Cahier des charges 1 Sensibilisation à la SSI

Université de Picardie Jules Verne Groupe de travail « Sensibilisation à la SSI » : 33, rue Saint Leu Jérôme Nisota 80039 AMIENS Cedex Amine Adjar Hamza Lahrizi Michel-Pierre Islande Flavie Yimgaing

Section : Université de Picardie Jules Verne Master « Sciences et Technologies de l’Information et de la Communication » Spécialité « Ingénierie des Systèmes et Réseaux Informatiques » Unité d’enseignement : Projet thématique Responsable du projet : Madame Florence Levé

Version du document : 2.2 Date du document : 28 Décembre 2012

Cahier des charges : Sensibilisation à la Sécurité des Systèmes d’Information

Cahier des charges 2 Sensibilisation à la SSI

Table des matières 1. Introduction ................................................................................................. 3

2. Equipe projet ............................................................................................... 3

3. La securite Informatique ............................................................................... 3

4. Contexte et objectifs ..................................................................................... 5

a. Cadrage du sujet .......................................................................................... 5

1. Définition du projet.................................................................................... 5

2. Les objectifs du projet................................................................................ 5

3. Périmètre du projet ................................................................................... 5

b. Etude de l’existant ........................................................................................ 7

1. Méthodes de sensibilisation ........................................................................ 7

2. Sujets abordés .......................................................................................... 8

3. Evaluation ................................................................................................ 9

5. Planification du projet ..................................................................................10

6. Livrables ....................................................................................................12

7. Références .................................................................................................12

Cahier des charges 3 Sensibilisation à la SSI

1. INTRODUCTION

Dans le cadre de l’unité d’enseignement « Projet thématique » de notre seconde année de Master « Ingénierie des Systèmes et Réseaux Informatiques », notre groupe de travail avons sélectionné le sujet « Sensibilisation à la Sécurité des Systèmes d’Information » encadré par Madame Florence Levé. Dans ce document, nous présenterons le cahier des charges lié à ce sujet.

2. EQUIPE PROJET

La conduite du projet sera effectuée par l’équipe suivante :

Chef de projet et chargé de la communication : Jérôme Nisota - jerome.nisota@gmail.com

Responsable du blog :

Amine Adjar - adjar.amine@gmail.com Responsable des documents :

Pierre-Islande Michel - michepierrelande@yahoo.fr Flavie Yimgaing - yimgaing.flavie@gmail.com Hamza Lahrizi - hamza.lahrizi@gmail.com

3. LA SECURITE INFORMATIQUE

La mise en œuvre d’un plan de sécurité des systèmes d’information, et des échanges, s’impose aujourd’hui. La sécurité est liée à la fiabilité du système d’information comprenant le réseau, les systèmes, les applications, et le contenu. Mais, encore trop souvent, la dotation de solutions de sécurité (produits ou services) est consécutive à des attaques majeures ayant occasionné de graves dégâts. Pourtant, les investissements nécessaires pour pallier ce risque sont de loin inférieurs aux conséquences financières de ces attaques. Aussi nous subsistent quelques questions :

Qui sont concernés ?

« La sécurité des systèmes est affaire de tous » (CLUSIR Rhône Alpes – Club de la sécurité des Systèmes d’Information Régionaux) ;

Cahier des charges 4 Sensibilisation à la SSI

« Tout le personnel doit être sensibilisé à la sécurité informatique en entreprise » (Nicolas Gaudillère, responsable sécurité chez Symantec).

Il importe donc à chacun de sensibiliser le maximum de personnes qui pourront ensuite s’impliquer. La sécurité ne peut reposer sur une seule personne.

Pourquoi sommes-nous concernés ? La responsabilité juridique et pénale des dirigeants peut être personnellement engagée au titre d’infractions variées :

En matière de contrefaçon (piratage de logiciels au sein de l’entreprise) ;

En matière de respect de l’obligation de sécurité afférentes aux données nominatives (Article 226-16 à 226-24 du nouveau code pénal) ;

Toutes les infractions pénales et civiles susceptibles d’être commises par les

salariés sur le réseau en utilisant les moyens de l’entreprise (Article 1384 alinéa 1 du code civil).

