Wikipédia

Politique de sécurité de l'information

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

La politique de sécurité de l'information définit les objectifs et les mécanismes d'organisation de sécurité de l'information au sein d'une organisation. La définition des politiques de sécurité suivent au choix les principes de sécurité: confidentialité, intégrité ou disponibilité.

Les modèles formels modifier

Il existe plusieurs modèles formels de sécurité :

  • Le Modèle de Bell-LaPadula (gestion d'accès par mandat, confidentialité, statique) modèle qui a été le plus utilisé pour vérifier la sécurité des systèmes informatiques ; les concepteurs de ce modèle ont démontré un théorème appelé Basic Security Theorem (BST). De ce modèle furent dérivés d'autres modèles ; celui de Biba (gestion d'accès par mandat, intégrité, statique), celui de Dion (gestion d'accès par mandat, confidentialité & intégrité, statique), de Jajodia et Sandhu (gestion d'accès par mandat, confidentialité, statique).
  • Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique) modélisant le flux d'informations en utilisant des concepts de la logique. Les modèles de sécurité basés sur le principe de flux d'informations ont leur utilité dans le contrôle des accès indirects à l'information : ils mettent en évidence le problème des canaux cachés.
  • Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle Take-Grant et le modèle SPM.

Normalisations modifier

Des normes peuvent servir de guide et de référence.

La norme ISO 17799:2005 indique quoi protéger et la norme ISO 27001:2022 indique comment assurer la sécurité de l'information. Pour réduire les risques, il faut définir ses objectifs de sécurité en identifier les menaces, à déterminer les vulnérabilités et à procéder à l’analyse des risques identifiés en tenant compte des paramètres suivants : sensibilité des actifs informationnels de l’entreprise, impact économique des sinistres potentiels, probabilité de leur survenance et coût des mesures proposées.

La norme ISO 27001:2022 indique les conditions à remplir pour implanter, maintenir et améliorer le système de gestion de la sécurité de l'information (SGSI).


Voir aussi modifier

Références modifier

  • Bishop, Matt (2004). Computer security: art and science, Addison-Wesley.
  • McLean, John. (1994). Security Models. Encyclopedia of Software Engineering 2: 1136–1145. New York: John Wiley & Sons, Inc.
Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Politique_de_sécurité_de_l%27information&oldid=205594026 ».