ChatGPT, developed by OpenAI, is an advanced language model that has gained significant attention for its ability to generate human-like text. This powerful AI tool has the potential to revolutionize various fields, including computer programming and software development. In particular, ChatGPT offers a promising solution for automating code writing in university assignments, providing students with a valuable resource to enhance their coding skills and productivity.
With the increasing complexity of programming languages and the growing demand for skilled coders in various industries, university assignments often pose significant challenges for students. The process of writing code can be time-consuming and mentally demanding, requiring a deep understanding of programming concepts and syntax. However, ChatGPT can serve as a virtual assistant that helps streamline this process by offering suggestions, generating code snippets, and providing real-time feedback.
By leveraging ChatGPT's natural language processing capabilities, students can interact with the model using plain English instead of struggling with complex programming jargon. This opens up new possibilities for beginners who may find it difficult to express their ideas in code or understand error messages from compilers. With ChatGPT's assistance, students can focus more on problem-solving and logic rather than getting bogged down by syntactical details.
Moreover, ChatGPT's ability to generate code snippets based on specific requirements can significantly speed up the development process. Students can provide high-level instructions or describe their desired functionality in plain language, allowing ChatGPT to propose suitable code solutions. This not only saves time but also encourages experimentation and exploration of different coding approaches.
Additionally, using ChatGPT for automating code writing in university assignments promotes collaborative learning. Students can share their experiences and insights with each other while utilizing the model's assistance. This fosters a sense of community among learners and encourages peer-to-peer knowledge sharing.
However, it is important to acknowledge that while ChatGPT offers numerous benefits for automating code writing in university assignments, there are also potential drawbacks to consider. One major concern is the risk of overreliance on the model, which could hinder students' ability to develop their coding skills organically. Relying too heavily on ChatGPT may lead to a lack of understanding of fundamental programming concepts and limit students' growth as independent developers.
Furthermore, there is a need to address the ethical considerations surrounding the use of ChatGPT in academic settings. The line between utilizing AI tools for assistance and engaging in academic dishonesty can become blurred. It is crucial for both students and educators to establish clear guidelines and boundaries when incorporating ChatGPT into university assignments. This ensures that the use of AI technology remains within ethical boundaries and upholds academic integrity.
Benefits of Automating Code Writing with ChatGPT
Automating code writing using ChatGPT offers several advantages for university students. By leveraging the capabilities of this language model, students can enhance their efficiency, save time, and improve their overall learning and understanding of coding concepts.
Improved efficiency and time-saving
One of the primary benefits of using ChatGPT to automate code writing is the significant improvement in efficiency and time-saving. With the ability to generate code snippets and solutions, students can streamline their coding assignments and complete them at a faster pace.
Traditionally, students spend hours manually writing code for their assignments. However, with ChatGPT's assistance, they can leverage its vast knowledge base to generate relevant code sections or even entire programs. This not only reduces the time needed to complete the assignment but also allows students to focus on other aspects of their coursework.
For instance, let's consider a scenario where a student needs to implement a [sorting algorithm](https://en.wikipedia.org/wiki/Sorting_algorithm) as part of an assignment. Instead of starting from scratch, they can interact with ChatGPT and request it to provide a code snippet for a specific sorting algorithm. The model can generate various implementations based on different programming languages or specific requirements provided by the student. This saves substantial time that would have otherwise been spent researching and implementing the algorithm from scratch.
Moreover, automating code writing through ChatGPT enables students to explore alternative approaches quickly. They can experiment with different coding techniques without investing excessive time in manual implementation. This iterative process enhances their problem-solving skills by allowing them to analyze different solutions efficiently.
Enhanced learning and understanding
In addition to improving efficiency, automating code writing with ChatGPT also contributes to enhanced learning and understanding of coding concepts. By interacting with the model during the code generation process, students gain valuable insights into how certain algorithms or programming constructs work.
ChatGPT has the potential to provide explanations and guidance related to generated code snippets or solutions. When students request code for a specific task, the model can not only provide the code but also explain how it functions and why certain design choices were made. This contextual information helps students grasp the underlying principles and logic behind the generated code.
For example, if a student requests ChatGPT to generate code for a binary search algorithm, they can receive a detailed explanation of how the algorithm divides the search space and efficiently locates the desired element. By understanding this process, students can deepen their comprehension of fundamental data structures and algorithms.
Furthermore, ChatGPT's ability to generate different implementations based on various programming languages exposes students to diverse coding styles and conventions. This exposure broadens their knowledge base and equips them with transferable skills that are applicable across different programming languages and paradigms.
By automating code writing with ChatGPT, students can also gain valuable insights into common coding patterns and best practices. The model's vast dataset includes examples from various domains, providing students with exposure to industry-standard coding techniques. This exposure enhances their ability to write clean, maintainable, and efficient code.
Drawbacks of Automating Code Writing with ChatGPT
While ChatGPT offers numerous benefits for automating code writing in university assignments, there are also certain drawbacks that need to be considered. These drawbacks include limited creativity and critical thinking, as well as the potential for code plagiarism and errors.
Limited creativity and critical thinking
One of the main concerns with relying on ChatGPT for code writing is the potential hindrance to creativity and critical thinking. Coding assignments often require students to think creatively and come up with innovative solutions to problems. By automating the code writing process, students may become overly reliant on ChatGPT's suggestions, leading to a lack of originality in their work.
Creativity is an essential aspect of coding, as it allows programmers to come up with unique solutions and think outside the box. It helps them develop problem-solving skills and encourages them to explore different approaches. However, if students solely rely on ChatGPT for generating code, they may miss out on the opportunity to cultivate their creative thinking abilities.
Similarly, critical thinking plays a crucial role in coding assignments. It involves analyzing problems, evaluating different options, and making informed decisions based on logical reasoning. By automating the code writing process, students might skip this important step of critically assessing their own work.
To address these limitations, educators can encourage students to use ChatGPT as a tool rather than relying solely on its suggestions. They can emphasize the importance of brainstorming ideas independently before consulting ChatGPT for assistance. This approach ensures that students maintain their creative thinking skills while leveraging the benefits of automation.
Potential for code plagiarism and errors
Another drawback associated with automating code writing using ChatGPT is the potential for code plagiarism and errors. While ChatGPT can generate code snippets quickly, there is a risk that these snippets may be plagiarized from existing sources without proper attribution or understanding.
Plagiarism is a serious ethical concern in academia, and it undermines the integrity of university assignments. When students use ChatGPT to generate code without proper citation or acknowledgment, they run the risk of submitting work that is not entirely their own. This can lead to academic misconduct and disciplinary actions.
Additionally, there is a possibility of errors in the code generated by ChatGPT. While ChatGPT has been trained on vast amounts of data, it may still produce code with bugs or logical inconsistencies. Relying solely on ChatGPT for code writing without thorough review and testing can result in faulty programs that do not meet the assignment requirements.
To mitigate these risks, educators should emphasize the importance of proper citation and attribution when utilizing ChatGPT for code automation. Students should be encouraged to review and test the generated code thoroughly before submission. Implementing strict plagiarism detection measures can help identify any instances of plagiarism and ensure academic integrity.
Ethical Concerns and Impact on Academic Fraud
As the use of AI-powered tools like ChatGPT becomes more prevalent, it is essential to address the ethical concerns surrounding their application in academic settings. While ChatGPT offers the potential to automate code writing for university assignments, it also raises questions about fairness, academic dishonesty, and the impact on academic integrity and credibility.
Unfair Advantage and Academic Dishonesty
One of the primary ethical concerns associated with using ChatGPT to automate code writing is the potential for students to gain an unfair advantage over their peers. By relying on an AI model to generate code solutions, students may bypass the critical thinking and problem-solving skills that are crucial for their educational development. This can create a significant disparity among students, where those who utilize ChatGPT have an edge over those who do not.
Moreover, using ChatGPT for code automation can lead to academic dishonesty. Students may be tempted to submit code solutions generated by ChatGPT as their own original work without proper attribution or acknowledgment of assistance. This undermines the principles of honesty and intellectual integrity that universities strive to uphold.
By relying on automated tools like ChatGPT for code writing tasks, students may miss out on valuable learning opportunities. Writing code is not just about achieving correct outputs; it is a process that involves understanding algorithms, debugging errors, and developing problem-solving skills. By automating this process entirely, students risk losing out on crucial learning experiences that contribute to their overall growth as programmers.
Impact on Academic Integrity and Credibility
The use of ChatGPT in automating code writing has significant implications for academic integrity and credibility. When students rely heavily on automated tools like ChatGPT instead of honing their own coding skills, it compromises the integrity of university assignments.
Academic institutions place great importance on assessing students' abilities based on their individual efforts and knowledge gained throughout their courses. However, when students use ChatGPT to generate code solutions, it becomes challenging for educators to accurately evaluate their true understanding of the subject matter. This can lead to inflated grades and misrepresentation of students' actual skills.
Furthermore, the prevalence of academic fraud resulting from the use of ChatGPT undermines the credibility of university assignments. If a significant number of students resort to using AI models for code automation, it becomes difficult for educational institutions to differentiate between genuine student work and automated outputs. This erodes trust in the academic assessment process and devalues the significance of university degrees.
The impact on academic integrity goes beyond individual assignments or grades. It affects the overall reputation and standing of educational institutions. Universities are responsible for producing graduates who possess not only technical skills but also strong ethical values and integrity. When academic fraud occurs due to the misuse of tools like ChatGPT, it tarnishes the reputation of both individual students and their respective institutions.
In order to address these ethical concerns and maintain academic integrity, strategies must be implemented to prevent academic fraud while utilizing ChatGPT for code automation. These strategies should focus on promoting a culture of honesty, transparency, and responsible use of AI tools in academia. In the next section, we will explore some effective strategies that can help mitigate the risks associated with using ChatGPT in university assignments.
To prevent academic fraud when utilizing ChatGPT for code automation, it is crucial to promote responsible use of this technology. Educating students about the ethical considerations and potential risks associated with using AI tools like ChatGPT is essential. Universities can incorporate responsible AI practices into coding assignments by providing guidelines and resources that emphasize the importance of understanding the limitations and implications of automated code writing.
Educators can start by introducing discussions on ethics in AI and addressing the potential consequences of relying solely on automated solutions. By fostering a culture of responsible use, students will be encouraged to critically analyze their work and understand when it is appropriate to leverage AI tools like ChatGPT. This approach ensures that students are aware of the ethical boundaries and can make informed decisions about when and how to incorporate automated code writing into their assignments.
Implementing plagiarism detection and code review
While promoting responsible use is important, additional measures are necessary to prevent academic fraud effectively. Plagiarism detection tools play a vital role in identifying instances where students may have used automated code writing without proper attribution or acknowledgment. These tools compare submitted code against a vast database of existing code repositories, searching for similarities or matches that indicate potential plagiarism.
By implementing robust plagiarism detection systems, universities can identify cases where students have relied on ChatGPT or similar tools excessively, without demonstrating their own understanding or contribution to the assignment. This approach helps maintain academic integrity by ensuring that each student's work reflects their knowledge and skills accurately.
In addition to plagiarism detection, thorough code review and analysis are crucial steps in preventing academic fraud when using ChatGPT for code automation. Educators should carefully examine student-submitted code to evaluate its coherence, logic, and adherence to assignment requirements. Code reviews allow instructors to assess whether students have genuinely understood the underlying concepts behind the automated solutions generated by ChatGPT.
Code review also provides an opportunity for educators to provide constructive feedback and guidance, helping students improve their coding skills. By actively engaging in code review, instructors can identify instances where students may have relied too heavily on ChatGPT or other AI tools, encouraging them to revisit their code and make necessary revisions. This iterative process fosters learning and ensures that students are actively involved in the assignment rather than relying solely on automated solutions.
Moreover, universities can establish peer code review systems where students evaluate each other's work. This approach promotes collaboration and helps identify any potential misuse of AI tools like ChatGPT. Peer reviews encourage students to critically assess their peers' work, enhancing accountability and reducing the likelihood of academic fraud.
Conclusion
The use of ChatGPT to automate code writing for university assignments has the potential to revolutionize the way students approach their coursework. By harnessing the power of artificial intelligence, students can save time and effort in completing their coding tasks. However, it is crucial to consider the ethical implications and potential impact on academic fraud.
In conclusion, ChatGPT offers numerous benefits when it comes to automating code writing for university assignments. It provides a valuable tool for students to streamline their coding process and enhance their productivity. By leveraging the capabilities of AI, students can focus on understanding the underlying concepts rather than spending excessive time on repetitive coding tasks.
However, it is important to acknowledge the drawbacks associated with using ChatGPT for code automation. While it can generate code snippets quickly, there may be instances where the generated code contains errors or does not meet specific requirements. Students need to exercise caution and carefully review the output provided by ChatGPT to ensure its accuracy and appropriateness.
Moreover, ethical concerns arise when considering the use of ChatGPT in academic settings. The automated nature of code generation raises questions about intellectual honesty and academic integrity. It is essential for students and educators alike to approach this technology responsibly and maintain high ethical standards in their work.
The impact of ChatGPT on academic fraud cannot be overlooked. The ease with which code can be automatically generated raises concerns about plagiarism and cheating. Universities must implement strategies to prevent academic fraud while still allowing students to benefit from tools like ChatGPT. This could involve incorporating additional measures such as manual code reviews or utilizing plagiarism detection software specifically designed for automated code generation.
In conclusion, while ChatGPT offers significant advantages in automating code writing for university assignments, it is imperative that users approach this technology responsibly and ethically. Students should view it as a tool that enhances their learning experience rather than a means to bypass genuine effort in understanding programming concepts. Educators should guide students in the appropriate use of ChatGPT and emphasize the importance of academic integrity.
By striking a balance between utilizing ChatGPT for code automation and upholding ethical standards, universities can harness the potential of AI while maintaining the integrity of their academic programs. Responsible use of technology like ChatGPT can empower students to become more proficient coders and problem solvers while ensuring that the educational process remains fair and equitable.
In conclusion, as AI continues to advance, it is crucial for students, educators, and AI enthusiasts to stay informed about the latest developments in automated code writing. By understanding both the benefits and drawbacks associated with tools like ChatGPT, we can make informed decisions about their use in university assignments. With responsible usage, we can leverage this technology to enhance learning outcomes without compromising academic integrity. Let us embrace the potential of ChatGPT while upholding ethical standards to foster a collaborative and innovative environment in our universities.
Depuis les débuts de l’ère industrielle, en 1776 avec la publication de La richesse des nations, d’Adam Smith, notre société a profondément changé. D’artisans que nous étions, nous sommes devenus des spécialistes, manipulant de grandes quantités d’information. Le passage à cette ère de l’information a nécessité de grands développements technologiques et des changements de société. Aujourd’hui, la connaissance de l’information, de même que l’assimilation rapide de celle-ci, constitue un des fondements de notre société. Pour les organisations et les individus qui évoluent aujourd’hui, l’information et la connaissance sont des ressources aussi importantes que l’aient été le travail et le capital.
À cette fin, les organisations investissent des sommes considérables dans les divers éléments d’infrastructures de la gestion de l’information. Ces organisations doivent continuellement équilibrer et gérer leurs investissements ainsi que leurs ressources immobilières, financières, humaines et technologiques. Il n’est plus possible de diriger une entreprise performante sans être dans un état continu d’optimisation des ressources. De nombreuses études ont démontré l’intérêt que les gestionnaires portent au sujet de la sécurité des systèmes d’information.
