Partager via

Guide de gestion des risques de sécurité

Chapitre 6 : Mise en place de contrôles et mesure de l'efficacité du programme

Paru le 15/10/2004

Sur cette page

Présentation
Mise en place de contrôles
Mesure de l'efficacité du programme
Résumé
Conclusion de ce guide

Présentation

Ce chapitre traite les deux dernières phases du processus de gestion des risques de sécurité de Microsoft : la mise en place de contrôles et la mesure de l'efficacité du programme. La phase de mise en place de contrôles est claire : les responsables de la minimisation des risques créent et exécutent des programmes qui s'appuient sur la liste de solutions de contrôle suggérée pendant la phase d'aide à la décision pour minimiser les risques identifiés dans la phase d'évaluation des risques. Ce chapitre contient des liens vers des instructions pouvant être utiles aux responsables de la minimisation des risques de votre société pour gérer divers risques.

Lors de la phase permanente de mesure d'efficacité du programme, l'équipe de gestion des risques de sécurité vérifie que les contrôles mis en place précédemment offrent bien le degré de protection souhaité. Cette phase consiste également à évaluer la progression globale de la société pour l'ensemble de la gestion des risques de sécurité. Ce chapitre introduit le concept de « fiche d'évaluation des risques de sécurité » que vous pouvez utiliser pour suivre les performances de votre société. Enfin, ce chapitre souligne l'importance de surveiller les modifications de l'environnement informatique comme l'ajout ou la suppression de systèmes et d'applications ou l'apparition de nouvelles menaces et vulnérabilités. Ces types de changements peuvent obliger la société à agir rapidement pour se protéger de nouveaux risques ou de risques en évolution.

Haut de page

Mise en place de contrôles

Lors de cette phase, les responsables de la minimisation des risques utilisent les contrôles spécifiés lors de la phase précédente. La réussite de cette phase du processus de gestion des risques de sécurité de Microsoft réside dans l'approche holistique que les responsables de la minimisation des risques doivent adopter lors de la mise en place des solutions de contrôle. Ces derniers doivent tenir compte de l'ensemble du système informatique, de l'ensemble de l'entité commerciale ou même de l'ensemble de l'entreprise lors de la planification de l'acquisition et du déploiement des solutions de minimisation des risques. La section « Organisation des contrôles » de ce chapitre contient des liens vers les instructions pouvant être utiles à votre société lors de la planification de la mise en place des solutions de contrôle. Cette section est organisée selon un modèle de défense renforcée afin de faciliter la recherche d'instructions permettant de gérer des problèmes particuliers.

Figure 6.1 Processus de gestion des risques de sécurité de Microsoft : phase de mise en place des contrôles

Figure 6.1 Processus de gestion des risques de sécurité de Microsoft : phase de mise en place des contrôles

Documents nécessaires pour la phase de mise en place des contrôles

Seul un type d'informations provenant de la phase d'aide à la décision est nécessaire pour la phase de mise en place des contrôles : la liste classée par ordre de priorité des solutions de contrôle devant être mises en place. Si vous avez suivi les procédures décrites au chapitre 5, « Aide à la décision », l'équipe de gestion des risques de sécurité a consigné ces informations lorsqu'elle a présenté ses constatations devant le comité de contrôle de la sécurité.

Participants à la phase de mise en place des contrôles

Les participants à cette phase sont principalement les responsables de la minimisation des risques ; toutefois, ils peuvent demander de l'aide à l'équipe de gestion des risques de sécurité. La phase de mise en place des contrôles comprend les rôles suivants, définis dans le chapitre 3, « Présentation de la gestion des risques de sécurité » :

  • Équipe de gestion des risques de sécurité (Groupe de sécurité informatique, Facilitateur d'évaluation des risques et Preneur de notes d'évaluation des risques)

  • Responsables de la minimisation des risques (architecture informatique, ingénierie informatique et opérations informatiques)

La liste suivante regroupe les responsabilités spécifiques :

  • Ingénierie informatique : détermine comment mettre en place des solutions de contrôle.

