La conformité de la sécurité des systèmes d'information

Tandis que la complexification des systèmes d'information entraîne de nouveaux risques, les organisations sont en train de mettre en place de nouveaux standards de sécurité de l'information.

La mondialisation a permis l'essor d'organisations qui ont su profiter de l'ouverture de nouveaux marchés pour se développer. Ces organisations étant présentes dans de nombreux endroits différents, leurs modèles organisationnels se sont rapidement complexifiés afin de répondre aux besoins des clients de manière efficace et transparente.

Pour s'adapter rapidement à ces nouvelles exigences organisationnelles, les directions des technologies de l'information ont progressivement conçu et mis en place de nouvelles architectures informatiques. Autrefois circonscrits à quelques immeubles, les systèmes d'information d'aujourd'hui génèrent désormais des échanges en temps réel entre des systèmes hétérogènes qui peuvent appartenir à différentes entités  : unités d'affaires, partenaires, fournisseurs, clients, etc.

Agissant comme de véritables systèmes nerveux, les systèmes d'information sont au cœur de l'ensemble des activités des organisations. Leur prédominance et leur complexification ont entraîné de nouveaux risques pour les organisations. Leur entretien est de plus en plus complexe et les synergies avec des systèmes pouvant appartenir à d'autres organisations sont à l'origine de plusieurs initiatives de normalisation des activités informatiques. Ces travaux de normalisation, menés pour la plupart par des universités, des gouvernements et des regroupements d'organisations, ont permis de définir de bonnes pratiques en matière de gestion des systèmes d'information.

L'adoption de ces normes par les organisations a ainsi permis une uniformisation progressive des pratiques de conception, de développement, d'installation, d'entretien et de sécurité des systèmes d'information, et a amélioré la qualité de ces derniers.

Dans cet article, nous traiterons d'abord des normes et des standards de sécurité de l'information les plus fréquemment appliqués dans le monde des affaires. Nous présenterons ensuite un guide de conformité de la sécurité des systèmes d'information, puis nous conclurons sur les points importants à prendre en compte au moment de la sélection d'une norme.

Importance de la sécurité de l'information et normes spécialisées

De nos jours, les organisations se fondent essentiellement sur l'information pour prendre des décisions, mener à bien leurs activités et répondre aux exigences des organismes de réglementation. Par conséquent, l'information est considérée de nos jours comme une ressource importante à protéger.

Garantir la disponibilité, l'intégrité et la confidentialité (DIC) des informations d'une organisation est devenu une tâche difficile, qu'il convient d'accomplir de façon continue. Les normes de sécurité de l'information fournissent aux organisations des outils les aidant à définir une stratégie de sécurisation des systèmes d'information adaptée à leurs besoins opérationnels et à leurs exigences contractuelles ou législatives.

Il existe de nombreuses normes de sécurité de l'information, notamment :
- ISO 27001;
- ISO 27002;
- SOC 1 - SSAE 16 (remplaçant du SAS 70), SOC 2 et SOC 3;
- PCI DSS;
- Les normes du National Institute of Standards and Technology (NIST).

Nous limiterons notre présentation des normes de sécurité de l'information à celles qui s'appliquent le plus fréquemment au monde des affaires.

Comparaison des normes de sécurité de l'information

ISO 27001

La norme ISO 27001 spécifie les exigences de mise en place, d'exploitation et d'amélioration d'un système de management de la sécurité de l'information (SMSI).

Cette norme préconise un modèle de gouvernance permettant aux organisations de gérer la sécurité de l'information d'une manière structurée, d'établir un plan adapté de gestion de la sécurité de l'information et de répondre aux questions légitimes de la direction, dont les suivantes :
- L'organisation a-t-elle identifié les obligations juridiques, réglementaires et contractuelles applicables en matière de sécurité?
- L'organisation a-t-elle identifié les informations et les processus qu'il importe de protéger?
- Quelles mesures de sécurité sont mises en œuvre pour protéger ces informations?
- L'organisation connaît-elle bien son système d'information et celui-ci lui permet-il de prévoir les problèmes potentiels?

La norme ISO 27001 ne fournit pas d'indications précises sur les contrôles à mettre en place pour garantir la sécurité de l'information, mais elle présente plutôt des consignes d'encadrement dans le cadre des processus suivants, notamment :
- la gestion des mesures de sécurité;
- la gestion de la conformité;
- la gestion des risques;
- la gestion des incidents.

