Définition
La sécurité des systèmes d’information (SSI) consiste à l’ensemble des solutions mises en œuvre pour couvrir les risques « inacceptables » de votre SI suivants 4 critères fondamentaux :
La confidentialité
Une information ne doit être accessible qu’aux personnes autorisées. Plus elle est sensible, au moins les personnes autorisées doivent être nombreuse a y accéder.
Votre technicien n’a peut-être pas besoin d’avoir accès a la comptabilité de votre entreprise.
L’intégrité
Une information ne doit être modifiable que par des personnes autorisées. Au plus l’information est importante, au plus on doit pouvoir s’assurer qu’elle est fiable.
Personne ne doit pouvoir modifier une donnée clé de votre entreprise sans que vous le sachiez.
La disponibilité
Une information ne doit être accessible qu’a un moment donné et avec une procédure autorisée. Si une information (ou un SI) n’est pas accessible, il faut pouvoir également déterminer dans quel mesure une perte ou non disponibilité va vous impacter. Ne pas pouvoir encaisser vos clients, ça peut être rageant….
.
La traçabilité
Une information doit pourvoir être «tracée», pour connaître ses mouvements et son état.
Un suivi de gestion d’une information peut parfois vous être imposé par la loi, comme le stockage d’informations personnelles.
Pourquoi la sécurité des systèmes d'information (SSI)
Le risque « 0 » n’existe pas, même sur système non relié à l’internet. Cependant certain risques, comme l’attaque par un rançongiciel (ramsomware), peuvent littéralement vous faire mettre la clé sous la porte. Il faut également être sûr de ses informations, en effet, une erreur peut parfois vous faire perdre la confiance d’un collaborateur ou d’un client, il s’agit de votre image de marque.
Comment établir une politique de sécurité des systèmes d'information (PSSI)
(c’est la version simple que je vais vous exposer)
Déterminer les informations à sécuriser
Il faut avant tout déterminer quelles sont les informations que l’on va traiter, leurs valeurs, leur sensibilités, qui doit y avoir accès, quand, comment et dans quel mesure. La connaissance du volume d’information, ainsi que le besoin de disponibilité d’une information est primordiale
Identifier le responsable de la SSI
La personne qui sera en charge de faire respecter la SSI et d’y appliquer les 4 critères fondamentaux. Il vous faut designer un Responsable de la SSI (RSSI).
Identifier les risques
Quel est le risque si votre fichier client se balade dans la nature ?
Il s’agit schématiquement de connaître le risque résultant du traitement, et du stockage d’une information. Il peut s’agir d’un risque incendie dans votre local serveur, d’une panne d’un disque dur, ou d’une porte non sécurisée.
Pour rentrer dans le vif du sujet : www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager
Déterminer les conséquences d'un risque
Si ma salle serveur, brûle est-ce grave? Si un stagiaire efface mon dossier de documents temporaires vais-je faire faillite?
Il faut déterminer le degré d’importance d’un risque. On doit pouvoir estimer que la conséquence d’un risque est négligeable, grave, voir inacceptable.
Identifier les menaces et leurs probabilités
Si vous entreprise fabrique de la laine dans le JURA, il y a fort à parier qu’elle ne soient pas la cible privilégiée de groupe de hackers de pointe. Mais gardez à l’esprit que des entreprises peu sécurisées peuvent servir de « Zombies » pour en attaquer une plus intéressante sans laisser de traces (a part les vôtres…). Et dans ce cas, VOUS ÊTES RESPONSABLE.
Quand on a fait tout cela, on peut déjà mettre en place des mesures et se définir des objectifs. C’est un processus qui peut être long et complexes mais on peut vous y aider.