  • Architecture informatique : indique comment les solutions de contrôle seront mises en place de manière à rester compatibles avec les systèmes informatiques existants.

  • Opérations informatiques : met en place les solutions de contrôle techniques.

  • Sécurité informatique : aide à résoudre les problèmes pouvant survenir lors des tests et du déploiement.

  • Finance : garantit que les niveaux de dépense n'excèdent pas les budgets approuvés.

En règle générale, l'équipe de gestion des risques de sécurité doit affecter un technicien spécialisé dans la sécurité pour chaque risque identifié. L'utilisation d'un seul interlocuteur permet à l'équipe de gestion des risques de sécurité de communiquer de manière cohérente et de suivre une approche précise tout au long du processus de déploiement.

Outils fournis pour la phase de mise en place des contrôles

Aucun outil n'est inclus dans ce guide pour la phase de mise en place des contrôles.

Documents devant être établis lors de la phase de mise en place des contrôles

Lors de cette phase du processus de gestion des risques de sécurité de Microsoft, vous planifierez la mise en place des solutions de contrôle spécifiées lors de la phase d'aide à la décision. Le tableau suivant reprend ces éléments clés, tout comme les sections ci-après.

Tableau 6.1 : Documents devant être établis lors de la phase de mise en place des contrôles

Informations à rassembler Description
Solutions de contrôle Liste de contrôles sélectionnés par le comité de contrôle de la sécurité et mis en place par les responsables de la minimisation des risques.
Rapports sur le déploiement des contrôles Rapport ou série de rapports créés par les responsables de la minimisation des risques, décrivant la progression du déploiement des solutions de contrôle sélectionnées.
#### Organisation des solutions de contrôle Le chapitre précédent traitait la procédure d'aide à la décision. À la suite de l'analyse effectuée durant cette phase, le comité de contrôle de la sécurité a pris des décisions sur la manière dont l'entreprise doit répondre aux risques de sécurité identifiés lors de la phase d'évaluation des risques. Certains risques peuvent avoir été acceptés ou transmis à des tiers ; une liste de solutions de contrôle par ordre de priorité a été créée pour les risques devant être contrés. L'étape suivante consiste à ébaucher des plans d'action pour la mise en place des contrôles dans un temps donné. Ces plans doivent être clairs, concis et attribués à la bonne personne ou à la bonne équipe afin d'être exécutés. Utilisez des pratiques de gestion de projet efficaces pour suivre la progression et garantir la réalisation des objectifs du projet dans le temps imparti. **Remarque :** Microsoft Solutions Framework (MSF) peut vous aider à exécuter les plans d'actions créés lors de cette phase. Conçu pour aider les sociétés à offrir des solutions technologiques de grande qualité selon un temps et un budget impartis, MSF est une approche délibérée et disciplinée des projets technologiques reposant sur un ensemble défini de principes, modèles, disciplines, concepts, instructions et de pratiques éprouvées de Microsoft. Pour plus d'informations, consultez le site

