aux administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers ou au RSSI (responsable de la sécurité des systèmes d'information), si ce poste existe au sein de l'organisation. Le rôle de l'administrateur informatique est donc de faire en sorte que les ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de la conseiller sur les stratégies à mettre en œuvre, ainsi que d'être le point d'entrée concernant la communication aux utilisateurs des problèmes et recommandations en matière de sécurité.
Modèles formels de sécurité[modifier | modifier le code]
Afin d'atteindre une cible d'évaluation avec un bon degré de confiance (niveau E4 de TCSEC au minimum), nous définissons formellement le concept de sécurité dans un modèle dont les objectifs sont les suivants :
exprimer les besoins de sécurités intégrées dans un contexte informatique,
fournir des moyens pour justifier que le modèle est cohérent,
fournir des moyens permettant de convaincre que les besoins sont satisfaits,
fournir des méthodes permettant de concevoir et d'implanter le système.
Il existe plusieurs modèles formels de sécurité :
Le modèle de Bell-LaPadula (gestion d'accès par mandat, confidentialité, statique) modèle qui a été le plus utilisé pour vérifier la sécurité des systèmes informatiques. Les concepteurs de ce modèle ont démontré un théorème appelé Basic Security Theorem (BST). De ce modèle furent dérivés d'autres modèles : celui de Biba (gestion d'accès par mandat, intégrité, statique), celui de Dion (gestion d'accès par mandat, confidentialité et intégrité, statique), de Jajodia et Sandhu (gestion d'accès par mandat, confidentialité, statique).
Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique) modélisant le flux d'informations en utilisant des concepts de la logique. Les modèles de sécurité basés sur le principe de flux d'informations ont leur utilité dans le contrôle des accès indirects à l'information : ils mettent en évidence le problème des canaux cachés.
Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle Take-Grant et le modèle SPM.
Plan de continuité d'activité[modifier | modifier le code]
Article détaillé : Plan de continuité d'activité (informatique).
Face à la criticité croissante des systèmes d'information au sein des entreprises, il est aujourd'hui indispensable de disposer d'un plan de sécurisation de l'activité.
Ce plan se décline en deux niveaux distincts :
le plan de reprise d'activité (PRA) aussi appelé reprise « à froid » qui permet un redémarrage « rapide » de l'activité après un sinistre, avec restauration d'un système en secours avec les données de la dernière sauvegarde
le plan de continuité d'activité (PCA) également appelé reprise "à chaud" qui, par une redondance d'infrastructure et une réplic
Langganan:
Posting Komentar (Atom)
0 komentar:
Posting Komentar