Lors d’un discours présenté à l’ouverture de la conférence RSA 2002, l’aviseur spécial du Président Bush en matière de cybersécurité, Richard Clarke, a réitéré que dans la foulée des événements du 11 septembre 2001, les organisations doivent donner à la sécurité informatique une très haute priorité. Il a précisé que dans le futur il est probable que des terroristes chercheront à exploiter des faiblesses dans les systèmes informatiques.
«This industry runs the same risk that the aviation industry ran. For years, people in the aviation industry knew that there were security vulnerabilities. They convinced each other and convinced themselves that these vulnerabilities would never be used.»
Une étude, menée par le Computer Security Institute auprès de praticiens de la sécurité des technologies de l’information dans diverses organisations américaines, confirme que l’augmentation des menaces liées à la cybercriminalité et à l’usage non-autorisé de systèmes d’information ne montre aucun signe de ralentissement. De 3 734 incidents en 1998, le CERT Coordination Center de l’université Carnegie Mellon a répertorié 82 094 incidents en 2002. Les pertes économiques qui découlent de la cybercriminalité et de l’usage non autorisé des systèmes d’information ne cessent d’augmenter. Pis encore, la majorité des cyberattaques réussies via le réseau InterNet ont profité des vulnérabilités qui avaient déjà été identifiées.
Prenons comme exemple le virus informatique Code Red, la vulnérabilité exploitée a été initialement identifiée en mai 2001. Ce virus a infecté environ 359 104 ordinateurs la seule journée du 19 juillet 2001 sur une période d’environ 13 heures. En tout, plus de 700 000 serveurs ont été infectés.
Le 25 janvier 2003 à 5h30 GMT le virus SQL Slammer a frappé. La vulnérabilité dont tirait profit ce virus avait été identifié le 17 mai 2002, soit plus de quinze mois plus tôt. Le virus a infecté plus de 75000 ordinateurs, 90% de tous les ordinateurs infectés, en dix minutes. Entre autre, SQL Slammer a affecté des guichets automatiques de la Banque Canadienne Impériale de Commerce qui n’ont pas fonctionné une partie de la journée du 25 janvier.
Des analyses ont révélé que les administrateurs de serveurs ne prennent pas de mesures correctives pour s’immuniser. Que se soit par manque de temps ou par inhabilité à évaluer correctement le risque, les administrateurs rendent les systèmes d’information vulnérables à des cyberattaques comme Code Red ou SQL Slammer.
Comme praticiens des systèmes d’information de gestion impliqués dans des projets en matière de sécurité de l’information, nous avons observé que bien des organisations n’ont pas de processus de gestion du risque en matière de sécurité de l’information. Pis encore, jusq’à récemment peu d’organisations semblaient s’y intéresser. Nos recherches ont démontré l’efficacité d’un processus continu de gestion du risque comme mesure de protection contre les cyberattaques. Ainsi nous souhaitons amener les praticiens et les organisations à se questionner sur la faisabilité et la rentabilité de mettre en place un tel processus. Éventuellement ce questionnement pourra emmener des investissements en technologies et en ressources humaines dont bénéficieront les organisations.
Un processus est défini comme une série d’actions consécutives ayant un lien logique entre elles visant à obtenir un résultat prédéterminé.
Un processus opérationnel est une suite d’activités qui, à partir d’une ou plusieurs intrants (inputs), produisent un résultat (extrant ou output) représentant une valeur pour le client.
Les systèmes d’information sont un élément des technologies d’une organisation. Ils comprennent un ensemble organisé d’équipements, de réseaux, de programmes, logiciels, progiciels, codes et de données, utilisés par une organisation dans le cadre de son exploitation et de sa gestion.
Les systèmes d’information de gestion sont un segment particulier des systèmes d’information qui procurent aux gestionnaires d’une organisation des informations qui sont utiles, soit directement ou indirectement, dans la gestion des divers éléments de l’organisation.
La sécurité de l’information est définie comme l’ensemble des actions et des procédures conçues pour prévenir, avec un niveau de certitude démontrable, la divulgation, le transfert, la modification ou la destruction non autorisée, volontaire ou accidentelle de données. Les principaux objectifs de la sécurité de l’information sont :
la confidentialité des données;
l’intégrité des données;
la disponibilité des données;
l’irrévocabilitédes transactions;
l’authentification des utilisateurs;
l’authentification de l’origine des données; et
le contrôle des accès.
La confidentialité identifie la sensibilité de l’information ou des biens à une divulgation non autorisée, évaluée à l’aide d’une cote de classification ou d’une désignation correspondant au niveau de dommage produit advenant une divulgation non autorisée.
L’intégrité est l’exactitude et l’intégralité des renseignements et des biens et l’authenticité des transactions.
La disponibilité est l’accessibilité d’un système d’informations ou des données qu‘il contient, au moment opportun, pour exécuter certains processus.
L’irrévocabilitédes transactions fait référence à la pérennité et la traçabilité des transactions.
L’authentification des utilisateurs définit des mécanismes et des processus qui sont utilisés pour identifier, avec un niveau de certitude déterminé, l’identité d’un utilisateur d’un système d’information.
L’authentificationde l’origine des données définit des mécanismes et des processus qui sont utilisés pour identifier, avec un niveau de certitude déterminé, la source d’une donnée stockée dans un système d’information.
Le contrôle des accès comprend l’ensemble des mécanismes de contrôle et de journalisation (log) de l’utilisation d’un système d’information ou des données qu’il contient.
Nous définissions comme conditions de base en matière de sécurité (baseline) le profil de sécurité établi ou les conditions de sécurité déterminées à un moment donné.
Une vulnérabilité est un état dans un système d’information qui, s’il était exploité, permet :
de divulguer des données (atteinte à la confidentialité);
de modifier des données (atteinte à l’intégrité);
de nuire à la disponibilité des données;
de répudier des transactions;
de falsifier l’authentification des utilisateurs ou de l’origine des données; et
d’éviter le contrôle des accès.
Une vulnérabilité technologique est une vulnérabilité dont l’origine ou la nature est directement relié aux éléments technologiques d’un système d’information (systèmes d’exploitations, logiciels, processeurs, équipements périphériques, interfaces d’entrée ou de sortie, etc.).
L’analyse des vulnérabilités consiste à observer, dans un processus formel, les vulnérabilités technologiques d’un système d’information.
L’impact est le résultat, l’effet ou la conséquence d’un événement, d’une action ou d’une situation sur une autre. Le résultat de l’exécution d’une vulnérabilité technologique ou de l’exploitation d’une menace est son impact.
L’impact négatif net est la somme de tous les impacts ayant une incidence directe ou indirecte négative sur le plan économique. Cet impact négatif est généralement exprimé sous la forme de sommes d’argent ou de pertes économiques.
Une menace consiste en une situation ou une condition avec le potentiel à compromettre la sécurité de l’information. Tout acte ou événement pouvant avoir l’une ou plusieurs des conséquences suivantes : divulgation non autorisée, destruction, enlèvement, modification ou interruption de renseignements, de biens ou de services de nature délicate, ou blessures corporelles est une menace. Une menace peut être délibérée ou accidentelle. La présence d’une vulnérabilité technologique, connue ou inconnue, est une menace.
L’évaluation de la menace consiste en l’évaluation de la nature, de la probabilité et des conséquences d’actes ou d’événements susceptibles de mettre en péril des biens ou des renseignements de nature délicate.
Le risque est l’impact négatif net résultant de l’exploitation d’une menace en considérant sa probabilité et ses impacts.
La probabilité est le degré de vraisemblance qu’un événement se produis.
Les mesures de protection sont les éléments, les outils ou les processus mis en place pour réduire le niveau d’exposition, mitiger les conséquences d’une vulnérabilité technologique, contrer une menace ou solutionner un problème de sécurité particulier. En général, des mesures de protection pertinentes et bien utilisées réduisent le risque.
L’évaluation des risques est l’évaluation de la probabilité qu’une menace ou une vulnérabilité technologique soit exploitée, compte tenu de l’efficacité des mesures de protection existantes ou proposées.
L’évaluation des menaces et du risque consiste à observer, dans un processus formel, la relation entre la menace et le risque pour en évaluer la probabilité. Cette analyse aidera l’organisation à déterminer les mesures de protection disponibles et prendre des décisions concernant la pertinence de leur mise en place.
Une cyberattaque est définie comme l’exploitation d’une menace par l’intermédiaire des systèmes d’information ou de réseaux de télécommunications, tel que le réseau InterNet. Une cyberattaque pourra compromettre l’atteinte d’un ou de plusieurs des objectifs de sécurité de l’organisation.
Nous définissons comme cybercrimes une cyberattaque dans le but de commettre un méfait, une fraude ou un acte illégal.
Dans cet ouvrage, nous proposons une méthodologie d’analyse de risque qui tire ses origines des méthodologies de recherche utilisées en sociologie. Nous croyons que ce type de méthodologie constitue un excellent moyen de développement et d’appropriation des technologies par les organisations. Les principales caractéristiques en sont:
elle vise à accroître la compréhension d’une situation sociale avec une emphase sur la nature complexe des comportements;
elle assiste dans la résolution d’une problématique existante tout en permettant l’avancement de la connaissance scientifique ;
c’est un processus de réflexion en équipe qui permet l’avancement des connaissances de tous les participants;
elle est particulièrement pertinente pour la compréhension du changement dans les systèmes sociaux.
Selon notre méthodologie, l’appropriation du changement s’effectue à travers une démarche itérative de changement planifié. Ce processus d’appropriation autogéré intègre une série d’activités susceptibles de faire naître un meilleur alignement entre la technologie et les autres éléments de l’organisation. L’expérimentation sociale des technologies devient un facteur de l’accroissement de la richesse collective et de la qualité de vie à travers de nouveaux modes d’accès au savoir.
L’exécution de l’analyse de risques avec la méthodologie IVRI demande une participation active d’un chef de projet et de participants de l’organisation. C’est le chef de projet qui est le principal agent de changement tout au long de la méthodologie IVRI. Selon notre expérience, le principal obstacle à la réalisation d’analyse de risques est la disponibilité de tous les participants impliqués. Bien qu’il soit possible de compenser par l’utilisation du courrier électronique, le volume important d’informations que chaque participant doit consulter afin d’arriver à des consensus sur les différentes étapes rend la tâche ardue aux participants. Ainsi nous suggérons que l’organisation qui désire mettre en place une méthodologie de gestion de risque doit mettre en place une culture de la sécurité de l’information qui doit avoir le support de tous les niveaux hiérarchiques de celle-ci.
Le nom IVRI fait principalement référence aux principales étapes de la méthodologie de gestion du risque en matière de sécurité de l’information, soit :
Identification;
Vulnérabilités;
Risque; et
Interprétation.
Contrairement aux approches actuelles, notre méthodologie permet d’évaluer le changement du niveau de risque dans le temps en fonction des nombreuses variables, tels que l’évolution des vulnérabilités, l’amélioration des habilités des criminels, le contexte socio-économique ou même politique (e.g. les incidents du 11 septembre 2001) et un grand nombre d’autres variables qu’il est difficile de mesurer à cause de l’influence des unes sur les autres. Notre approche tient compte de mesures de protections plus tangibles (e.g. Firewall ou anti-virus), mais aussi d’éléments difficilement quantifiables, comme des SLA’s, la mise en place de politiques et de procédures ou l’utilisation de normes. Cette différence sera beaucoup plus significative dans des organisations publiques ou parapubliques, dans des organisations opérant dans divers secteurs d’activités complémentaires ou dans des entreprises multinationales. Elle peut aussi s’appliquer dans différents types d’organisation et peut même être adaptée (par son auteur ou sous license) pour ceux qui le souhaitent.
Depuis de nombreuses années, surtout avec l’arrivé de l’Internet dans les organisations, la sécurité informatique est un sujet d’intérêt. En général les spécialistes des technologies de l’information se préoccupent de mettre en place des infrastructures de contrôles d’accès tels des mots de passes et des pare-feu (firewall). Cette approche n’est pas foncièrement mauvaise, mais elle est incomplète. Selon nous, il importe d’analyser l’ensemble des composantes du risque. Il importe aussi de prendre des décisions sur le traitement que l’organisation souhaite donner au risque. Ces actions peuvent inclure :
Considérons l’organisation en fonction de cinq pôles fondamentaux (les processus d’affaires, la structure organisationnelle, les individus et leur rôle) qui demeurent dans un équilibre dynamique alors que le contexte organisationnel change. De ces cinq pôles touts sont critiques dans toute transformation organisationnelle. Si une organisation doit changer suite à une évolution technologique, elle doit puiser dans sa culture pour conserver l’équilibre des cinq pôles. Toute organisation qui veut mettre en place une transformation doit prendre une vue d’ensemble de ces pôles et de leur interaction, ce que nous appelons l’approche holistique de l’organisation. Ainsi qu’il s’agisse de changements pour améliorer sa position compétitive ou pour améliorer la sécurité de ses systèmes d’information, l’organisation doit considérer l’ensemble des pôles et chercher à mettre en place un processus de changement qui permettra à l’équilibre d’être retrouvé après la mise en ouvre du changement. Ça peut sembler évident, mais bon nombre d’organisations qui investissent des sommes importantes en technologies de l’information ne se préoccupent pas de gérer le changement.
Un bon équilibre stratégique tiendra aussi compte des diverses contraintes politiques, économiques, sociales, technologiques et environnementales hérités, actuelles et futures de l’organisation. Il tiendra compte des autres éléments identifiés dans le modèle[1] de l’organisation. Il offrira à l’organisation les outils qui lui permettra d’atteindre ses objectifs à court, moyen et long terme.
Dans ce livre nous ne traitons pas du processus de planification stratégique ou de processus de gestion du changement, cependant nous suggérons que ces rôles doivent être intégré dans le mandats des participants à la mise en place d’un processus de gestion du risque. En considérant les aspects stratégiques des technologies dans la mise en place d’une infrastructure technologique sécuritaire l’organisation ira au delà de la sécurité de l’information vers un processus de gestion du risque en matière de sécurité de l’information.
Nous proposons que l’organisation regarde au-delà de la mise en place de processus de gestion de la sécurité (par exemples des mots de passe et des pare-feu). Nous suggérons que l’organisation doit considérer la sécurité de l’information en fonction des cinq pôles mentionnés dans une optique d’analyse et de gestion des risques. L’organisation doit chercher à identifier ce qu’elle considère comme un niveau de risque acceptable et cherche à mettre en place des éléments qui recoupent les cinq pôles, non seulement le pôle technologie par la mise en place de solutions technologiques à des problèmes de risque organisationnel. Entre autre, l’organisation doit mettre en place des politiques de sécurité de l’information, assigner des responsabilités en matière de sécurité de l’information, revoir au besoin certains de ses processus afin de tenir compte de la sécurité de l’information et mettre en place des technologies de protection de son environnement technologique. Évidemment il ne s’agit là que d’un survol de la question, elle-même bien plus complexe de l’utilisation stratégique des technologiques.
Avant de début la première étape de la méthodologie, l’organisation doit effectuer un certain nombre de tâches préparatoires, qui sont décrites dans ce chapitre. Selon la maturité des processus de gestion de risque dans l’organisation, il est possible, voir probable, que certaines des taches identifiées à cette étape soient complétées. Ce pourrait être le cas de la politique en matière de sécurité de l’information, par exemple. Dans ce cas, il suffit de valider que ce qui est en place est conforme à ce qui est proposé et passer à l’étape suivante.
