1.2. PRINCIPES
GÉNÉRIQUES D'UNE POLITIQUE DE SÉCURITÉ
RÉSEAU
Afin d'éviter un certain nombre d'écueils
classiques, une politique de sécurité réseau doit
respecter un ensemble de principes génériques. Ces principes
permettent notamment à chacun de bien cerner les enjeux de la
rédaction d'un document de politique de sécurité, qui
n'est pas un document comme les autres.
Un document de politique de sécurité peut
être écrit de plusieurs manières, allant d'un texte unique
à une infrastructure de politique de sécurité. Le choix
d'écrire un ou plusieurs documents est le plus souvent dicté par
la taille de l'entreprise. Plus l'entreprise est importante, plus il est
intéressant de créer des documents séparés, chaque
niveau faisant référence au niveau supérieur.
Petites, moyennes et grandes entreprises s'exposent dans
l'absolu aux mêmes risques si elles n'émettent pas de politique de
sécurité. La politique de sécurité dicte la
stratégie de sécurité de l'entreprise de manière
claire et précise. Le fond et la forme sont donc primordiaux.
Quelle que soit la nature de biens produits par l'entreprise,
sa politique de sécurité réseau doit satisfaire les points
suivants :
§ identification :
information permettant d'indiquer qui vous prétendez être. Une
identification élémentaire est le nom d'utilisateur que
l'on saisit dans un système informatique. Une identification plus
évoluée peut être le relevé d'empreinte digitale,
l'analyse faciale, rétinienne bref les méthodes
biométriques ;
§ authentification :
information permettant de valider l'identité pour vérifier que
vous êtes celui que vous prétendez être. Une
authentification élémentaire est le mot de passe que vous entrez.
Une authentification forte combine une chose que vous possédez, une
chose que vous connaissez (code personnel par exemple) et une chose que vous
savez faire (par exemple une signature) ;
§ autorisation :
information permettant de déterminer quelles seront les ressources de
l'entreprise auxquelles l'utilisateur identifié et autorisé aura
accès ainsi que les actions autorisées sur ces ressources. Cela
couvre toutes les ressources de l'entreprise ;
§ confidentialité :
ensemble des mécanismes permettant qu'une communication de donnée
reste privée entre un émetteur et un destinataire. La
cryptographie ou le chiffrement des données est la seule solution fiable
pour assurer la confidentialité des données ;
§
intégrité : ensemble des mécanismes
garantissant qu'une information n'a pas été indûment
modifiée ;
§ disponibilité :
ensemble des mécanismes garantissant que les ressources de l'entreprise
sont accessibles pour qui a droit, que ces dernières concernant
l'architecture réseau, la bande passante, le plan de sauvegarde
... ;
§ non répudiation :
mécanisme permettant de garantir qu'un message ne peut être
renié par son émetteur ;
§
traçabilité : ensemble des mécanismes
permettant de retrouver les opérations réalisées sur les
ressources de l'entreprise. Cela suppose que tout événement
applicatif soit archivé pour investigation ultérieure.
1.2.1. Distinguer la politique de la
procédure
La politique est l'extension du besoin de l'entreprise. La
procédure est l'implémentation du besoin. Il est donc
impératif de distinguer les deux.
L'objectif d'une politique est d'énoncer les
résultats à obtenir, et non les moyens par lesquels les obtenir.
C'est la raison pour laquelle il convient d'écrire :
§ l'accès à distance au réseau de
l'entreprise (intranet) est autorisé à la condition exclusive
d'une authentification forte de l'individu via une connexion réseau
chiffrée. L'accès à Internet depuis le réseau
interne de l'entreprise (intranet) est protégé contre les
attaques éventuelles, incluant les virus informatiques.
et non :
§ l'accès externe au réseau interne de
l'entreprise est autorisé par un certificat électronique
validé auprès de la PKI de l'entreprise. De plus la connexion
réseau est chiffrée par le protocole IPSec. L'accès
à Internet traverse un pare-feu filtrant le protocole IP. De plus, le
pare-feu est couplé à un système antivirus, qui analyse
tous les e-mails et attachements transitant entre Internet et le réseau
interne de l'entreprise.
Une politique de sécurité est moins
touchée par l'évolution technologique, car elle décrit des
besoins et non des moyens. Malgré tout, une politique de
sécurité doit être revue tous les deux ans afin de tenir
compte des modifications organisationnelles de l'entreprise.
|