HEC – ECOLE DES MINES DE PARIS PROMOTION 2009 Mastère Spécialisé Management des Systèmes d’Informations OPTIMISER LA SECURITE DE L’INFORMATION « Entre normes, standards et approches humaines » Thèse professionnelle préparée sous la direction de M. Ludovic FRANCOIS présentée et soutenue pour l’obtention du MSIT par Arnaud GARRIGUES
118
Embed
OPTIMISER LA SECURITE DE L’INFORMATION · une politiue, d’établi et d’atteind e des objectifs pa la combinaison de moyens techni ues et de mesures organisationnelles7. Ils
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
HEC – ECOLE DES MINES DE PARIS
PROMOTION 2009
Mastère Spécialisé
Management des Systèmes d’Informations
OPTIMISER LA SECURITE DE L’INFORMATION
« Entre normes, standards et approches humaines »
Thèse professionnelle préparée sous la direction
de M. Ludovic FRANCOIS
présentée et soutenue
pour l’obtention du MSIT
par
Arnaud GARRIGUES
3
REMERCIEMENTS
Mes remerciements vont tout d’abord à M. Ludovic FRANCOIS qui, par sa constance
présence et son aide, a su guider cette recherche et me permettre d’atteindre ce résultat.
Mes remerciements vont également à toutes les personnes qui ont bien voulu m’aider dans
cette recherche notamment en m’accordant un temps précieux, en acceptant de répondre à
mes questions ou encore en me guidant vers des sources de grande qualité.
La sécurité de l’information est une préoccupation croissante des organisations1 tant
publiques que privées dans un contexte de concurrence avivée et marqué par des crises
fréquentes et de toute nature. Les pouvoirs publics confèrent à ces questions un niveau de
priorité remarquable avec notamment, la création récente de l’ANSSI2.
Afin de se protéger, les entreprises disposent d’une pléthore de référentiels, standards et
bonnes pratiques destinés à fournir à toute organisation les solutions les plus adéquates
pour sécuriser leur information. Cependant, l’intuition suggère aussi que les ITIL, Cobit et
autres trouvent parfois plus d’échos auprès des directions générales ou des DSI, plus
sensibles à ce type d’approche qui tend à transformer les systèmes d’informations en centre
de profit voire en différenciateur stratégique. Néanmoins, la multiplication de ces
référentiels est source de complexité et cette-même profusion ne garantit en rien que
l’intégralité des sujets soient traités.
L’intuition suggère également que la sécurité des systèmes d’information et le volet
« protection de l’information » de l’intelligence économique doivent être plus étroitement
associés pour assurer une sécurité de l’information plus efficace. L’objectif de ce travail sera
donc de donner un contenu plus précis et objectif à cette idée. L’intérêt de cette étude
repose donc sur la proposition d’une nouvelle méthode managériale prenant en compte les
avantages reconnus des normes de sécurité de l’information tout en articulant ceux-ci avec
les apports propres à une démarche d’intelligence économique.
La dimension nouvelle des attaques informationnelles implique sans doute une prise en
compte plus globale qui nécessité une nouvelle démarche, et pourquoi pas, de nouvelles
pratiques. On peut ainsi dire que le propre de l’intelligence économique serait de dégager un
sens, une logique dans des attaques qui visent désormais, de façon quasi-systématique3, les
systèmes d’information des entreprises. Plus encore, alors que le salarié est de plus en plus
souvent au centre des problématiques de sécurité de l’information, la sécurité économique
peut apporter une capacité de réaction plus efficace.
Nous tenterons donc de répondre à la question suivante : Comment assurer une sécurité de
l’information plus efficace en associant Sécurité des Systèmes d’Informations et Intelligence
Economique ?
1 Par la suite, on entendra indifféremment entreprises comme organisations.
2 Agence Nationale pour la Sécurité des Systèmes d’Informations, anciennement DCSSI.
3 Selon une étude récente du CDSE
7
Selon l’étude du CIGREF, les 3 référentiels les plus utilisés dans le monde de l’entreprise sont
ITIL, ISO27001 et Cobit. Parmi ceux-ci, la sécurité est le second point le plus fréquemment
couvert par un référentiel, interne ou externe, au sein des entreprises. La même étude du
CIGREF montre que, parmi les objectifs poussant les entreprises à utiliser un référentiel
interne ou externe, la sécurité arrive en second. Il y a donc un réel intérêt à montrer la
complémentarité de ces standards.
Pour ce faire, cette étude développera la structure, la démarche et l’approche des normes
dites « SSI » : ISO27001, ISO27002, ISO27005, EBIOS et MEHARI. Les deux dernières normes,
développées en France, apportent une vision complémentaire et très intéressante en
matière d’analyse et de gestion de risques.
Dans un second temps, nous étudierons les normes dites « non-SSI » : Cobit ou ITIL.
L’ensemble de ces normes « SSI » et « non-SSI » provient d’un domaine commun qui est
celui du management de l’IT ou des systèmes d’informations. Cet agrégat sera donc désigné
par normes « IT ».
L’étude de ces démarches procédera d’une méthode commune. En effet, leur structuration
est telle qu’elle permet l’utilisation d’un ensemble d’indicateurs communs qui en facilitent la
compréhension. Après une étude et une analyse de chaque norme, celle-ci sera évaluée en
fonction de ces indicateurs qui permettront de déterminer une démarche globale.
INDICATEURS INTERET
Objectif Définit l’objectif que se donne la
méthode
Méthode générale Concepts et approches clés de la
méthode
Périmètre A qui s’adresse le référentiel ? Sur quel
domaine se déploie-t-il ?
Définition de l’objet prioritaire. Focus du référentiel (information, SI…)
Méthode d’identification de l’objet
à protéger
Comment identifie-t-on l’actif critique
ou l’information critique, le bien
informationnel ?
Définition du risque Evaluation de la définition
Approche globale Résumé court de la démarche du
référentiel
Définition de la menace Evaluation de la définition
8
Place donnée à la notion de
sensibilisation, formation
Présence et importance de cette notion
La démarche d’intelligence économique est moins structurée et d’une certaine manière plus
récente. On peut donc affirmer que le contenu de la démarche ou de la méthode liée à la
protection ou à la sécurité de l’information est réparti ou présent dans de nombreux
documents et qu’il a évolué au cours du temps. C’est ce que nous montrerons dans une
analyse croisée des différents documents fondant la méthode.
Afin de développer le modèle d’articulation recherché, la composante du modèle global
s’intéressant uniquement à l’articulation des normes IT sera développée en premier. Dans
un dernier temps, les rapports et l’apport de l’intelligence économique avec les normes IT
seront développés avant de conclure sur une synthèse globale et la présentation de ce
nouveau modèle plus général.
9
PREMIERE PARTIE : ETUDE COMPAREE DES NORMES SSI
I- ISO 27001 & ISO27002
Selon le dossier publié par MAG SECURS4, la mise en place d’un Système de Management de
Sécurité de l’Information est un des meilleurs moyens de garantir la sécurité de
l’information. Issues des normes anglaises, les deux normes furent d’abord contenues dans
la norme BS7799 avant d’être transposées à l’ISO sous le numéro 17799 en 2000.
Cependant, cette norme ne pouvait alors générer aucune certification et c’est notamment
pour cette raison que la norme ISO27001 fut publiée en 2005 tandis que l’ISO27002
apparaissait en 2007.
Cette première norme se conçoit comme un préalable et la définition d’un cadre plus
générique mettant en jeu une démarche de sécurité de l’information. Elle en donne les
principes, les définitions, les axes mais ne permet pas, en tout état de cause, de réaliser
l’ensemble du processus. Les dispositions de la seconde procurent des éléments plus
pratiques que l’on peut réellement mettre en œuvre. Elle apporte ainsi un cadre générale et
les moyens d’une approche globale réclamée par tous les acteurs du secteur : on parle alors
d’approche holistique de la sécurité qui peut aller jusqu’à satisfaire les besoins d’un état
comme en témoigne un retour d’expérience sur les systèmes du gouvernement de Taïwan5.
Source : Livre Blanc ISO 27001 – SOLUCOM
4 MAG SECURS, n°21, SMSI : Système de Management de la Sécurité de l’Information.
5“ National information security policy and its implementation : A case study in Taiwan“.
NORMES
CHOISIES
ET
ETUDIEES
DANS LE
CADRE DE
LA THESE
10
Cette liste montre l’intérêt du corpus des normes ISO2700X : l’intégralité de la démarche est
traitée, garantissant dans le temps une sécurité de l’information à la fois en évolution mais
toujours à la pointe. La reprise du cycle PDCA, également observable dans ITIL, constitue un
des principes de bases de la norme, de même que l’approche par « Processus ». Ces
principes de bases sont au nombre de 4 : Pilotage par les risques, Amélioration continue,
Implication du Management et Approche Processus.
Facteur essentiel, la norme définit un vocabulaire, des références et des pratiques
communes. Elle facilite donc la communication, à nouveau décrite comme facteur essentiel6.
Conçue comme un « système de management », elle permet notamment de mettre en place
une politique, d’établir et d’atteindre des objectifs par la combinaison de moyens techniques
et de mesures organisationnelles7. Ils vont notamment apporter 2 éléments : l’adoption des
bonnes pratiques du secteur et une augmentation de la fiabilité.
Malgré sa jeunesse, cette norme connait une reconnaissance internationale réelle : de très
nombreuses entreprises japonaises on américaines s’en servent pour certifier un niveau de
sécurité. En France, selon une étude réalisée par SOLUCOM, 53% des entreprises interrogées
se trouvent dans une démarche de mise en place d’un SMSI (définition, projet de
certification, analyse des écarts…) tandis que 47% n’ont encore rien lancé. Plus encore, ce
corpus de normes représente une capitalisation d’expérience de qualité qui, en tant que
telle, permet d’obtenir une sorte de quintessence des bonnes pratiques observables en
matière de sécurité des système d’informations. Selon une étude du CIGREF, cette norme
est la 2ème norme le plus utilisée en entreprise, en France, pour la sécurité mais également
quelque que soit le référentiel considéré susceptible d’être utilisé par une DSI. On rappellera
que cette norme peut être utilisée indépendamment de tout effort de communication ou
sans souhait de certification.
Source : SOLUCOM
6 Cette nécessité est affirmée à de nombreuses reprises par Thierry CHAMFRAULT dans son ouvrage sur ITIL,
mais également dans le livre blanc de SOLUCOM.
7 Définition donnée par M. Fernandez-Toro dans son ouvrage : « Management de la sécurité de l’information ».
11
1. Principes du SMSI
Plus pratiquement, le SMSI procure une vision globale de la sécurité, mais pas forcément
complète. Il comporte l’ensemble des documents décrivant la politique de sécurité de
l’information avec les analyses de risques et les procédures. Mais il possède aussi un niveau
technique avec la prise en compte des éléments techniques : réseaux, firewalls. A cela
s’ajoute la définition de l’organisation du SMSI : RSSI, correspondants sécurité dans les
métiers, les filiales. Enfin, il s’intéresse à tous les éléments physiques de la protection de
l’information, par exemple, les contrôles d’accès physiques.
a) Sécurité de l’information : définitions
Le but de cette norme est la mise en place d’un système de sécurité visant à protéger les
« biens d’informations » ou information asset. La définition est assez simple : il s’agit de
protéger tout ce qui a de la valeur pour l’entreprise et qui est sous forme d’une information :
papier, matérielle, immatérielle…
La norme est d’origine anglo-saxonne : en anglais, la différence entre safety et security est
bien plus marquée qu’en français, du moins dans son usage courant. Le premier désigne la
protection physique de l’individu tandis que le second s’attarde sur la notion de malveillance
vis-à-vis de l’information. Plus généralement, la norme choisit de considérer tout ce qui a un
impact sur les critères de sécurité de l’information. Enfin, la « protection » est comme on le
verra, un terme qui fait largement référence à la préservation du caractère confidentiel.
Parmi les principes de la norme, ceux qui fondent la sécurité de l’information sont très
importants car ils sont largement partagés et qu’ils constituent la base de référence de notre
travail. Ils sont définis notamment dans une autre norme ISO (1335-1)8 :
Disponibilité : l’information est accessible et diffusable sur demande à une autorité autorisée
suivant des conditions définies à l’avance (24/24, heures ouvrables…)
Intégrité : les informations ne sont modifiées que par ceux qui en ont les droits. Les
informations doivent garder le caractère complet et correct.
Confidentialité : l’information est disponible en fonction du besoin d’en connaître ou de son
niveau de confidentialité. En pratique, elle n’est accessible qu’à ceux qui en ont le droit.
Ces critères sont les critères « primaires » de la sécurité de l’information mais plusieurs
autres ont été ajoutés par la suite : traçabilité, non-répudiation, authentification…
8 La définition est largement empruntée à celle traduite par M. Fernandez-Toro.
12
La SMSI reste un système souple pour deux raisons qui constituent les deux derniers
principes :
Le besoin de chaque critère varie suivant les entreprises et les systèmes concernés. On peut
envisager un système dont le besoin en confidentialité est nul par rapport aux besoins en
disponibilité. Ex. :c’est le cas du DNS selon certains experts.
Le SMSI n’intègre pas forcément les critères dits « seconds » dans la définition et les
principes. Mais les besoins de l’entreprise peuvent induire leur intégration sans que cela ne
porte préjudice à l’efficacité du système au contraire. L’essentiel reste l’adaptation du
système défini aux besoins (et aux risques) de l’entreprise.
b) Pilotage par les risques.
