Activité 5.1 – Détermination des exigences de sécurité fonctionnelles 

Liens pour Naviguer dans ce module

Accueil  Module 5  Activité 5.1  Activité 5.2  Conclusion  Exercices

Cette activité a pour but de déterminer les exigences de sécurité fonctionnelles permettant de couvrir les objectifs de sécurité identifiés pour le système cible. Elle permet de décider de la manière dont chaque risque identifié devra être traité. Les risques pourront être refusés, optimisés, transférés ou pris et le risque résiduel devra être clairement identifié et accepté. Cette activité contribue au traitement des risques dans le processus de gestion des risques.
Cette page présente l'activité 5.1, première activité de l'étape 5 (Détermination des exigences de sécurité). Les étudiants devraient d'abord se familiariser avec les concepts présentés sur cette page. Les étudiants débutant devraient ensuite compléter l'exercice 12.

Préalables

Données en entrée

  • Liste des objectifs de sécurité avec le niveau de résistance.

Actions

  • Lister les exigences de sécurité fonctionnelles.
  • Justifier la complétude de la couverture des objectifs de sécurité.
  • Mettre en évidence les éventuels défauts de couverture (risques résiduels) avec des justifications.
  • Classer les exigences de sécurité fonctionnelles en deux catégories :

           - exigences de sécurité fonctionnelles portant sur le système cible,

           - exigences de sécurité fonctionnelles portant sur l'environnement du système cible.

  • Justifier éventuellement la couverture des dépendances des exigences de sécurité fonctionnelles.

Données en sortie

  • Liste des exigences de sécurité fonctionnelles justifiées.
  • Liste des risques résiduels (défaut de couverture par les exigences de sécurité fonctionnelles) et justifications.

Conseils pratiques

  • Il est possible d'utiliser les exigences de sécurité fonctionnelles génériques et le tableau de détermination des objectifs et exigences de sécurité du guide "Outillage pour le traitement des risques SSI" pour lister les exigences de sécurité fonctionnelles destinées à satisfaire les objectifs de sécurité couvrant les vulnérabilités.
  • Les exigences de sécurité fonctionnelles peuvent être sélectionnées parmi les composants fonctionnels de la base de connaissances ou rédigées de toute pièce. Chacun des objectifs de sécurité devra être couvert par au moins une exigence de sécurité et la complète couverture doit être dûment justifiée. Les exigences sont ensuite raffinées, dans la mesure du possible, et les dépendances entre composants doivent être étudiées et justifiées.
  • Selon le niveau d’expertise sur le système, les composants peuvent être laissés non-raffinés en précisant toutefois qu’ils seront raffinés par le maître d’oeuvre dans le cadre de sa réponse.

L'activité 5.1

Concepts principaux

Lister les exigences de sécurité fonctionnelles

Les exigences de sécurité fonctionnelles représentent les moyens d’atteindre les objectifs de sécurité et donc de traiter les risques informationnels afférents. Ils doivent être déterminés par ou avec la maîtrise d’oeuvre (il est possible d'utiliser les exigences de sécurité fonctionnelles génériques et le tableau de détermination des objectifs et exigences de sécurité du guide "Outillage pour le traitement des risques SSI" pour lister les exigences de sécurité fonctionnelles susceptibles de satisfaire les objectifs de sécurité couvrant les vulnérabilités identifiées).

Pour réduire les risques informationnels, le tableau suivant présente, à titre indicatif, les principaux types de mesures de sécurité spécifiées par les exigences de sécurité fonctionnelles en fonction des composantes des risques. Ce tableau constitue une aide à la détermination des exigences de sécurité fonctionnelles. En effet, il permet de ne pas oublier de considérer les différents types de mesures possibles.

Les exigences fonctionnelles de sécurité contribuent au traitement des risques informationnels, qui peut non seulement consister à les réduire, mais aussi à les refuser, les transférer ou les prendre.

Le refus d'un risque sera représenté par des exigences fonctionnelles de sécurité portant sur une modification structurelle de la situation du système cible de telle sorte qu'il ne soit plus exposé au risque.

Le transfert d'un risque sera représenté par des exigences fonctionnelles de sécurité spécifiques telles que le recours à des contrats d'assurance ou de sous-traitance.