Ce chapitre décrit un certain nombre d’activités préparatoire à l’exécution d’un processus d’identification et de gestion du risque en matière de sécurité de l’information.
Dans un premier temps les gestionnaires et dirigeants de l’organisation seront sollicités pour mettre en place les structures organisationnelles nécessaires pour l’exécution de diverses tâches et pour la prise de décision nécessaire pour mener les activités à terme. Ceux-ci devraient identifier et mandater un chef de projet pour suivre et gérer l’ensemble des activités relié à la gestion de risque. Dans ceratines organisations, ce chef de projet exercera le rôle de chef de la sécurité de l’information.
L’utilisation d’un consultant externe pourrait s’avérer utile pour accélérer la réalisation des diverses taches comprises à cette étape.
Nous proposons de démarrer avec un audit initial afin de déterminer la situation actuelle de l’organisation en matière de sécurité de l’information. Nous suggérons d’utiliser le formulaire dont un exemple est présenté à la page suivante pour cet exercice. Le formulaire complêt est disponible en annexe A.
Ce formulaire est adapté de la norme internationale de sécurité de l’information ISO/EIC17799 :2000. Le détail des différents éléments et de leur mise en place devrait être faite avec l’assistance de la norme ISO 17799 :2000, bien que ce ne soit pas essentiel. La norme peut être acheté via le site internet http://www.iso.ch.
L’annexe A comprend un tableau qui établi la relation entre la numérotation et la description utilisée dans cette méthodologie et celle de la norme citée.
Afin de procéder à l’audit, le chef de projet devra d’abord identifier ce qu’il doit auditer (organisation, unité d’affaires, département, système d’information). Puis il doit prendre la liste de points de contrôles (Annexe A) et identifier la situation actuelle pour chacun de ceux-ci. Afin de faciliter le travail, les valeurs suivantes sont suggérées :
Formel (Une politique ou un processus formel est en place);
Informel (Une politique ou un processus informel est en place);
ne sait pas / inconnu;
autre (spécifier).
Un extrait du formulaire est présenté ci-contre. Le formulaire complet est présenté en Annexe A.
Les résultats de l’audit peuvent être utilisés de diverses façons dans l’organisation. D’abord dans des cas de conformité à des règles, des lois ou des politiques, l’audit permettra de valider le niveau de conformité organisationelle. L’audit pourra aussi être utile pour démontrer que l’organisation exerce une diligence raisonnable en matière de gestion de risque, pour les organisations qui doivent en faire la démonstration. Enfin, et c’est notre cas, l’audit permettra d’établir un niveau de base (aussi appelé baseline) qui sera utilisé de diverses façons et à diverses étapes de la méthodologie IVRI™. L’établissement du niveau de base est exécuter un peu plus loins.
Il est nécessaire pour une organisation d’identifier ses objectifs, sa stratégie et ses politiques en matière de sécurité de l’information.
L’identification des principaux objectifs de la sécurité de l’information doit être faite à haut niveau dans une organisation. Ces objectifs en matière de sécurité de l’information doivent être alignés avec les objectifs d’affaires et la mission de l’organisation. À cette fin, il est recommandé de créer un comité de gouvernance de la sécurité de l’information.
Le comité devrait comprendre de quatre (4) à sept (7) membres. Ce comité devrait comprendre des directeurs et des officiers de l’organisation. Il devrait inclure :
un gestionnaire de haut niveau du comité exécutif de l’organisation;
un gestionnaire de haut niveau des services juridique, des services légaux, ou son équivalent dans l’organisation;
un gestionnaire de haut niveau du groupe ayant la responsabilité opérationnelle et budgétaire des technologies de l’information dans l’organisation;
un gestionnaire de haut niveau du groupe responsable de l’exécution de la mission principale de l’organisation.
Ce comité devrait avoir un mandat et l’appui de la haute direction et du conseil d’administration de l’organisation lui donnant l’autorité nécessaire pour exercer ses fonctions en matière de sécurité de l’information. Il sera responsable de la mise en œuvre de la politique que de sécurité. La première tâche du comité de gouvernance est de nommer un individu ou un groupe d’individus responsable de procéder à l’étape suivante, l’audit de la situation actuelle.
La tache suivante du comité de gouvernance devrait être la définition des principaux objectifs en matière de sécurité de l’information. Afin d’exploiter des systèmes d’informations dit sécuritaires, une organisation doit d’abord décider ce qu’elle entend par sécuritaire. De même, afin de pouvoir gérer le risque l’organisation doit avoir une idée de ce quelle considère comme un risque acceptable. Il est nécessaire pour une organisation d’identifier à haut niveau ses objectifs en matière de sécurité de l’information. Les objectifs seront essentiels à l’établissement de stratégie(s) et de la politique de sécurité de l’organisation.
Ces objectifs doivent être alignés sur les stratégies et les objectifs d’affaire de l’organisation, comme nous l’avons mentionné précédemment dans ce livre. Cette notion d’alignement n’est pas traitée comme tel dans ce livre, mais la notion d’alignement tel que proposé par Scott-Morton[2] est sous-jacente aux processus proposés. Ainsi les membres du comité de gouvernance devraient se familiariser avec ce concept.
Dès l’identification du comité de gouvernance de la sécurité de l’information, sa première tâche devrait être de procéder à l’identification des principaux objectifs de la sécurité de l’information. Ces objectifs en matière de sécurité de l’information doivent être alignés avec les objectifs d’affaires et la mission de l’organisation. Pour assister les membres du comité de gouvernance, nous avons identifié un certain nombre de questions auquel il pourra répondre, qui sont basés sur les principaux objectifs en matière de sécurité de l’information, que nous rappelons ici :
la confidentialité des données;
l’intégrité des données;
la disponibilité des données;
l’irrévocabilité des transactions;
l’authentification des utilisateurs;
l’authentification de l’origine des données; et
le contrôle des accès.
Nous proposons aux membres du comité de gouvernance un ensemble de questions qui pourront servir de point de départ à la définition des objectifs en matière de sécurité de l’information.
Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quel est le niveau de confidentialité des données requis ?
Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quel est le niveau d’intégrité des données requis ?
Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quelles sont les attentes de l’organisation en matière de disponibilité des données?
Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quels sont les besoins de l’organisation en matière de non répudiation des transactions ?
Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quels sont les besoins de l’organisation en matière d’authentification des utilisateurs ?
Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quels sont les besoins de l’organisation en matière d’authentification de l’origine des données ?
Compte tenu de la nature, des objectifs d’affaires et de la mission de l’organisation, quels sont les besoins de l’organisation en matière de contrôle des accès ?
Après avoir identifié les réponses à ces questions, le comité devrait préparer un document d’orientation pour l’organisation. Ce document de quelques pages devrait identifier les objectifs et les stratégies en matière de sécurité de l’information. Bien qu’il s’agisse d’un document sommaire, l’organisation qui souhaitera aller dans un plus grand niveau de détail devrait effectuer des recherches, par exemple sur Internet, où elle trouvera beaucoup d‘information sur le sujet. De plus un conseiller externe en sécurité de l’information pourra assister l’organisation et ainsi accélérer le processus. Le document produit devrait identifier et mandater le comité de gestion de la sécurité de l’information.
De manière générale, les politiques de sécurité de l’information sont des directives de gestion qui établissent les objectifs opérationnels, le cadre de sécurité, les responsabilités et la gouvernance. L’existence d’une politique de sécurité est, selon nous, très importante pour l’organisation. C’est l’une des premières étapes de l’amélioration de la sécurité de l’information. Il sera difficile pour une organisation de mettre en place et maintenir des systèmes d’information sécuritaires sans ces politiques pour les encadrer. Nous ne donnerons pas d’exemples détaillés sur les politiques en matières de sécurité de l’information, ce qui era le sujet d’un livre futur.
L’organisation devrait définir, comme point de départ, une politique qui permet de rencontrer les objectifs en matière de sécurité de l’information élaborés dans le document mentionné précédemment (Objectifs). Une fois une première politique cadre en place, l’organisation pourra chercher à élaborer des politiques plus complètes.
Une politique principale pourra être mise en place. Cette politique devrait fixer les objectifs à haut niveau de l’organisation. Elle devrait être approuvée par le comité de gouvernance de la sécurité et soumise aux plus hauts niveaux décisionels de l’organisation pour obtenir son aval. Cette approbation à haut niveau est un élément clé de sa mise en application. La politique pourra être appuyée par des politiques portants sur des points précis avec un niveau de détail en conséquence des besoins et de son utilisation.
Il existe, sur Internet et ailleurs, de nombreux modèles de politiques de sécurité que l’organisation pourra utiliser comme modèle. Certaines de celles-ci sont disponible gratuitement d’autres sont vendues[3].
Tel que décrit dans la norme ISO/EIC 17799:2000(E), il est essentiel qu’une organisation identifie ses besoins en matière de sécurité de l’information. La première source d’information pour l’identification des besoins est une analyse des risques de sécurité de l’information. La seconde source d’information est constituée du cadre juridique, réglementaire et contractuel dans lequel évolue l’organisation. La troisième source d’information est constituée de la mission et des objectifs de l’organisation, des principes de gestion, des politiques en place. La norme ISO/EIC 17799:2000(E) propose un ensemble d’éléments et de points de contrôle recommandés pour une gestion efficace de la sécurité, tel qu détaillé en Annexe XAX.
Une organisation peut implémenter un modèle sous-jacent de politique de sécurité, c’est à dire qu’il doit y avoir une présentation abstraite des principes de sécurité importants que l’organisation doit faire respecter. Cette présentation doit être rédigée dans un style formel, et constitue un modèle formel de politique de sécurité. Tout ou partie d’un modèle pertinent déjà publié peut être mis en référence, sinon un modèle doit être fourni comme partie intégrante de la cible de sécurité. Tous les styles formels de spécification identifiés ci-dessus peuvent être utilisés pour définir un tel modèle. Il n’est pas nécessaire que le modèle formel couvre toutes les fonctions dédiées à la sécurité spécifiées dans la cible de sécurité. Toutefois, une interprétation informelle du modèle sous l’angle de la cible de sécurité doit être fournie, et doit montrer que la cible de sécurité implémente la politique de sécurité sous-jacente et ne contient aucune fonction en contradiction avec cette politique sous-jacente.
Nous identifions ici quelques modèles formels de politique de sécurité qui ont été publiés :
Le modèle de Bell-La Padula qui modélise les exigences de contrôle d’accès caractéristiques d’une politique nationale de sécurité pour la confidentialité.
Le modèle de Clark et Wilson qui modélise les exigences d’intégrité des systèmes transactionnels commerciaux.
Le modèle de Brewer-Nash qui modélise les exigences de contrôle d’accès visant à assurer la confidentialité pour le client, ce qui est typique d’un organisme de services financiers.
Le modèle d’Eizenberg qui modélise des droits d’accès qui varient avec le temps.
Le modèle de Landwehr qui modélise les exigences d’un réseau de traitement de messages en matière d’échange de données.
La politique de sécurité de l’information devrait mettre en évidence la valeur de l’information et la mesure dans laquelle on en a besoin, ainsi que l’importance de la sécurité de l’information pour l’organisation. Elle devrait identifier les exigences minimales au plan de la conformité et des règlements en matière de sécurité. Cette étape inclut des éléments tels la politique de gestion des risques, la classification et l’étiquetage d’information, la sécurité du personnel et matérielle, les exigences juridiques et contractuelles, l’élaboration et le fonctionnement des systèmes, la planification de la poursuite des activités, la production de rapports sur les incidents et les exigences d’intervention, l’application de mesures en cas de violation et la sensibilisation à la sécurité et la formation;
La politique peut tenir compte de tout système d’information critique ou des exigences pertinentes. Elle doit cependant identifier les besoins en matière de sécurité de l’information développée en fonction des sept objectifs mentionnés précédemment. Il est nécessaire que soient assigné les rôles et les responsabilités en matière de sécurité de l’information et la distribution des responsabilités dans la structure organisationnelle. Dans les organisations qui effectuent des projets de développement, il faut inclure la sécurité de l’information dans le développement de systèmes d’information et dans les processus de mise en place ou d’achats de systèmes d’information. De plus la politique devrait :
définir les règles et les procédures en matière de sécurité de l’information;
définir les procédures pour l’identification de la nature sensible et la classification de l’information;
identifier la stratégie de gestion du risque;
définir les besoins en matière de continuité des affaires;
définir des normes de gestion des ressources humaines;
prévoir des plans de sensibilisation des employés et de formation continue en matière de sécurité de l’information;
encadrer les obligations légales;
identifier les règles de la gestion de l’impartition et des tiers; et
L’utilisation des meilleures pratiques (Best practices) constitue une excellente source d’information qui pourra guider l’organisation dans la définition de politiques de sécurité. Tous les contrôles ne sont pas applicables pour chaque situation, certaines situations justifient l’élaboration de contrôles spéciaux. Les normes et les meilleures pratiques en matière de sécurité sont définies dans plusieurs documents, dont certains sont mentionnés ici :
«Guidelines for the Management of IT Security», ISO/IEC TR 13335, 1997 (Part 1- Concepts and Models for IT Security, Part 2 – Management and Planning IT Security, Part 3 – Techniques for the Management of IT Security, Part 4 – Selection of Safeguards)
«Guidelines for the Security of Information» – Organization for Economic Cooperation and Development, Paris: OCDE, 1992 – dernière mise à jour 1997
«Guide for Developing Security Plans for Information Technology Systems», NIST Computer Security Online Special Publications
En dépit d’un environnement de sécurité en constante évolution, l’objectif de la sécurité de l’information est essentiellement demeuré le même, c’est-à-dire la protection d’actifs informationels grâce à des politiques, normes et meilleures pratiques permettant la mise en œuvre d’une norme adéquate de soins appropriés. Cette approche n’est pas différente de celle utilisée pour prévenir d’autres risques.
Créé en avril 2001, l’Internet Security Alliance (ISA) est un regroupement collaboratif du Carnegie Mellon University Software Engineering Institue, du CERT/CC, de l’Electronic Industries Alliance, d’associations de manufacturiers, du secteur public et de membres privés. Le Best Practices Working Group, de l’Internet Security Alliance a effectué en 2002 une étude afin d’identifier les dix plus hautes priorités et les pratiques de sécurités recommandés. Ces recommandations concordent avec les recommandations de nombreuses autres best practices en matière de sécurité de l’information. Nous en reprenons ici les principales recommandations.
Les gestionnaires de l’organisation devraient considérer la sécurité de l’information comme partie de leurs responsabilités et de la responsabilité de tous les employés.
L’organisation devrait développer, réviser et forcer le respect de politiques de sécurité de l’information qui correspondent aux objectifs d’affaires de l’organisation.
L’organisation devrait effectuer à intervalles réguliers une évaluation des risques pour les actif informationels critiques de son infrastructure. Cette évaluation devrait identifier les actif informationels critiques, évaluer les menaces, évaluer les vulnérabilités et identifier le niveau de risque.
L’organisation devrait mettre en place et maintenir une infrastructure de gestion de la sécurité de l’information. Cette infrastructure de sécurité devrait se référer aux objectifs d’affaires de l’organisation et protéger les actif informationels critiques.