L’approche du pilotage par les risques procure un avantage indéniable. Il permet de
quantifier et de préciser les risques réels encourus par l’entreprise. Ces risques identifiés sur
une base rationnelle, quantitative et qualitative, induisent une prise de décision et donc, un
engagement d’une instance de direction qui ne peut ignorer la prise du risque, l’évitement,
le transfert…Cela permet donc d’avoir une approche efficace des mesures de sécurité,
choisies en fonction des risques et donc, plus efficiente.
Il ne s’agit donc plus d’une approche par la conformité décrite par certains experts comme
inefficace et parasitaire. Trop lourde et coûteuse, elle ne garantit pas un niveau de risque
acceptable et devient paralysante.
c) Amélioration continue
Le cycle d’amélioration « Plan, Do, Check, Act » permet de prendre conscience de la
nécessaire réévaluation des composantes du SMSI. Le système peut faire l’objet d’une
évaluation annuelle mais il peut également voir ses composantes être évaluées sur une
échelle temporelle différente en fonction d’autres besoins. On retiendra également son
caractère fractal : il est présent au niveau macro et micro de l’organisation cible.
Il s’agit plus d’un changement de culture qui prend en compte l’évolution de la sécurité, des
problématiques et des techniques inhérentes au domaine :
Plan : prévoir, se définir un objectif dans un domaine
Do : le réaliser
Check : formaliser les écarts entre les objectifs et les résultats
Act : corriger les écarts analysés dans la phase précédente.
13
d) L’approche Processus
L’approche processus est inhérente à la norme : il comporte un ensemble d’éléments
définissant le processus et permettant de l’évaluer et de l’intégrer au SMSI. Un processus est
un ensemble d’activités et de sous-activités, traitant des éléments en entrée et produisant
des éléments différents en sortie. Il est animé par des responsables et des acteurs qui
peuvent le contrôler, à l’aide d’indicateurs notamment.
Les Processus du SMSI
Ils sont au nombre de 7 et chacun d’entre eux est décrit suivant les principes de
l’amélioration du cycle PDCA :
- Piloter le SMSI - Analyser les risques - Gérer le traitement des risques - Former et sensibiliser - Contrôler le SMSI - Gérer les incidents et vulnérabilités - Gérer les documentations et les preuves
2. Approche et Structure
Parmi les différentes approches expliquant à la fois le SMSI et la démarche qui
l’accompagne, une, développée par un praticien expérimenté de la norme9, est intéressante
car elle intègre tous les éléments dans l’approche PDCA dont nous avons bien montré
l’omniprésence. Nous nous en inspirerons donc.
a) Phase PLAN
Dans cette phase vont intervenir de façon générale, la définition des objectifs de sécurité de
l’entreprise. Plusieurs éléments sont pré-requis qui font, notamment, la spécificité du SMSI.
Périmètre et Politique
Ainsi, la première étape reviendra à l’organisation de choisir le périmètre sur lequel elle veut
voir le SMSI s’exercer. Cette étape est primordiale en ce sens qu’elle définit le domaine
même sur lequel va pouvoir être défini un niveau de confiance. Son choix conditionne
également la crédibilité du système : trop restreint, il peut n’avoir qu’un intérêt limité. Trop
grand, il peut engendrer des ressources exorbitantes. Au périmètre s’ajoute la politique du
SMSI qui permet de définir le niveau de sécurité que veut atteindre l’organisation sur son
périmètre.
9 M. Fernandez-Toro
14
Ex. : Une banque peut s’engager sur un niveau de confidentialité extrême de 1/ ses échanges
2/ ses activités sur internet. Dans le cas de l’ensemble des échanges bancaires, le niveau de
confidentialité est très important et les mesures prises seront nombreuses et avec un impact
lourd. Dans un second cas, le périmètre est plus restreint et les mesures prises, peut-être
aussi nombreuses s’appliqueront à moins de ressources. Enfin, quel que soit le cas considéré,
le niveau de sécurité choisi (« confidentialité extrême ») ne garantit en rien que le ou les
sites soient accessibles ou que la banque puisse exercer ses activités 24/24.
Analyse et traitement du risque
L’analyse de risque relève essentiellement de la norme ISO27005 décrit dans la partie
suivante. Il est intéressant de relever qu’EBIOS et MEHARI que nous étudions par la suite
peuvent être utilisées dans le cadre d’une démarche 27001. Cependant, si l’absolue
conformité entre ces normes n’était pas de mise au début, les deux dernières tendent à
s’aligner en matière de vocabulaire ou encore d’indicateurs.
De manière générale, toute norme se voulant compatible avec la démarche du SMSI doit
prévoir les étapes et les résultats suivants : Identification des actifs et de leurs
Responsables, Identification des vulnérabilités, Identification des Menaces, Identification
des Impacts, Evaluer la vraisemblance (à l’aide des mesures déjà prises), Estimer les
niveaux de risque.
Les risques sont ensuite traités selon 3 modalités : Acceptation, Eviter, Transférer ou
Réduire. Cela débouche alors sur un niveau de risque dit résiduel que le management doit
accepter individuellement ou non. Dans ce dernier cas, une nouvelle session de mises en
place de mesure de sécurité doit avoir lieu donnant lieu à un re-calcul des risques résiduels.
Mesures de sécurité
La norme ISO propose 133 mesures de sécurité que l’on trouve dans l’annexe A de la 27001
ainsi que dans la 27002, enrichie alors de divers conseils et informations complémentaires.
C’est un peu le cœur de la sécurité dans le sens où ces mesures, tirées des meilleures
pratiques, vont avoir un impact direct sur le niveau de sécurité de l’information de
l’entreprise.
La démarche de sécurité veut que chaque mesure ne soit pas implémentée : il ne s’agit pas
de se conformer à la norme mais bien d’adapter le choix de chaque mesure à un risque
identifié. Par ailleurs, si aucune mesure présente ne permet de diminuer un risque identifié,
la norme inclut la possibilité d’introduire une mesure sui generis ou provenant d’un autre
référentiel.
15
L’ensemble des normes est alors repris dans un document appelé SoA pour Statement of
Application qui, pour chaque mesure, en définit l’applicabilité (oui/non) et une justification
associée. C’est une étape cruciale de la démarche SMSI.
b) Phase DO
La phase « DO » correspond à la mise en œuvre des mesures de sécurité qui ont été
retenues lors de l’étape précédente. Il peut s’agir de mesures simples, complexes ou encore
qui complètent des mesures déjà existantes en les améliorant.
Un plan de traitement des risques comprend une référence à la mesure de sécurité, une
action à entreprendre, un responsable et un niveau de priorité (exemple une date par
rapport à une autre). Le plan de traitement correspond à la mise en pratique des mesures de
sécurité retenues dans le SoA.
La phase DO comprend également des éléments complémentaires :
- Déploiement - Indicateurs => les critères communs sont ainsi une référence de même que la norme à
venir ISO27004. - Formation et sensibilisation du personnel => la formation est par nature spécialisée
de même que la population à laquelle elle s’adresse. La sensibilisation est plus générale et appliquée à tout le personnel.
- Gestion du SMSI - Détection et réaction aux incidents
Dans cette phase, l’outil naturel de l’organisation ou du comité chargé du pilotage de la
démarche, est la norme ISO27002. Cette norme est véritablement un ensemble de bonnes
pratiques accompagnées de conseils. Elle n’est pas un cadre ou une démarche ni une
méthode mais le résultat de la rencontre des populations chargées, au sein des
organisations, de la sécurité de l’information. Cela explique son caractère très large et
volontairement global.
Contrairement à ce que l’on pourrait croire et en dépit du faible nombre de certifiés, les
entretiens ont révélé que la norme ISO27002 était souvent achetée, conservée et utilisée par
les responsables sécurité, quelle que soit leur position. Sa fonction de référence, bibliothèque
de bonnes pratiques ou encore aide-mémoire est plébiscitée.
La norme est divisée en 3 niveaux : les chapitres, les objectifs de sécurité et les mesures.
Ainsi, si la norme comporte effectivement 133 mesures de sécurité, celles-ci sont structurées
au sein d’un premier niveau correspondant à un domaine général de sécurité puis à un
second niveau relevant d’un objectif de sécurité à atteindre.
16
Chaque mesure est accompagnée d’une description générale, de préconisations de mises en
œuvre et d’informations complémentaires afin d’aider à la mise en place.
Ex. : Niveau 1 = Sécurité liée aux ressources humaines
Niveau 2 : Avant l’embauche OU, pendant la durée du contrat OU départ de l’employé
Niveau 3 : Responsabilités des personnels, sanctions en cas de manquement, définitions des
responsabilités, retrait des droits d’accès...
Les chapitres de la norme sont éclairants sur la nature même des composantes de la sécurité
de l’information :
1) Politique de sécurité
2) Organisation de la sécurité de l’information
3) Gestion des biens
4) Sécurité liée aux ressources humaines
5) Sécurité physique en environnementale
6) Gestion de l’exploitation et des télécommunications
7) Contrôle d’accès
8) Acquisition, développement et maintenance des systèmes d’informations
9) Gestion des incidents liés à la sécurité de l’information
10) Gestion du plan de continuité d’activité
11) Conformité
Par ailleurs, ces chapitres et les objectifs associés fournissent naturellement les composants
d’un tableau de bord du niveau de sécurité. C’est l’usage le plus répandu de la norme 27002
car cela permet d’avoir une vision globale du niveau de sécurité par rapport aux bonnes
pratiques et définit ainsi un chemin à parcourir ou une justification vis-à-vis du top
management des efforts fournis ou des fonds à allouer. C’est également le cas lors de la
rédaction de politique de sécurité de l’information des organisations. On notera que selon
certains praticiens, la norme manque notamment d’une gestion efficace des incidents et
peut alors être utilement complété par ITIL10.
10 “ Security standardization in incident management: the ITIL approach”. Cf. Bibliographie
17
c) Phase CHECK
Le but de cette phase est de contrôler la bonne marche effective du SMSI et de relever les
erreurs, problèmes et autres qui seront corrigés dans la phase suivante. L’étape permet ainsi
de contrôler l’efficacité du SMSI mais également sa conformité vis-à-vis des objectifs prévus
par l’entreprise au début de la première phase.
La norme conseille également l’utilisation des audits internes et externes ainsi que des
processus de revue. Le SMSI doit ainsi être analysé par les managers impliqués au minimum
une fois par an afin d’évaluer son efficacité vis-à-vis de l’année écoulée et des
problématiques rencontrées.
d) Phase ACT
Cette phase permet de faire le lien avant le rebouclage sur le cycle et le lancement d’une
nouvelle phase d’amélioration. Le but est notamment de documenter les écarts entre la
norme et le SMSI en tant que tel, entre les spécifications du SMSI et la réalité. Elle permet
également de mettre à jour des mesures de sécurité inutiles ou déficientes ainsi que des
risques oubliés, non pris en compte dans l’analyse de risque précédente.
Enfin, cette phase est nécessaire pour prendre en compte l’évolution du contexte mettant
en avant de nouveaux risques pour l’entreprise. Ex. : l’investissement d’un marché fortement
concurrentiel, à l’étranger…
La norme définit trois types d’actions :
Correctives : elles agissent à la fois sur les effets d’un problème mais aussi sur ses causes
profondes.
Préventives : elles agissent sur une situation à risque qui pourrait entrainer des écarts ou
des incidents.
Améliorations : elles agissent pour améliorer l’efficacité ou l’efficience d’un processus au
cœur du SMSI.
3. Vers une approche pratique
Un des aspects problématiques de cette norme est une réputation de lourdeur. En effet, la
mise en place d’une telle démarche parait mieux convenir à une grande entreprise, pour qui
un tel système est intéressant surtout car il s’adresse au management. On notera cependant
que selon A. Fernandez-Toro, cette norme a été adoptée à la fois par des multinationales
japonaises et des PME françaises. Par ailleurs, l’auteur révèle qu’un des objectifs,
aujourd’hui disparus dans l’ISO 27001, de la norme anglaise originelle était d’améliorer la
compétitivité, le cash-flow et jusqu’à l’image de marque.
18
Cependant, comme le révèle l’étude menée par SOLUCOM, les entreprises de plus petite
taille ou ayant moins de temps et de moyens à y consacrer peuvent toutefois avoir une
approche plus légère de la norme qui s’y adapte bien. Ainsi, l’étape de certification peut
apparaitre comme un but à long-terme tandis que dans le court et moyen-terme, celle-ci
peut mettre en place une série de processus qualifiés dans l’étude de prioritaires.
Par ailleurs, l’analyse de risque reste modulable. Ainsi, si l’ISO27005 permet une analyse en
détail et en profondeur, l’on pourra se contenter d’une analyse plus macroscopique des
risques engendrés par les activités de l’entreprise et son environnement. Ensuite, l’analyse
des écarts entre la situation existante au sein de l’entreprise pourra se faire à deux niveaux :
Comparer le système de management à celui des l’ISO27001 (chapitre 4 à 8)
Comparer les pratiques de sécurité à celle développées dans l’ISO27002.
