Politique de sécurité de l'information

La politique de sécurité de l'information définit les objectifs et les mécanismes d'organisation de sécurité de l'information au sein d'une organisation. La définition des politiques de sécurité suivent au choix les principes de sécurité: confidentialité, intégrité ou disponibilité.

Les modèles formelsModifier

Il existe plusieurs modèles formels de sécurité :

  • Le Modèle de Bell-LaPadula (gestion d'accès par mandat, confidentialité, statique) modèle qui a été le plus utilisé pour vérifier la sécurité des systèmes informatiques ; les concepteurs de ce modèle ont démontré un théorème appelé Basic Security Theorem (BST). De ce modèle furent dérivés d'autres modèles ; celui de Biba (gestion d'accès par mandat, intégrité, statique), celui de Dion (gestion d'accès par mandat, confidentialité & intégrité, statique), de Jajodia et Sandhu (gestion d'accès par mandat, confidentialité, statique).
  • Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique) modélisant le flux d'informations en utilisant des concepts de la logique. Les modèles de sécurité basés sur le principe de flux d'informations ont leur utilité dans le contrôle des accès indirects à l'information : ils mettent en évidence le problème des canaux cachés.
  • Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle Take-Grant et le modèle SPM.

NormalisationsModifier

Des normes peuvent servir de guide et de référence.

La norme ISO 17799:2005 indique quoi protéger et la norme ISO 27001:2005 indique comment assurer la sécurité de l'information. Pour réduire les risques, il faut définir ses objectifs de sécurité en identifier les menaces, à déterminer les vulnérabilités et à procéder à l’analyse des risques identifiés en tenant compte des paramètres suivants : sensibilité des actifs informationnels de l’entreprise, impact économique des sinistres potentiels, probabilité de leur survenance et coût des mesures proposées.

La norme ISO 27001:2005 indique les conditions à remplir pour implanter, maintenir et améliorer le système de gestion de la sécurité de l'information (SGSI).

Voir aussiModifier

RéférencesModifier

  • Bishop, Matt (2004). Computer security: art and science, Addison-Wesley.
  • McLean, John. (1994). Security Models. Encyclopedia of Software Engineering 2: 1136–1145. New York: John Wiley & Sons, Inc.