Informations à rassembler Description
Changements envisagés Rapports détaillant les changements qu'il est prévu d'apporter à l'environnement informatique.
Changements confirmés Rapports détaillant les changements qui sont sur le point d'être apportés à l'environnement informatique.
Événements de sécurité Rapports décrivant les événements de sécurité imprévus qui ont eu une incidence sur l'environnement informatique.
Rapport de synthèse sur l'efficacité des solutions de contrôle Rapport indiquant le degré d'efficacité des solutions de contrôle en termes de minimisation des risques.
Modifications apportées au profil de risque de l'entreprise Rapport signalant les modifications dont a fait l'objet le profil de risque de l'entreprise suite à l'apparition de nouvelles menaces ou de nouvelles vulnérabilités, ou à la mise en œuvre de changements au niveau de l'environnement informatique.
Fiche d'évaluation des risques de sécurité Fiche décrivant brièvement le profil de risque actuel de l'entreprise.
#### Élaboration de la fiche d'évaluation des risques de sécurité de l'entreprise La fiche d'évaluation des risques de sécurité est un outil particulièrement utile pour faire connaître la situation de l'entreprise vis-à-vis des risques de sécurité. Cette fiche permet également de déterminer l'état d'avancement du processus de gestion des risques ; à ce titre, elle constitue un outil de communication indispensable pour démontrer l'importance du processus de gestion des risques et les avantages qu'il représente pour l'entreprise. La fiche d'évaluation doit être utilisée pour présenter à la direction une synthèse du niveau de risque. Elle n'a pas pour but de présenter le point de vue tactique adopté vis-à-vis des risques identifiés lors de la phase d'évaluation des risques. **Remarque :** veillez à bien faire la distinction entre le concept de fiche d'évaluation des risques de sécurité et le concept de fiche d'évaluation des systèmes informatiques abordé dans d'autres instructions Microsoft. L'élaboration d'une fiche d'évaluation des systèmes informatiques peut constituer un moyen de mesurer précisément les progrès que l'entreprise a réalisé de manière générale sur le plan de l'environnement informatique. La fiche d'évaluation des risques de sécurité peut fournir des informations utiles dans le cadre de cette étude, mais concerne un aspect plus spécifique de l'environnement informatique : la sécurité. l'équipe de gestion des risques de sécurité doit l'utiliser pour mettre en lumière certains problèmes précis et pour préconiser certains investissements en termes de systèmes informatiques permettant de les résoudre, l'objectif étant à terme de revenir à un niveau de risque acceptable sur l'ensemble de l'entreprise. Suivant la spécificité de l'entreprise, il se peut que certains éléments classés comme éléments à haut risque dans la fiche d'évaluation soient néanmoins acceptés. La fiche d'évaluation peut être utilisée pour garder une trace de ce type de décision et pour les réexaminer lors des différents cycles du processus de gestion des risques. La figure suivante présente une fiche d'évaluation des risques simplifiée, organisée suivant la structure des couches du modèle de défense renforcée décrit au chapitre 4, « Évaluation des risques ». Il convient de personnaliser la fiche en fonctions des besoins de l'entreprise. Vous pouvez par exemple décider de classer les risques par entités commerciales ou par environnements informatiques spécifiques (un environnement informatique correspond à un ensemble de ressources informatiques ayant le même propriétaire et la même finalité commerciale). Vous pouvez également décider d'établir plusieurs fiches d'évaluation des risques si votre entreprise est très décentralisée. [![Figure 6.4 Fiche d'évaluation des risques de sécurité](images/Cc163156.rmch0604(fr-fr,TechNet.10).gif)](https://technet.microsoft.com/fr-fr/cc163156.rmch0604_big(fr-fr,technet.10).gif) **Figure 6.4 Fiche d'évaluation des risques de sécurité** Il est également possible d'utiliser la fiche d'évaluation des risques de sécurité comme composant d'un « tableau de bord » plus vaste présentant les principaux éléments de mesure relatifs aux opérations informatiques. Cette façon de présenter les éléments de mesure informatiques sous forme de tableau de bord constitue également une méthode recommandée par Microsoft. Pour plus d'informations, reportez-vous au document « Measuring IT Health with the IT Scorecard » (Évaluation des performances