Ceci fait, on pourra alors réaliser des priorités d’adoption en fonction des risques les plus
prégnants (en termes d’impact ou de vraisemblance) et démarrer la mise en place du
système de management. Une fois cela atteint, la réalisation d’une nouvelle boucle
d’amélioration permettra non seulement de contrôler l’efficacité des mesures mises en
place, d’affiner la gestion des risques et d’avancer dans la mise en place du système. Ce
discours a été confirmé lors d’entretiens ultérieurs avec des praticiens et experts de la
norme. La norme est tout à fait compatible avec une gradation dans la démarche et
l’approche. Elle ne s’oppose pas plus à l’exploitation de différents niveaux de granularité :
elle reste un guide pour le PME-PMI. Sa réputation de lourdeur est donc un peu surfaite et
peut provenir de la structure de la démarche particulièrement forte et prêtant un peu à
confusion.
De plus, le système de management n’ignore absolument pas les risques humains ou
organisationnels. Ainsi, la formation et la sensibilisation restent les activités du processus
éponyme qui font intervenir le plus largement la prise en compte de ce « risque » humain.
Comme en témoigne R. MARICHEZ, consultant sécurité, les mesures de sécurité prennent en
compte le risque humain, les facteurs sociaux fournis par des indicateurs tels que les vols, les
pertes, l’historique de l’entreprise. L’analyse de risque qui intervient comme une étape
déterminante dans la démarche 27001, prend en compte également ce facteur.
Par ailleurs, cette norme a le mérite de s’intégrer dans une approche correspondant à la
réalité actuelle des entreprises. Celles-ci interagissent quotidiennement avec des acteurs de
toute nature : le concept à la mode est alors « l’entreprise étendue ». Les limites
traditionnelles de l’entreprise deviennent alors floues, les relations qu’elle entretient avec
ses concurrents, ses fournisseurs, prestataires doivent être reconsidérées. A cet égard, la
norme prévoit une approche organisationnelle complète : les relations avec les tiers doivent
être normalisées car une démarche ISO27001 ne peut se faire seul. Ceux-ci doivent être
19
audités et les éléments juridiques afférents aux relations avec les tiers doivent également
comprendre les mesures de sécurité adéquate. La norme parle alors d’Identification des
risques provenant des tiers.
4. Limites de la norme
Les entretiens réalisés ont permis de déterminer quelles pouvaient être les limites de cette
norme. La complexité des scénarios de risques est, on l’a vu, un facteur limitant qui
s’explique par la maturation de la norme et l’évolution par l’expérience qui sera faite.
Par ailleurs, cette norme appelle d’autres commentaires. Par exemple, le SMSI n’est pas un
niveau de sécurité en tant quel. Comme le faisait remarquer M. FERNANDEZ-TORO, on peut
avoir un SMSI certifié et être piraté le lendemain. Selon lui, trois raisons décident de cela : la
définition du périmètre et du niveau de sécurité, l’exploitation du SMSI et enfin, la capacité
managériale à le faire évoluer positivement. On retrouve cette dimension dans une étude
anglo-saxonne en la matière11.
En tant que tel, une démarche ISO27001 va permettre de mettre en place un système de
management de sécurité de l’information, fondé sur une démarche de qualité, qui
permettra, s’il est correctement appliqué et utilisé d’aboutir à un niveau de sécurité sur un
périmètre donné.
Cependant, le périmètre et le niveau de sécurité sont des éléments choisis par la personne
engageant cette démarche. Si « l’ambition »12 de sécurité est faible, le SMSI sera faible. Si le
périmètre est trop restreint, le SMSI sera inefficace. De même, le processus de certification
permet de vérifier uniquement la légitimité du système à prétendre à un niveau de sécurité
donné et choisi. En conséquence, le système qui est vérifié peut-être non certifié pour le
niveau, par exemple très haut, de sécurité choisie alors qu’il le serait si la démarche visait un
niveau inférieur.
Enfin, il faut rappeler la granularité et la dimension itérative de la démarche : celle-ci est
sans cesse en amélioration et elle dépend d’un budget, d’un accompagnement managérial et
d’un soutien de la direction. Ainsi, certaines approches13 affirment qu’il est possible d’avoir
une vision des risques globale et de démarrer une démarche de façon relativement
11 “Holistic Information Security: ISO 27001 and Due Care” :Cf. bibliographie
12 Terme repris d’un entretien.
13 Telle que développée dans le Livre Blanc ISO27001 de SOLUCOM
20
simplifiée avant de continuer sur des risques plus précis et une démarche plus affinée.
Cependant, cela amoindrit aussi la portée et l’efficacité du SMSI qui en résultera.
Enfin, la démarche SMSI reste tout à fait compatible avec d’autres référentiels ou cadre
comme Cobit ou ITIL14 mais également avec des référentiels développés par des entreprises
comme le Bell Labs Security Framework15.
Lors des entretiens menés dans la phase d’exploration de ce travail, les personnes
interrogées et en position opérationnelle ont montré une réticence face à la norme. Plusieurs
éléments composent cette réticence : crainte de la lourdeur du processus, opposition
culturelle (la vision latine face à la norme anglo-saxonne) et méfiance vis-à-vis du marché
que représente la certification. Cependant, les auteurs anglo-saxons que l’aspect culturel ne
gêne pas, jugent cette norme tout à fait transposable à tout type d’organisations16.
SYNTHESE DES INDICATEURS
INDICATEURS INTERET
Objectif Système de Management de la Sécurité de
l’information
Méthode générale A partir d’une analyse du risque, construire un
système en constante évolution, choisissant de
façon efficace ses mesures de sécurité et les
contrôlant.
Périmètre Le périmètre est défini préalablement : c’est
une variable décidée par l’organisation, de
même que le niveau de sécurité.
Définition de l’objet à protéger. Information Asset ou bien informationnel
Méthode d’identification de l’objet à
protéger
Listes d’actifs par approche globale : matériel,
physique, logiciel, humain, documents, savoir-
faire.
14 “Aligning CobiT® 4.1, ITIL® V3 and ISO/IEC 27002 for Business Benefit”.
15 « Using the Bell Labs security framework to enhance information security management”.
16 Op. Cit.
21
Définition du risque Probabilité d’occurrence qu’une menace
1. Positionnement de l’Intelligence Economique et Stratégique
L’intelligence économique est une discipline relativement récente. Cependant, ce n’est que
la théorisation à des fins d’éducation et d’industrialisation de pratiques bien plus anciennes,
courantes et souvent nécessaires pour l’entreprise. L’Intelligence Economique (IE) est une
démarche qui met l’information au cœur de ses préoccupations, c’est une démarche qui vise
à maitriser l’information stratégique en procurant l’information utile au bon moment et au
bon endroit. C’est une démarche par ailleurs qui se veut réellement globale : dans le sens où
les grandes entreprises peuvent réagir plus vite à l’environnement international, cette
démarche vise très fortement les PME-PMI. Reconnues pour leur importances, ces
entreprises n’ont pas forcément conscience de leurs vulnérabilités ni de leurs richesses. En
conséquence, il parait nécessaire des les sensibiliser et de les former plus avant dans le
domaine. C’est notamment le sens des propos de l’OCDIE 4 rédigé par E. DELBEQUE,
directeur de l’IERSE.
Synthétiser les différents référentiels, bonnes pratiques publiés dans le domaine de
l’intelligence économique, de la sécurité économique fait apparaitre une évolution profonde
de la pratique. En conséquence, nous nous efforcerons de conserver un développement
itératif qui montre cette évolution afin de mettre en exergue le positionnement de l’IES vis-
à-vis de la sécurité de l’information.
Selon le SGDN qui a publié, sous la présidence du Haut-Responsable à l’Intelligence
Economique, M. A. JUILLET, un ensemble d’éléments définissant la pratiques de l’IE, cette
discipline ou pratique comporte 5 pôles :
1) Environnement et Compétitivité
2) Intelligence Economique et organisations
3) Management de l’information et des connaissances
4) Protection et défense du patrimoine informationnel et des connaissances
5) Influence et contre-influence
Pour compléter cette définition, on peut également citer celle du Rapport Martre de 1994 :
« L’intelligence économique peut être définie comme l’ensemble des actions coordonnées
de recherche, de traitement et de distribution en vue de son exploitation, de l’information
utile aux acteurs économiques, obtenue légalement dans les meilleures conditions de
qualité, de délais et de coût ». Cette définition omet cependant l’aspect « Protection » qui y
sera adjoint plus tard. Cette omission parait lourde de sens en ce que l’IES n’est pas,
initialement, un concept lié à la protection de l’information mais uniquement un outil
74
nécessaire avec l’évolution de la notion vers un concept de maîtrise de l’information. Cela
est également vrai dans le rapport du CIGREF de 2003 qui joint la nécessaire protection de
l’information, absente de la définition première.
Par ailleurs, les documents du SGND définissent les différentes composantes de la sécurité
de l’information :
- La donnée brute
- L’information : la donnée conceptualisée et interprétée
- La connaissance : l’information assimilée par l’humain
- Le savoir-faire : la mise en pratique de la connaissance.
Source : CIGREF
Une telle disposition peut d’ores et déjà permettre d’émettre plusieurs remarques. En effet,
les 3 éléments que sont l’Intelligence économique et les organisations, le management de
l’information et des connaissances et la protection du patrimoine informationnel se
rapprochent intuitivement des travaux menés et de certains des objectifs donnés à la
Direction des Systèmes d’Informations. D’autant que la tendance en la matière, pour les
grandes entreprises, est d’aller vers une notion de Direction des Services d’Informations. Le
CIGREF, dans plusieurs rapports, met en avant le rôle et la place privilégiée occupés par le
Systèmes d’Informations dans une démarche d’Intelligence Economique46. Par ailleurs, en-
dehors de toute évolution conceptuelle, l’informatique joue un rôle prépondérant à tous les
niveaux des axes cités. Nous nous concentrerons sur l’aspect « Protection » et sa description
dans les bonnes pratiques de l’Intelligence Economique.
L’étude menée par l’IHEDN47 montre que le DSI est de plus en plus impliqué dans les
questions liées à l’Intelligence Economique et Stratégique. Plus encore, le responsable de
46 Intelligence Economique et Stratégique – Les systèmes d’information au cœur de la démarche
47 Bournois, F. & Romani, P-J., « L’intelligence économique et stratégique dans les entreprises françaises »,
IHEDN, Economica.
75
l’IES est impliqué dans 61% des cas dans la définition de la politique de sécurité des systèmes
d’informations, alors même que ladite politique est du ressort de la DSI. Cependant, une
évolution notable intervient avec la transformation du RSSI en Directeur de la Sécurité de
l’Information et on peut donc imaginer une fusion de certaines pratiques. Il est à noter que
si, dans la majorité des cas, IES et SSI sont gérées séparément, les domaines tendent à
fusionner lorsque l’entreprise fait partie des 3 leaders du marché ou encore que l’entreprise
a pu subir des attaques.
L’approche de l’Intelligence Economique est notamment de considérer la notion d’attaques
ou d’actions offensives utilisant l’information. Une des typologies existantes48 prend ainsi le
parti de décrire les attaques comme suit :
« POUR » l’information : veille, investigation, pratiques douteuses, vol…
« PAR » l’information : subversion, rumeurs, mensonges, atteintes à la réputation
« CONTRE » l’information : perturber les réseaux de communication, empêcher la libre
circulation de l’information nécessaire.
Son corollaire, les risques informationnels sont, selon l’OCDIE 4 : les groupes de pressions,
les attaques sur l’image ou la notoriété, la désinformation, l’intelligence économique plus
offensive, la désinformation, la divulgation d’informations sensibles, la perte et le vol
d’informations vitales, les rumeurs, la communication non maitrisée.
Or, l’évolution notoire de la cybercriminalité vers une forme de mercenariat offre désormais
pléthore d’outils et de possibilités. Plus encore, les outils, tout à fait neutre, proposés par
des chercheurs et librement disponibles sur Internet, permettent souvent d’obtenir des
informations très intéressantes sur l’entreprise. Cela est également dû en partie au manque
de formation des collaborateurs qui laissent parfois échapper trop de données. L’IE apporte
aussi une notion de perte d’information par le « bavardage » électronique, l’utilisation
extensive des nouveaux moyens de communication et la prise de conscience, désormais
partagée, de la dimension majoritaire de la faille interne.
Ainsi, l’IES apporte une vision très pratique et en prise directe avec la réalité des attaques
utilisant des biais informatiques. Elle apporte également une vision précise des failles
humaines. C’est donc une composante indéniable de toute démarche de sécurité de
l’information. En témoigne ainsi les exemples choisis dans le document du CIGREF de 2003
qui, en introduction du chapitre dédié à la protection de l’information, exemples
uniquement basés sur des failles humaines sans lien direct avec l’informatique.
En revanche, l’IE permet de prendre conscience de la dimension des attaques
informationnelles, parfois décrites comme l’IE offensive. Ainsi, les exemples dits d’Infoguerre
48 Op. Cit.
76
sont de véritables opérations de déstabilisation des entreprises qui comprennent bien
souvent des éléments atteignant directement le système d’informations. On retiendra la
définition de P. LOINTIER et P. ROSE49 : « L’infoguerre peut se définir comme l’ensemble des
actions mises en œuvre pour affecter les informations et les fonctions informationnelles d’un
concurrent dans le but de dégrader son système de décision. Elle concerne toutes les activités
qui pourront apporter une domination informationnelle ».
