Securite de l'information

Bonjour.

Je réponds à Michelot <mhostettler@voila.fr>

Un expert de la sécurité

Je n'ai pas cette prétention, mais la question m'intéresse.

pourrait-il me dire s'il existe une
différence entre une information critique et une information sensible.

Il semble que OSI 17799 fasse une distinction, mais sans donner de
précision.

Dans l'AMDEC, la criticité ou indice de risque est le produit de 3
facteurs : la fréquence, la gravité et la probabilité de
non-détection du risque.

Ma question ici:
Est-ce que cela s'applique de la même manière aux deux aspects de la
sécurité: résistance à la défaillance et résistance à l'intrusion ?

Car si la notion de fréquence peut s'appliquer à une perte d'information par
défaillance technique (et se résout par une redondance), elle m'ennuie un
peu pour un vol.

De même pour la probabilité de non-détection d'une "fuite".

Merci pour votre avis,

De même.

Cordialment,

--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/

Bonjour Patrick,

Quelques idées.

Dans l'AMDEC, la criticité ou indice de risque est le produit de 3
facteurs : la fréquence, la gravité et la probabilité de
non-détection du risque.

Ma question ici:
Est-ce que cela s'applique de la même manière aux deux aspects de la
sécurité: résistance à la défaillance et résistance à l'intrusion ?

Bien vu !

La résistance à la défaillance s'applique à la sécurité
matérielle, physique, et la résistance à l'intrusion s'applique à
la sécurité de l'information. L'information étant une construction
érigée à partir de données, les 2 sécurités ne sont pas à
confondre. Un vol de données peut bien sûr se produire sans panne
d'équipement.

Dans la systémie hiérarchique SO-SI-SP, je dirais que la résistance
à la défaillance est du domaine du système opérant (SO), tandis que
la résistance à l'intrusion est du domaine du système d'information
(SI). Quant au système de pilotage (SP, ou décisionnel SD), sa marge
de manoeuvre est contrainte en cas de défaillance du SO ou en cas
d'empêchement d'actions dans le SI (par exemple subite impossibilité
de produire la facturation mensuelle des abonnés d'un service
opérateur).

Car si la notion de fréquence peut s'appliquer à une perte d'information par
défaillance technique (et se résout par une redondance), elle m'ennuie un
peu pour un vol.

De même pour la probabilité de non-détection d'une "fuite".

Le risque est anticipatif, il concerne un événement qui n'est pas
encore survenu mais qui a une chance d'apparaître. Quand on parle de
"fréquence des défaillances", il est incongru de discourir sur le
risque de ces événements, ils sont déjà survenus. Mais on peut
néanmoins calculer le risque d'arrivée du prochain événement, et
prendre ses dispositions pour réduire sa probabilité d'apparition,
ceci est l'objectif de la mise en place d'une politique de sécurité.
On peut critiquer l'emploi du terme de fréquence, car il nous renvoit
à l'image des phénomènes périodiques, donc déterministes, avec la
certitude qui remplace le risque.

Dans ISO17799, le risque en sécurité de l'information est défini
comme la combinaison de la probabilité d'un événement et son impact.

Cordialement,
Michelot

Bonsoir,

Un expert de la sécurité pourrait-il me dire s'il existe une
différence entre une information critique et une information sensible.

Sans rentrer dans le jargon "iso", une différence conceptuelle entre
information critique et information sensible pourrait être définie ainsi :

l'information critique est celle qui doit être accessible coute que
coute. Pour cela il convient de déterminer les conditions qui la rende
disponible : redondance matérielle, stabilité du système d'exploitation,
etc...

l'information sensible est celle qui nécessite de la confidentialité. Il
convient pour ce type d'information de déterminer les modes d'accès à
cette information : méthode d'authentification, cryptage, configuration
de pare-feu...etc

Ces deux types d'informations ne sont pas mutuellement exclusives, une
information critique peut être également une information sensible et
vice versa.

mes deux sous.

***
Philippe

Bonjour Philippe,

Merci pour le commentaire.

Sans rentrer dans le jargon "iso", une différence conceptuelle entre
information critique et information sensible pourrait être définie ainsi :

l'information critique est celle qui doit être accessible coute que
coute. Pour cela il convient de déterminer les conditions qui la rende
disponible : redondance matérielle, stabilité du système d'exploitation,
etc...

l'information sensible est celle qui nécessite de la confidentialité. Il
convient pour ce type d'information de déterminer les modes d'accès à
cette information : méthode d'authentification, cryptage, configuration
de pare-feu...etc

Ces deux types d'informations ne sont pas mutuellement exclusives, une
information critique peut être également une information sensible et
vice versa.

Un point de vue un peu similaire se trouve dans un article du Monde
ci-dessous :

http://www.lemonde.fr/web/article/0,1-0@2-3234,36-827346@51-814208,0.html

"Les informations doivent, par exemple, être étiquetées au fur et à
mesure de leur élaboration, selon leur nature : "critiques", si elles
ne doivent être partagées avec personne, "sensibles", quand elles
peuvent être partagées sous condition, et "ouvertes", quand elles
peuvent être diffusées sans contrainte. Mais certaines informations
qualifiées de sensibles au sein du pôle peuvent devenir "critiques"
à l'extérieur. Des logiciels sont en cours d'élaboration pour
automatiser cette indexation, actuellement effectuée à la main".