L’organisation devrait définir des politiques et des procédures ainsi que mettre en place des systèmes de contrôle afin de responsabiliser les utilisateurs vis-à-vis leur rôle en matière de sécurité de l’information.
L’organisation devrait vérifier à intervalles réguliers l’intégrité des logiciels installés. L’organisation devrait activement rechercher les virus, chevaux de Troie, logiciels malicieux ou non autorisés sur ses systèmes d’information.
L’organisation devrait avoir en place des processus et des mécanismes pour s’assurer de la configuration sécuritaire de tout ses systèmes d’information Durant toute leur cycle de vie. L’organisation devrait avoir en place des processus pour la mise en production de correctifs aux configurations. Elle devrait mettre en place des normes pour la configuration de nouveaux systèmes d’information e de postes de travail.
L’organisation devrait mettre en place un processus d’analyse des vulnérabilités et de prise en compte des extrants de ces analyses.
L’organisation devrait mettre en place et maintenir une infrastructure de gestion et de journalisation des accès par les utilisateurs dûment autorisés.
L’organisation devrait mettre en place et maintenir une infrastructure de gestion et de journalisation des accès par les utilisateurs externes (consultants, fournisseurs de services) dûment autorisés.
L’organisation devrait mettre en place des systèmes et des processus de gestion, de vérification et d’inspection de son infrastructure. Les processus devraient identifier les actions à prendre en cas d’incidents.
Des recherches ont démontré que l’utilisation de standards nationaux ou internationaux, tels que ISO17799:2000(E) ou BS7799 permet d’aider les organisations à mettre en place et maintenir un niveau de sécurité acceptable. Plusieurs services de santé nationaux ont en place des standards nationaux ou utilisent des standards internationaux. Parmi ceux-ci, le Royaume Unis et plusieurs pays de la Communauté Européenne, l’Australie et la Nouvelle-Zélande.
Tel que décrit dans la norme ISO/EIC 17799:2000, il est essentiel qu’une organisation identifie ses besoins en matière de sécurité de l’information. La première source d’information pour l’identification des besoins est une analyse des risques de sécurité de l’information. La seconde source d’information est constituée du cadre juridique, réglementaire et contractuel dans lequel évolue l’organisation. La troisième source d’information est constituée de la mission et des objectifs de l’organisation, des principes de gestion, des politiques en place. La norme ISO/EIC 17799:2000 propose un ensemble d’éléments et de points de contrôle recommandés pour une gestion efficace de la sécurité. Création du comité de sécurité de l’information
Afin de définir les activités, les processus et les outils nécessaires pour l’atteinte des objectifs fixés par le comité de gouvernance de la sécurité de l’information, il est recommandé de créer un comité de sécurité de l’information.
Le comité devrait comprendre de quatre (4) à sept (7) membres. Ce comité devrait comprendre :
un membre identifié comme chef de projet;
le principal responsable de la sécurité s’il y en a un dans l’organisation;
des représentants du groupe ayant la responsabilité opérationnelle et budgétaire des technologies de l’information dans l’organisation;
des représentants des groupes responsables de l’exécution de la mission principale de l’organisation;
un représentant du service des ressources humaines; et
un conseiller juridique ou un cadre de l’organisation ayant des responsabilités en relation au contentieux.
Dans un premier temps le chef de projet devrait être identifié. Celui-ci pourra prendre en charge le suivi des différentes étapes de la méthodologie, dont la création du comité de sécurité de l’information. Il pourra documenter les règles de fonctionnement du comité et s’assurer de conserver des minutes des rencontres. Les membres du comité pourront varier selon les besoins de l’organisation et les priorités des gestionnaires de l’organisation. La structure et le modus operandi du comité de sécurité de l’information devraient tenir compte de cette possibilité. Dans ce livre nous référons au comité de sécurité de l’information souvent sous le nom de comité de sécurité pour alléger le texte.
La prochaine étape consiste à l’établissement par le comité de sécurité de l’information du niveau de base. L’objectif est, pour chacun des points de contrôle IVRI, d’identifier l e niveau de risque actuel, le niveau de risque acceptable et la différence entre ces deux niveaux de risque. À cette fin nous proposons d’utiliser la méthodo proposée pour l’analyse des menaces et du risque, présentét plus loin dans ce document, afin d’évaluer le niveau de risque associé à chaque point de contrôle. Une fois que ce travail est complété le comité de sécurité pourra évaluer, pour chacun des points de contrôle le niveau de risque acceptable. Ce travail devrait être fait dans le cadre de rencontres et des discussions entre les membres du comité de sécurité, sous la direction du chef de projet. Nous prévoyons traiter du sujet de l’audit de façon plus détaillée dans un ouvrage futur.
Lors de la première utilisation la méthodologie IVRI, le choix est déjà, en quelques sortes fait. Cependant après avoir développé une certaine expertise avec cette méthodologie, nous vous suggérons de vous questionner sur les différentes étapes. Un des outils utilisé étant les leçons apprises et documentées, qui sera expliqué plus loin dans ce livre. Au besoin, il est recommandé de modifier la méthodologie pour l’adapter aux besoins spécifiques de votre organisation ou de votre industrie. L’utilisation de conseillers spécialisés externes pourra vous assister à cette fin. À cette étape de la méthodologie, le comité de gouvernance ou le comité de sécurité devrait discuter de ce point dans le cadre d’une rencontre formelle.
Le comité de sécurité et l’organisation doivent déterminer le point de vue qu’ils souhaitent donner à la sécurité informatique dans leur organisation. Cette perspective et son respect dans l’ensemble des analyses en matière de sécurité informatique, permettront d’utiliser les résultats pour l’assister dans l’identification et la priorisation d’objectifs, de stratégies, de politiques ou dans l’allocation judicieuse de ressources. Le choix de la perspective permet d’orienter les choix qui seront effectués tout au long des différentes étapes de la méthodologie.
Nous ici identifions trois perspectives qui sont souvent utilisés :
la perspective équipements;
la perspective données; et
la perspective processus.
Lors de l’utilisation de cette méthodologie d’analyse dans le cadre d’un projet, le praticien devra prendre en compte la perspective de l’organisation pour le guider dans ses choix. C’est la perspective qui déterminera les actifs informationels choisis.
En appliquant la perspective équipement (Assett based) l’organisation fait le choix d’identifier les menaces et les risques en fonction de pièces d’équipements tangibles, facilement identifiables et quantifiables. C’est probablement l’approche la plus simple. Cette approche est recommandée par certaines méthodologies très réputées.
À titre d’exemple, l’organisation qui adopte cette perspective pourrait choisir, à lors de l’identification de l’actif informationel analysé :
le serveur de courrier électronique du siège social;
le serveur de base de données du bureau de Montréal.
En appliquant la perspective donnée l’organisation fait le choix d’identifier les menaces et les risques en fonction de banques de données ou d’éléments de données spécifiques. Dans cette perspective, les actifs informationels étudiés sont intangibles mais facilement identifiables car ils sont généralement assez bien connus des utilisateurs. La quantification de ces actif informationels est cependant plus hardu. C’est probablement l’approche la plus simple du point de vue d’un utilisateur final.
À titre d’exemple, l’organisation qui adopte cette perspective pourrait choisir, lors de l’identification de l’actif informationel analysé :
le courrier électronique corporatif;
la base de données client du bureau de Montréal.
Dans cette perspective le courrier électronique inclurait les ordinateurs, les serveurs, leurs systèmes d’exploitation, les progiciels installés, les données, les liens réseau et les équipements reliés. Cependant le point central est la valeur des données (valeur de remplacement ou pertes économiques résultant de la divulgation, par exemple) comme principale justification de mesures de protection. Pour arriver à un résultat valable il est nécessaire de quantifier certains actifs informationels qui ont une valeur souvent difficile à estimer. Un estimé trop généreux ou trop conservateur a un impact direct sur l’utilité réelle des résultats pour aider à l’alignement stratégique des technologies.
En appliquant la perspective processus l’organisation fait le choix d’identifier les menaces et les risques en fonction de ses processus d’affaires. Ce sont évidemment des éléments intangibles, qui sont identifiables et quantifiables. C’est probablement l’approche la plus complexe pour la majorité des organisations, surtout celles qui n’ont pas de spécialistes des processus à l’interne. Pour les organisations qui ont en place des ressources expérimentées dans l’analyse de processus ou de ré ingénierie c’est l’approche qui apportera le plus de bénéfices organisationnels à long terme.
À titre d’exemple, l’organisation qui adopte cette perspective pourrait choisir, lors de l’identification de l’actif informationel analysé d’étudier :
les communications par courrier électronique du siège social;
le processus des commandes de clients du bureau de Montréal.
Le choix et l’identification de l’actif informationel à étudier sont critiques au processus d’évaluation des menaces et des risques. Si ce choix est mal défini, par exemple trop complexe, les résultats de l’évaluation seront difficilement utilisables par l’organisation participante. Une façon de procéder est d’établir une liste des principaux actifs informationnels, bases de données et systèmes d’information stratégiques dans l’atteinte des objectifs d’affaire de l’organisation. Par la suite le comité de la sécurité de l’information pourra les prioriser.
En utilisant comme point de départ l’inventaire des actifs informationnels réalisés précédemment, le comité de sécurité de l’information sélectionnera un actif informationel pour lequel elle quantifiera le risque. Bien que ce choix doive tenir compte de la perspective organisationnelle choisie, plusieurs raisons pourront justifier le choix d’un actif informationel particulier. D’abord s’il s’agit de la première tentative d’identification du risque, il sera souhaitable que le comité choisisse un actif informationel ayant un niveau de complexité limité et connu des participants. Par exemple l’on pourrait choisir le poste de travail d’un utilisateur ou un serveur de fichiers pour un groupe restreint d’utilisateurs (dans une perspective équipements). Plus tard, lorsque le niveau de familiarité et de confiance avec le processus sera plus élevé, le comité pourra attaquer des systèmes d’information ayant un niveau de complexité plus élevé.
Une fois l’actif informationel identifié le comité de sécurité de l’information pourra procéder aux prochaines tâches de l’étape d’identification.
Les parties prenantes, Stakeholder en anglais, représentent les individus, groupe d’individus ou les organisations susceptibles d’être impliqués dans la conception, la mise en œuvre ou l’utilisation de l’actif informationel analysé. L’identification des parties prenantes s’effectuera dans un premier temps en concertation avec le comité de gouvernance et le comité de sécurité de l’information. Le chef de projet documentera cette étape en complétant le tableau ci-bas :
Il s’agit de l’individu, du groupe d’individus, qui utilisent le système ou qui sont en mesure de fournir les informations sur la fonctionnalité de l’actif informationel analysé, son contenu et sur son lien avec la mission de l’organisation.
Il s’agit de l’individu, des individus, qui ont la responsabilité de l’opération de l’exploitation ou du support technique de l’actif informationel identifié.
Dans cette étape, le chef de projet avec la collaboration des parties prenantes cherchera à identifier et documenter sommairement les principales caractéristiques et l’utilisation de l’actif informationel analysé. Il documentera cette étape en complétant le tableau ci-bas :
Il s’agit de décrire l’actif informationel. L’organisation voudra documenter les aspects techniques, périphériques et la configuration particulière. Le niveau de détail requis doit être suffisant pour permettre à un praticien des technologies de comprendre mais sans trop de détails. Par exemple : micro-ordinateur Compaq Presario modèle P600/10/64 NTC US, Pentium III 600MHZ, 256MO de mémoire avec un disque de 30G0, Windows NT 2000, IIS 5.0.
Il est nécessaire de déterminer quel est le domaine d’intervention. Il s’agit de déterminer quels sont les principaux équipements qui doivent être inclus. Ces équipements serviront à définir le domaine du problème (problem domain), que nous appelons simplement le domaine. Le chef de projet documentera cette étape en complétant le tableau suivant :
Fonction principale :
Catégorie :
ÿ éléments de données ÿ base de données ÿ programmes ÿ pièces d’équipements ÿ autre élément d’actif
État de l’actif informationel :
ÿ planifié ÿ en développement ÿ en production ÿ hors service ÿ détruit ÿ autre :
Identifie la ou les catégories dans laquelle se trouve l’actif informationel analysé. Un actif informationel pourra faire partie de plusieurs catégories, le chef de projet cherchera à limiter sa sélection aux catégories pertinentes à ses objectifs. Par exemple un serveur Internet, qui héberge un site Internet corporatif, le praticien pourrait catégoriser l’actif informationel comme une pièce d’équipement (par exemple le serveur), des actif informationels de données (par exemple les pages Web) et des programmes (par exemple IIS 5.0 et Windows NT 2000).
Les catégories suivantes sont proposées :
éléments de données
base de données
programmes
pièces d’équipements
autre élément d’actif
Malgré qu’un actif informationel puisse se retrouver dans plus d’une catégorie, il est souhaitable de se limiter aux catégories liées le plus directemnt aux objectifs d’affaires de l’organisation. Ainsi dans l’exemple d’un serveur internet, si l’organisation oriente ses décisions d’investissement technologiques en fonctions d’actif informationels d’actifs physiques, il serait très acceptable de n’indiquer que la catégorie pièces d’équipements, puisque c’est le plus significatif pour l’organisation.
L’énoncé de sensibilité a pour but d’évaluer l’actif informationel analysé et son rôle dans l’organisation en vertu des besoins et obligations de l’organisation en relation aux sept principaux objectifs de la sécurité que nous rapellons ici :
la confidentialité des données;
l’intégrité des données;
la disponibilité des données;
l’irrévocabilitédes transactions;
l’authentification des utilisateurs;
l’authentification de l’origine des données; et
le contrôle des accès.
Tel que mentionné précédemment, l’actif informationel analysé doit offrir un niveau de sécurité de l’information et des mesures de protection adéquates en fonction des objectifs de sécurité, de la politique de sécurité et des obligations légales de l’organisation. Les informations recueillies serviront à élaborer l’énoncé de sensibilité. Afin d’assister l’organisation, nous proposons des questions sur les besoins en matière de sécurité de l’information. Ces questions présentées dans les tableaux qui suivent servirons de point de départ à des discussions par le comité de sécurité. Le chef de projets recueillera les commentaires des membres du comité de sécurité lors d’une rencontre de groupe. Ceux-ci seront compilés et intégrées dans l’énoncé de sensibilité. Finalement l’énoncé de sensibilité sera intégré au document d’analyse, qui constitue le livrable de l’étape 1 : Identification de l’actif informationel.
Dans les sections qui suivent nous décrivons avec plus de détail les divers éléments à analyser.
La confidentialité identifie la sensibilité de l’information ou des biens à une divulgation non autorisée. Elle est fréquemment évaluée à l’aide d’une cote de classification ou d’une désignation correspondant au niveau de dommage produit advenant une divulgation non autorisée. Dans certains cas, le degré de confidentialité peut varier en fonction du temps. Ainsi, certaines données peuvent devoir demeurer secrètes pendant qu’on les recueille et qu’on les traite, mais à partir du moment où celles-ci sont publiées et deviennent un document public, elles n’exigent plus le même degré de confidentialité. D’autres données, cependant, peuvent devenir plus confidentielles une fois regroupées. Afin d’évaluer les effets d’une perte de confidentialité, nous chercherons à mettre en rapport le degré de sensibilité des données et les conséquences d’une divulgation inopportune.