Dans ses « Outils Communs de Diffusion de l’Intelligence Economique », le Haut-
Responsable de l’Intelligence Economique, alors placé sous la tutelle du SGDN reprend cette
thématique d’attaques informationnelles et met en exergue la prise en compte de ces
questions dans les autres pays. Rédigé par différents auteurs, le premier des OCDIE, rédigé
par Nicolas MOINET, établit ainsi un parallèle entre les systèmes de renseignement
américain et leur activisme en matière économique. De même, au Japon, la culture du
renseignement est considéré comme noble, au contraire de la France et cette pratique a pu
avoir des effets en France ainsi que le montre un exemple, dans la région Poitou-Charentes
ayant suscité une intervention de la DST. On pense également aux problèmes rencontrés par
un exploitant minier des informations de valeurs à de faux investisseurs chinois.
Par ailleurs, le concept même de « Protection » du patrimoine informationnel ne coïncide
pas tout à fait avec le périmètre même de sécurité des systèmes d’informations. En effet, ce
dernier recouvre un domaine plus large car il implique des éléments de continuité et
49 Guichardaz P., Lointier P. et Rosé P., L’Infoguerre, stratégie de contre intelligence pour les entreprises, Dunod,
1999
77
d’intégrité alors que l’IE parait se focaliser sur des notions de confidentialité et de protection
des documents rendus confidentiels.
2. Apports de l’IES
a) Valorisation et identification de l’information-clé
En revanche, si la SSI apporte une vision élargie à la protection de l’information, elle ne
permet pas forcément d’établir une gradation quant à la valeur de l’information. Les travaux
liés à l’IE ont, au contraire, fourni des méthodes de calcul de la valeur de l’information50.
Toute démarche d’IE démarre par une évaluation de l’information stratégique
Un autre rapport51 du CIGREF délivre une vision du périmètre de protection de l’information
en s’attardant sur la protection de l’information sensible pour l’entreprise. Ainsi, celle-ci gère
des informations appartenant à des tiers, ses propres informations mais délègue aussi des
informations à des tiers. Cette vision innovante permet de placer l’entreprise dans son
environnement immédiat, relativement complexe, mais permet une synthèse qui permet
d’envisager des suites opérationnelles.
Le rapport de 2003 du CIGREF met en avant les menaces du Patrimoine Informationnel et en
distingue notamment deux : accidentelles ou intentionnelles. Ce type d’approche, bien que
proche de la réalité, ne présente pas la même maturité que les approches par la gestion de
risque ou la qualité de service des normes de la SSI, de la production informatique… De
mêmes, les bonnes pratiques relevées (méfiance, sensibilisation…) ne présentent pas le
même niveau d’aboutissement que, par exemple, l’ISO27002.
On trouve également une thématique de grand intérêt dans différents travaux menés sur
l’Intelligence Economique. En effet, la notion de signaux faibles, que l’on retrouve également
dans la pratique de la criminologie, est reprise dans les OCDIE 2 du SGDN. La détection,
l’anticipation et l’analyse des signaux dits faibles peuvent permettre de voir venir une
attaque informationnelle. En matière de sécurité de l’information, cette approche reste
50 Martinet Bruno et Marti Yves-Michel, L’intelligence économique, comment donner de la valeur
concurrentielle à l’entreprise, Éditions d’Organisation, 2001
51 CIGREF – 2008 – Protection de l’information, Enjeux, gouvernance et bonnes pratiques
78
originale. Un signal faible est selon l’OCDIE 3, « une information de faible résonnance
annonciatrice d’un évènement ».
Cependant, l’IE accorde une place importante à la notion de sécurité et selon le CIGREF, « la
mise en place d’une démarche d’IES passe obligatoirement par une analyse rigoureuse sur la
sécurité des systèmes d’information ». Le même rapport place également le DSI et son
service comme, à la fois le coordinateur privilégié de la démarche d’IES, mais également
comme l’acteur le mieux placé pour protéger le patrimoine informationnel. Le rapport du
CIGREF de 200552 donne également un rôle prépondérant au DSI en le chargeant d’identifier
les menaces, de détecter les attaques et gérer les produits de sécurité. Son rôle est
également déterminant en matière de gestion de crise et de formation des utilisateurs.
a) Gestion de crise
Parmi les pratiques de plus en plus associées à l’Intelligence Economique, se trouve la
gestion de crise. De plus en plus de cabinet associent les pratiques considérant que la
gestion des « crises informationnelles », qui suivent logiquement les attaques
informationnelles doivent être gérées par les manageurs de l’information stratégique.
Dans une pratique commune avec ITIL, le rapport insiste sur la notion de communication
comme étant le meilleur moyen d’amoindrir les dégâts causés par la crise. Une « bonne »
communication ne résout pas le problème ou l’incident pas plus qu’il ne détermine la cause
de la crise, mais en amoindrit largement les effets.
3. La sécurité de l’information pour l’IES
b) Classification et confidentialité
Comprise comme une des activités de l’IES, la protection des informations se focalise sur le
maintien d’un niveau de confidentialité de l’information. Cette position répond notamment
à une réponse aux éléments offensifs que la discipline a depuis longtemps enregistrés et
documentés. Cette vision est particulièrement claire dans la définition donnée par un
rapport du CIGREF publié en 200553 ainsi que dans celui de 2008 qui affirme que si « les
entreprises ont des téraoctets de données *…+ seulement 1% des informations sont à
protéger ».
Trois types d’informations sont à protéger :
1- Stratégiques et concurrentielles
52 L’intelligence économique appliquée à la direction des systèmes d’information
53 L’intelligence économique appliquée à la direction des systèmes d’information.
79
2- Personnelles : celles qui concernent les salariés. Le rapport se limite uniquement à ceux de la DSI mais en réalité, le risque existe pour l’ensemble des employés. C’est d’ailleurs une obligation légale engendrant un risque juridique pour le chef d’entreprise.
3- Les savoir-faire, spécification techniques, produits industriels… : cette approche est intéressante car au-delà des documents, la protection du savoir-faire requiert aussi une considération à l’humain, une gestion des risques pour éviter qu’une unique personne ressource détienne une compétence-clé et en préparer sa transmission.
Lors d’un entretien avec un responsable sécurité, celui-ci a insisté sur la notion de
compétence-clé et des effets négatifs liés en particulier dans le cas de la fonction
d’administrateur système qui possède une capacité de nuisance formidable si sa
« succession » n’est pas préparée avec soin : « astuces » non transmises, mot de passe non
modifiés avec des accès très privilégiés…
Le rapport propose d’ailleurs un système de classification : Stratégique, Critique, Interne,
Métier et Publique. On retiendra que selon le rapport « Tout n’est pas protégeable et tout
n’est pas à protéger ».
Source : CIGREF
La mise en place d’un système de confidentialité, avec des degrés divers, et la rédaction de
règles de communication et d’utilisation sont alors prescrits. On retiendra que le rapport
désigne le RSSI comme une personne-ressource pour mettre en place les éléments
techniques nécessaires.
Le rapport de 2008 du CIGREF propose un autre système de classification, conçu dans les
années 90, s’inspirant des pratiques industrielles, du monde de la défense. Ce système a été
modifié notamment pour une entreprise qui livre ainsi un retour d’expérience repris dans le
rapport. Les informations sont classées par : Niveau A – Stratégique, Niveau B – Critique,
Niveau C – Sensible.
80
Les documents du SGDN54 proposent par ailleurs la tenue d’un audit d’intelligence
économique. Celui-ci, très large, comprend tant les aspects de management de
l’information stratégique que ceux reliés à la sécurité. Les DSI, RSSI, informaticiens sont
parmi les personnes à interviewer. Les éléments liés aux réseaux, à la sécurité, à
l’intelligence des risques…doivent être pris en compte. Cependant, cette démarche n’est pas
aussi structurée que d’autres démarches d’audit (ISO27001, Cobit) mais rien ne s’oppose à
l’utilisation concomitante de ces méthodes.
c) Divers processus
Le rapport du CIGREF de 2005 détaille un certain nombre de processus éclairant le
positionnement de l’IE en matière de sécurité de l’information. En particulier, 3 sont liés à la
sécurité de l’information :
- Stockage - Protection - Formation
On notera tout d’abord que détacher la protection du stockage est incohérent vis-à-vis des
pratiques de sécurité des systèmes d’informations. On retrouve cette dichotomie dans les
documents du SGDN. En effet, assurer la disponibilité de l’information est aussi important
que d’en assurer, éventuellement, la confidentialité. L’un comme l’autre peuvent avoir des
effets radicaux et négatifs sur la continuité du business. Par ailleurs, le stockage (à court ou
long terme) peut nécessiter un chiffrement, or, l’outil parait réservé à la protection. Ensuite,
la présence du RSSI au niveau des deux premiers processus est intéressante mais sa
présence en matière de formation des personnels pourrait également être considérée.
Source : CIGREF
En matière de protection, l’approche retenue est celle du management du risque : le
référentiel faisant appel notamment à MEHARI, norme d’analyse des risques développée par
le CLUSIF. Par ailleurs, le processus fait appel à des activités physiques (armoire forte, anti-
feu…), humaines ou organisationnelles (charte, dimensionnement des contrats, et mise en
place d’un système de classification des informations. Le document propose également
54 OCDIE 2
81
quelques propositions pratiques : vérification des informations sur les slides de conférence,
marquage des documents…
4. Protection du Patrimoine Informationnel : une notion étendue
Le rapport de 2007 du CIGREF, « Protection du Patrimoine Informationnel » propose une
vision en 3 parties de la sécurité de l’information : Sécurité Technique, Juridique (à noter que
le risque juridique est en plein développement pour les praticiens de la sécurité de
l’information, et l’Assurance. Cette évolution de la pratique de la sécurité des systèmes
d’informations qui connait désormais un risque juridique croissant est également mis en
exergue dans le rapport de 2008 du CIGREF sur la gouvernance de la protection de
l’information55 et dans les OCIDE du SGND. Ces derniers insistent par ailleurs sur la
contextualisation des attaques et la mise en relation nécessaire avec les services de l’Etat
dans ce dernier cas.
Par ailleurs, en évolution avec la pratique précédent, le développement de ce référentiel
inclus le domaine de la sécurité des systèmes d’informations sous l’appellation « Sécurité
Technique ». A ce titre, il se réfère aux normes de sécurité de type ISO27001 ainsi qu’aux
critères communs de sécurité : Disponibilité, Intégrité, Confidentialité, Traçabilité (qui n’est
pas toujours présents dans les normes). Cependant, il est à noter que le document ajoute
des critères de sécurité secondaire : « Identification, Authentification et Pérennité ». Le
SGDN intègre l’audit DICP dans la « boite à outils » de la démarche de sécurisation de
l’information.
Un autre document apporte des éléments de définition de la composition du « Patrimoine
informationnel ». Dans l’OCDIE 4, le SGDN propose une typologie générique des risques
informationnels que l’on pourrait inclure. Il ajoute une typologie des « Risques
informatiques » qui sont : sécurisation insuffisante des SI, défaillance des équipements
informatiques, non-respect des habilitations, utilisations de logiciels contrefaits,
perte/dégradation ou piratage, divulgation d’informations sensibles, attaques virales, pertes
d’informations vitales, intrusion informatique, atteinte à la notoriété/image, espionnage
économique, groupe de pression ».
55 Op. Cit.
82
Source : CIGREF
Considérant que les 3 critères premiers empruntent largement à la notion de sécurité des
systèmes d’informations et aux normes afférentes, il parait plus logique de se concentrer sur
les aspects suivants puis les domaines juridiques et assurance. En ce qui concerne les autres
critères, la notion de protection du patrimoine informationnel fait appel aux différentes
techniques existantes en assurant le respect. Le mérite du document est notamment de
mettre en exergue des éléments particulièrement importants de la gestion technique de la
sécurité de l’information. Ces éléments, abordés par ailleurs dans d’autres normes, revêtent
un aspect primordial par rapport à la pratique des attaques informationnelles, c’est
pourquoi ce livre blanc leur donne une telle prépondérance.
Ainsi, à titre d’exemple, la traçabilité est un outil de l’intégrité. Mais elle prend une
importance particulière car la notion de protection du patrimoine informationnel s’élargit
vers une question de protection de l’activité de l’entreprise. En conséquence, la capacité à
suivre l’historique des données peut emporter un impact juridique et avoir une forte
influence sur la capacité de l’entreprise à poursuivre son activité. Dans le cas de la Pérennité,
ce critère prend une place importante car la capacité à disposer facilement de documents
importants, notamment juridiques, peut avoir un impact similaire à l’exemple précédent.
L’approche juridique permet notamment de donner un contenu, une valeur et une définition
à l’information. Elle permet aussi à l’entreprise d’avoir une approche plus large, parfois
proactive, vis-à-vis de son patrimoine informationnel. La seule sécurité de l’information
pouvant parfois avoir une vision plus réduite. Ainsi, tant le patrimoine que l’information ont
une définition juridique dans les textes et l’on pourrait alors définir celui-ci comme
« l’ensemble des données protégées ou non, valorisables ou historiques d’une personne
83
physique ou morale »56. Elle apporte également un élément supplémentaire : l’intégrité de
l’information ne se mesure plus uniquement à l’intégrité informatique par exemple (l’égalité
d’un hash) mais également à la préservation d’un sens, notamment juridique. Elle met enfin
en avant, la persistance des risques juridiques induits par les systèmes d’informations, le
régime de responsabilité des chefs d’entreprise…
Cette approche juridique a des conséquences pratiques : elle permet de prendre conscience
de la nécessité de la mise en place d’une PSSI, d’une charte d’utilisation des moyens
informatiques opposables ainsi que l’inclusion dans les contrats de travails, contrats avec les
tiers, fournisseurs, conventions de stages, règlements intérieurs d’éléments faisant
référence à la sécurité. C’est toute la vie juridique de l’entreprise qui prend ainsi une
nouvelle dimension, notamment car les éléments d’information de l’entreprise sont ainsi
juridiquement protégés, ce qui permet d’engager des actions dans certains cas.
