Implantation D'un Erp (Enterprise Resource Planning)

de la sécurité et une certaine automatisation des processus de sécurité ; Un niveau de confiance déterminé du personnel ; Un personnel sensibilisé et formé à la sécurité et possédant une haute valeur morale ;

1

Une certaine éthique et un respect des contraintes légales apportées par la présente charte. L’architecture de sécurité s’articule autour d’un certain nombre de modules qui permettent de la définir convenablement et totalement.

MODULE N°1 : POLITIQUE GENERALE DE SECURITE

Ce module définit les critères d’entame de la politique de sécurité autrement dit, les facteurs essentiels au démarrage du dit projet. Il s’agit de : La définition et l’attribution des responsabilités. Par responsabilités, on entend : la Direction

Générale, les Responsables Métiers, les Utilisateurs et le Responsable de la Sécurité du Système d’Information.

La Direction Générale La Direction Générale est le moteur du programme de sécurité et son soutien est essentiel pour le déploiement du dit programme. Elle valide la politique de sécurité et les projets induits. Elle est informée régulièrement des avancées du programme et de toute atteinte à la sécurité des valeurs de l’entreprise. Les Responsables Métiers Les Responsables Métiers ont pleinement connaissance du programme de sécurité et mettent leur position hiérarchique au service du programme. Ils sont garants de l’implémentation du programme de sécurité dans leurs aires de responsabilités et doivent disposer des éléments techniques ou de réflexion nécessaires à la prise en compte de la sécurité dans leur métier. Les Utilisateurs Un utilisateur est un employé, un contractuel, un prestataire et plus généralement toute personne utilisant une ressource. Il doit se conformer aux règles de sécurité, quelle que soit son action (création, modification, traitement, utilisation d’information ou de ressources). Il doit être sensibilisé et formé aux règles de sécurité et avoir une connaissance de ses droits et devoirs. Il doit remonter vers sa hiérarchie ou le Responsable Sécurité toute forme d’atteinte à la politique de sécurité (dysfonctionnement des systèmes, virus…).

2

Le Responsable de la Sécurité du Système d’Information Il est le responsable de la sécurisation des processus, des transactions de l’entreprise et de l’application d’un programme de sécurité évolutif. Il assure le programme de sensibilisation, d’explication des actions de sécurité et de la distribution des responsabilités comme définie dans la dite charte. Il doit évaluer et gérer les risques informatiques, physiques et plus généralement susceptibles d’intenter au patrimoine informationnel. Il doit acquérir et organiser le déploiement d’outils de sécurité modernes et répondant aux exigences du programme. Il se doit également d’assurer une veille technologique constante dans le domaine de la sécurité et effectuer un report régulier sur les évolutions de la politique de sécurité à la Direction Générale. Il peut aussi jouer le rôle de Propriétaire d’information et doit donc s’assurer des points suivants : Une analyse de risque liée aux ressources dont il est propriétaire ; Les ressources sont régulièrement passées en revue pour vérifier leur conformité aux exigences de sécurité ; L’accès aux ressources est limité aux exigences du métier des utilisateurs ; Les droits d’accès aux ressources sont définis, justifiés et documentés. Ils sont régulièrement vérifiés et validés. EVALUATION DU NIVEAU DE SECURITE Avant d’entamer la mise en œuvre de la politique de sécurité, il est important de connaitre le niveau actuel de sécurité de l’entreprise. La méthode SLAM (Security Level Analysis Method) est alors requise. Il s’agit de 300 questions générant un rapport d’évaluation SLAM et permettant d’évaluer efficacement le niveau de sécurité d’une entreprise.

MODULE N°2 : TRAITEMENT ET PROTECTION DE L’INFORMATION

En sécurité de l’information, on distingue plusieurs aspects qui sont liés aux données : la

Confidentialité, l’Intégrité, la Disponibilité, la Non-répudiation, la Gestion de la preuve et

l’Authentification. Dans ce module, il est question d’énumérer les techniques de protection des informations du système.

3

NOTION DE PROPRIETE D’INFORMATION (Définition) PROTECTION DE L’INFORMATION Il s’agit de l’utilisation des techniques de sécurité (chiffrement des données locales : notion de cryptographie, circulation sécurisée de l’information etc.) pour assurer l’Intégrité des données. DISPONIBILITE DE L’INFORMATION Il s’agit de l’usage des méthodes de sauvegardes et de restauration. CONFIDENTIALITE DE L’INFORMATION Il est question d’assurer de manière efficiente le processus d’administration des droits des utilisateurs et d’authentification (simple ou forte). En effet, l’authentification correspond à un contrôle d’accès qui est du domaine de la confidentialité. Il y a également une notion d’Authenticité qui n’est pas liée directement au contrôle d’accès. Il s’agit en fait pour celui qui consulte une donnée de se convaincre de l’identité du créateur de la donnée. LA NON-REPUDIATION Elle vise à empêcher que l’auteur d’une donnée puisse prétendre ensuite qu’il n’en est pas l’auteur. Elle implique l’intégrité mais s’étend au-delà (Norme ISO 13335). La gestion de la preuve quant à elle concerne tous les aspects de la sécurité des systèmes d’information.

MODULE N°3 : SENSIBILISATION

Il est question de sensibiliser le personnel c’est-à-dire leur faire accepter les contraintes imposées par la politique de sécurité, de diffuser le programme de sécurité afin que les utilisateurs puissent être bien informés de sa substance. Enfin, il s’agira de rappeler le rôle des ressources humaines (informer les Responsables Métiers et le Responsable de Sécurité de l’insertion des nouveaux utilisateurs dans le système afin que ces derniers puissent rapidement s’adapter à la politique de sécurité).

4

MODULE N°4 : SECURITE PHYSIQUE

Dans l’architecture de sécurité proposée, il faut prendre en compte la sécurité des infrastructures physiques (anti-incendie, anti-intrusion …) et la sécurité des matériels (onduleurs,

gestion physique des sauvegardes …).

MODULE N°5 : SECURITE DES INFRASTRUCTURES RESEAUX ET TELECOMMUNICATIONS

La substance même de l’élaboration de la présente charte est accordée à ce module. En effet, il convient à cette étape de décrire les grands axes de la mise en œuvre de l’architecture pratique proprement dite. Les diverses actions à mettre en place sont :

UNE POLITIQUE ANTIVIRUS D’ENTREPRISE L’une des précautions pour le bon fonctionnement du réseau d’une entreprise est l’adoption d’un antivirus réseau performant. Il est important d’acquérir un antivirus capable de gérer au mieux les malveillances logicielles. Il va donc falloir après le choix de cet antivirus faire une description

fonctionnelle de son utilisation, éditer son schéma d’architecture, son paramétrage et enfin

planifier sa maintenance. PARE FEU Une autre précaution à prendre est la disposition d’un pare feu. En effet, afin de mieux gérer le flux internet de l’entreprise (les téléchargements, le débit internet, la bande passante), il est nécessaire de se doter d’un serveur mandataire. Le rôle de ce dernier est d’assurer une meilleure gestion des téléchargements effectués dans l’entreprise afin d’éviter que certains utilisateurs n’en abusent. Comme il a été le cas pour l’antivirus réseau, il faut réaliser la description fonctionnelle du pare feu, son schéma d’architecture, son paramétrage et la planification de sa maintenance. SONDES DE DETECTION D’INTRUSION Les sondes de détection d’intrusion permettent de rapidement identifier les potentiels attaques menées à l’encontre du système informatique de l’entreprise. Elles opèrent une surveillance permanente du réseau afin de détecter les éventuelles intrusions. Mieux qu’un antivirus réseau,