Sécurité projets IT

Owned by Xavier Delligne
oct. 22, 2024
4 min read

Tous

La sécurité dans les projets informatiques

Une petite interface réalisée dans l'urgence, une borne d'inscription installée rapidement...

Ces projets ne sont pas toujours conçus avec le niveau de sécurité adapté. Rarement, le volet "sécurité IT" est abordé : personne ne pense qu'une borne peut être 'visitée' de l'Internet, souvent on pense que c'est à l’informaticien de sécuriser une application dans l'environnement donné. Mais ce dernier développe simplement l'interface qui lui est demandée !

À qui la faute ? Il y a comme un flou d’interprétation, un défaut d’appréciation... et surtout un manque de sensibilisation et de formalisation ! Avec les normes de la famille ISO2700X et les bonnes pratiques ITIL, on aurait sans doute évité des problèmes.

 

Qu’est ce que la sécurité d’un projets IT ?

Lors de l’élaboration d’un projet, il y a lieu, au niveau des métiers (en collaboration avec l’IT):

  • de définir les risques, d’identifier les menaces,

  • de déterminer les responsabilités,

  • de discerner les impacts internes et externes d’un dysfonctionnement.

 

Intégrer ces aspects tardivement impliquera un surcoût financier, en ressources humaines et un retard dans la réalisation finale du projet.

Il faut également être attentif à la dimension sécurité tout au long du cycle de vie d’un projet, y compris dans le cas d’un petit projet, et adopter une méthodologie pragmatique et outillée.

Il convient aussi de considérer une gestion transparente des incidents et de faire légitimer les mesures de sécurité par la Direction.

 

Quels sont les risques d’un faible niveau de sécurité ?

Sans méthodologie stricte, les sources d’erreurs et de confusions sont nombreuses.

Plus de la moitié des projets entrepris n’arrivent pas à leur terme ou ne donnent pas satisfaction pour de multiples raisons.

 

Le manque de prise en compte de la sécurité est une des causes importantes d’échec.

Les risques sécuritaires n'ayant pas été pris suffisamment en compte (syndrome du « on le fera plus tard... »), les projets coutent alors plus chers que prévus. En effet, le volet sécurité implique très souvent des modifications fondamentales dans les choix fonctionnels ou techniques. Le « faire plus tard » nécessitera un travail conséquent. Entretemps, des dommages collatéraux sont à craindre.

 

La confusion entre serveurs de 'test' et serveurs de 'production' est une autre raison de dysfonctionnement.

Lors de la mise en service dans l’urgence de modifications ou de nouveaux services, le passage de l’un à l’autre se fait parfois sans contrôle ni approbation formelle.

Or, il y a des différences importantes entre ces deux types d’environnement :

  • Niveau de connexion à l’Internet, règles de filtrage et confinement réseau

  • Cohérence des flux d’informations et qualité des données

  • Système d’identification et d'authentification

  • Validation des modifications et des tests

  • Niveau de surveillance en fonctionnement

 

Comment protéger un projet IT ?

La sécurité doit être intégrée dans la réflexion globale d’un projet, depuis la conception, durant la réalisation, dans l’opérationnalisation et plus généralement durant tout le cycle de vie, sans oublier les phases ultérieures de maintenance. Les équipes informatique et métiers doivent trouver le bon tempo et collaborer ensemble au respect de cette dimension 'sécurité'.

 

Lors de l’édification d’un projet métier, le volet sécuritaire traverse beaucoup de domaines :

  1. Conception fonctionnelle et technique : évaluer et peser les choix

  2. Déclinaison des acteurs, gestionnaires et utilisateurs de la solution (protection et droits d’accès)

  3. Interaction éventuelle avec d’autres logiciels et applications

  4. Interconnexion avec l’externe (organismes, partenaires)

  5. Protocoles de communication pour l’échange des données

  6. Cohérence d’ensemble et intégrité du SI de l’organisation

  7. Possibilités et limitations des environnements de programmation ou des produits commerciaux utilisés

  8. Traçabilité de toutes les modifications et des points de reprise

  9. Documentation tant au plan fonctionnel que technique

  10. Mises à jour publiées des produits des fournisseurs utilisés.

 

Il est aussi important pour chaque projet d'effectuer une analyse de risque préalable sans oublier de :

  1. Identifier les enjeux et risques métiers de l’application

  2. Évaluer les besoins de sécurité des données manipulées par les utilisateurs de l’application

  3. Évaluer l’impact des menaces auxquelles le projet pourrait être exposé en liaison avec les exigences métier

  4. Décider des risques acceptables et de leur couverture

  5. Calibrer les mesures à prendre en fonction de l’appréciation des risques et des responsabilités.

 

Que faire lorsqu’un problème de sécurité se produit

Dès qu’une situation non sécuritaire se produit, il faut s’atteler à l'enrayer le plus rapidement possible.

Il faut généralement remonter toute une chaine pour tenter d’y remédier.

Il s’agit :

  • D’examiner les tableaux et journaux de bord

  • De réaliser des audits internes et externes appropriés.

Et après :

  • De maitriser les risques à un niveau acceptable et de le communiquer

  • D’effectuer les correctifs nécessaires afin de préserver les actifs sensibles.

[1] La Commission pour la Protection de la Vie Privée veille à la protection des données à caractère personnel.