Le rapport de 2008 sur la gouvernance de la protection de l’information permet ainsi de
préciser les apports juridiques. La rédaction de la charte, la mise en place de clauses d’audit
avec les fournisseurs et prestataires, la rédaction des contrats de travail et la formation
doivent faire intervenir conjointement DRH et Direction Juridique.
En revanche, si l’approche par les risques semble être au cœur de la démarche, la notion de
risque est tout à fait différente. Il s’agit ici de « Menaces », « Vulnérabilités », « Sensibilité ».
Le DSI et/ou le RSSI prend à nouveau toute sa place dans la démarche : il est cœur d’une
démarche efficace visant à protéger le patrimoine informationnel.
5. Vers une forme de gouvernance de la sécurité de l’information ?
Le rapport de 200857 insiste sur la notion de mise en place d’une gouvernance de la sécurité
de l’information afin d’en garantir une efficacité optimale. Cette démarche doit s’appuyer
sur un engagement fort, de longue durée de la part des sponsors que peuvent être les
membres de la direction. Elle doit s’appuyer sur une analyse de risque qui engendre des
besoins en mesures de sécurité (cette approche est celle de l’ISO27001). Par ailleurs, le
document affirme que la référence à des normes de types ISO27002 est particulièrement
utile dans une telle démarche.
L’ensemble de la démarche d’Intelligence Economique vise à développer un management de
l’information stratégique qui soit transverse et irrigue l’ensemble de l’entreprise. Cette
évolution, qui place le DSI au cœur de ces problématiques, est en adéquation avec les
directions prises par les normes de qualité et de production informatique, comme ITIL, qui
opte pour une démarche de qualité de service orientée vers le « client ». Cette approche
56 Rapport du CIGREF – 2007 – Protection du patrimoine informationnel.
57 Op. Cit.
84
tend à faire de la DSI un fournisseur « d’énergie informationnelle » et à en garantir le
fonctionnement. Dans cette vision, la protection de l’information requiert donc une
démarche globale car elle atteint toute l’entreprise. La démarche de gouvernance est par
ailleurs justifiée par l’importance de l’information et de la connaissance au sein des
entreprises modernes et par son corollaire, les attaques informationnelles. Elle justifie donc
une évolution horizontale (vers plus de transversalité) mais également verticale (avec un
support de la direction). La transversalité se manifeste alors par l’existence de
coordinateurs-métiers de Protection de l’information et l’appropriation, par les métiers, de
leurs informations à forte valeur. Cette organisation va de pair avec un échelon central
garant de la Sécurité des Systèmes d’information et d’un échelon technique autour de la
fonction IT.
Cette démarche de sécurisation de l’information est donc un aboutissement de la notion de
management de l’information stratégique.
4. Vers la sécurité économique
a) Contexte
La notion de sécurité économique est plus récente : elle tente de montrer comment
l’entreprise, « forcée » à communiquer, en devient plus vulnérable. Ainsi, l’AFNOR, dans un
exercice sur la sécurité économique et juridique, affirme que : « Toute organisation
(entreprise quelque soit sa taille, administration, association,…) est potentiellement
menacée par des actions susceptibles de mettre en péril la qualité de la confiance
concernant les informations sensibles qu’elle détient. »
L’obligation est faite à l’entreprise de dévoiler des informations à ses salariés (pour leur
travail), des fournisseurs ou prestataires (pour l’accomplissement de la mission qui leur est
confiée), à des personnels externes (les auditeurs)…Ces informations, parfois sensibles,
représentent une masse de données qu’il devient difficile de contrôler. La confiance devient
un élément primordial.
On note ainsi que le document fait référence en matière de protection de l’information (on
parle de « protection adaptée ») aux critères de sécurité communs, CID. Comme on le verra,
la protection de l’information tend à faire référence à la préservation du caractère
confidentiel tandis que la sécurité de l’information est plus large et emporte des enjeux de
risque opérationnels plus importants.
Selon l’AFNOR, le but de la sécurité économique est alors de mettre en place les moyens
d’assurer une qualité de confiance suffisante pour la préservation des intérêts de
l’entreprise. Les menaces étant alors entendues dans un sens assez large mais prenant
largement en compte le caractère humain et souvent, agressif et malveillant.
85
Le référentiel de l’AFNOR apporte cependant un élément relativement nouveau : le
pragmatisme comme critère incontournable. La sécurité de l’information emporte certaines
contraintes qui pèsent parfois lourdement dans le processus métier quotidien : cette
question a été plusieurs fois évoquée dans les entretiens menés. Même dans des enceintes
où la sécurité de l’information peut prendre une importance plus grande, les contraintes
liées aux mesures de sécurité de l’information sont parfois impossibles à tenir.
Il en résulte une question de processus mal faits ou mal respectés qui impactent directement
à la fois la capacité de l’organisation à accomplir ses tâches mais également son niveau de
sécurité. Ainsi, le document parle de mesures « applicables, ergonomiques et
incontournables ».
Parmi celles-ci, on retiendra le fait que chacun doit pouvoir connaitre le niveau de
confidentialité ou l’importance du document qu’il détient. Le document propose ainsi une
approche en 4 niveaux : Secret, Confidentiel, Diffusion Contrôlée et Libre calculé en fonction
du préjudice qu’une diffusion incontrôlée peut causer et des risques pris par l’entreprise à
diffuser cette information.
Il existe plusieurs écoles en matière de confidentialité comme l’a montré les entretiens. On
peut ainsi développer un système précis (mentions, niveaux, règles) qui présente l’avantage
de responsabiliser directement le détenteur, momentané ou durable, de l’information. Il
astreint en revanche à une discipline plus forte car un document à très forte valeur ajoutée
devient directement repérable en cas de pertes ou d’erreurs de manipulation. Ex. : un
document « Secret » ou « Très-secret » avec la mention portée de manière visible est
directement repérable au milieu d’une foule d’informations. La seconde approche consiste à
sensibiliser les différentes catégories de personnels à la valeur et aux risques présentés par
l’information qu’ils manipulent. Ex. : l’information financière pour le contrôle de gestion,
l’information personnelle pour les RH…
Mais les mesures doivent également prendre en compte les critères plus traditionnels de la
sécurité de l’information : Disponibilité, Intégrité, Confidentialité même s’ils ne sont traités
que partiellement. En revanche, on constate à nouveau que la norme n’aborde que très
partiellement les conditions techniques de réalisation nécessaires à l’atteinte d’un niveau
donné de sécurité. Il y a une forme de « délégation » de la technique aux personnels,
prestataires ayant les compétences de compréhension alors que, si la sécurité se doit d’être
globale, certaines problématiques mêlent inextricablement les questions techniques et
d’usages. Ex. : le nomadisme.
c) Critères
Les critères de sécurité économique et de protection de l’information ainsi décrits :
- Dissuasive : présenter des éléments dissuadant sans révéler son fonctionnement
86
- Globale : être apte à agir sur les différents terrains de la sécurité de l’information
- Dynamique : les mesures sont évolutives, la morphologie des attaques et des attaquants évoluent comme doit le faire l’organisation de la sécurité
- Ajustée : adaptée aux risques et aux problématiques de l’entreprise.
Un entretien a permis à un opérationnel de dévoiler ainsi un modèle d’inspiration de la
sécurité de l’information. On parle alors de « Défense en Profondeur », souvent représentés
par une succession de cercles concentriques représentant à la fois des niveaux de sécurité
mais également des niveaux d’accès ou de physionomie de l’information.
d) Pratique
La pratique liée à la sécurité économique se veut éminemment pragmatique. Elle ne peut
cependant être exhaustive mais considère un certains nombre de situations rencontrées par
les personnes d’une organisation.
Ainsi, au-delà de l’aspect système de confidentialité, le document de l’AFNOR propose une
série de comportement en lien avec le niveau de classification du document. Ainsi, par
exemple, la diffusion des documents estampillés « Secret » dépend notamment du besoin
d’en connaître et ne doit pas faire l’objet de transaction par fax ou messagerie électronique.
Information
à très haute
valeur,
Secret
Protection
« Physique »,
Gardiennage,
…
Dispositif de
protection
de natures
diverses
Information à
moindre
valeur
87
De même, leur rédaction doit être faite dans un local sécurisé, sur un ordinateur coupé du
réseau et les brouillons doivent être déchiquetés.
Enfin, la norme prévoit également le dimensionnement des locaux et des chemins parcourus
par les personnels extérieurs en fonction des niveaux d’accès, des badges associés et des
zones de confinement à éviter. A cela est associée une protection extensive
(éventuellement) des locaux : gardiennage, vidéosurveillance, badges…
En résumé, la notion de sécurité économique est une vision de sécurité globale appliquée
non seulement à l’information mais également aux systèmes, locaux et personnels de
l’organisation. Elle présente cet intérêt d’être particulièrement pragmatique mais
parallèlement le défaut d’avoir une approche peut-être trop rigide. Rappelons que les
normes de la SSI préconisent de mener, avant tout, une analyse de risques pour adapter les
mesures à l’existant (1) et aux besoins correspondant aux risques résiduels acceptés (2).
Ainsi, l’approche dite de sécurité économique reste basée sur les fondamentaux déjà
observés dans les autres documents relatifs à l’intelligence économique : l’approche et le
facteur humain. Elle répond à ces risques par plusieurs actions :
Formation et Sensibilisation qui prennent une importance déterminante
Apprendre à utiliser des moyens de chiffrement
Processus, Procédures et Mesures organisationnels
Eteindre les téléphones portables avant d’utiliser oralement des informations de type
1 ou 2.
Approche juridique : le droit est un moyen de protection, il est adapté aux besoins
d’encadrement des actions des personnels. Elle met en avant la responsabilisation
des personnels intervenants dans le périmètre de l’entreprise.
Charte de confidentialité, Responsabilisation des acteurs, Poursuites judiciaires en
cas de détection d’atteintes.
Les 10 Clés de la Sécurité
1 Admettre que toute entreprise possède des informations à protéger (fichier client,
prototypes, contrats d’assurance, plan marketing, …)
2 Faire appel à l’ensemble des capacités de l'entreprise (logisticiens, gestionnaire de
personnel, informaticiens, juristes, financiers …) pour faire l’inventaire des informations
sensibles, des risques encourus, des points faibles et pour proposer des améliorations à sa
protection. Le responsable de la sécurité ne peut rien s'il est seul
88
3 Ne pas chercher à tout préserver, à tout verrouiller : classifier les informations en
fonction des préjudices potentiels et des risques acceptables
4 Vérifier le niveau de protection des informations sensibles en utilisant une grille d’auto-
évaluation (voir exemple en annexe 6)
5 Exploiter l’information ouverte sur l’environnement dans lequel évolue l'entreprise,
comme pourrait le faire un concurrent, mais aussi un partenaire, un prestataire de service,
un fournisseur, … pour identifier d’éventuelles menaces.
6 Utiliser les compétences et expertises extérieures, ne pas hésiter à porter plainte en
cas d’agression.
7 Mobiliser le personnel, les partenaires : tout incident doit être signalé
8 Se conformer aux textes législatifs et réglementaires en vigueur
9 Gérer le dispositif, anticiper les évolutions (techniques, concurrentielles,
réglementaires) et adapter la protection en conséquence
10 Imaginer le pire afin d’avoir un début de réponse … au cas où.
En guise de conclusion, les 10 règles de la sécurité selon la sécurité économique révèlent
également le tropisme naturel de cette approche :
Sa capacité à révéler l’importance des informations pour une entreprise et à les
identifier (le point 1)
Lors d’un entretien, un responsable révélait que sa première mesure avait été de
s’entretenir avec les responsables métiers et de leur montrer qu’ils avaient TOUS des
secrets même sans le savoir.
Son approche globale des compétences au profit d’une « protection » de
l’information, c'est-à-dire notamment de son caractère confidentiel (en rouge)
L’utilisation extensive du domaine juridique (en bleu)
89
TROISIEME PARTIE : SYNTHESES ET NOUVEAU MODELE
I- SYNTHESE DES NORMES IT POUR LA SECURITE DE L’INFORMATION
Lors de la partie précédente, nous avons étudié la structure et les apports, parfois
complémentaires, parfois différents des normes et référentiels à la sécurité de l’information.
Ces mêmes méthodes dont nous avons montré les incontestables apports ont également
des faiblesses qui peuvent être comblées par un autre référentiel.
Il parait donc désormais intéressant de montrer comment ces normes peuvent être
associées, articulées et utilisées de façon complémentaire. A cette fin, la littérature retenue
dans la bibliographie fournit de très intéressantes informations.
Cette démarche de synthèse parait également tout à fait utile préalablement aux étapes
suivantes de cette étude : développer le modèle de sécurité de l’information proposé par
l’Intelligence Economique et confronter ces deux approches.
Par ailleurs, si elle s’inscrit dans une continuité logique de la problématique de cette étude,
l’articulation des référentiels reste un large champ de recherche. On a ainsi déjà montré que
les positionnements desdits référentiels étaient très différents : ITIL est au niveau de la
« production » informatique, ISO27001 s’adresse aux managers avec un regard tourné avec
les formalisateurs et le top-management et enfin, Cobit s’inscrit dans la gouvernance
d’entreprise.