En se référant aux objectifs de sécurité, à la culture de l’organisation, à la mission de l’organisation et en fonction de facteurs externes, comme les obligations légales, le comité de sécurité sera en mesure de définir les attentes de l’organisation en matière de confidentialité vis-à-vis du système d’information, tel que présenté dans le tableau :
la confidentialité des données
Question
Réponse identifié
Quel est le niveau de confidentialité des données requis pour l’actif informationel analysé ?
Quelles sont les informations contenues par l’actif informationel ?
ÿ dossiers et informations à caractère public et général ÿ documents internes à l’organisation ÿ noms de clients ÿ informations sur les comptes clients ÿ données nominatives ÿ dossiers et informations personnelles ÿ informations de nature financière ÿ secrets industriels ÿ informations de nature compétitive ÿ autre :
Quel est l’impact de la divulgation des informations contenues ?
ÿ pertes économiques ÿ perte de vie humaine ou atteinte à l’intégrité physique ÿ perte de réputation ÿ mineur ÿ aucune ÿ ne sait pas / inconnu
Il s’agit de déterminer le type de données qui se trouvent dans l’actif informationel analysé. Sans effectuer un inventaire complet et détaillé, le comité de sécurité estimera à haut niveau les types de données. L’évaluation de la nature sensible de l’actif informationel analysé sera effectuée en fonction des éléments de données qui sont le plus critique à la mission de l’organisation et des attentes de ses clients ou partenaires et en fonction de facteurs externes, comme les obligations légales. Les valeurs suivantes sont suggérées :
L’organisation voudra déterminer quel serait l’impact de la divulgation des données. Elle devra se poser la question suivante : si les informations contenues dans l’actif informationel analysé étaient divulguées, quel serait l’impact économique, commercial ou organisationnel estimé. Si l’exploitation abusive de ces informations pourrait mener à des pertes économiques dues à des coûts de main-d’œuvre pour redresser un incident ou à des poursuites en dommages, elle devrait chercher à les évaluer en terme monétaire. Les valeurs suivantes sont suggérées :
pertes économiques;
perte de vie humaine ou atteinte à l’intégrité physique;
L’intégrité est l’exactitude et l’intégralité des renseignements et des biens ainsi que l’authenticité des transactions. L’intégrité se rapporte à l’exactitude et à l’intégralité des renseignements contenus dans le système et du système lui-même. Lorsque les exigences en matière d’intégrité sont élevées, comme c’est le cas pour les transactions financières dans les systèmes bancaires, les pertes financières possibles fournissent une indication des sommes et des efforts qui doivent être investis dans les mesures de protection. Dans plusieurs secteurs d’activité, les principaux handicaps à l’intégrité sont reliés au facteur humain qui intervient lors de la saisie et de l’utilisation des données.
l’intégrité des données
Question
Réponse identifiée
Quel est le niveau d’intégrité des données requis pour l’actif informationel analysé ?
ÿ élevé ÿ moyen ÿ bas ÿ ne sait pas / inconnu ÿ autre :
L’actif informationel est-il sensible à l’altération accidentelle ou volontaire de son contenu :
ÿ très sensible ÿ sensible ÿ peu sensible ÿ pas sensible ÿ ne sait pas / inconnu
Quel est l’impact de l’altération des informations contenues ?
ÿ pertes économiques ÿ perte de vie humaine ou atteinte à l’intégrité physique ÿ perte de réputation ÿ mineur ÿ aucune ÿ ne sait pas / inconnu
Il s’agit de déterminer si l’actif informationel analysé est sensible à l’altération accidentelle ou volontaire de son contenu. Les valeurs suivantes sont suggérées :
La disponibilité est l’accessibilité d’un système d’information ou des données qu ‘il contient, au moment opportun, pour exécuter certains processus. Le système, pour être considéré disponible, doit être en place et utilisable aux fins voulues. La possibilité d’une perte complète de la fonction de traitement des données est bien mince, mais elle existe néanmoins. Chose certaine, les utilisateurs doivent parfois composer avec des périodes d’indisponibilité plus ou moins longues. Le praticien doit aider les utilisateurs à déterminer à quel point ils comptent sur la disponibilité du système pour offrir le service attendu. Ceux-ci doivent définir clairement, pour les préposés au système, la durée maximale acceptable d’indisponibilité. Sous ce rapport, le terme «disponibilité» a trait à la continuité du service.
Pour établir l’ordre de priorité du traitement d’après les exigences en matière de disponibilité, le praticien se voit souvent obligé de se poser en arbitre entre les différents groupes d’utilisateurs et de les amener à s’entendre sur l’importance relative des applications pour chaque groupe. Le praticien doit aussi reconnaître que ces exigences changent souvent pendant la durée de vie des applications. Les utilisateurs doivent noter, pour les préposés au système, les effets d’une perte de disponibilité du système.
TI, du personnel de soutien et des données. Les services jugés essentiels ou d’une importance capitale pour l’organisation doivent être connus. Comme ces services ont un grand besoin de disponibilité, il faut porter une attention spéciale aux ressources de soutien ainsi qu’aux aspects environnementaux qui touchent la prestation de services. Le praticien doit reconnaître tous les actif informationels critiques contribuant à la prestation des services essentiels qui pourraient être vulnérables aux menaces.
Il s’agit de déterminer quelles sont les attentes de l’organisation pour l’actif informationel analysé en matière de disponibilité des données. Les valeurs suivantes sont suggérées :
aucune;
durant les heures d’affaires;
vingt-quatre heures par jour, tout les jours ouvrables;
vingt-quatre heures par jour tout les jours (24x 24 x 7);
ne sait pas / inconnu;
autre (spécifier).
la disponibilité des données
Question
Réponse identifié
Quelles sont les attentes de l’organisation pour l’actif informationel analysé en matière de disponibilité des données ?
ÿ aucune ÿ durant les heures d’affaires ÿ 24 x 24, jours ouvrables ÿ 24 x 24 x 7 ÿ ne sait pas / inconnu ÿ autre :
Quelle est la durée maximale acceptable de indisponibilité, d’immobilisation ou de bris de cet actif informationel ?
ÿ aucune ÿ moins d’une (1) heure ÿ entre une (1) et deux (2) heures ÿ quatre (4) heures ÿ huit (8) heures ÿ plus de vingt-quatre (24) heures ÿ une (1) semaine ÿ aucune durée maximale ÿ ne sait pas / inconnu
Il s’agit ici de déterminer la période de temps maximale que l’actif informationel analysé peut être en condition de indisponibilité sans avoir de conséquences significatives pour l’organisation.
L’irrévocabilité réfère à la permanence dans le temps et à la démontrabilité tangible de l’existence d’une transaction. L’irrévocabilité des transactions nécessite que l’ensemble des individus ou des systèmes mènent à terme une transaction avec succès. Les systèmes d’information partie à la transaction doivent générer et conserver des preuves de la transaction, de sa source et de sa destination. Dans les cas où la transaction a valeur de contrat entre les parties, l’irrévocabilité des transactions pourra s’avérer utile.
Il s’agit d’identifier quels sont les besoins et quelles sont les mesures en place pour assurer l’irrévocabilitédes transactions.
l’irrévocabilitédes transactions
Question
Réponse identifié
Quels sont les besoins en matière de non-répudiation des transactions ?
Quelles sont les mesures en place pour assurer l’irrévocabilitédes transactions ?
L’authentification des utilisateurs définit des mécanismes et des processus qui sont utilisés pour identifier, avec un niveau de certitude déterminé, l’identité d’un utilisateur d’un système d’information. Les trois catégories principales d’authentification d’un utilisateur sont :
l’authentification d’une information connue de l’utilisateur légitime (e.g. un mot de passe);
l’authentification d’un objet détenu par l’utilisateur légitime (e.g. une carte à puce);
l’authentification d’une caractéristique distincte de l’utilisateur lui-même (e.g. biométrie, empreintes digitales).
Il s’agit de déterminer les besoins pour L’actif informationel analysé en matière d’authentification des utilisateurs selon les rôles et responsabilités qu’ils occupent dans l’organisation.
L’authentification des utilisateurs
Question
Réponse identifié
Quelles sont les mesures en place en matière d’authentification des utilisateurs ?
L’authentification de l’origine des données définit des mécanismes et des processus qui sont utilisés pour identifier, avec un niveau de certitude déterminé, la source d’une donnée stockée dans un système d’information. L’utilisation de journaux des transactions (log) est un des mécanismes utilisés pour permettre l’authentification de l’origine de données à posteriori.
Il s’agit pour l’organisation de déterminer quels sont les besoins pour L’actif informationel analysé en matière d’authentification de l’origine des données.
l’authentification de l’origine des données
Question
Réponse identifié
Quels sont les besoins pour l’actif informationel analysé en matière d’authentification de l’origine des données ?
Tableau 11 : l’authentification de l’origine des données
Le contrôle des accès aux informations contenues dans un système d’information d’une organisation devrait être établi en fonction de ses objectifs et de ses obligations. Les systèmes de contrôle d’accès comprennent l’ensemble des mécanismes de vérification, de contrôle et de journalisation (log) de l’utilisation d’un système d’information ou des données qu’il contient.
Il s’agit pour l’organisation de déterminer quels sont les besoins pour l’actif informationel analysé en matière de contrôle des accès.
le contrô7le des accès
Question
Réponse identifié
Quels sont les besoins pour l’actif informationel analysé en matière de contrôle des accès ?
Nous souhaitions ici déterminer les cotes de sécurité ou la désignation en vertu d’une politique de gestion documentaire de l’information s’il y en a une en place dans l’organisation. S’il n’en existe pas, nous suggérons de désigner l’information comme étant de nature publique ou confidentielle au sens de la Loi sur l’accès (Québec). Nous suggérons que les données puissent être classées ou désignées correctement en utilisant l’un des niveaux suivants :
non classifié ou non désignés;
renseignements de base;
renseignements personnels;
renseignements délicats sur l’organisation;
confidentiels lorsqu’une atteinte à leur confidentialité ou à leur intégrité pourrait porter préjudice à l’atteinte des objectifs de l’organisation;
secrets lorsqu’ une atteinte à leur confidentialité ou à leur intégrité pourrait porter un grave préjudice à l’organisation ou à l’intérêt national;
très secret lorsqu’une atteinte à leur confidentialité ou leur intégrité pourrait porter un préjudice exceptionnellement grave à l’organisation ou à l’intérêt national.
Lorsque l’ensemble des informations ont été identifiés, le chef de projet colligera ces résultats dans un document qui sera circulé aux participants et aux membres du comité de sécurité. Il receduillera les commentaires et, au besoin, effectuera des changements jusqu’à l’obtention d’un concensus.
Une fois l’identification de l’actif informationel complété, nous proposons de débuter l’analyse du risque proprement dit par l’analyse des vulnérabilités, le V dans IVRI. En effectuant à cette étape une analyse technique sur l’équipement ciblé, nous croyons que l’organisation sera en mesure de procéder plus rapidement dans les étapes suivantes de la méthodologie IVRI.
Les résultats de l’étape d’identification de l’actif informationel analysé sont nécessaires afin de configurer les équipements et les logiciels utilisés pour les tests. Il est aussi nécessaire que l’organisation prévoit l’utilisation d’un poste de travail ou d’un ordinateur portable qui sera utilisé pour les tests.
Il y a sur le marché plusieurs progiciels d’analyse de vulnérabilités ou des Network Vulnerability Assessment Software (NVAS). En effectuant des recherches sur Internet il est possible d’en identifier plus d’une dizaine sans difficulté.
Quelques-uns des principales fonctionnalités requises d’un progiciel d’analyse de vulnérabilités :
Une base de données de vulnérabilités maintenues à jour ;
Un minimum de faux diagnostics ;
L’habilité à conserver de multiples analyses et effectuer des analyses de tendances ;
Donner des informations claires et concises pour éliminer les vulnérabilités trouvées ou en réduire le risque.
Nous en avons testé plusieurs, dont NetRecon de Symantec (http://www.symantec.com ) qui sont excellent et donne de très bons résultats. Cependant pour ce livre, nous avons retenus le progiciel Nessus sur plateforme Linux, qui est disponible gratuitement sur le site Internet http://www.nessus.org .[4]
Nessus est un détecteur de vulnérabilité, développé par Renaud Deraison, disponible sous une licence de type Open source[5]. Ce logiciel permet d’effectuer un balayage réseau pour identifier des vulnérabilités en relation à une base de signatures, un peu comme un progiciel anti-virus.
Nessus fonctionne en mode client serveur. Le serveur fonctionne dans l’environnement Linux, tandis que le client fonctionne sur divers systèmes d’exploitation, dont Windows. Dans cette section, nous discutons de la mise en place et l’utilisation du client et du serveur sur Linux.
Pour aucune raisons autre que les préférences personnelles du chercheur principal, nous avons choisi d’utiliser le système d’exploitation Dedian Linux version 3.0r1. Ce système d’exploitation peut être obtenu sous une licence Open source depuis le site Internet http://www.debian.org . Nous n’irons pas dans les détails de l’installation de Linux, il a de nombreuses sources d’information à ce sujet. Une fois Linux installé, Nessus a été installé en utilisant le script nessus-installer.sh téléchargé depuis le site Internet http://www.nessus.org . Installez Nessus en utilisant le script nessus-installer.sh téléchargé depuis le site Internet http://www.nessus.org .
#sh nessus-installer.sh
Le script téléchargera des composants et guidera le praticien dans l’installation.
Une fois le progiciel Nessus installé, il est nécessaire de créer un compte d’utilisateur NESSUS. À cette fin, il faut utiliser le script «nessus-adduser» localisé dans le répertoire /usr/local/sbin. Ce répertoire devrait se retrouver dans le chemin de recherche de l’utilisateur root (path).
Tel qu’illustré sur la figure X1X, il faut spécifier un nom d’utilisateur. Tel qu’illustré sur la figure 2 le nom d’utilisateur JOEY a été utilisé.
Il est ensuite nécessaire de spécifier la méthode d’enregistrement du mot de passe (ici le mot de passe de l’utilisateur JOEY). Nous avons, ici, utilisé le mot de passe de type cipher afin que le mot de passe soit sauvegardé en format encrypté.
La prochaine étape est la configuration des limites de privilèges. Nous choisirons de ne pas en assigner. De même, aucunes limites d’adresses IP n’ont été assignés, ceci permet à un utilisateur de se connecter de n’importe poste de travail sur le réseau de l’organisation. Puis il est nécessaire d’assigner un mot de passe. Ce mot de passe est demandé par le serveur, mais est demandé seulement une fois, lors du branchement initial depuis un poste de travail.
La dernière étape est la configuration des privilèges de tests permis. Nous suggérons ici de ne pas configurer de restrictions lors de l’utilisation initiale, ce qui permet de parcourir l’intégralité du réseau. Ces informations pourront être modifiés une fois que l’organisation aura acquis plus d’expertise avec NESSUS. Nessus demande ensuite confirmation pour valider les informations saisies précédemment.
Figure X1X : Configuration des comptes utilisateurs de NESSUS
Le nouvel utilisateur JOEY est ajouté au système et le message ‘user-added’ indiquera que le processus a été complété avec succès. Le fichier de configuration nessusd /usr/local/etc/nessusd.conf pourra être modifié par l’administrateur du système pour ajuster la configuration dans le futur.
