WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Audit et definition de la politique de sécurité du réseau informatique de la first bank

( Télécharger le fichier original )
par Gustave KOUALOROH
Université de Yaoundé I - Master professionnel en réseaux & applications multimédia 2008
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

1.2. PRINCIPES GÉNÉRIQUES D'UNE POLITIQUE DE SÉCURITÉ RÉSEAU

 

Afin d'éviter un certain nombre d'écueils classiques, une politique de sécurité réseau doit respecter un ensemble de principes génériques. Ces principes permettent notamment à chacun de bien cerner les enjeux de la rédaction d'un document de politique de sécurité, qui n'est pas un document comme les autres.

Un document de politique de sécurité peut être écrit de plusieurs manières, allant d'un texte unique à une infrastructure de politique de sécurité. Le choix d'écrire un ou plusieurs documents est le plus souvent dicté par la taille de l'entreprise. Plus l'entreprise est importante, plus il est intéressant de créer des documents séparés, chaque niveau faisant référence au niveau supérieur.

Petites, moyennes et grandes entreprises s'exposent dans l'absolu aux mêmes risques si elles n'émettent pas de politique de sécurité. La politique de sécurité dicte la stratégie de sécurité de l'entreprise de manière claire et précise. Le fond et la forme sont donc primordiaux.

Quelle que soit la nature de biens produits par l'entreprise, sa politique de sécurité réseau doit satisfaire les points suivants : 

§ identification : information permettant d'indiquer qui vous prétendez être. Une identification  élémentaire est le nom d'utilisateur que l'on saisit dans un système informatique. Une identification plus évoluée peut être le relevé d'empreinte digitale, l'analyse faciale, rétinienne bref les méthodes biométriques ;

§ authentification : information permettant de valider l'identité pour vérifier que vous êtes celui que vous prétendez être. Une authentification élémentaire est le mot de passe que vous entrez. Une authentification forte combine une chose que vous possédez, une chose que vous connaissez (code personnel par exemple) et une chose que vous savez faire (par exemple une signature) ;

§ autorisation : information permettant de déterminer quelles seront les ressources de l'entreprise auxquelles l'utilisateur identifié et autorisé aura accès ainsi que les actions autorisées sur ces ressources. Cela couvre toutes les ressources de l'entreprise ;

§ confidentialité : ensemble des mécanismes permettant qu'une communication de donnée reste privée entre un émetteur et un destinataire. La cryptographie ou le chiffrement des données est la seule solution fiable pour assurer la confidentialité des données ;

§ intégrité : ensemble des mécanismes garantissant qu'une information n'a pas été indûment modifiée ;

§ disponibilité : ensemble des mécanismes garantissant que les ressources de l'entreprise sont accessibles pour qui a droit, que ces dernières concernant l'architecture réseau, la bande passante, le plan de sauvegarde ... ;

§ non répudiation : mécanisme permettant de garantir qu'un message ne peut être renié par son émetteur ;

§ traçabilité : ensemble des mécanismes permettant de retrouver les opérations réalisées sur les ressources de l'entreprise. Cela suppose que tout événement applicatif soit archivé pour investigation ultérieure.

1.2.1. Distinguer la politique de la procédure

La politique est l'extension du besoin de l'entreprise. La procédure est l'implémentation du besoin. Il est donc impératif de distinguer les deux.

L'objectif d'une politique est d'énoncer les résultats à obtenir, et non les moyens par lesquels les obtenir. C'est la raison pour laquelle il convient d'écrire :

§ l'accès à distance au réseau de l'entreprise (intranet) est autorisé à la condition exclusive d'une authentification forte de l'individu via une connexion réseau chiffrée. L'accès à Internet depuis le réseau interne de l'entreprise (intranet) est protégé contre les attaques éventuelles, incluant les virus informatiques.

et non :

§ l'accès externe au réseau interne de l'entreprise est autorisé par un certificat électronique validé auprès de la PKI de l'entreprise. De plus la connexion réseau est chiffrée par le protocole IPSec. L'accès à Internet traverse un pare-feu filtrant le protocole IP. De plus, le pare-feu est couplé à un système antivirus, qui analyse tous les e-mails et attachements transitant entre Internet et le réseau interne de l'entreprise.

Une politique de sécurité est moins touchée par l'évolution technologique, car elle décrit des besoins et non des moyens. Malgré tout, une politique de sécurité doit être revue tous les deux ans afin de tenir compte des modifications organisationnelles de l'entreprise.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Nous voulons explorer la bonté contrée énorme où tout se tait"   Appolinaire