Les personnels des organisations qui vont utiliser ces référentiels sont alors placés à des
niveaux sensiblement différents voire très éloignés et vont tout simplement « ignorer » la
pratique des normes à un autre niveau58. Ainsi, certains analystes montrent qu’ITIL peut
contenir certaines informations ou problèmes à un niveau très opérationnel en ignorant que
d’autres praticiens, dans le cadre de leur norme, pourrait avoir besoin de ces informations59.
Or, en matière de sécurité, le principe d’unification est primordial comme le montre les
auteurs : ISO27001 est ainsi accueilli comme LE référentiel unificateur qui répond à ce
besoin de globalité. Hervé SCHAUER affirme ainsi dans la Préface de « Management de la
Sécurité de l’information » que « la norme ISO27001 est la révolution qui manquait à ce
secteur souffrant cruellement d’une opacité entre les mondes de la direction et celui de la
technique ».
58 « The Needs for Cobit Mappings »
59 “Security standardization in incident management: the ITIL approach”
90
1. Définir la complémentarité des approches
Dans un premier temps, nous comparerons les différentes normes propres à la SSI en tant
que telle afin de considérer les domaines couverts, la complémentarité ou l’absence de
certains points. L’utilisation des indicateurs définis et traités pour chacune des normes dans
la partie précédente permettra notamment de réaliser cela.
Dans un second temps, ce seront les 3 normes les plus utilisées qui seront articulées : Cobit,
ITIL et ISO avec l’intégration des apports spécifiques à EBIOS et MEHARI. S’il a été montré
dans la première partie en quoi les normes ne traitant pas spécifiquement de la SSI
apportaient des éléments déterminants, les praticiens et les chercheurs ont depuis
longtemps travaillé sur ce que l’intuition suggère afin de formaliser les relations entre ces
normes.
On trouve ainsi plusieurs retours d’expérience dont un, très positif, de mise en place de ces 3
normes, au bénéfice de la sécurité de l’information chez Lockheed-Martin60. Le même cas
démontrera d’ailleurs le bénéfice de chaque norme en termes de sécurité et plus
spécialement ITIL qui, parmi les normes, consacre le moins « d’effort » à la sécurité.
Cela permettra de déterminer les relations existantes qui ouvrent la voie à un modèle de
sécurité de l’information plus généraliste bien que se basant uniquement sur les normes
d’origine « technique ».
a) Comparaison des domaines couverts par les normes SSI
Cette partie s’attachera donc à montrer succinctement le positionnement respectif des 3
normes SSI étudiées : EBIOS, MEHARI, ISO2700X. Ce que nous apprennent notamment le
travail mené sur ces normes et révélés par les indicateurs est que l’approche par le risque
est commune : c’est la « bonne pratique » la plus commune en matière de démarche.
Selon le GAO, la Cour des Comptes des USA, la démarche de sécurité de l’information
procède généralement comme suit, en 4 étapes : Analyse du Risque, Implémentation des
politiques et mesures de sécurités, Développement de la culture de sécurité, Surveillance
et contrôle61.
Le schéma ci-dessous permet de montrer quels sont les positionnements de chaque norme.
En conséquence, il est aisé de conclure que la norme la plus globale est bien l’ISO27001.
Cependant, on constate également que les autres normes comme EBIOS ou MEHARI
60 Sorting the Standards.
61 A New Approach for Information Security Risk Assessment: Value at Risk
91
permettent également de pratiquer l’analyse de risques et que les bases de connaissances
ou les « Outils »62 des autres méthodes sont également très riches d’enseignement.
Cependant, cette approche synthétique ne rend pas justice à l’apport réel de certaines des
méthodes proposées ainsi dont les spécificités peuvent être intéressantes. Ainsi, sur le
schéma suivant, on voit qu’ISO27001 fonctionne sur la notion de périmètre global tandis
qu’EBIOS s’intéresse plus au système d’information et que MEHARI fait le lien entre les
processus critiques et les éléments du système d’informations.
62 Ex. : dans EBIOS, « Outillage pour le traitement des risques SSI »
92
Un modèle intermédiaire pourrait donc être celui-ci-dessous. Il montre l’intégration des
normes et la dimension plus globale de l’ISO 271001 ainsi que la capacité des autres à
nourrir la démarche de sécurité de l’information. Par ailleurs, on notera que, tant MEHARI
qu’EBIOS, tendent dans leur dernière version à documenter plus précisément leurs rapports
avec la norme ISO. Enfin, ISO reste la seule norme globale à adopter un principe constant
d’amélioration : le cycle PDCA.
b) Comparaison des domaines couverts par les autres normes
L’utilisation et la combinaison de plusieurs standards ou référentiels n’est pas inconnue dans
le monde de l’entreprise. A l’exemple de Lockheed-Martin évoquée dans l’étude d’ITIL peut
s’ajouter celui de Renault. L’industriel, dans sa partie informatique, délivre une vision selon
laquelle il est tout à fait possible d’articuler Cobit et ITIL, le premier délivrant un moyen de
contrôle et le second permettant une optimisation opérationnelle.
De façon plus théorique, M. DELVAUX63 livre des éléments permettant de relier les différents
processus de Cobit et ITIL. Cette articulation permet ainsi de mettre en place les éléments
suivants :
Une excellence opérationnelle par ITIL qui permet de délivrer la qualité de service, la
gestion des problèmes, des incidents, de la continuité…
63 Formation délivrée dans le cadre du MSIT
93
Un contrôle au niveau du management qui permet ainsi de vérifier l’efficacité des
décisions prises, de la gestion des risques.
Par ailleurs, l’ISACA a fourni un travail considérable en définissant pour chaque processus
d’ITIL et chaque objectif de contrôle de Cobit, les alignements possibles64. Le même travail
fait le lien entre les normes ISO 27002, ITIL et Cobit. Afin, d’illustrer cette articulation, on se
référera au processus DS5 de Cobit, qui traite de la gestion de la sécurité. Cependant,
considérant les domaines couverts par les normes, des éléments ayant trait à la sécurité
peuvent être trouvés ailleurs : il s’agit simplement d’illustrer la complémentarité possible et
existante.
Ainsi, illustrer l’articulation de ces 3 normes permet de considérer plus précisément leur
intérêt en termes de sécurité. De façon générale, plusieurs analystes plaident ainsi pour un
modèle plus global que nous allons décrire. Conscient des « limites » de chaque norme en
matière de sécurité, ces praticiens constatent qu’une articulation intelligente des standards
permet de répondre à l’ensemble des besoins de l’entreprise.
64 « Aligning CobiT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit »
94
Ex. : Alignement des référentiels dans le cas d’une partie du processus DS5.
2. Vers un « nouveau » modèle : la Gouvernance de la Sécurité de l’information
Les analyses conduites dans la partie précédente ont montré comment les différentes
normes, SSI ou non, pouvaient être articulées sans réel problème de compatibilité. Un
important effort de l’ISACA fait même le parallèle avec une description extensive des liens65.
Cependant, si ces normes peuvent être adoptées conjointement, rien ne dit que la sécurité
de l’information peut bénéficier de cette association ou articulation. C’est le point évoqué
ici. A cet égard, plusieurs articles et informations retirées de la phase de recherche de cette
étude plaident pour une combinaison.
Ainsi, un analyste affirme que les USA sont parmi les leaders dans les pertes et fuites
d’information et affirme de là qu’une approche combinant les standards est le meilleur
moyen de garantir à la fois les besoins en sécurité de l’information mais également de
conformité légale66. ISO apporterait ainsi le « comment » tandis que Cobit définirait le
« quoi »67.
Il est à noter cependant que ce sont les approches centrées autour de Cobit qui induise ce
type de conclusion. Ainsi, selon une étude68, les entreprises ayant instauré une gouvernance
65 Op. Cit.
66 Combining Information Technology Standards to Strengthen Network Security »
67 “Information Security Governance”
68 « Exploring IT Governance in theory and Practice in a Large Multi-national Organisation in Australia,”
95
jugée de qualité ont des taux de retour ou de rentabilité d’au moins 20% sur les
investissements réalisés. Cela reste vrai pour les investissements en matière de sécurité.
En guise de conclusion pour l’étude d’une synthèse des normes SSI, nous proposons donc ici
ce modèle de gouvernance de la sécurité de l’information fondée extensivement sur les
éléments tirés de la recherche mais également des entretiens. On note ainsi l’importance de
Cobit autour duquel les autres normes semblent s’articuler.
Cela permet de développer deux conclusions :
Focaliser sur Cobit permet de montrer que la gouvernance reste le point crucial. C’est
l’élément fondateur d’une sécurité de l’information efficace et la raison de ce modèle. Mais
cela permet de montrer aussi qu’une démarche efficace est notoirement stratégique et cela,
avec ou sans Cobit.
En revanche, le modèle proposé montre bien que certaines parties restent peu ou mal
décrites. Ainsi, si l’approche du GAO insiste largement sur l’aspect formation et
sensibilisation, les normes, bien que le mentionnant, reste généralement assez vague sur
cette notion. Or, elle reste déterminante et souvent la clé d’une sécurité de l’information
efficace comme : l’approche et l’aspect humain de la sécurité reste la clé.
De plus, l’approche humaine de la sécurité de l’information est très certainement la
dimension la moins apte à être standardisée. Elle dépend en effet par trop d’éléments
conjoncturels, culturels, métiers. Elle peut cependant, faire l’objet d’un recueil de bonnes
pratiques qui sera toutefois limité dans certains cas par les diversités de culture d’entreprise.
96
II- SYNTHESE GLOBALE ET MODELE ELARGIE
Lors des parties précédentes, nous avons établi plusieurs éléments : la structure et la
démarche des normes dites « SSI » à la sécurité de l’information, l’apport des référentiels et
bonnes pratiques dites « non-SSI » (Cobit, ITIL, IE) à la sécurité de l’information. Par la suite,
dans une démarche progressive, nous avons mis en avant la complémentarité des normes
d’origine technique et proposé plusieurs moyens de les articuler et de les utiliser ensemble.
Cette toute dernière partie a donc pour but d’articuler ces normes et référentiels avec les
bonnes pratiques de l’Intelligence économique ou de la sécurité économique. Pour
développer cette approche, nous nous focaliserons sur plusieurs points : des exemples
choisis d’articulations précises entre une norme et l’approche « IE ». Ex. : ITIL et IE ou encore
Cobit et IE. Nous invoquerons également l’analyse de risque, qui en tant que support et base
de l’approche SSI, peut être enrichie par l’intelligence économique. Nous montrerons
ensuite que la sécurité de l’information, telle que vue dans l’SIO27001 par exemple, peut
être grandement améliorée par l’ajout de nouveaux axes de réflexion. Nous continuerons
avec des propositions de modèles évolués d’organisation avant de conclure avec un nouveau
modèle de sécurité de l’information.
97
1. Liens normatifs
Dans cette partie seront évoqués les liens relevés dans la démarche de recherche entre les
bonnes pratiques de l’intelligence économique et les normes du domaine des systèmes
d’information.
a) IE & ITIL
Les liens entre l’intelligence économique et ITIL sont plus profonds que ceux que l’on peut
percevoir au premier abord. En effet, nous avons bien montré à la fois la dimension
stratégique de l’IE tout autant que le focus opérationnel d’ITIL. Cependant, une forme de
complémentarité peut-être observé sur 3 axes :
Service de veille
Gestion de crise
Détection des signaux faibles
Un service, un processus ou encore une démarche de veille sont des éléments au cœur
d’une démarche d’intelligence économique. L’information est en effet le matériau premier
de la démarche qu’il s‘ agisse de rendre l’entreprise plus efficace, plus apte à gagner un
marché ou encore de la protéger. Un service au sens non organisationnel de veille est très
important quelque soit le domaine considéré : surveillance de l’image, de la concurrence…
L’expérience personnelle de l’auteur, dans le cadre d’un stage en veille, montre que ce
service est complexe. Processus itératif, lourd et chronophage, la veille doit être exactement
dimensionnée aux besoins du client le plus tôt possible pour deux raisons : perte de temps,
d’informations et de valeur ajoutée pour le client, perte de temps et d’argent pour le
prestataire.
La recherche a ainsi permis de montrer que les bonnes pratiques d’ITIL pouvaient s’appliquer
partout en entreprise69. Ainsi, dans le cas de l’article cité, l’entreprise avait mis en place un
unique centre de service autant pour les changements de matériels que pour les
modifications financières des dispositions liées à la retraite des employés. L’expérience
montre donc l’adaptation des principes à des niveaux très variés et, considérant le manque
de standardisation du processus de veille, il pourrait être intéressant de s’inspirer d’ITIL.
Plus pratiquement, on trouve dans la description du cycle de vie d’un service70, une aide
précieuse pour un management qui veut optimiser la qualité, le contrôle d’un service rendu
69 « ITIL adopts a service mentality »
70 « ITIL et la gestion des services »
98
à une entreprise. Traditionnelle, un cycle de vie d’un service commence par une phase de
Planification suivie des phases suivantes : Design, Build, Run, Dead.