Il est maintenant possible de démarrer nessusd. Pour ce faire, il est nécessaire de démarrer une session sur le serveur en tant que l’utilisateur root. La commande de démarrage du serveur est :
L’installation par défaut place le programme NESSUS dans le répertoire /usr/local/bin/nessus. La commande suivante permet de le démarrer :
# nessus &
Le menu suivant devrait être affiché sur le poste :
Figure X@X: écran initial du client NESSUS
Lors du premier démarrage du client NESSUS, il crée une clé privée d’encryptions pour l’utilisateur. C’est-à-dire qu’à chaque ‘nom d’utilisateur’ Linux correspond une clef privée d’encryptions unique.
Ayant déjà créé la clef privée, Nessus demandera à l’utilisateur d’entrer un mot de passe pour cette clef.
Nous recommendons fortement de bien tester le NVAS dans un environnement contrôlé avant de le brancher au réseau de l’organisation pour effectuer des tests.
Avant d’utiliser Nessus avec le compte JOEY, l’utilisateur doit fournir l’adresse IP du serveur nessusd, le port de nessusd et la méthode d’encryption employée dans la communication entre le client et le serveur. Dans notre exemple, nessusd (le serveur) est à l’adresse 192.168.176.210 et utilise le port 1241 (qui est le port par défaut de NESSUS) et utilise twofish/ripemd160:3 comme méthode d’encryption.
Figure X4X : fenêtre de saisie du mot de passe.
Tel qu’illustré sur la figure X4X, après la saisie du nom d’utilisateur, ici JOEY, le serveur demandera à l’utilisateur de saisir le mot de passe qui a été choisi lors de la création du compte utilisateur par nessus-adduser.
Image 15. Fenêtre de sélection des plugins.
Après l’établissement de la connexion, Nessus démarrera sur la fenêtre de sélection des plugins. L’utilisateur peut choisir les plugins qu’il désire en activant ou désactivant les petits carrés du côté droit. La fenêtre inférieure montre les choix divers d’un plugin que l’utilisateur peut activer/désactiver. Dans la figure, l’utilisateur est sur le plugin FTP et il peut plus loin choisir les vulnérabilités de FTP à rechercher.
Image 16. Nouveaux détails pour la vulnérabilité : FTP anonyme activé.
Dans l’image 16, quand l’utilisateur clique sur la vulnérabilité «Anonymous FTP Enabled» dans la fenêtre inférieure, le système montre des détails complémentaires pour cette vulnérabilité, qui décrit que si l’organisation n’a pas besoin de partager l’information avec d’autres, alors on ferme l’accès FTP anonyme.
Image 17. Fenêtre de règlage des plugins.
Dans cette fenêtre, l’utilisateur peut configurer des options complémentaires pour les plugins choisis. Par exemple, pour les machines à pinguer dans un réseau, l’utilisateur peut choisir le protocole TCP ou le protocole ICMP.
Image 18. Fenêtre des options de balayage.
Dans cette fenêtre, l’utilisateur peut spécifier les détails du balayage, par exemple, des ports à parcourir (dans la figure du port 1-15,000), le nombre de balayages simultanés (8 balayages dans la figure), l’emplacement pour des scénarios CGI. Typiquement le balayage de port dans Nessus est fait par un autre programme appelé nmap.
Image 19. Fenêtre de sélection de la cible.
Dans cette fenêtre, l’utilisateur peut choisir une machine cible ou un sous-réseau à scanner pour identifier les vulnérabilités. Dans la figure un sous-réseau 192.168.176.0/24 doit être scanné. Employez une virgule ‘,’ pour séparer les cibles à scanner. L’utilisateur peut aussi vérifier si une machine avec DNS peut être transférée de zone en choisissant un bouton «Perform a DNS zone transfer». (Pour des raisons de sécurité, les informations sur les zones de transfert ne sont autorisées que pour la machine qui possède les droits d’accès.)
Image 20. Fenêtre utilisateur.
L’utilisateur peut changer son mot-de-passe ou sa phrase mot-de-passe pour entrer dans Nessus ou enlever même la clef privée et spécifier aussi des privilèges de scan de réseaux complémentaires en employant le bouton Add-rule.
Image 21. Fenêtre d’information sur Nessus.
Cette fenêtre montre tous les développeurs de Nessus, la version actuelle et son site Web pour trouver plus d’information sur Nessus.
Image 22.1. mode scan d’un sous-réseau.
Image 22.2. mode scan d’une seule machine.
Après avoir contrôlé tous les onglets de la fenêtre de configuration (Nessus Setup), l’utilisateur peut maintenant scanner le réseau cible comme indiqué dans la fenêtre de sélection de la cible en cliquant sur le bouton «Start the scan» au bas de la fenêtre. L’image 22.1 montre le scan d’un sous-réseau tandis que L’image 22.2 montre le scan d’une machine simple. À tout moment, l’utilisateur peut cesser de scanner une machine individuelle s’il le veut en cliquant sur «Stop» au côté droit ou même arrêter tous les scans complètement en cliquant sur «Stop the whole test».
Image 23. le résultat du scan de la machine 192.168.176.130.
Cette image montre le résultat du scan de la machine 192.168.176.130. La fenêtre gauche montre les alertes de sécurité concernant les vulnérabilités trouvées. Pour la fenêtre droite, en cliquant sur chaque petit cercle, l’utilisateur obtiendra plus de détails au sujet de la vulnérabilité.
Image 24. Diagramme des risques de sécurité.
L’image 24 affiche le résultat du scan la machine 192.168.176.130 sur le Web. Après avoir scanné une machine, Nessus produit un fichier index.html qui peut être affiché sur le Web, juste comme celui-là pour la machine 192.168.176.130. Le diagramme en camembert montre en pourcentage les quatre catégories de risques, bas, moyen, haut, et sérieux. Cela montre le niveau des problèmes de sécurité trouvés dans le réseau et mène potentiellement aux voies à explorer pour traiter ces problèmes.
Nous vous présentons dans cette section un rapport de vulnérabilités effectué avec NESSUS. L’analyse des vulnérabilités a été effectué sur un serveur Linux / Debian version 3.0 dans un environnement contrôlé, soit notre laboratoire de tests. Tel qu’il apparaît dans la première section du rapport, ce test a été effectué le 9 mai 2003 vers 13h16(pm). L’ensemble des tests a duré 31 minutes. Le rapport détaillé est disponible en annexe XXX.
Session name: serveur test
Start Time:
09.05.2003 13:16:56
Finish Time:
09.05.2003 13:48:10
Elapsed:
0 day(s) 00:31:13
Le rapport nous indique ensuite le nombre de vulnérabilités identifiées, soit 52, dont 3 sont majeures et 47 mineures. Ceci apparaît dans la section suivante du rapport.
Total records generated:
52
high severity:
5
low severity:
47
informational:
0
La section suivante Summary of scanned host (sommaire des informations obtenues), nous donne, tel que le nom l’indique, un sommaire des informations recueillies par NESSUS.
Summary of scanned hosts
Host
Holes
Warnings
Open ports
State
192.168.1.15
5
47
0
Finished
Finalement. La dernière section nous donne le détail des vulnérabilités technologiques identifiées ainsi que des pistes de solutions pour les éliminer ou en réduire l’impact potentiel. Nous en illustrons, ci-dessous, une à titre d’exemple.
Service
Severity
Description
smtp (25/tcp)
High
It was possible to perform a denial of service against the remote Interscan SMTP server by sending it a special long HELO command.
This problem allows an attacker to prevent your Interscan SMTP server from handling requests.
Solution: contact your vendor for a patch. Risk factor : Serious CVE : CAN-1999-1529 BID : 787
D’abord avant de procéder à l’analyse des résultats, il est nécessaire d’interpréter les résultats pour essayer de comprendre e qui a été observé par l’outil NESSUS. Dans le cas présents nous pouvons observer les ports ouverts e3t les services disponibles sur l’actif informationel analyser. À la lecture des informations fournies (en anglais) par NESSUS et en effectuant des recherches sur Internet[7] nous avons été en mesure de les identifier.
Ports
Service
Description
13
daytime (13/tcp)
Offre un service d’horloge qui indique l’heure et la date locale du système.
21
ftp (21/tcp)
Protocole utilisé pour transférer des fichiers, à l’aide de comptes protégés par mots de passe ou anonymement.
22
ssh (22/tcp)
Service d’accès sécurisé à ce système par des ordinateurs clients externes.
23
telnet (23/tcp)
Protocole d’accès de terminal distant.
25
smtp (25/tcp)
Service de transfert de courriers électroniques.
37
time (37/tcp)
Protocole qui retourne l’heure relativement à l’horloge interne du système.
53
domain (53/udp)
Domain Name Server, service de résolution des noms qui permet d’obtenir l’adresse IP
79
finger (79/tcp)
Protocole qui permet d’obtenir de l’information sur un utilisateur.
111
sunrpc (111/udp)
SUN Remote Procedure Call, protocole qui permet l’exécution de programmes sur un système.
113
auth (113/tcp)
Service utilisé dans des applications ayant usage d’une restriction d’accès. Retourne le numéro d’un port IP actif sur la machine et l’utilisateur.
443
https (443/tcp)
Protocole utilisé pour l’accès sécurisé à des pages web.
515
unknown (515/tcp)
Protocole Spooler utilisé pour l’accès à des imprimantes sur ce système par des utilisateurs externes.
518
unknown (518/udp)
Protocole Talkd utilisé pour des communications interactives (similaire à ICU, par exemple)
821
unknown (821/udp)
Service inconnu
1241
unknown (1241/tcp)
Dans ce cas, port utilisé par le logiciel NESSUS.
Considérons ensuite la fonction principale de l’actif informationel analysé. Ce serveur est utilisé comme appareil de test pour effectuer des analyses de vulnérabilités, de ce fait certains des services, tels NESSUS, HTTPS et SSH, y sont requis. Ainsi nous croyons que les ports, mais aussi les vulnérabilités qui y sont associés, sont justifiables dans une certaine mesure. Les autres services ne sont pas absolument nécessaires. Évidemment il est nécessaire que les services nécessaires soient configurés adéquatement. Si l’on accepte la recommandation générale que les services qui ne sont pas nécessaire sur un système d’information, ces services sont considérés superflus. Il est donc nécessaire de regarder le rapport détaillé, inclus en annexe, afin d’examiner la configuration des services requis pour s’assurer qu’il n’y a pas de vulnérabilités reliés à la configuration. Cette recherche devrait s’effectuer à partir des sites Internet de références pour ces services, par exemple, pour NESSUS, le site Internet http://www.nessus.org, pour HTTPS, le site Internet http://www.apache.org et pour SSH, le site Internet http://www.openssh.org . Prenons comme exemple le service SMTP sur le port 25 et examinons les vulnérabilités identifiées par NESSUS pour celui-ci.
Severity
Description
High
It was possible to crash the remote SMTP server by opening a great amount of sockets on it.
This problem allows an attacker to make your SMTP server crash, thus preventing you from sending or receiving e-mails, which will affect your work.
Solution : If your SMTP server is constrained to a maximum number of processes, i.e. it’s not running as root and as a ulimit ‘max user processes’ of 256, you may consider upping the limit with ‘ulimit -u’.
If your server has the ability to protect itself from SYN floods, you should turn on that features, i.e. Linux’s CONFIG_SYN_COOKIES
The best solution may be Cisco’s ‘TCP intercept’ feature. Risk factor : Serious CVE : CAN-1999-0846
High
It was possible to perform a denial of service against the remote Interscan SMTP server by sending it a special long HELO command.
This problem allows an attacker to prevent your Interscan SMTP server from handling requests.
Solution : contact your vendor for a patch. Risk factor : Serious CVE : CAN-1999-1529 BID : 787
High
There is a buffer overflow when this MTA is issued the ‘HELO’ command issued by a too long argument (12,000 chars)
This problem may allow an attacker to execute arbitrary code on this computer, or to disable your ability to send or receive emails.
Remote SMTP server banner : 220 fcds0001.fortiernet.com ESMTP Exim 3.36 #1 Fri, 09 May 2003 08:38:00 -0400
Low
The file 42.zip was sent 2 times. If there is an antivirus in your MTA, it might have crashed. Please check its status right now, as it is not possible to do so remotely
Dans un premier temps il est nécessaire d’identifier et de catégoriser les principales menaces à la sécurité de l’information présente dans l’organisation. La notion de menace, ici, est reliée aux objectifs de sécurité de l’organisation définis dans l’étape 1. Nous recommandons d’utiliser les réponses aux questions de l’étape 1 et la connaissance de l’organisation par le comité de sécurité pour établir cette relation aux objectifs de la sécurité.
Il est donc proposé de débuter par effectuer des recherches afin d’identifier les différentes menaces. Nous avons construit une liste que nous proposons comme point de départ pour l’organisation. Cette liste est basée sur l’expérience de l’auteur de ce livre que nous avons enrichie avec des informations recueillies sur Internet et dans des articles récents sur la sécurité de l’information. Nous avons ensuite catégorisé ces menaces et y avons ajouté de brèves descriptions.
Dans un premier temps nous proposons que le chef de projet communique cette liste par courrier électronique aux membres du comité de sécurité et aux parties prenantes identifiés de l’actif informationel analyse (définis à l’étape 1). Par la suite le chef de projet pourra intégrer l’ensemble des réponses et des commentaires dans une seule liste. Au besoin, le chef de projets pourra rencontrer certains de ceux-ci afin d’éclaircir certains points. Encore une fois, le chef de projets pourra corriger la liste pour tenir compte des commentaires de ces participants.
Nous proposons une liste des menaces comme point de départ aux discussions. Dans cette liste les menaces ont été classées en deux catégories principales :
les menaces pouvant causer des dommages matériels;
La catégorie des dommages matériels comprend les dommages matériels ou physiques aux divers éléments des systèmes d’information d’une organisation. Ces atteintes ne représentent qu’un faible pourcentage des sinistres informatiques. Les pertes associées à ces dommages sont évaluées en fonction de la valeur de remplacement.
Les phénomènes accidentels identifient les évènements causés par l’environnement technique des systèmes d’information. Ceux-ci incluent des évènements naturels dont les conséquences sont aisément identifiables. Nous proposons ceux-ci :
Menace
Exemples de conséquence
Bris accidentels
Indisponibilité du système d’information;Dommages aux systèmes d’informations;
Panne accidentelle
Indisponibilité du système d’information;Dommages aux systèmes d’informations;
Accident périphérique significatif (déraillement de train, chute d’aéronef, naufrage)
Indisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;
Accident industriel
Indisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;
Incendie
Indisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;
Inondation
Destruction de données;Indisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;
Tremblement de terre – séisme
Destruction de données;Indisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;
Tornade – Ouragan
Destruction de donnéesIndisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;
Panne de courant
Modification des données;Destruction de données;Indisponibilité du système d’information;Dommages aux systèmes d’informations;
Pointes de courant
Modification des données;Destruction de données;Indisponibilité du système d’information;Dommages aux systèmes d’informations;
Champs électromagnétiques
Destruction de données;Destruction du matériel Destruction des réseaux
Désastre environnemental
Destruction de données;Indisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;
Dommages collatéraux (Guerre)
Destruction de données;Destruction du matériel Dommages ou destruction physique des systèmes d’informations et des infrastructures;
Le vandalisme identifie des situations par lesquelles une ou plusieurs personnes détruisent sciemment ou subtilisent un système d’information. Parmi les différentes catégories de menaces associées au vandalisme, nous proposons ceux-ci :
Menace
Exemples de conséquence
Vol
Accès non autorisé aux données; Destruction de données;Indisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;
Incendie
Modification des données;Destruction de données;Indisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;
Sabotage
Accès non autorisé aux données; Modification des données;Destruction de données;Copie des données;Indisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;
Guerre
Destruction de données;Indisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;
Activisme ou cyberactivisme
Accès non autorisé aux données; Modification des données;Destruction de données;Copie des données;Indisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;Dommages ou destruction physique d’infrastructures critiques;Blessures ou Pertes de vie humaines;
Terrorisme
Accès non autorisé aux données; Modification ou destruction de données;Indisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;Dommages ou destruction physique d’infrastructures critiques;Blessures ou Pertes de vie humaines;
La catégorie des dommages immatériels comprend des menaces qui, si elles survenaient, pourraient causer des dommages aux données, programmes, logiciels contenus dans un système d’information. Il s’agit aussi de menaces à la confidentialité, l’intégrité et la disponibilité des systèmes d’information. Ces atteintes représentent le plus grand nombre des sinistres informatiques. L’évaluation des pertes associées des dommages immatériels est difficile à évaluer. Nous suggérons l’utilisation de «worst case scenario » afin de d’assister l’organisation dans son évaluation.