Mais il faut bien dissocier le classement dans l'une des catégorie
(mon sujet d'origine) du traitement à mettre en oeuvre pour conserver
cette répartition, différencier le besoin initial du moyen pour
assurer la survie de ce besoin.

Dans l'ordre d'idée de moyen, je ferais ce rapprochement :

Information de confiance = le porteur ou le transporteur de
l'information assure que celle-ci est bien isolée des informations
publiques ou des autres clients (privés), et il est capable de lui
associer une qualité de service

Information sensible = aspect confiance avec authentification et
chiffrement

Information critique = aspect confiance avec, obligatoirement,
authentication forte, et chiffrement robuste

mes deux sous.

Douceur Aubade ou Petit Bateau ?

Cordialement,
Michelot

Information sensible = aspect confiance avec authentification et
chiffrement

Information critique = aspect confiance avec, obligatoirement,
authentication forte, et chiffrement robuste

Sans vouloir polémiquer, j'ai peur que le journal Le Monde ne soit pas
une référence suffisemment sérieuse en la matière.

J'ai trouvé cet article qui corrobore "un peu" mon hypothèse :

http://www.cortina.fr/_cyber-ark-partage-securise-informations-sensibles.php

[...] L'architecture de sécurité tient l'information sensible et
confidentielle hors de portée de toute personne non désignée, y compris
les administrateurs de votre système d'information et vos spécialistes
sécurité.[...]

[...]Le coffre-fort électronique dispose de plusieurs couches de
sécurité, qui permettent le stockage à long terme, la gestion et
l'accessibilité de l'information critique[...]

mais bon rien n'a l'air très rigoureux la-dedans,
J'ai l'impression que les auteurs utilisent le terme "critique" et
"sensible" à tort et à travers.

***
Philippe

On 1 nov, 03:54, "Michelot" <mhostett...@voila.fr> wrote:

Il semble que OSI 17799 fasse une distinction, mais sans donner de
précision.

Dans l'AMDEC, la criticité ou indice de risque est le produit de 3
facteurs : la fréquence, la gravité et la probabilité de
non-détection du risque.

Bonjour,

Tout cela me semble bien mélangé dans ton esprit, L'AMDEC ou la FMEA
(anglais) est un outils du management du risque.
Dans les outils similaires, on trouve l'HAZOP dans le monde de la
chimie par exemple et l'HACCP dans le monde de l'agro et maintenant de
l'hospitalié.
L'ISO 17799 est une norme pour manager la sécurité de l'information.
Pour l'ISO 17799, voir le site suivant qui pourra donner quelques
pistes d'info : http://www.ysosecure.com/

Quand à L'AMDEC doit bien y avoir des sites qui diffusent des pdf de
la méthode.
Sinon me joindre en direct : pchene@yahoo.fr, je dois avoir ça dans
les archives.

ISO 177999 défini des exigences pour manager la sécurité des
informations, de fait comme dans toute norme un vocabulaire y est
associé et parfaitement défini. Voir AFNOR, seul entité autorisé à
diffuser les normes ISO en France. http://www.afnor.org
Ce vocabulaire est forcément différent de celui d'un outil comme
l'AMDEC qui a une existence bien plus ancienne.

Donc ton pb est de définir la sécurité de tes informations ou
d'utiliser un outil du management du risque ?
Deux choses bien differentes.

A+

Patrick

Bonsoir Pchene,

Tout cela me semble bien mélangé dans ton esprit,

Ma question concernait la distinction entre information sensible et
information critique. Avez-vous concrètement une réponse, sinon
quelques éléments, comme le fait Philippe, nous invitant à la
réflexion ?

L'AMDEC ou la FMEA (anglais) est un outils du management du risque....
ISO 177999 définides exigences pour manager la sécurité des informations.

Ces 2 énoncés n'apparaissent pas plus distinctifs que mon amorce de
compréhension. Et, depuis, nous avions progressé avec Patrick,
relativement à sa remarque sur la résistance à la défaillance et la
résistance à l'intrusion.

Pourquoi vos 2 énoncés ne sont pas opposés ? car la sécurité est
l'absence de risque. Et, comme ISO 17799 est un code de bonne pratique
pour la gestion de la sécurité de l'information, c'est aussi un outil
du management du risque.

Une typologie définie par l'APSAD (assemblée plénière des
sociétés d'assurance dommage) étend la portée des risques depuis
les aspects physiques (incendie, panne, dysfonctionnement...) jusqu'au
sabotage, attaque logique, divulgation... en passant par bien d'autres
étapes.

Voyez-vous rien n'est simple de ce monde, et la simplicité sans
question masque l'erreur.

L'ISO 17799 est une norme pour manager la sécurité de l'information.
Pour l'ISO 17799, voir le site suivant qui pourra donner quelques
pistes d'info : http://www.ysosecure.com/

Merci, j'ai déjà parcouru les documents en anglais et en mauvais
français. Ma question d'origine était de pouvoir comprendre la
différence entre information sensible et information critique.

Donc ton pb est de définir la sécurité de tes informations ou
d'utiliser un outil du management du risque ?
Deux choses bien differentes.

Ni l'un ni l'autre, ma question est de... Mon domaine de prédilection
n'est pas la sécurité mais, dans l'une de mes fonctions, je mets en
place des formations dans ce domaine. Et connaissant bien une personne
faisant partie de l'ISO (WG1 de SC7) laquelle intervient aussi pour
nous, je lui poserai prochainement la question.

Cordialement,
Michelot