En matière de qualité, la vision suivante peut être préférée : Spécification, Fabrication,
Déploiement, Exploitation. On notera l’insistance d’ITIL sur deux points : développer les
besoins en termes de services dés le début et les formaliser en Exigences de Service. Cela se
traduit par une définition la plus précise possible des besoins d’informations du client, des
sources privilégiées, des exclusions, du format rendu, de la fréquence…En gardant à l’esprit
qu’un service de veille qui produit trop d’informations tue l’information : on appelle parfois
cela l’infobésité.
Par la suite, il faudra tester la capacité du service à répondre aux besoins requis avant de
l’exploiter. Ex. : produire un livrable test, lancer une semaine test avant pour corriger des
défauts déjà visibles…
En cours d’exploitation, il faudra s’assurer de mesurer la qualité de service par des
indicateurs conçus auparavant. Ex. : livraison des livrables en temps et en heure, vérification
aléatoire d’informations pour contrôler l’absence d’oubli…
Si l’apport d’ITIL en termes de qualité de service, notamment pour la veille, est
incontestable, le référentiel apporte également une aide certaine en matière de gestion de
crises.
Comme il est montré dans le rapport 2005 du CIGREF71, la gestion de crise est une
composante essentielle dans une stratégie d’intelligence économique pour essentiellement
3 raisons : la crise induit des besoins forts en information, la crise impacte les capacités de
l’organisation à maintenir ses flux d’informations, la crise peut avoir pour origine un
problème lié à une information.
Ainsi, on peut d’ores et déjà constater que, tant ITIL que l’IE apporte un soin tout particulier
à la communication. Si ITIL se focalise sur une réponse rapide et une communication
orientée vers les utilisateurs ou les clients de ses services, le but est bien le même : occuper
l’espace informationnel pour éviter les dommages causés par la crise.
Par ailleurs, ITIL est au plus près du développement opérationnel des impacts de la crise,
notamment car les systèmes d’informations doivent pouvoir fournir, même en mode
dégradé, un certain nombre de services. Ainsi, le processus de gestion de la disponibilité
permet de détecter au plus tôt les problématiques pouvant survenir, notamment lors
d’attaques sur les systèmes d’informations de l’entreprise. Par ailleurs, ce processus est lié à
la disponibilité des documents vitaux de la bonne marche de l’entreprise, la gestion de crise
et les relations publiques.
71 « L’intelligence économique appliquée à la DSI »
99
Enfin, la gestion de la continuité est typiquement un processus lié à la gestion de crise car il
se propose d’analyser et de gérer la préparation des activités de l’entreprise à une
interruption de service non prévue et brutale.
Le dernier apport d’ITIL porte sur la détection des signaux dits « faibles ». Véritable
problématique développée par l’Intelligence Economique, les signaux faibles sont des
évènements épars, souvent non reportés mais dont la corrélation pourrait révéler un
problème plus profond (attaques envers l’entreprise, problèmes de structure…).
Cette problématique a été abordée lors des entretiens : il en ressort que si la plupart des
normes font appel à la notion d’indicateurs, aucune ne signale en tant que telle la
problématiques des signaux faibles. Cependant, il est tout à fait légitime de conditionner ou
de spécifier l’implémentation des normes et des indicateurs pour relever ces types
d’informations.
Par ailleurs, la synergie entre les responsables de la sécurité économique ou toute autre
entité chargée de la sécurité de l’information est nécessaire. En effet, selon plusieurs
chercheurs72, l’utilisation d’ITIL dans le cadre du management des incidents tend à confiner
l’information des problèmes survenus à des niveaux très opérationnels. Or, par nature, le
traitement des signaux faibles nécessite une vue d’ensemble et une approche de nature
« stratégique » : l’association de deux démarches peut donc apporter une meilleure « vue »
de la situation de sécurité.
b) IE & Normes SSI
Dans cette partie, nous aborderons les liens existant entre l’intelligence économique et les
différentes normes « purement » SSI traitées dans cette étude : ISO27001, EBIOS et MEHARI.
Tout d’abord, rappelons que l’Intelligence Economique, au regard de la sécurité de
l’information, ne s’est préoccupé que tardivement de cette problématique. Le
« Rapport Martre » qui fonde une « doctrine » de l’Intelligence économique et stratégique
ne comporte pas de volet protection et si les derniers documents du SGDN font référence à
la sécurité de l’information, ils la délèguent volontairement aux « techniciens ». Cependant,
la démarche d’IES ou encore de sécurité économique appelle plus volontiers une notion de
protection de l’information, ou encore de sureté, que de sécurité des systèmes
d’informations.
Cela implique notamment deux éléments essentiels qui ont été mis en valeur dans les
parties précédentes : l’identification de l’information à valeur ajoutée et la valorisation, au
72 “Security standardization in incident management : the ITIL approach”
100
profit de la culture de sécurité, de l’idée que l’organisation peut-être « attaquée » et peut se
faire dérober des informations.
Cette approche d’identification est réellement une des dimensions de la valeur ajoutée de
l’IES. Lors d’un entretien avec un Responsable Sécurité dans une entreprise, une des ses
premières actions lorsqu’il a été en poste a été susciter la conscience chez les opérationnels
qu’ils détenaient des « secrets ». Autrement dit, des informations à très fortes valeurs
(techniques, astuces, savoir-faire, expérience) qui fondaient le succès de l’entreprise dans
son secteur et qu’il fallait protéger. Le même responsable avait été reçu par des managers
relativement inconscients de ce qu’ils possédaient : la phase d’identification a été
primordiale.
En matière de sécurité de l’information, cette méthode apporte donc deux éléments :
Identification de certains actifs informationnels critiques : ce qui est un besoin dans
toutes les démarches
Mise en place de systèmes de classification qui sont généralement propre à ce type
de méthode.
Un entretien avec des consultants spécialistes de la SSI, organisationnelle et technique, a
montré que généralement, les systèmes de classification étaient déjà mis en place dans les
entreprises. Cela relève généralement peu d’une prestation ISO27001 même si celle-ci y fait
référence.
L’apport de l’IE aux méthodes de sécurité de l’information se fait également sur un autre
plan : l’enrichissement de l’analyse des risques. Cet apport se fait également sur deux plans :
- L’ajout de dimensions
- L’enrichissement à certaines étapes de l’analyse
Le premier élément est l’ajout de deux dimensions essentielles liées à la protection de
l’information. La première est ce que l’on appelle généralement « l’aspect humain » et le
second, le risque juridique.
Comme nous le verrons par la suite, ces deux dimensions constituent un apport véritable de
l’IE à l’amélioration du niveau de sécurité de l’information. Mais il s’agit ici uniquement de
l’apport aux normes, démarches et méthodes déjà standardisées d’une part et à l’analyse de
risque d’autre part.
Ainsi, l’apport de l’élément humain est de montrer que l’entreprise est à la fois susceptible
d’être l’objet d’attentions malveillantes mais également que ses employés, tous les
101
personnels avec qui l’organisation interagit sont susceptibles d’être utilisés dans de telles
attaques. Ainsi, par exemple, une étude de l’IHEDN publiée en 2000 montre que le
responsable de l’IE est d’autant plus partie prenante à la rédaction et la définition de la
PSI/PSSI si l’entreprise a été victime de nombreuses attaques. L’IES peut donc enrichir
l’analyse de risque à ce niveau notamment en apportant les informations nécessaires, tirées
de la veille ou de l’historique de l’entreprise, même dans le cas où celle-ci fait appel à des
notions très mathématiques de calcul du risque.
L’entretien mené auprès de consultants spécialistes des normes ISO2700X a montré que
l’aspect « social engineering » n’était pas réellement pris en compte ou alors au travers de
l’item « Formation et Sensibilisation ». Or, si les chiffres tendent à montrer que l’aspect
humain est primordiale73 dans la sécurité de l’information, il ne représente pas autant dans
les normes en question. Il manquerait éventuellement une notion de pondération différente
de celle apportée par l’analyse de risque.
Par ailleurs, l’IES considère largement le risque juridique, c'est-à-dire les problématiques
liées non seulement au non-respect des lois et textes en vigueur mais également tous les
problèmes et dommages que cela peut causer. Ainsi en est-il de la responsabilité extensive
du chef d’entreprise en matière de protection des informations, de sécurité du système
d’informations. La démarche d’intelligence économique attire ainsi l’attention sur les risques
encourus et incite les acteurs à utiliser tous les recours et outils légaux à la disposition,
notamment après les attaques informationnelles mais également dans le cadre de toutes les
relations de l’organisation (chartes, contrats, clauses de confidentialités…). Cet aspect est
nettement plus prégnant dans la démarche IES que dans les normes dites SSI qui cependant,
développe l’obligation de respecter le cadre juridique local.
L’IES apporte également des éléments d’enrichissement à deux niveaux lors des étapes
d’analyse de risque produisant des scénarios ou établissant le contexte.
Ainsi, MEHARI fait notamment appel à des notions d’écosystème de l’entreprise lors qu’elle
établit l’exposition naturelle au risque de l’entreprise. Le contexte économique, social et
géographique est ainsi analysé pour « calculer » cette valeur. Dans le cas d’EBIOS, l’étude du
contexte ou de l’environnement ainsi que celle des menaces peut bénéficier d’une vision
plus complète et sur le long-terme des évènements ayant affecté l’entreprise. La norme fait
également allusion à des vulnérabilités très intéressantes comme « le climat social délétère
ou conflictuel » qui sera très bien mis en valeur et analysé par des praticiens IES. Enfin, la
définition du périmètre d’application de l’analyse de risque que l’on retrouve partout, mais
73 Thierry CHAMFRAULT parle d’une responsabilité des failles de sécurité à 85% humaine.
102
notamment dans ISO27001 peut également bénéficier du concept de défense en profondeur
que l’on retrouve notamment en IES74.
Un entretien a pu montrer que la production des scénarios, liée à ISO 27005, rigidifie la
succession des évènements : les scénarios ne sont pas forcément assez évolutifs. L’IES peut
apporter des compléments d’informations qui ne sont pas en possessions des managers
impliqués dans la démarche afin de corriger ce tropisme. Cependant, leur apport doit être
encadré afin de ne pas être entrainé par les tendances naturelles de l’IE liées à la
confidentialité, la malveillance…
Enfin, l’IES fournit également une continuité en rejoignant les pratiques notamment de
l’ISO27001. Ainsi, les éléments d’enquête post-intrusion ou post-attaques qui doivent être
étudiées peuvent bénéficier d’une vision plus large ou plus humaine des attaques.
Lors d’un entretien menée avec un responsable sécurité, celui-ci a montré qu’une attaque
sur une entreprise afin de récupérer de l’information ne commençait pas forcément par une
intrusion informatique mais tout simplement par la fouille des poubelles ou encore le
« tamponnage » lors de salons…L’intrusion informatique peut alors arriver bien plus tard
mais la correction des failles de sécurité doit prendre en amont le risque occasionné, par
exemple, par un document papier non détruit qui contiendrait des éléments liés aux mots de
passe ou autre et qui aura fourni la première piste pour l’intrusion.
c) IE et Cobit
Les liens entre l’intelligence économique et Cobit sont plus restreints que pour les autres
normes. On notera tout de même que l’un comme l’autre sont focalisés sur la notion
d’information, ce qui les rapproche.
Par ailleurs, leur niveau d’exécution ou d’utilisation reste stratégique et leur but final est
l’établissement d’une gouvernance. Cobit cherche ainsi à établir une gouvernance des
services d’informations, son processus DS5 peut-être interprété comme une forme de
gouvernance de la sécurité de l’information. Or, cet objectif est également apparent dans les
derniers textes de l’intelligence économique qui cherche également à établir une forme de
gouvernance. On retrouve par ailleurs des intérêts communs : l’intégrité et la confidentialité
sont des critères plus importants pour ces deux approches que la disponibilité.
En revanche, ce que Cobit apporte à une démarche IE est la structuration très forte de ses
objectifs de contrôle et des indicateurs associés. L’IE, dans les textes analysés, ne montre pas
74 La DCSSI a d’ailleurs publié une application du concept de défense en profondeur à la SSI.
103
une inclination pour ce contrôle et cette surveillance aussi structurées alors qu’elle pourrait
en avoir besoin : la démarche de veille correspond aussi à ces attentes.
2. Protéger l’information : de nouveaux axes
On a vu dans la partie précédente quels étaient les liens entre l’IES et les différentes normes
liées à la sécurité des systèmes d’information ou aux SI de manière plus généraliste. Dans
cette partie, nous nous attarderons sur l’apport particulier de l’IES aux politiques et aux
pratiques de sécurité de l’information au travers de deux axes assez innovants : la protection
étendue du patrimoine informationnel de l’entreprise et le facteur humain.
a) Protection du patrimoine informationnel
L’utilisation des méthodes de sécurité des systèmes d’informations permet de révéler que,
malgré quelques tropismes particuliers75, l’information est considérée sous une forme
élargie : la donnée, l’application, les machines mais également les infrastructures et le
papier.
Pour autant, l’information, bien que conçue très généralement dans ces méthodes, est
présente dans l’organisation sous d’autres formes. L’IES considère également le savoir-faire
de l’entreprise ainsi que ses compétences et connaissances propres. On peut également
parler de « mémoire de l’entreprise à conserver ».
Or, lier le « Knowledge Management » avec la sécurité de l’information n’est pas une
préoccupation actuelle des normes SSI en tant que tel. Elle est pourtant nécessaire. Ainsi,
une étude76 montre l’importance du caractère humain de la sécurité de l’information, établit
des analogies entre sécurité de l’information et gestion de la connaissance et propose, outre
une nécessaire collaboration, une redistribution des tâches. Cette approche n’est rien de
moins que la structuration du modèle développé par l’intelligence économique.