Quelles sont les conséquences des risques ?

Une perte de données ; Une fuite d’informations sensibles ; Une utilisation non contrôlée des postes de travail et/ou serveurs ; Une perte d’image ; Une mise en cause au plan légal.

Selon le Gartner Group, 50 % des PME qui gèrent leur propre sécurité Internet font l’objet d’attaques diverses, et 60 % d’entre elles ignorent qu’elles ont été attaquées.

Pourquoi une sensibilisation interne est-elle nécessaire ?

32,5% des failles de sécurité seraient provoquées par une mauvaise manœuvre des utilisateurs (étude du cabinet Deloitte, un des leaders mondiaux d’audit et de conseil) ;

80% des attaques dans une entreprise proviennent de l’intérieur (selon une enquête de SmartLine, éditeur de logiciels spécialisé dans la sécurité informatique) ;

30 % des secrets de l´entreprise sortent par e-mail (selon Bruno Dambrun, directeur général de la société SRMvision) ;

« Le maillon faible de la sécurité informatique est souvent le facteur humain » (CLUSIR Rhône Alpes – Club de la sécurité des Systèmes d’Information Régionaux).

Cahier des charges 5 Sensibilisation à la SSI

Les chiffres ne laissant pas de place au doute, une politique de sécurité est donc nécessaire à mettre en œuvre pour pouvoir sécuriser, appréhender et savoir réagir en cas de problème dans le système d’information. Entre autres, l’implication du facteur Humain dans cette politique de sécurité ne sera pas à négliger : L’idée étant que des utilisateurs avertis constituent bien souvent la meilleure ligne de défense, c’est à dire qu’il faudra sensibiliser chacun des utilisateurs. « L’épaisseur d’un rempart compte moins que la volonté de le défendre » (Thucydie, historien Grec – 5e siècle av. JC).

4. CONTEXTE ET OBJECTIFS

A. CADRAGE DU SUJET

Ce cadrage va fixer le périmètre du projet et communiquer le contenu du projet et son organisation. Ce qui permettra de mettre en évidence le contexte du projet et l’organisation mise en place.

1. Définition du projet

Notre sujet « Sensibilisation à la Sécurité des Systèmes d’Information » est de proposer un plan de sensibilisation pour le personnel de l’Université de Picardie Jules Verne. Aussi, au-delà des aspects techniques, une politique d’évaluation de cette sensibilisation devra être définie et une méthode de mesure de son efficacité proposée.

2. Les objectifs du projet

La sensibilisation c’est rendre réceptif à quelque chose. C’est faire appel à l’émotion pour agir sur la réflexion. L’objectif est de faire changer les comportements des utilisateurs dans la durée. Appliquée à la sécurité de l’information, la sensibilisation des utilisateurs du système d’information accompagne et renforce la mise en œuvre de bonnes pratiques de sécurité. Pour pouvoir développer une campagne de sensibilisation efficace, il faudra adapter le fond et la forme au public visé, mais aussi faire appel à certaines méthodes de relations humaines ou psychologie sociale.

3. Périmètre du projet

Cibles du projet : La cible principale du projet de sensibilisation est le personnel de l’Université de Picardie Jules Verne utilisant l’outil informatique quotidiennement : C’est un public que l’on doit

Cahier des charges 6 Sensibilisation à la SSI

obligatoirement sensibiliser car son travail se situe principalement sur le réseau informatique de l’Université.

Risques du projet :

Solutions de sensibilisation non performantes ;

Sensibilisation perçue comme inutile ;

Sensibilisation perçue comme effrayante ;

Mauvais public ciblé ;

Mauvaise gestion du temps.

Opportunités du projet :

Utilisateurs touchés par la sensibilisation aux bases de la sécurité informatique ;

Sécurité informatique de l’Université de Picardie Jules Verne accrue ;

Base de connaissance en sécurité informatique ;

Bonnes pratiques utilisées quotidiennement.