des systèmes informatiques à l'aide de la fiche d'évaluation des systèmes informatiques), disponible à l'adresse suivante : [www.microsoft.com/technet/itsolutions/msit/busint/scoretcs.mspx](http://www.microsoft.com/technet/itsolutions/msit/busint/scoretcs.mspx) ![Site en anglais](images/Cc163156.us(fr-fr,TechNet.10).gif). #### Mesure de l'efficacité des contrôles Une fois les contrôles déployés, il est important de s'assurer qu'ils fournissent le degré de protection prévu et qu'ils continuent de fonctionner. Vous pourriez par exemple avoir la mauvaise surprise de découvrir que l'une des failles de sécurité majeure décelées dans l'entreprise était due à une erreur de configuration du mécanisme d'authentification du réseau VPN (Virtual Private Network, réseau privé virtuel) ayant permis à des utilisateurs non authentifiés d'accéder au réseau d'entreprise. Vous pourriez être encore plus désagréablement surpris en découvrant que des pirates ont réussi à accéder aux ressources internes parce qu'un ingénieur à reconfiguré un pare-feu pour activer des protocoles supplémentaires, sans avoir reçu les autorisations nécessaires par le biais du processus de contrôle des changements en vigueur dans l'entreprise. Selon une étude du Government Accountability Office (GAO) portant sur les méthodes de gestion de la sécurité informatique utilisées dans les principales entreprises américaines non fédérales (GAO/AIMD-98-68), les tests directs apparaissent comme la méthode la plus souvent adoptée pour évaluer efficacement le degré de réduction des risques auquel une solution de contrôle permet d'aboutir. Ces types de tests peuvent être réalisés de différentes manières, notamment par le biais d'outils d'évaluation automatique de la vulnérabilité, de procédures d'évaluation manuelle ou de tests de pénétration. Dans le cas d'une évaluation manuelle, un membre de l'équipe informatique doit vérifier que chacun des contrôles est en place et fonctionne correctement. Cette procédure peut demander beaucoup de temps, s'avérer très fastidieuse et donner lieu à de nombreuses erreurs si l'on doit vérifier plusieurs systèmes. Microsoft fournit un outil gratuit d'évaluation automatique des vulnérabilités appelé [MBSA (Microsoft Baseline Security Analyzer)](http://www.microsoft.com/technet/security/tools/mbsahome.mspx) ![Site en anglais](images/Cc163156.us(fr-fr,TechNet.10).gif). MBSA analyse les systèmes locaux et distants afin de déterminer si tous les correctifs de sécurité critiques ont été installés et de vérifier un certain nombre de paramètres de sécurité de première importance. Vous trouverez des informations supplémentaires sur MBSA à l'adresse suivante : [www.microsoft.com/technet/security/tools/mbsahome.mspx](http://www.microsoft.com/technet/security/tools/mbsahome.mspx) ![Site en anglais](images/Cc163156.us(fr-fr,TechNet.10).gif). MBSA est un outil gratuit d'une grande utilité, mais notez que d'autres fournisseurs proposent également des outils d'évaluation automatique. La section précédente fait référence à une autre méthode : le test de pénétration. Dans le cas d'un test de pénétration, on autorise une ou plusieurs personnes à réaliser des tests manuels ou automatiques pour déterminer si elles sont en mesure de s'introduire d'une manière ou d'une autre sur le réseau d'une entreprise. Certaines entreprises demandent à leurs propres experts en sécurité de réaliser les tests de pénétration, tandis que d'autres font appel à des experts indépendants spécialisés dans cette discipline. Quelles que soient les personnes choisies pour réaliser ces tests, c'est le groupe de sécurité informatique qui doit se charger de gérer le processus et de consigner les résultats. Bien que les tests de pénétration présentent un intérêt indéniable, ils n'ont pas une portée aussi étendue qu'un processus d'évaluation correctement mis en œuvre et ne permettent donc pas de déceler autant de vulnérabilités. Par conséquent, il est recommandé d'utiliser d'autres méthodes en complément des tests de pénétration. **Remarque :** pour plus d'informations sur les tests de pénétration, reportez-vous à l'ouvrage *Assessing Network Security* (Évaluation de la sécurité réseau), écrits par les membres de l'équipe de sécurité Microsoft Ben Smith, David LeBlanc et Kevin Lam (Microsoft Press, 2004). Il existe d'autres moyens de vérifier la conformité. Le groupe de sécurité informatique peut inciter tous les employés de l'entreprise à fournir des commentaires. L'équipe peut également mettre