vise spcifiquement cette problmatique. Dans ce nouveau contexte, les brches de scurit sont facilement connues publiquement, do limportance de ragir rapidement pour appliquer les correctifs et connatre exactement la situation des serveurs face aux nouvelles vulnrabilits. De plus, les architectures de type client-serveur apportent avec elles une nouvelle dynamique en matire de scurit des serveurs. Jusqu rcemment utiliss principalement pour les applications bureautiques, les serveurs ont maintenant un rle de support aux applications dites mission critical . La scurit des serveurs internes et des systmes dexploitation de ceux-ci est souvent prsente sous lappellation du primtre interne de lentreprise. La notion de scurit du primtre interne fait rfrence la scurit individuelle des systmes composant lenvironnement informatique de lentreprise qui sont identifis comme tant privs et qui par consquent ne sont pas accessibles via les rseaux publics tels que lInternet. De manire gnrale, ces systmes sont les systmes les plus critiques de lentreprise. Le primtre interne aussi communment appel la dernire ligne de dfense repose sur la scurit individuelle de chacun des systmes de lenvironnement. III.A.3.1 Authentification des utilisateurs Lauthentification aux systmes est reconnue comme tant la dernire ligne de dfense dun systme.
166
Lauthentification, qui repose
frquemment sur une combinaison dun nom dusager et un mot de passe, doit tre bien configure, sinon cette dernire ligne de dfense pourrait tre faible et facilement accessible aux pirates informatiques. Les
paramtres dauthentification reposent aussi sur des lments telles que le nombre de tentatives de connexion permises, le nombre de caractres requis pour le mot de passe, etc.
III.A.3.2
Autorisation et profils daccs La gestion des autorisations et des comptes usagers est lun des piliers de la scurit des systmes dinformations dans une organisation. Il est
essentiel que tous les usagers utilisant un systme dtiennent les accs ncessaires pour effectuer le travail requis par leur poste. De plus,
lorsquun usager quitte lorganisme, des mcanismes doivent tre enclenchs afin de sassurer que le compte est dsactiv puis rvoqu. Des mcanismes doivent assurer en tout temps ladquation entre les accs accords lusager et les besoins du poste. Ltablissement des profils daccs est une tche importante qui est frquemment nglige. La cration et la gestion des profils daccs
doivent tre effectues de faon mthodique dans le seul but daccorder des privilges ncessaires aux membres dun profil donn. De plus, la modification de ces profils doit tre effectue par un nombre limit de personnes du dpartement informatique de ltablissement.
Volet III Dimension Technologique

Partie B Applications utilisateurs et bases de donnes
1.Scurit de la messagerie
III.B.1.2
Gestion de la messagerie
167
III.B.1.2
Contrle antiviral de la messagerie Afin de contrer les attaques de type viral perptres via le courrier lectronique, les tablissements qui dtiennent un systme de courrier lectronique se doivent dy installer un mcanisme de filtrage pour bloquer lentre au rseau de virus et autres programmes nuisibles.
2.Applications et bases de donnes
III.B.2.1 III.B.2.2
Journalisation des accs Contrles dapplication
Mise en contexte Cette section est particulire car elle traite des spcificits propres aux systmes applicatifs. Une fiche de contrle devrait tre labore pour chaque application critique.
III.B.2.1 III.B.2.2
Journalisation des accs Contrles dapplication
168
Volet IV Dimension Juridique

Partie A Conformit aux lois IV A.1.1 Respect de la rglementation extrieure
Mise en contexte
Les aspects du programme de conformit aux lois doivent tre prsents, entre autres une dmarche structure pour assurer la conformit des processus actuels avec les exigences lgales, plus particulirement la protection des renseignements personnels.
IV A.1.1
Respect de la rglementation extrieure Un processus de respect de rglementation extrieur est en place.
169

Guide D'élaboration Du Plan Directeur de Sécurité-Annexes 3-4-5-6

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Guide D'élaboration Du Plan Directeur de Sécurité-Annexes 3-4-5-6

Uploaded by

Copyright:

Available Formats

Guide dlaboration du plan directeur de scurit de linformation

Guide Trousse doutils

Juin 2003 Version 2.1

Guide de rdaction du Plan directeur de scurit de linformation

Table des matires

ANNEXE 6 CONTENU DES SECTIONS DE LTAT DE LA SITUATION ACTUELLE .....................................................................................................................132

Annexe 3 Tableau sommaire de lvaluation des contrles

Importance du contrle (stratgique)

Action CT, MT ou LT (uniquement pour les CS)

4. Cadre de gestion de la scurit I.A.4.1 Manuel du cadre de gestion de la scurit

Importance du contrle (stratgique) A

Action CT, MT ou LT (uniquement pour les CS)

Partie B Scurit physique et du milieu

Partie C Scurit de la production informatique

Importance du contrle (stratgique)

Action CT, MT ou LT (uniquement pour les CS)

II. DIMENSION HUMAINE

Importance du contrle (stratgique)

Action CT, MT ou LT (uniquement pour les CS)

Partie B thique, pratiques professionnelle et imputabilit

III. DIMENSION TECHNOLOGIQUE

Importance du contrle (stratgique)

Action CT, MT ou LT (uniquement pour les CS)

III. DIMENSION TECHNOLOGIQUE

Importance du contrle (stratgique)

Action CT, MT ou LT (uniquement pour les CS)

Partie B Applications et bases de donnes

III. DIMENSION TECHNOLOGIQUE

Importance du contrle (stratgique)

Action CT, MT ou LT (uniquement pour les CS)

IV. DIMENSION JURIDIQUE

Importance du contrle (stratgique)

Action CT, MT ou LT (uniquement pour les CS)

Type daction (CT, MT, LT)

valuation sommaire des efforts

valuation sommaire des cots

Annexe 5 Plan directeur de scurit

Voir page suivante

Activits court terme (0 12 mois)

Activits moyen terme (12 24 mois)

Activits long terme (24 mois 36 mois)

Annexe 6 Contenu des sections de ltat de la situation actuelle

I.A.1.1 La promotion de la scurit I.A.1.2 La vision de la scurit

Sous-Section 1.1 Promotion de la scurit; Sous-Section 1.2 La vision de la scurit

I.A.2.2 Rles et responsabilits

Un tel programme est la partie visible par le

personnel exploitant de lorganisation.

I.A.3.1 Budget et ressources alloues la scurit

un plan daction, incluant un estim budgtaire des solutions.

I.A.4.1 Manuel du cadre de gestion de la scurit

I.A.4.2 Manuel de gestion oprationnel de la scurit

Volet I Dimension Organisationnelle

accidents de trains sil y a la prsence proche dun chemin de fer, etc.

Volet I Dimension Organisationnelle

Contrle de la mise en place des systmes

lexploitation informatique dun organisme. Ces contrats, qui peuvent

Impression scuritaire et distribution

ltablissement que pour les applications distribues. Le plan de relve

Volet I Dimension Organisationnelle

Intgration de la scurit dans le dveloppement

Volet II Dimension Humaine

Programme de sensibilisation et formation

II.B.1.1 Respects des rglements