L’erreur est l’acte involontaire d’un membre de l’organisation ou d’un utilisateur légitime d’un système d’information à la suite d’une mauvaise manipulation. Il en résulte des dommages immatériels comme la perte d’un fichier, la mauvaise exécution d’un programme, ou l’exécution d’une commande destructrice. Ces phénomènes peuvent aboutir à des pertes très importantes pour l’organisation. Nous proposons ceux-ci :
Menace
Exemples de conséquence
Erreur de manipulation
Données erronées;Modification des données;Destruction de données;Indisponibilité du système d’information;Destruction de la salle informatique si une personne fume dans la salle, suite a une émanation de gaz Holon
Erreur dans l’entrée des données
Données erronées;Modification des données;Destruction de données;
Erreur de programmation
Données erronées;Modification des données;Destruction de données;Indisponibilité du système d’information;
Erreur de configuration
Accès non autorisé aux données; Modification des données;Destruction de données;Copie des données;Indisponibilité du système d’information;
Erreur de gestion de la capacité
Destruction de données;Indisponibilité du système d’information;
Vulnérabilité universelle
Données erronées;Modification des données;Destruction de données;Indisponibilité du système d’information;
La fraude représente une partie importante des sinistres informatiques. Il s’agit le plus souvent de virements bancaires frauduleux ou du vol de fichiers contenant des numéros de cartes de crédits. Ces actes peuvent être l’œuvre d’un tiers mais sont souvent le fait de membres d’une organisation. Nous proposons ceux-ci :
Menace
Exemples de conséquence
Virement frauduleux
Perte économique
Détournement de biens
Indisponibilité du système d’information;
Espionnage industriel
Accès non autorisé aux données;Copies de données;Destruction de données; Divulgation d’informations;
Vol d’identité
Accès non autorisé aux données; Divulgation d’informations;
Erreur volontaire dans l’entrée des données
Dépôt ou transfert de fonds
Erreur volontaire de programmation
Perte des fractions (arrondis) sur de nombreuses transactions;
Nous avons regroupé sous le nom de cybercrimes les fraudes informatiques réalisées par l’intermédiaire des systèmes d’informations ou de réseaux de télécommunications, tel que le réseau InterNet. C’est l’intrusion illégale d’un tiers à l’intérieur d’un système d’information, d’une base de données afin de les manipuler, les altérer ou d’en tirer profit. Nous proposons ceux-ci :
Menace
Exemples de conséquence
Écoute (Keylogging)
Copie de données;Accès non-autorisé;
Écoute réseau (Sniffer)
Copie de données;Accès non-autorisé;
Virus
Modification des données;Destruction de données;Ralentissement des traitements;Indisponibilité du système d’information;
Vers
Modification des données;Destruction de données;Ralentissement des traitements;Indisponibilité du système d’information;
Cheval de Troie
Modification des données;Destruction de données;Ralentissement des traitements;Indisponibilité du système d’information;
Hackers
Atteinte à la réputation de l’organisation;Divulgation d’informations sur l’infrastructure;Divulgation de données;Accès non autorisé aux données; Modification des données;Destruction de données;Copie des données;Indisponibilité du système d’information;
Attaques ciblées immédiates
Accès non autorisé aux données; Modification des données;Destruction de données;Copie des données;Indisponibilité du système d’information;
Attaques ciblée retardée
Accès non autorisé aux données; Modification des données;Destruction de données;Copie des données;Indisponibilité du système d’information;
Attaques ciblées distribuées
Accès non autorisé aux données; Modification des données;Destruction de données;Copie des données;Indisponibilité du système d’information;
Prise de contrôle
Accès non autorisé aux données; Modification des données;Destruction de données;Copie des données;Indisponibilité du système d’information;Devient une plate-forme de lancement pour de nouvelles attaques;
Cybersquattage
Utilisation non autorisée de ressources;Accès non autorisé aux données;
Cybersabotage
Accès non autorisé aux données; Modification des données;Destruction de données;Copie des données;Indisponibilité du système d’information;
Cyberactivisme
Accès non autorisé aux données; Modification des données;Destruction de données;Copie des données;Indisponibilité du système d’information;
Cyberterrorisme
Accès non autorisé aux données; Modification des données;Destruction de données;Copie des données;Indisponibilité du système d’information;Dommages ou destruction physique des systèmes d’informations et des infrastructures;Dommages ou destruction physique d’infrastructures critiques;Blessures ou Pertes de vie humaines;
Hackers
Bien qu’il en soit mention dans les menaces de la catégorie fraude économiques et cybercrimes, nous identifions une sous catégorie particulière pour les risques associés aux pirates informatiques, les hackers. Nous identifions comme hackers des individus qui sont, ou se considèrent, partie d’une catégorie d’individus qui sont impliqués, sciemment ou non, dans des activités de cybercrimes en tant que membre de cette communauté virtuelle. L’appartenance à ce groupe et l’acceptation par groupe de ses membres amène les membres à commettre des actes d’intrusion dans des systèmes d’information et d’en divulguer les méthodes et les résultats avec les autres membres du groupe. Ils ont leur propre périodiques (notamment 2600 et Phrack), leurs conférences, leurs codes secrets et leurs stars, comme Kevin Mitnick.
Plusieurs études nous donnent les principales caractéristiques de ces groupes de Hackers :
Les membres ont un haut niveau d’habilités avec les technologies;
Un désir de secret et d’anonymat;
Un besoin de se valoriser dans le groupe en divulguant leurs exploits;
Ce sont des groupes aux frontières et au membership fluide;
Dominés par les hommes de race caucasienne célibataires âgés entre 12 et 30 ans, ayant complétés leurs études secondaires;
Ils ont un ensemble de valeurs et de motivations similaires.
Nous classons les membres de ces groupes sur une échelle de cinq niveaux, représentés dans le tableau ci-bas :
Niveau
caractéristiques
Novice
C’est le hacker le moins expérimenté. Ses activités se limitent à des petits méfaits.
Étudiant
Il s’agit d’étudiants qui trouve ses travaux scolaires ennuieux. Il explore les ordinateurs au lieu de faire ses travaux.
Touriste
Le touriste recherche l’aventure.
Crasher
Le crasher est un destructeur intentionnel.
Criminel
Les criminels sont les plus rares, ce sont ceux qui profitent de leurs activités.
Les hackers sont regroupés en divers sous-groupes selon des centres d’intérêts, les crackers (piratage de logiciels), les Phreakers (appels téléphoniques), les whitehats (experts en sécurité informatique) et plusieurs autres.
Nous avons regroupé sous le nom de autres menaces les qui n’entre pas dans les catégories précédentes mais qui sont susceptible d’avoir un impact significatif sur une organisation. Nous avons proposons ceux-ci :
Menace
Exemples de conséquence
Épidémie (e.g. SRAS)
Cessation des activitésIndisponibilité du personnel
Nous proposons l’utilisation d’un tableau pour l’identification des menaces présentes dans l’organisation. Le tableau complet est disponible en annexe A-3, nous en présentons ici quelques partions en exemple.
Phénomènes accidentels
Bris accidentels
Impossible Peu probable Probable Très probable Certain
Accident périphérique significatif
Impossible Peu probable Probable Très probable Certain
Cybercrimes
Virus
Impossible Peu probable Probable Très probable Certain
IP spooffing
Impossible Peu probable Probable Très probable Certain
Ingénierie sociale
Impossible Peu probable Probable Très probable Certain
Une fois que les menaces présentes ont été identifiés, le chef de projet devra en compiler une liste. Cette liste servira à la préparation des tableau d’évaluation des menaces et des risques, ci-dessous. Il est nécessaire de préparer un tableau par menace en utilisant le modèle. Ce sont ces tableaux complétés qui seront utilisés comme outils de saisie des informations pour l’analyse des menaces et des risques.
Pour chacune des menaces identifiées, en utilisant l’ensemble des tableaux décrits dans la section précédente le chef de projet déterminera, d’après ses expériences et sa connaissance de l’organisation, quelle était la probabilité de réalisation de chaque menace. L’évaluation de la probabilité s’est effectuée par une discussion sur la nature de la menace et sur l’expérience de l’organisation par rapport à cette menace. L’analyse d’incidents passés ou le fait que la menace se soit réalisée dans le passé ainsi que l’analyse de mesures correctrices ont eu une place importante dans les discussions. Au besoin nous avons consulté d’autres sources telles que les bases de données de vulnérabilité[8], les sites Internet des manufacturiers et des éditeurs de logiciels[9].
Les niveaux de probabilité ont été définis en utilisant une échelle qualitative :
nous proposons la mention sans objet pour indiquer que la menace n’est pas présente au TCR.
la mention Faible a été employée lorsqu’il a été établi qu’il n’y a aucun précédent et qu’il est peu probable que la menace ne se concrétise.
la mention Moyenne a été employée lorsqu’il y a des précédents et que la menace est vraisemblable.
la mention Élevée a été employée dans les cas ou il y a de nombreux précédents et où la menace est fort probable.
À titre d’exemple, si l’on considère la menace Virus, nous pouvons évaluer sa probabilité de réalisation comme élevée. Nous justifions cette réponse par les éléments historiques (c’est arrivé dans le passé) et les perspectives du futur (ça va arriver encore). Comme autre exemple, considérons le cybersquattage. Nous l’évaluons comme ayant une probabilité de réalisation faible car ce ’est jamais arrivé, même si c’est possible, quoique peu probable que ça se produise.
L’impact est le résultat, l’effet ou la conséquence de la réalisation d’une menace. Ainsi c’est la gravité de la conséquence qui détermine l’impact. Afin d’évaluer les conséquences, nous avons proposons un mécanisme simple d’évaluation fondé sur l’évaluation du préjudice En dressant une liste des conséquences envisagées si la menace se réalise, nous suggérons de les catégorisés. L’évaluation des conséquences permettra au comité de sécurité de déterminer l’impact pour chacune des menaces pour l’organisation, eut égard aux coûts estimés et aux coûts perçus liés à une perte de confidentialité, d’intégrité ou de disponibilité.
Une fois l’identification des conséquences de la réalisation de la menace, il devient possible d’analyser l’ensemble des conséquences et de qualifier l’impact en utilisant les valeurs qualitatives suivantes :
la mention sans objet, si l’impact n’est pas pertinent dans une situation donnée;
Faible s’il n’y a que peu d’impact;
Moyenne si l’impact est significatif;
Élevée si l’impact est important.
Dans les discussions de groupe, le comité de sécurité devrait chercher à évaluer l’impact de chaque menace qui pourrait se concrétiser en l’absence de mesures de protection. Cela est possible en utilisant les connaissances de l’actif informationel et de son environnement détenues par les participants. Le comité de sécurité cherchera à comprendre et décrire les activités de l’organisation dans laquelle évolue L’actif informationel analysé. Il devrait envisager les effets possibles sur le travail accompli, sur l’organisation elle-même et sur chacun de ses éléments qui comptent sur les renseignements ou les services offerts par l’actif informationel analysé. L’objectif des discussions, idéalement en groupe, est l’atteinte d’un consensus dans lequel le point de vue des participants de l’organisation prime sur l’opinion des experts en TI. Le rôle du chef de projet à cette étape est principalement celui de facilitateur.
Le niveau d’exposition à une menace est une fonction de la probabilité de réalisation et des impacts. Ainsi pour faciliter l’évaluation nous avons produit un tableau de référence basé sur la relation entre l’impact et la probabilité. Ce tableau est présenté plus bas.
impactprobabilité
sans objet
Faible
moyen
Élevé
sans objet
sans objet
Nul
nul
Nul
Faible
sans objet
Faible
faible
moyen
Moyen
sans objet
Faible
moyen
Élevé
Élevé
sans objet
Moyen
élevé
Élevé
Tableau 16 : évaluation du niveau d’exposition
Une fois que les informations sur la probabilité de réalisation et sur les impacts ont été obtenues, le chef de projet completera les tableaux d’analyse des menaces et des risques en appliquant le tableau ci-haut à chacune des menaces identifiées. Étape 4 : Évaluation des risques
Une fois l’évaluation des menaces (étape 3) complétée, l’analyse des risques peut être faite. Dans le déroulement d’un projet, il est possible qu’il soit plus efficace de procéder avec l’étape 3 et 4 à la suite l’une de l’autre. Ainsi l’organisation pourrait procéder menace par étape, complétant l’analyse de menaces et l’analyse de risque en ce qui pourrait sembler comme une seule étape.
La prochaine étape du processus consiste à déterminer les mesures déjà en place pouvant contrer chacune des menaces identifiées lors de l’étape précédente. En évaluant la protection dont dispose l’organisation pour se protéger des menaces que nous avons identifiées, il devient possible de déterminer s’il subsiste des points faibles. C’est par la relation entre la menace et les mesures de protection en place que nous pouvons estimer, de manière qualitative, l’état de vulnérabilité de l’organisation.
De matière générale, nous pouvons constater qu’une organisation dispose des mécanismes habituellement trouvés dans des environnements informatiques tels les journaux d’évènements (log) et des systèmes d’authentification des utilisateurs (code d’utilisateur et mot de passe). Nous donnons ici à titre d’exemple une liste des principales mesures de protection que l’on pourra trouver :
En consultation avec les parties prenantes, le chef de projet pourra envisager la possibilité que soient exploités un ou plusieurs points faibles existant sur l’actif informationel analysé. Une attention particulière devra être portée aux moments où l’actif informationel analysé est le plus vulnérable. Les principaux facteurs considérés sont identifiés ici :
la probabilité qu’une menace se concrétise;
les motifs possibles pour exploiter les points faibles;
la valeur du bien vulnérable pour l’organisation et pour l’agent menaçant;
l’effort requis pour exploiter les points faibles.
Une fois examinée la possibilité qu’un ou plusieurs points faibles existant soit exploités, le chef de projets pourra examiner les mesures de protection existantes pour établir leur équilibre en relation à la menace.
Nous retenons trois états possibles:
l’état de sécurité excessive, lorsque le niveau de protection est trop élevé par rapport à la menace ;
l’état d’équilibre, lorsque la protection est adéquate;
l’état de vulnérabilité, si les mesures de protection sont jugées insuffisantes.
Le chef de projet complétera ces informations dans chacun des tableaux d’analyse des menaces et des risques.
