Texte sur bandeau
sur bandeau ligne 2

Processus SSI

Un peu de théorie...

Mettons un point sur les i (c'est le cas de le dire) : Le "I" de "SSI" n'est pas la première lettre de "Informatique" mais de "Information".

Ceci rappelle qu'avant les ressources humaines, matérielles, logicielles permettant d'en automatiser le traitement, c'est la donnée qui prime ; c'est elle, en fin de compte, qui est vulnérable.

Donc, occupons-nous d'abord de la donnée, et demandons-nous comment assurer sa sécurité (autrement dit comment faire de la SSI)...

La première étape est évidente : il faut connaître ce qu'on veut protéger, autrement dit, définir le périmètre concerné, et faire l'inventaire de ses données et de ses propriétaires. c'est facile ;-)

La deuxième étape, appelée "définition des besoins de sécurité" est tout aussi évidente (mais moins facile...) : il faut déterminer l'importance de chaque donnée (son "poids"), en se demandant quelles seraient les conséquences d'une perte de confidentialité, d'une indisponibilité ou d'une altération de cette information. Plus les conséquences sont graves (jusqu'à l'impossibilité de remplir une des missions fondamentales), plus la donnée sera à protéger. Bien évidemment, il n'est pas question de prendre chaque donnée élémentaire l'une après l'autre pour en estimer l'importance... Concrètement, on définira des catégories d'importance (exemple pour la confidentialité), puis on classera ses données dans l'une ou l'autre de ces catégories.

La troisième étape consiste à analyser les risques pesant sur les données ; un risque est la probabilité de réussite d'une attaque effectuée par une menace interne ou externe et qui exploiterait une vulnérabilité affectant une des ressources servant à traiter la donnée (vous suivez ?). L'analyse de risque est un travail complexe (pour ne pas dire un métier), et il est recommandé d'utiliser une méthode "standard" (méthodes EBIOS ou MEHARI par exemple).

La quatrième étape consiste à combiner les besoins de sécurité (étape deux), l'analyse de risque (étape 3) et le niveau de sécurité actuel, pour établir une liste "nécessaires et suffisantes" de mesures de protection. A ce niveau, des contraintes de coûts et/ou de complexité pourront bloquer la mise en oeuvre de certaines mesures, ce qui obligera, pour les mesures irréalisables, à se contenter de réduire certains risques, à en accepter d'autres (décider de ne pas les traiter) ou à les "transférer" (souscription d'une assurance, contrat de sous-traitance).

La cinquième étape est la mise en oeuvre de ces mesures de protection (planifiée selon des critères de coût, d'efficacité, et de périmètre concerné), la sixième l'estimation de leur efficacité sur le niveau de sécurité, la septième la remise en question..., bref un éternel recommencement, ce qui est bien pratique pour ne jamais manquer de boulot, merci Mr Deming ;-)

Voilà, vous savez tout sur la SSI... Enfin presque... Pour en savoir plus, vous pouvez continuer par l'article de Wikipedia.