en place un processus plus formel invitant chacune des entités commerciales à présenter des rapports de conformité à intervalles réguliers. Le groupe de sécurité informatique peut, dans le cadre du processus de réponse aux incidents qu'il a mis en place, élaborer ses propres rapports dans lesquels seront décrits les symptômes qui ont permis de déceler le problème, les données qui ont été exposées, les systèmes qui ont été compromis et le mode d'attaque qui a été utilisé. De nombreuses causes peuvent être à l'origine d'un incident de sécurité : exécution d'un code malveillant, tel qu'un virus ou un vers ; employés ayant enfreint par erreur la politique de sécurité ; employés ayant délibérément exposé des informations sensibles ; pirates travaillant pour une entité externe (entreprise concurrente ou administration étrangère) ; catastrophes naturelles. Les mesures prises par le groupe de sécurité informatique pour contenir l'incident doivent également être décrites. D'autres éléments peuvent être pris en compte pour évaluer l'efficacité du groupe de sécurité informatique : - Nombre d'incidents de sécurité de grande ampleur qui ont affecté des entreprises similaires, mais que les contrôles recommandés par l'équipe de sécurité ont permis de minimiser. - Temps nécessaire à la restauration complète des services informatiques suite à un incident de sécurité. - Nombre d'interlocuteurs et compétence de ces interlocuteurs. - Nombre de rapports d'informations présentés en interne. - Nombre de formations proposées en interne. - Nombre d'évaluations réalisées. - Nombre de participations à des conférences sur le thème de la sécurité informatique. - Nombre d'interventions publiques et qualité de ces interventions. - Certificats professionnels obtenus et compétences maintenues au niveau correspondant. #### Réévaluation des ressources et des risques nouveaux et modifiés Pour être efficace, la gestion des risques ne doit pas simplement faire l'objet d'un projet de courte durée, mais doit s'inscrire dans la continuité. Le lancement d'un nouveau cycle doit commencer par une réévaluation de l'environnement, sur la base des instructions fournies au chapitre 4, « Évaluation des risques ». Il est important de souligner, même si ce point peut paraître évident, que l'équipe de gestion des risques de sécurité doit reprendre et mettre à jour les inventaires des ressources, des vulnérabilités, des contrôles et de la propriété intellectuelle qui ont été élaborés lors du premier projet de gestion des risques. Pour tirer le meilleur parti de ses ressources, l'équipe doit examiner les changements apportés à l'environnement d'exploitation. Si une ressource n'a subi aucune modification depuis le dernier examen dont elle a fait l'objet, il est inutile de la réexaminer en détail. L'équipe peut mener une étude précise des changements ayant une incidence sur les systèmes informatiques pour déterminer les aspects auxquels elle doit être particulièrement attentive. Un certain nombre d'événements internes doivent être rigoureusement contrôlés, notamment l'installation d'un nouveau logiciel ou d'un nouvel équipement, le développement d'une nouvelle application en interne, les réorganisations structurelles, les fusions et les acquisitions et les sessions d'actifs. Il peut également être prudent de passer en revue la liste des risques existante pour déterminer si des changements sont intervenus. Les journaux d'audit de la sécurité peuvent mettre en lumière d'autres aspects sur lesquels l'équipe doit se pencher. L'équipe doit également être attentive aux changements qui se produisent à l'extérieur de l'entreprise, mais qui peuvent avoir une incidence sur la sécurité des systèmes en interne : Elle doit notamment : - consulter les sites Web et les listes de diffusion de fournisseurs tiers pour obtenir les dernières mises à jour de sécurité disponibles et les derniers documents publiés sur le thème de la sécurité ; - consulter les sites Web et les listes de diffusion de fournisseurs tiers pour connaître les dernières innovations en matière de sécurité et obtenir les derniers communiqués sur les vulnérabilités ; - assister aux conférences et aux forums en rapport avec la sécurité ; - organiser des formations sur le thème de la sécurité ; - se tenir constamment informée, ce qui revient à lire des ouvrages traitant de la sécurité des réseaux et des systèmes informatiques ; - suivre l'apparition de nouveaux outils et de nouvelles méthodes d'attaque. [](#mainsection)[Haut