« J’ai trois principes quand je conduis : prudence, prudence, prudence. »
Le Chat - Philippe Geluck

Comme tout objet auditable, la sécurité informatique doit être approchée avec scepticisme et pragmatisme. Il faut aussi se doter d’un certain nombre de connaissances et d’outils. Nous essayons d’y pourvoir dans un périmètre très général.

José Bouaniche, CISA, CIA, fait partie du groupe de traducteurs bénévoles du cadre de référence CobiT à l’AFAI.

La sécurité informatique couvre tant de domaines et nécessite une telle expertise qu’elle permet à tous et à chacun, sous réserve de prendre un air pénétré, de passer pour un expert. De plus, et c’est son côté merveilleux, ce sujet n’éveille que de bons sentiments face aux pirates, aux malveillants, aux terroristes : on veille sur nous pour nous rappeler la morale (puisque des associations commerciales ont pu nous encouragent à dénoncer les délinquants), nous protéger (en proposant par exemple d’attribuer à chaque internaute un numéro unique d’identification), nous cocooner (en intégrant au firmware de l’ordinateur la possibilité d’interdire l’exécution d’un programme dont la licence d’utilisation n’est pas reconnue), nous policer en quelque sorte...

Bien sûr, les esprits chagrins hurlent à l’atteinte aux libertés individuelles. Les esprits retors ricanent en soulignant que la sécurité est un marché fabuleux qui, par nature, ne peut être saturé et à l’immense qualité d’offrir des dispositifs de surveillance de ses consommateurs. Enfin, les responsables de la sécurité informatique des entreprises continuent de mal dormir...

Il faut bien admettre qu’on souhaiterait pourtant un outil définitif de sécurité dans un univers où il y a des bizarres qui lancent des virus dans la nature pour le fun tandis que d’autres incroyables vont double-cliquer sur une pièce jointe d’un mail envoyé par un inconnu avec en objet « I love you »... Ne nous croyons pas à l’abri de ces mésaventures, car qui n’a pas installé sur son ordinateur un logiciel sans savoir vraiment ce qu’il y avait dedans, ordinateur sur lequel tourne souvent, d’ailleurs, un système d’exploitation notoirement bogué [1] ? Rappelons nous aussi que pour qu’une maison ne soit pas facilement cambriolée, il suffit de la construire sous la forme d’un bloc de béton sans porte ni fenêtre...

En résumé, pour aborder la sécurité, un certain nombre de notions préalables sont indispensables :

C’est bien beau, me direz vous, mais comment avec ça assurer la sécurité ? Souvenons nous que les auditeurs que nous sommes n’assurent pas la sécurité mais donnent à la Direction qui les mandate une assurance raisonnable concernant les dispositifs de sécurité face aux risques.

Ajoutons à cela que, suivant l’IIA, l’auditeur interne doit faire preuve de scepticisme professionnel. Ce scepticisme doit s’appliquer non seulement à la conformité du dispositif vis-à-vis de l’état de l’art par exemple, mais encore à son efficacité dans le cadre de son application dans l’entreprise (à quoi sert un firewall si on peut se connecter directement par modem ?). Pour ce faire, il faut dérouler une démarche systématique et méthodique.

Sécurité - Référentiels

(PDF, 52.9 ko)

[1] Si c’est le cas et qu’il n’y a pas d’administrateur système pour mettre à niveau le système d’exploitation avec des patchs de sécurité, il peut être utile de s’abonner à des lettres d’alerte gratuites, comme celle de www.secuser.com.