Par ailleurs, le rapport du CIGREF sur la Protection du Patrimoine Informationnel prévoit
comme critères de sécurité de l’information la pérennité et l’authentification qui n’en sont
pas dans les approches plus techniques. Ils apportent cependant une vision plus « politique »
de la question de la sécurité de l’information et notamment à propos de la conservation des
savoir-faire.
Ainsi, l’apport du Knowledge Management (KM) à la sécurité de l’information peut-être
réalisé par les méthodes de KM qui font appel à la notion de primes à la participation,
contrairement à la SSI qui fait appel à la sanction. La préservation du patrimoine
75 Comme EBIOS pour les systèmes d’informations même si on peut constater une forte évolution.
76 Information Security and Knowledge Management: Solutions Through Analogies
104
informationnel et la participation à sa structuration peuvent ainsi être ou récompensés ou
sanctionnés.
b) « Ecce homo »
Comme on a pu le voir, le facteur humain est sans doute le pivot de la sécurité de
l’information. L’intelligence économique nous amène à considérer l’aspect malveillant
d’actions humaines dirigées contre l’organisation : elle amène donc les managers
responsables de la sécurité de l’information à reconsidérer leur position vis-à-vis des
personnels.
L’approche juridique répond ainsi à cet encadrement des actions humaines dans des
conventions réciproques qui vont permettre de protéger l’entreprise en cas de problème lié
à l’information. Un système d’incitations financières, pénales ou autres vont permettre
également de garantir un certain comportement. Cette approche est réellement mise en
valeur dans une démarche d’IES mais elle existe tout autant, parmi d’autres, dans les normes
SSI.
Mais au-delà de ça, l’IES apporte réellement une vision centrée sur l’humain en tant que
menace certes mais pas seulement, ce qui la différencie de la pratique générale de sécurité
de l’information. Certains chercheurs ont ainsi établi77 qu’il existait un réel fossé entre les
responsables de la sécurité de l’information et les utilisateurs. Et au-delà des dispositions
prévues pour les contrats, la sensibilisation ou la formation, les normes SSI souffrent sans
doute d’être un peu trop « lisses » : même si chaque entreprise doit choisir, après une
analyse de risque, les mesures qu’elle doit prendre, certaines sont sans doute plus
importantes que d’autres et l’IES a, peut-être, le mérite de le rappeler.
Qu’est-ce qu’un utilisateur pour un manager de la sécurité ? Une faille, une menace, un
risque, un danger….rarement un partenaire. Dans l’article précité, les auteurs montrent bien
qu’il existe un vrai problème de compréhension et de communication entre les managers
sécurité et les opérationnels.
Qu’est-ce que les responsables sécurité pour un opérationnel ? Une contrainte, une menace
(punition…), un « empêcheur de tourner en rond »…
L’auteur de cette thèse a ainsi pu constater la prégnance de cette distance dans le cadre
d’une expérience dans le domaine de la défense à un niveau opérationnel.
Afin de prouver l’existence de cette problématique, l’étude fournit plusieurs éléments de
comparaison. Elle s’est notamment intéressée à la vision comparée des utilisateurs d’un côté
77 « The information digital divide between information security managers and users »
105
et des managers de la sécurité d’autre part autour de 3 questions : le rôle de chacun d’entre
eux dans la sécurité, la mise en place des mesures de sécurité et les menaces et les
vulnérabilités.
Afin de montre le gap, les schémas suivant sont instructifs. Le premier montre le rôle de
l’utilisateur suivant les deux visions tandis que le second s’attarde sur l’importance
comparée des différentes vulnérabilités.
L’Utilisateur « JANUS » de la sécurité de l’information
Source : The information digital divide between information security managers and users
Source : The information digital divide between information security managers and users
106
Cette approche met donc en exergue à la fois la problématique de compréhension et de
relation entre l’utilisateur et le responsable sécurité mais aussi les divergences de vision et
de sensibilité entre les deux populations. Sur le second schéma sont entourés en rouge les
points où la différence est la plus forte :
Erreur humaine, manque d’attentions
Social engineering => les professionnels en mesurent le risque, fort, contrairement aux
utilisateurs.
Spam et hacking => les utilisateurs y voient une forte menace contrairement à la
réalité mesurée par les professionnels du secteur.
Ce manque de communication et de compréhension est issu d’une « tradition » ou d’une
culture qui a peu ou pas cherché à se comprendre. T. CHAMFRAULT, dans l’introduction d’un
de ses ouvrages sur ITIL, commence par ce lieu commun : « l’informatique, ce n’est pas du
sérieux ». De l’autre côté, les professionnels de la sécurité voient le même manque de
sérieux chez les utilisateurs, par malveillance ou simple erreur. Ainsi, une récente étude de
KPMG montre qu’en 2009, la première cause de vol d’informations est bien le vol ou la perte
d’un ordinateur.
Malgré les apports de normes comme ISO27001 qui réunit autour d’une même démarche les
différentes parties prenantes de la sécurité, la dimension humaine, c'est-à-dire la
responsabilisation effective et le développement d’une culture de sécurité reste largement
perfectible.
A ce propos, l’IES apporte plusieurs éléments de réflexion qui commence par la
responsabilisation de l’utilisateur. Mais, plus encore, les sessions de formation et de
sensibilisation doivent être éminemment pratiques et surtout, les responsables en sécurité
de l’information doivent par-dessus tout communiquer, se montrer, évoluer au sein de
l’entreprise afin d’être visible.
Ainsi, de plus en plus, les écrans de veille sont utilisés afin de faire passer des messages de
sécurité. Ou encore, on infligera une image un peu choquante en guise de fond d’écran ou
d’écran de veille, l’utilisateur qui aura oublié de verrouiller son écran. Mais, pour cela, il faut
être visible, présent et disponible.
Enfin, la dernière dimension de cet aspect humain de la sécurité est la dissuasion. La
présence du manager en sécurité de l’information, sa visibilité et sa communication doivent
rappeler les notions de sécurité à l’utilisateur tourné vers un travail quotidien prenant. Les
mêmes efforts doivent également rappeler les sanctions afin d’avoir un effet de dissuasion
sur les éléments clairement malveillants ou incitatifs sur les éléments enclins à commettre
des erreurs. Cela, afin de combattre l’inflation remarquable des vols d’informations par des
107
employés malveillants qui a augmenté de 94% entre 2008 et 2009 selon la même étude de
KPMG.
Cet ensemble d’outils, qui replace l’utilisateur au centre de la sécurité de l’information, doit
tendre à créer, diffuser puis maintenir une culture de sécurité de l’information parmi les
collaborateurs de l’organisation.
3. Une organisation en question
Dès le début de ce travail de recherche s’est posée la question de l’organisation de la
sécurité de l’information. Réunir deux approches aux origines si diverses mais aux objectifs
communs induisait un questionnement de management, d’organisation et de responsabilité.
Il est intéressant de noter que lors de chaque entretien, les responsables opérationnels ont
choisi de donner la responsabilité de la sécurité de l’information à leur domaine
d’appartenance (Direction Sécurité, Systèmes d’informations) arguant des besoins propres à
l’entreprise mais également à la culture.
Plusieurs modèles s’affrontent ici :
Celui du RSSI traditionnel souvent lié à la DSI
Celui du RSSI indépendant et lié à la DG.
Celui du Directeur de Sécurité s’occupant de la protection de l’information
Un modèle plus théorique lié aux services du risque
Parmi les modèles rencontrés lors des interviews, les facteurs clés expliquant la structuration
de la fonction sont notamment : la culture, le cœur de l’entreprise…Ainsi, il a été possible
d’observer un modèle mettant au centre un responsable sécurité des systèmes
d’informations relativement indépendant mais également un responsable sécurité
d’entreprise animant une démarche commune de sécurité de l’information avec des
responsables informatiques.
C’est pourtant un besoin comme l’exprime Isabelle TISSERAND dans une interview : elle note
ainsi l’ouverture des compétences du RSSI qui évolue vers une fonction de DSI ou Directeur
de la Sécurité de l’Information. Elles notent ainsi que certains RSSI collaborent de plus en
plus avec des politologues, des sociologues, des juristes mais également et toujours des
techniciens.
Un entretien avec des spécialistes en SSI a également montré l’évolution profonde de la
108
fonction de RSSI. Du giron de la DSI, il en vient à se rapprocher de la Direction Générale ou
alors celle des risques opérationnels. Le monde anglo-saxon parle d’ailleurs de CIO : Chief
Information Officer, il possède un tropisme technique moins prononcé que le RSSI latin au
profit d’une approche plus globale. Par ailleurs, l’observation d’organigrammes d’entreprise
a pu révéler que la fonction de RSSI peut se répliquer aux niveaux de filiales afin que la
fonction puisse également être développée au niveau d’un groupe mais également de ses
unités.
Il existe cependant plusieurs critères communs à toutes les démarches qui permettent de
répondre en partie à cette question organisationnelle. En effet, considérant la fonction
particulière qui conduit à assurer la sécurité de l’information et les contraintes associées, on
peut relever plusieurs critères :
Le responsable de la sécurité de l’information doit être délivré de toute appartenance
fonctionnelle (notamment vis-à-vis de la DSI) sans quoi il ne pourra assurer la diversité des
métiers qui composent sa fonction.
La diversité même des métiers qui composent la sécurité impose une approche globale de la
sécurité de l’information. Rapprocher le RSI de la Direction Générale parait donc être la
meilleure solution pour garantir son efficacité. Il s’agit plus d’une fonction de pilotage.
Le profil même de la personne exerçant cette fonction ne peut pas être unique : il doit avoir
un parcours et un profil de nature diversifiée. Ex. : lors d’un entretien, un responsable
sécurité opérationnel a ainsi mis l’accent sur le fait qu’un RSSI « technique » ne peut assurer
la fonction liée au gardiennage, à la politique de visite ou de badges, il s’agit de métiers
différents.
En guise de conclusion et avant d’aborder le modèle globale liée à cette étude, voici le
modèle d’organisation inspiré des diverses pratiques observées et considérant les
contraintes présentées.
109
4. Vers une gouvernance étendue de la sécurité de l’information
Dans un premier temps, nous avons vu la structuration des normes dites SSI puis l’apport
des normes IT à la sécurité de l’information avant de développer l’évolution de la protection
de l’information dans une démarche IES. Puis, dans un second temps, nous avons synthétisé
et articulé ces référentiels afin de montrer l’existence d’une démarche globale de sécurité de
l’information fondée sur des normes provenant du domaine des systèmes d’informations.
Enfin, dans un dernier temps, nous avons montré les apports précis de l’IES à la sécurité de
l’information, que ce soit dans une démarche normative, vis-à-vis de la sécurité de
l’information en tant que telle mais également par rapport aux questions d’organisation. Ces
apports confondus permettent, in fine, de dresser un modèle étendu de gouvernance de
sécurité de l’information justifiée par deux raisons : l’apport à tous les niveaux de l’IE et sa
vision plus large des risques encourus par l’organisation.
L’apport de l’Intelligence Economique et Stratégique à la sécurité de l’information peut se
voir à tous les niveaux, il est global :
Par ailleurs, l’Intelligence Economique permet de mieux appréhender l’environnement de
l’entreprise en la positionnant dans un écosystème complexe susceptible de porter atteinte
à ses opérations et à ses informations. Ainsi, l’IES peut –être positionnée comme une
démarche générale de maitrise des risques se focalisant sur l’information comme moyen de
maitrise. C’est en tous cas ce que montre un rapport du CIGREF78 ou les entretiens menés
qui montre la démarche globale de gestion des risques mis également en valeur dans la
définition de l’organisation.
78 Intelligence Economique et Stratégique. Les systèmes d’information au cœur de la démarche. Cf. Cas Total.
110
Comme il a été mis en valeur dans les parties précédentes, la tendance naturelle des
normes, méthodes, référentiels ou démarches de toute nature est de former une
gouvernance de la sécurité de l’information. La globalité nécessaire de l’approche, la
diversité des métiers impliqués, le besoin de support et de soutien au plus haut niveau
plaident en effet pour cette approche.
Plus encore, la notion d’analyse de risque est au centre de toutes les démarches, qu’il soit
très formalisé ou beaucoup moins. Cette notion de risque est intéressante car elle se traduit
notamment au niveau organisationnel que l’on a présenté ci-dessus.
Enfin et cependant, la caractérisation le plus efficiente de ce modèle reste sûrement le
concept de sécurité économique. On le retrouve développé par des chercheurs79 qui
montrent ainsi que la sécurité de l’information devient de plus en plus une composante
essentielle de la gouvernance d’entreprise. En effet, les impacts informationnels sont de plus
en plus de nature à causer des dégâts à l’activité de l’organisation : il faut donc les intégrer à
une démarche globale visant à assurer une « business security » ou encore sécurité
économique.
Ce concept de sécurité économique peut-être analysé comme l’articulation des normes,
méthodes, référentiels et bonnes pratiques issus du monde l’IT et de la Sécurité des
Systèmes d’Informations avec une démarche d’intelligence ou de sécurité économique. La
sécurité économique peut-être décrit comme suit :
Une démarche au plus haut niveau visant à protéger l’activité de l’organisation,
considérant la prégnance définitive de l’information au sein des organisations