de page](#mainsection) ### Résumé Lors de la phase de mise en place de contrôles, les responsables des solutions de minimisation ont déployé les solutions de contrôle que le comité de contrôle de la sécurité a sélectionnées lors de la phase d'aide à la décision. Les responsables des solutions de minimisation ont également remis à l'équipe de gestion des risques de sécurité des rapports leur permettant de suivre l'évolution du déploiement des solutions de contrôle. La quatrième phase du processus de gestion des risques de sécurité de Microsoft s'articule autour d'activités qui doivent être menées en continu jusqu'à ce que l'équipe de gestion des risques de sécurité inaugure un nouveau cycle par une réévaluation du niveau de sécurité. Ces activités reviennent principalement à élaborer des rapports détaillés sur les changements qu'il est prévu d'apporter à l'environnement informatique, sur ceux qui sont sur le point d'être mis en œuvre et sur les événements de sécurité imprévus qui ont eu une incidence sur les systèmes informatiques. L'équipe de gestion des risques de sécurité doit également élaborer d'autres rapports lors de cette phase, notamment des rapports indiquant le degré de minimisation des risques auquel les solutions de contrôle permettent d'aboutir et des rapports signalant les modifications dont a fait l'objet le profil de risque de l'entreprise suite à l'apparition de nouvelles menaces ou de nouvelles vulnérabilités, ou à la mise en œuvre de changements au niveau de l'environnement informatique. Enfin, cette phase implique de créer et de tenir à jour une fiche d'évaluation des risques de sécurité indiquant le profil de risque actuel de l'entreprise. [](#mainsection)[Haut de page](#mainsection) ### Conclusion de ce guide Ce guide vous a présenté l'approche de Microsoft en matière de gestion des risques de sécurité. Cette approche de type proactif a pour but d'aider les entreprises de toutes tailles à se prémunir contre les risques de sécurité qui peuvent entraîner une dégradation de leurs performances. Un processus de gestion des risques de sécurité formel permet à une entreprise de mener ses activités de la manière la plus rentable possible à un niveau de risque acceptable et clairement défini, et de se doter d'un programme précis et cohérent selon lequel elle organisera ses ressources et les classera par ordre de priorité dans le but de gérer le risque. Vous prendrez conscience des avantages du processus de gestion des risques de sécurité lorsque vous mettrez en place des contrôles rentables permettant de ramener les risques à un niveau acceptable. Le niveau de risque acceptable et l'approche à adopter en matière de gestion des risques varient d'une entreprise à l'autre. De nombreux modèles de gestion des risques sont utilisés de nos jours ; il n'existe pas de solution idéale. Chaque modèle nécessite un compromis entre précision, ressources, délais, complexité et subjectivité. Une entreprise se doit d'investir dans un programme de gestion des risques de sécurité impliquant la mise en œuvre d'un processus fiable et concret, et la définition des rôles et des responsabilités pour être à même d'établir les priorités, prendre les mesures nécessaires pour minimiser les risques et faire face aux vulnérabilités et aux menaces critiques qui peuvent compromettre ses activités commerciales. Axé sur des normes établies, le processus de gestion des risques de sécurité de Microsoft constitue une approche hybride alliant les meilleurs éléments des différents modèles de gestion des risques existants, sous la forme d'un processus itératif en quatre phases conciliant rentabilité et efficacité. Dans le cas du processus d'évaluation des risques, on utilise dans un premier temps une approche qualitative pour identifier les risques les plus importants. Ensuite, on adopte une approche quantitative axée sur des rôles et des responsabilités bien définies. Cette approche permet d'obtenir un niveau de détail élevé et d'appréhender les risques les plus importants. Les approches qualitative et quantitative du processus d'évaluation des risques définissent les bases sur lesquelles vous allez vous appuyer pour prendre les décisions adéquates concernant les risques et la minimisation dans le cadre d'un processus commercial intelligent. Vous avez lu l'ensemble du guide et vous êtes donc prêt à lancer le processus. Nous vous invitons pour commencer à revenir au chapitre 4 « Évaluation des risques ». [](#mainsection)[Haut de page](#mainsection)