De par son caractère généraliste et structurant, ISO 27001 conviendra à tout type d'organisation qui souhaite cerner tous les enjeux de sécurité. La norme ISO 27001 renvoie à plusieurs normes pour la mise en place d'un SMSI, comme ISO 27002, ISO 27005, etc.

La mise en place des bonnes pratiques préconisées par ISO 27001 permet d'envisager des travaux de sécurisation plus spécifiques aux activités et aux systèmes d'information des organisations. L'organisation qui se conforme aux recommandations de la norme ISO 27001 peut recevoir la certification norme ISO 27001 afin de mieux faire état de son niveau de sécurité tant à l'interne qu'à l'externe.

PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) est une norme mise au point par le secteur des cartes de crédit. Elle vise principalement à encadrer la sécurité des renseignements liés aux cartes de crédit transmis aux organisations. Le respect de la norme PCI DSS permet de réduire considérablement les risques de fraude et de vol de renseignements bancaires.

Pour protéger une organisation des menaces internes ou externes dont elle pourrait faire l'objet, PCI DSS recommande la mise en place d'un grand nombre de dispositifs et de procédures de contrôles spécifiques à la protection des renseignements de cartes de crédit, dont la gestion des accès, le cryptage des données des cartes de crédit et des communications et l'installation de solutions de détection et de blocage des activités informatiques suspectes.

Certaines organisations pourront procéder à leur propre autoévaluation de PCI DSS. Cependant, au-delà d'une limite fixée en ce qui a trait aux opérations par carte de crédit, les organisations devront faire appel à un évaluateur de sécurité qualifié (Qualified Security Assessor, QSA), qui prendra en charge l'évaluation de ces opérations. La certification PCI DSS est requise si une organisation souhaite accepter les paiements effectués au moyen des principales cartes de crédit.

SOC 1, 2 et 3

SOC (Service Organization Control) 1 (SSAE16), 2 et 3 (AT 101) prescrivent la préparation de trois types de rapports qui décrivent les procédures et les contrôles mis en place par une organisation pour assurer la sécurité des systèmes d'information.

Le rapport SOC 1, qui remplace le très connu SAS 70, met l'accent sur la fiabilité des informations financières, tandis que les rapports SOC 2 et 3 comportent des exigences plus strictes quant à la sécurité, à la disponibilité, à l'intégrité et à la confidentialité des données qualifiées de sensibles.

Le rapport SOC 1 est particulièrement adapté aux organisations qui réalisent des activités financières pour leurs clients (p. ex. services financiers, gestion de la paie), alors que ceux de type SOC 2 ou 3 s'adressent à un plus large éventail d'organisations, c'est-à-dire celles qui fournissent des services pour lesquels la sécurité, la confidentialité et l'intégrité des données sont essentiels, comme le traitement de données médicales et l'archivage de renseignements confidentiels.

Guide pour la conformité de la sécurité des systèmes d'information

La conformité n'est pas un projet réalisé à un moment donné, puis oublié. Il s'agit plutôt d'un processus d'affaires qui s'adapte aux contraintes réglementaires, aux besoins de l'entreprise et surtout aux nouveaux risques en matière de sécurité. Les technologies de l'information sont en constante évolution et les risques liés à ces technologies changent et évoluent constamment. Par conséquent, le programme de conformité doit s'adapter à ces changements. Pour ce faire, il est important de se doter d'un processus de conformité évolutif, qui prend en compte les trois axes suivants (Figure 1) :

  • la compréhension du cadre réglementaire;
  • l'intégration des contrôles; 
  • la correction des écarts.

Figure 1

Le choix de se conformer à une norme de sécurité de l'information ou à la certification, ou à une norme donnée doit se faire de manière réfléchie et structurée, en se fondant sur les besoins stratégiques et les exigences contractuelles et réglementaires de l'organisation. Voici une description détaillée de chacune des étapes telle que présentée dans la figure 1.

Comprendre le cadre réglementaire

Établir un cadre de gouvernance de la conformité

La première étape d'un programme de conformité consiste à comprendre l'environnement réglementaire d'une organisation. En matière de sécurité des systèmes d'information, la recherche doit être réalisée en collaboration avec l'équipe de sécurité ou un consultant spécialiste en la matière. Ce processus visera à identifier les sources de gouvernance qui s'appliquent au contexte de l'organisation et à énumérer les contrôles associés à ces sources.

Dans le cas d'une organisation qui ne dispose pas d'une structure unifiée de gestion de la sécurité de l'information, il est fortement recommandé d'utiliser la norme ISO 27001 afin de mettre en place un système de management de la sécurité de l'information (SMSI).