Après avoir déterminé l’état de vulnérabilité, le chef de projet utilisera la grille d’évaluation afin de déterminer le niveau de risque. Ce tableau représente le niveau de risque comme une fonction de la relation entre le niveau d’exposition à une menace et l’état de vulnérabilité par rapport à cette même menace.
État de vulnérabilitéNiveau d’exposition
Sécurité excessive
Équilibré
Vulnérable
Faible
Faible
Faible
moyen
Moyen
Moyen
Moyen
élevé
Élevé
Moyen
Élevé
élevé
Tableau 17 : évaluation du niveau de risque
Le chef de projet en consultation avec le comité de sécurité de l’information pourra apporter certaines améliorations pour qu’il soit plus conforme à la perception de ceux-ci. Voici les trois principaux niveaux de risque proposés:
Nos recherches indiquent qu’il ne semble y avoir aucun avantage économique justifiable à évaluer des risques exceptionnels. Les risques qui sont extrêmement élevés devraient être traités comme une certitude. Les risques qui sont très petits ne peuvent qu’avoir une infime influence sur le niveau de risque total de l’organisation ne devraient pas être considérés. L’effort requis à les identifier et les qualifier justifie qu’ils soient omis. Ainsi dans le processus d’analyse de risques nous suggérons de na pas considérer les menaces qui ont été identifiées comme certaines. Pour toutes les autres menaces, nous suggérons la création d’un tableau d’analyse des menaces et des risques, tels celui présenté en exemple ci-bas.
Menace
Type de menace Accident périphérique
Probabilité de réalisation
Impact
Niveau d’exposition
sans objet
nul
nul
X faible
moins grave
faible
moyenne
X grave
X moyen
élevée inconnue
très grave
élevé
inconnu
Risque
Mesures de protection existante Copies de sauvegardes; Possibilité de site de reprise dans une région périphérique
État de vulnérabilité
Niveau de risque
sécurité excessive
nul
équilibre
faible
X vulnérabilité
moyen
X élevée
inconnu
Tableau 18 : Tableau d’analyse des menaces et des risques complétés pour la menace Accident périphérique.
À titre d’exemple, nous pouvons observer, dans ce tableau que la probabilité de réalisation de la menace ‘Accident périphérique’ est considérée faible. Comme l’impact est considéré comme grave, l’emploi de la grille d’évaluation du niveau d’exposition nous propose un niveau moyen. Après avoir identifié, en collaboration avec les participants de l’organisation, les mesures de protection en place, nous avons établi l’état de vulnérabilité. En appliquant la grille d’évaluation du niveau de risque, nous identifions que le niveau de risque pour cette menace est élevé.
Il est nécessaire de répéter ce processus pour l’ensemble des tableaux d’analyse des menaces et des risques. Une fois ce travail a été complété pour toutes les menaces par le chef de projet, ils sont assemblés dans un document unique. Ce document devra ensuite être envoyé au comité de sécurité et aux parties prenantes identifiés à l’actif informationel étudié par courrier électronique pour consultation. Quelques jours plus tard lceux-ci pourrons être rencontrés afin de valider les résultats et, au besoin, compléter certaines informations. Au besoin, un certain nombre de corrections seront faits. Les résultats pourront ensuite être soumis de nouveau par courrier électronique pour l’obtention d’un consensus. Par la suite un tableau sommaire des résultats pourra être préparé. Le tableau suivant présente un exemple de sommaire des résultats de l’analyse des menaces et des risques.
Nous démarrons avec les principales catégories menaces. De là, nous évaluations la probabilité et l’impact des menaces afin de déterminer le niveau d’exposition de l’organisation à celles-ci. Nous procédons ensuite à identifier le niveau de risque par l’identification des conséquences et l’analyse des mesures de protection en places. Nous arrivons ainsi à déterminer le niveau de risque en matière de sécurité de l’information pour chacune des catégories. Le résultat et le processus collaboratif d’analyse des résultats par l’organisation assisté d’experts permettent d’examiner le niveau de risque en fonction des objectifs de la sécurité mentionnés au début de ce livre. C’est à la suite de cet effort qu’il est possible de proposer des changements aux différents pôles organisationnels. Ces changements pourront, par exemple, inclure la mise en place d’outils ou des modifications de processus, de rôles ou autres. Ceci est réalisé tout en maintenant l’équilibre organique multipolaire, ou si vous préférez l’alignement stratégique.
La phase d’identification des actions envisagées vise à l’identification par le comité de sécurité de l’information des diverses actions qu’elle devrait envisager pour corriger des situations à risque élevé ou pour mitiger le risque dans le cas ou l’analyse de risque le détermine. Ceci peut être fait en fonction de manaces spécifiques ou de situations spécifiques. La principale source d’information devrait être l’analyse de risque. Cependant des sources d’information importante devraient aussi être l’analyse de vulnérabilités et les résultats de l’audit.
Dans un premier temps le chef de projet devrait faire une liste priorisés des menaces ayant un niveau de risque qui est supérieur au niveau de risque acceptable. Ensuite le chef de projet devrait y intégrer les menaces ayant le plus haut indice de risque calculé selon la méthode proposée plus loin dans ce livre. Cette liste peut être mise sous a forme d’un tableau pour faciliter le travail d’évaluation. Il pourrait ajouter au tableau les colonnes, tel qu’illustré ci-dessous :
La phase d’identification des apprentissages vise à identifier les succès et les échecs. Ces informations seront compilés par le chef de projets l en collaboration avec certains des participants et parties prenantes dans un rapport. Les leçons acquises sont documentées et, au besoin, des modifications dans le cadre théorique et méthodologique du processus de gestion du risque, dans les politiques de sécurité ou dans les processus d’affaires pourront être apportées.
Nous proposons que le comité de sécurité de l’information, dans un processus formel, révise l’ensemble des résultats obtenus en tenant compte des actions envisagées. Ceci devrait servir èa alimenter des processus de gestion de projet, de développement de systèmes ou de gestion du changement qui ne sont pas discutés dans cet ouvrage. Comme nous l’avons déjà mentionné, Nous suggérons que l’organisation doit considérer la sécurité de l’information en fonction des cinq pôles mentionnés dans une optique d’analyse et de gestion des risques. L’organisation doit chercher à identifier ce qu’elle considère comme un niveau de risque acceptable et cherche à mettre en place des éléments qui recoupent les cinq pôles, non seulement le pôle technologie par la mise en place de solutions technologiques à des problèmes de risque organisationnel
Probabilité de réalisation (Pr) X Impact (I) = Niveau d’exposition (Ex)
Pr X I = Ex
Niveau d’exposition (Ex) X Niveau de risque (Rq) X Facteur d’ajustement organisationnel (Fao) = Indice de risque (Ir)
Ex X Rq X Fao = Ir
État de vulnérabilité
sécurité excessive
5
équilibre
1
vulnérabilité
10
Le Facteur d’ajustement organisationnel (Fao) est utilisé pour pondérer les résultats en fonction de divers facteurs organisationnels, le niveau de risque acceptable, d’éléments de risque intangibles ou sur la base de l’expérience acquise dans l’évaluation de l’indice de risque. Ce facteur d’ajustement sera contant sur l’ensemble des actif informationels étudiés et quantifiés avec la méthode IVRI. Initialement il est suggéré d’utiliser un facteur de 1.0, soit une valeur neutre.
L’indice de risque pour un actif informationel est calculé comme la somme des indices de risques pour l’ensemble des menaces pertinentes pour un actif informationel analysé.
Le document d’analyse du risque est un document qui contient l’ensemble des résultats obtenus lors des diverses étapes décrites précédemment. Il servira principalement pour l’élaboration du rapport final et pour la présentation des résultats, à l’étape suivante.
L’objectif principal est de procéder à présenter les résultats obtenus par le comité de sécurité de l’information au comité de gouvernance de la sécurité.
Lors de la préparation du rapport final, le chef de projet assemble des renseignements préparés plus tôt dans le processus. D’abord en utilisant le Rapport d’analyse de l’actif informationel, résultant de l’étape 1 de la méthodologie IVRI, le chef de projet pourra récupérer l’ensemble des informations qui décrivent l’actif informationel ainsi que les besoins en matière de sécurité de l’information. Le chef de projet devrait utiliser les versions électroniques du rapport d’analyse et effectuer un copier-coller afin de faciliter sa tâche.
La seconde source d’information pour le rapport final est le document d’analyse du risque, résultant de l’étape 3 de la méthodologie. Dans un premier temps, le sommaire des résultats de l’analyse de risque est intégré au rapport final. Ensuite l’ensemble des résultats détaillés et des tableaux sont attachés. Ce document devrait comprendre l’ensemble des tableaux. Il sera organisé différemment selon les organisations, nous proposons cependant un plan typique d’un tel document.
Encore ici, le chef de projet devrait utiliser les versions électroniques du rapport d’analyse et effectuer un copier-coller afin de faciliter la tâche. Lors d’un premier passage, le chef de projet produira ainsi le projet de rapport final, qui devra être approuvé par le comité de sécurité de l’information pour ensite être présenté au comité de gouvernance de la sécurité.
Le processus proposé de révision du rapport final est participatif. C’est-à-dire que l’ensemble des participants au comité de sécurité de l’information y participe.
Le chef de projet, une fois le projet de rapport final complété, le fera parvenir par courrier électronique, dans un format qui permet de faire des modifications. Les récipiendaires en prendrons connaissance et devrons faire parvenir leurs commentaires au chef de projet dans un délai déterminé. Ce délai devrait être négocié au préalable.
Si c’est jugé nécessaire, le document peut circuler à quelques reprises entre les participants jusqu’à l’obtention d’un consensus.
Un fois qu’un consensus du comité de sécurité de l’information aura été obtenu sur le rapport final, ce rapport pourra être présenté au comité de gouvernance. Cette présentation devrait se faire initialement dans un cadre formel.
La présentation, d’une durée maximale de 60 minutes devrait comporter les éléments suivants :
Nous suggérons de mandater un chef de projet pour faire le suivi des actions retenues. En utilisant une méthodologie de gestion de projet et en mettant en place un processus de gestion du changement, le chef de projets pourra veiller à la réalisation des activités menant à leur mise en œuvre. Il est important que ces actions soient intégrées en respectant les objectifs de sécurité de l’organisation.
Au besoin, le comité de sécurité de l’information devrait faire des modifications aux objectifs de sécurité de l’information de l’organisation. À cette étape du processus, ces changements devraient être catalisés par les résultats obtenus.
De la même façon, nous suggérons à cette étape au comité de sécurité de l’information de réfléchir aux changements qui pouraient être envisagés aux politiques de l’organisation.
Si les membres du comité de sécurité de l’information le juge pertinent, il peut s’avérer avantageux de faires des modifications à la méthodologie pour mieux l’adapter aux besoins ou à la culture de l’organisation.
Nous avons proposé cette méthodologie afin d’aider les praticiens des technologies de l’information à mettre en place des processus formels de gestion du risque en matière de sécurité de l’information. Bien que cet ouvraghe en présente un apperçu sommaire, nous croyons que cela est suffisant pour permettre aux organisations de mettre en place les processus essentiels à la création d’une culture de la sécurité. Évidemment, il serait souhaitable que l’organisation fasse appel aux services de consultants externes pour les premières tentatives de mise en place de la méthodologie IVRI, mais il est possible de le faire seul.
Notre intention est de faire évoluer cette méthodologie au fil de nos recherches et des nos expériences, en espérant que cela sera utilie au lecteur.
Baskerville, Richard, Investigating Information Systems with Action Research, Communications of the association for information systems, Volume 2, article 19, Octobre 1999, http://www.cis.gsu.edu/~rbaskerv/CAIS_2_19/CAIS_2_19.html
CSI, Computer Security Institute, Cybercrime bleeds U.S. corporations, survey shows; financial losses from attacks climb for third year in a row, Avril 2002
Denning, Dorothy E., Cyberterrorism, Global Dialogue, Autumn, Aout 2000
Gendarmerie Royale du Canada, Guide d’évaluation de la menace et des risques pour les technologies de l’information, Novembre 1994
Gordon, Laurence A. et Loeb, Martin, The economics of Information security investment, ACM Transactions on information and system security, vol 5, no 4, Novembre 2002, pages 438-457
Jordan, Tim, A sociology of hackers, the sosiological review, 1998, pages 757-780
Kalla, M. et als, Achieving non-repudiation of web based transactions, The journal of systems and software, 1999
Landwehr, Carl E., Formal models for computer security, ACM Computing serveys, vol 13, no 3, Septembre 1981pages.247-278
Maguire, Stuart (2002), Identifying risks during information system development: managing the process, Journal of Information Management & Computer Security, Volume 10 Number 3, pages 126-p134
Martin, Robert A. , Managing Vulnerabilities in Networked Systems, IEEE computer, p32-38, Novembre 2001
Moore, David, Code-Red: a case study on the spread and victims of an Internet worm, Presented at the Internet Measurement Workshop (IMW), Cooperative Association for Internet Data Analysis – CAIDA, San Diego Supercomputer Center, University of California, San Diego, 2002
Scott-Morton M., The Corporation of the 1990s: Information Technology an Organisational Transformation, Oxford University Press, 1991
Smith, Alan D, Rupp William T (2002), Issues in cybersecurity; understanding the potential risks associated with hackers/crackers, Journal of Information Management & Computer Security, Volume 10 Number 4, Pages 178-183
La politique devrait mettre en évidence la valeur de l’information et la mesure dans laquelle on en a besoin, ainsi que l’importance de la sécurité de l’information pour l’organisation;
o
La politique devrait identifier les exigences minimales au plan de la conformité et des règlements en matière de sécurité. Cette étape inclut des éléments tels la politique de gestion des risques, la classification et l’étiquetage d’information, la sécurité du personnel et matérielle, les exigences juridiques et contractuelles, l’élaboration et le fonctionnement des systèmes, la planification de la poursuite des activités, la production de rapports sur les incidents et les exigences d’intervention, l’application de mesures en cas de violation et la sensibilisation à la sécurité et la formation;
o
La politique devrait tenir compte de tout système d’information critique ou des exigences pertinentes.
o
La politique devrait identifier les besoins en matière de sécurité de l’information développée en fonction des sept objectifs mentionnés précédemment;
o
La politique devrait assigner les rôles et les responsabilités en matière de sécurité de l’information et la distribution des responsabilités dans la structure organisationnelle;
o
La politique devrait inclure la sécurité de l’information dans le développement de systèmes d’information et dans les processus de mise en place ou d’achats de systèmes d’information;
o
La politique devrait définir les règles et les procédures en matière de sécurité de l’information;
o
La politique devrait définir les procédures pour l’identification de la nature sensible et la classification de l’information;
o
La politique devrait identifier la stratégie de gestion du risque;
o
La politique devrait définir les besoins en matière de continuité des affaires;
o
La politique devrait définir des normes de gestion des ressources humaines;
o
La politique devrait prévoir des plans de sensibilisation des employés et de formation continue en matière de sécurité de l’information;
o
La politique devrait encadrer les obligations légales;
o
La politique devrait identifier les règles de la gestion de l’impartition et des tiers; et
o
La politique devrait définir la stratégie de gestion des incidents.
[6] Ce chapitre reprend des éléments du guide Internet d’utilisation de Nessus, créé par Banchong Harangsri, officier chargé de la sécurité du National Electronics and Computer Technology Center de Thaïlande et disponible sur http://www.linuxsecurity.com/feature_stories/nessusintro-printer.html