Coût humain : Notre équipe se compose de 5 personnes disposant d’environ de deux heures de cours par semaine dans le cadre de l’Unité d’Enseignement « Projet thématique ». Nous nous donnons donc rendez-vous chaque mercredi après-midi. Cela nous permet de mettre en commun notre travail, mais aussi d’attribuer ainsi que de discuter sur les tâches effectuées et à venir. Ensuite, chacun travail en autonomie dans la semaine sur la tâche qui lui a été confiée : Le temps de travail à domicile est donc variable selon la disponibilité ainsi que le rôle de chacun.

Les coûts humains sont donc nuls.

Coût informatique : Pour la réalisation de ce projet nous utiliserons les ordinateurs de l’Université de Picardie Jules Verne, nos ordinateurs personnels mais également les logiciels présents sur ceux-ci ainsi que les navigateurs web. En cas d’impression, nous utiliserons les moyens mis à disposition à l’Université de Picardie Jules Verne. Nous avons mis en place un blog qui permettra une meilleure organisation : Nous posterons des informations à chaque étape permettant le suivi du projet au cas où un des membres de l’équipe serait absent. Aussi, cela permettra à notre responsable, Madame Florence Levé, de pouvoir suivre son évolution. Blog : http://sensibilisationssi.wordpress.com/

Les coûts informatiques sont donc nuls.

Cahier des charges 7 Sensibilisation à la SSI

B. ETUDE DE L’EXISTANT

Après avoir effectué une veille technologique, voici ce qu’il en ressort au niveau des méthodes de sensibilisation, moyens mis en œuvre, sujets abordés et méthodes d’évaluation.

1. Méthodes de sensibilisation

De récentes études du cabinet PricewaterhouseCoopers (cabinet d’audit et de conseil reconnu) constatent que la moitié des sondés n’ont pas été sensibilisé à la sécurité de leur infrastructure informatique au cours des douze derniers mois. L’étude note également que les moyens les plus fréquemment employés en matière de sensibilisation restent les e-mails et les affiches papier. D’après le graphique ci-dessous, nous pouvons observer qu’un seul répondant sur quatre a pu bénéficier d’une sensibilisation en face-à-face, dans le cadre de réunions, de présentations ou d’ateliers. C’est le moyen le moins utilisé. Or, c'est précisément celui qui est jugé le plus utile, par 60% des répondants. Inversement, les moyens de sensibilisation les plus fréquents, les e-mails ou les affiches, sont aussi jugés être les moins efficaces : Seuls 13% des sondés pensent qu'il s'agit du moyen de sensibilisation qui fonctionne le mieux.

Source : PricewaterhouseCoopers

(Une même société utilise généralement plusieurs moyens de sensibilisation qui ce explique un total supérieur à 100%)

Aussi, Advens, société de conseil spécialisée en management de la sécurité de l’information, explique dans un article que le support utilisé à la sensibilisation a lui aussi une importance primordiale : Une intervention orale n’a pas le même impact qu’un gadget coloré ou une affiche. Plus un support est durable, en évidence et accessible, et plus les chances de faire passer le message sont hautes.

Cahier des charges 8 Sensibilisation à la SSI

Si un message de sensibilisation tient en deux phrases, il faudra préférer l’affichage au mail, car celui-ci sera visualisé par tous et sur une plus longue durée. Selon Roger Mucchielli, psycho-sociologue et psychopédagogue Français, « On retient 10% de ce qu'on lit, 20% de ce qu'on entend, 30% de ce qu'on voit, 50% de ce qu'on voit et entend, 80% de ce qu'on dit et 90% de ce qu'on fait ». En effet, l’effet « piqure de rappel » ne doit pas être négligée. Une campagne de sensibilisation est souvent accompagnée de mails ou d’affiches. Mais ceux-ci sont trop rarement diffusés dans une durée prolongée dans le temps. Ci-dessous, voici par ordre d’importance les méthodes de sensibilisation à employer :

Evènements face-à-face Affiches, bannières E-mails Par ordinateur

Ces méthodes de sensibilisation devront donc être renouvelées dans le temps.