Une organisation peut également être amenée à se conformer à des normes plus spécifiques de sécurité de l'information pour répondre à des exigences imposées par certains secteurs d'activité (p. ex. la norme PCI DSS par de grands groupes comme Visa et MasterCard) ou ses partenaires et ses clients (SOC 1, 2 et 3, PCI DSS, etc.).

Affecter un responsable certifié

Il est important d'affecter au programme de conformité une personne responsable qui possède les compétences nécessaires pour le mener à bien. Plusieurs certifications visent à valider les compétences en matière de sécurité des systèmes d'information, comme le CISSP (Certified Information Systems Security Professional), le CISA (Certified Information System Auditor), le CISM (Certified Information Security Manager) ou la certification Lead Auditor ISO 27001 qui porte spécifiquement sur la mise en place d'un système de gestion de la sécurité des systèmes d'information conforme à la norme ISO 27001.

Communiquer efficacement au sujet du programme de conformité

La mise en place de contrôles de sécurité informatique donne toujours lieu à une certaine résistance de la part des utilisateurs. Il est donc très important de communiquer efficacement au sujet du programme de conformité, mais surtout d'expliquer au personnel touché par ce programme sa valeur ajoutée et les contrôles qui seront mis en place.

Intégrer les contrôles

Mettre en place les opérations du programme d'audit

Ce processus permet de définir et de normaliser les activités de contrôles ainsi que les procédures basées sur les objectifs de la gouvernance. Ce processus englobe les risques d'affaires, les objectifs de contrôle, les activités de contrôles et les procédures de test des contrôles. Il permet la traçabilité d'un contrôle, il démontre sa relation avec des sources de gouvernance et enfin, il relève la non-conformité d'un élément, basé sur des risques affaires.

Corriger les écarts

Mesures appropriées en cas de constats de non-conformité

En matière de sécurité des systèmes d'information, les constats de non-conformité peuvent signaler des failles dans le dispositif de sécurité et des risques d'affaires. Ainsi, le processus décisionnel doit comporter des mécanismes d'action pour la prise de décision dynamique, la collecte et l'examen des défaillances de contrôle, l'élaboration et le choix des stratégies d'atténuation. Souvent, l'atténuation des risques de sécurité ne nécessite pas la mise en place de contrôles très coûteux. L'idéal consiste à trouver le parfait équilibre entre les risques et les coûts de contrôle.

Jouer un rôle de service-conseil au sein des équipes informatiques

Un programme efficace de conformité de la sécurité comprend un processus visant à conseiller les architectes technologiques et les développeurs de systèmes et à les aider à comprendre les besoins en contrôles. Ce service-conseil pourrait également être utilisé lors de l'élaboration de contrats avec des fournisseurs de services. Le groupe de conformité des TI et de la sécurité doit être capable de définir les responsabilités des fournisseurs de services par rapport aux contrôles. L'efficacité de ces contrôles sera mesurée afin de transmettre l'information à la haute direction de l'organisation.

Conclusion

Nous avons présenté les normes et les pratiques les plus fréquemment appliquées dans le monde des affaires en matière de sécurité de l'information. Nous avons parlé de leurs éléments spécifiques et des facteurs à prendre en compte lors de leur sélection.

Une organisation devrait se demander de quels moyens elle dispose pour communiquer efficacement, tant à l'interne qu'à l'externe, en matière de sécurité de l'information. S'ils sont limités, la solution consiste alors à aligner la démarche de conformité de l'organisation sur l'une des normes de sécurité de l'information.

À propos des auteurs

Alaaeddine Fellah


Alaaeddine Fellah, M.B.A., M.Sc., CISA, est directeur, Audit interne, Gestion des risques et Services-conseils chez Richter.

Fabien Soulis


Fabien Soulis, M.Sc, SSCP est auditeur senior, Audit interne, Gestion des risques et Services-conseils chez Richter.

comments powered by Disqus

Faits saillants

Pour ne rien manquer des principales mesures du #budget2017, suivez CPA Canada sur les médias sociaux et regardez notre vidéo en direct.

Notre Répertoire des cabinets de CPA vous permet de trouver des cabinets de CPA au Canada grâce à une carte interactive et à différents critères de recherche.

Présenté par CPA Canada et CPA Ontario, le congrès national UNIS (en anglais) est un rendez-vous annuel incontournable qui propose un programme multidisciplinaire approfondi à tous les CPA qui souhaitent rester maîtres du jeu.