2. Sujets abordés

Selon un article de l’entreprise Kaspersky Lab (éditeur de logiciels sécurisés) sur la sensibilisation à la sécurité informatique du personnel, voici les sujets essentiels à aborder ainsi que les éléments contenus :

Sécurisation des postes de travail : Les mots de passe Les clés USB Bonnes pratiques

Utilisation sécurisée de la messagerie :

Spam et phishing Les virus

Sécurisation en déplacement :

Chiffrement de données Bonnes pratiques

Précaution pour l’utilisation des réseaux Wifi :

Wifi public Connexion chiffrée

Les 4 méthodes de sensibilisation listées en 4.B.1 devront être employées pour chacun des 4 sujets listés ci-dessus. C’est-à-dire :

Sécurisation des postes de travail : Evènements face-à-face Affiches, bannières E-mails Par ordinateur

Cahier des charges 9 Sensibilisation à la SSI

Utilisation sécurisée de la messagerie :

Evènements face-à-face Affiches, bannières E-mails Par ordinateur

Sécurisation en déplacement :

Evènements face-à-face Affiches, bannières E-mails Par ordinateur

Précaution pour l’utilisation des réseaux Wifi :

Evènements face-à-face E-mails, affiches, bannières Par ordinateur

3. Evaluation

D’après une formation mise en place par le CLUSIF (Club de la Sécurité de l’Information

Français), l’évaluation de l’impact et de l’efficacité de la sensibilisation des utilisateurs à

la sécurité informatique s’effectue par un contrôle final d’acquisition : Des tests et quiz cohérents en fonction des sujets abordés devront être mis en place.

Cahier des charges 10 Sensibilisation à la SSI

5. PLANIFICATION DU PROJET

Nous avons établi un diagramme de GANTT, permettant de planifier chaque étape du projet afin de prendre du recul et de définir les dates clés.

Tâches de planification du projet :

Cahier des charges 10 Sensibilisation à la SSI

Planification des tâches :

Cahier des charges 12 Sensibilisation à la SSI

6. LIVRABLES

Voici la liste des livrables qui seront établis et communiqués :

- Cahier des charges version 2 : Vendredi 28 Décembre 2012.

- Phase 1 : Lundi 18 Février 2013. - Phase 2 : Lundi 25 Février 2013.

- Phase 3 : Lundi 11 Mars 2013.

- Phase 4 : Mardi 23 Avril 2013.

- Evaluation à la sensibilisation : Lundi 10 Juin 2013. - Rendu final : Lundi 24 Juin 2013.

Les 4 phases correspondent aux 4 sujets listés dans la partie « Sujets abordés » (4.B.2).

7. REFERENCES

ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) : L’hygiène

informatique en entreprise (2012).

DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information) : Pourquoi et

comment élaborer une politique SSI (2008).

MEDEF (Mouvement des Entreprises De France) – Direction de l’innovation et de la

recherche : Guide de sensibilisation à la sécurisation du système d’information et du patrimoine informationnel de l’entreprise (2005).

Kaspersky Lab : Sécurité informatique : sensibiliser votre personnel (2011).

Cécile Vercruysse, société Advens : Promouvoir les bonnes pratiques par la sensibilisation

des utilisateurs (2010).

CLUSIR Rhône-Alpes (Club de la Sécurité des Systèmes d’Information Régional) : Le facteur humain (2005).

Géraldine Vache-Marconato – Thèse Université de Toulouse : Evaluation quantitative de

la sécurité informatique : approche par les vulnérabilités (2009).

Christophe AUFFRAY, JDN Solutions : Sécurité, 4 actions pour sensibiliser les utilisateurs

(2006).

Virgile JUAN, JDN Solutions : Les ratés de la sensibilisation (2011).

JDN Solutions : La sensibilisation des utilisateurs : un levier pour réduire les risques de

sécurité (2006).

CLUSIF (Club de la Sécurité de l’Information Français) : Formation Sécurité, SI,

sensibilisation des utilisateurs.

ORSYS Formation : Formation Sécurité SI, sensibilisation des utilisateurs.

ENI Service : Formation Sensibilisation des utilisateurs à la sécurité informatique.