La prise de risque sera représentée par l'absence d'exigence fonctionnelle de sécurité ou la satisfaction incomplète des objectifs de sécurité. Des risques résiduels seront donc identifiés.

Les exigences fonctionnelles sont imposées aux fonctions du système cible qui supportent tout particulièrement la sécurité des technologies de l'information et qui déterminent le comportement voulu en terme de sécurité, ainsi qu’à l’environnement du système cible.

Ces exigences fonctionnelles peuvent être issues de l'ISO/IEC 15408 (Critères Communs) ou créées de toute pièce. Il est fortement recommandé de ne créer de toute pièce une exigence fonctionnelle que s'il s'avère qu'elle traite d'un aspect fonctionnel n'existant pas dans les composants de l'ISO/IEC 15408.

La liste d'exigences de sécurité fonctionnelles issues des Critères Communs est composée de classes, familles et composants fonctionnels. Il peut exister des dépendances entre les composants. Ces dépendances apparaissent quand un composant n'est pas autosuffisant et dépend de la présence d'un autre composant. Il peut exister des dépendances entre composants fonctionnels et entre des composants fonctionnels et des composants d'assurance. Selon le niveau de connaissance sur le système et le niveau d'expertise des acteurs du groupe de travail, les composants peuvent être laissés non raffinés en précisant toutefois qu'ils seront raffinés par le maître d'oeuvre.

L'ISO/IEC 15408 laisse la possibilité de recourir à des exigences fonctionnelles non contenues dans la liste fournie, pour représenter l'ensemble des exigences de sécurité des technologies de l'information. Les consignes suivantes doivent s'appliquer à l'incorporation de ces exigences fonctionnelles étendues :

  • toutes les exigences de sécurité fonctionnelles doivent être formulées par référence à des composants d'exigences fonctionnelles. Dans le cas où aucun des composants d'exigences n'est facilement applicable à tout ou partie des exigences de sécurité, le groupe de travail peut formuler ces exigences de façon explicite sans référence à l'ISO/IEC 15408,

  • toute exigence fonctionnelle étendue doit être exprimée clairement et sans ambiguïté pour que l'évaluation soit faisable ; le niveau de détail et le mode d'expression des composants fonctionnels existant dans l'ISO/IEC 15408 doivent être utilisés comme modèles,

  • les résultats d'évaluation obtenus en utilisant les exigences fonctionnelles étendues doivent le mentionner par un avertissement,

  • l'incorporation d'exigences fonctionnelles étendues doit se faire conformément aux classes APE ou ASE de la partie 3 de l'ISO/IEC 15408, quand cela est approprié.

Dans le meilleur des cas, la formulation d'une exigence de sécurité fonctionnelle doit être :

  • S – spécifique (un acteur, un domaine à la fois),

  • M – mesurable (définition du moyen de contrôle),

  • A – atteignable (éventuellement en plusieurs étapes, en donnant les ressources nécessaires),

  • R – réaliste (en fonction des acteurs, de leurs capacités),

  • T – liée au temps (il y a une date buttoir, un délai, une période définie).

La détermination des exigences de sécurité fonctionnelles nécessite de prendre en compte tous les éléments du contexte, notamment les contraintes budgétaires et techniques.

Exemples :
EF.INC-DETECT Les locaux du cabinet d'architecture doivent être équipés d'un système de détection d'incendie muni d'une remontée d'alarme vers une supervision qui pourrait être externalisée. Ces mesures doivent être étudiées et mises en place par des experts du domaine. Elles doivent être testées au moins une fois par an.
EF.FOURN-ACCES Le cabinet d'études doit être abonné chez au moins deux fournisseurs d'accès à Internet distincts.
EF.MAINTENANCE Un contrat de maintenance doit garantir la disponibilité des moyens de communication internes et externes dans un délai conforme aux enjeux du métier du cabinet d'études (12 heures d'indisponibilité).
EF.CHIFFREMENT Les échanges de courriers électroniques doivent être protégés en confidentialité par une solution de chiffrement disponible sur le marché. Les outils utilisant les clés de chiffrement doivent bénéficier d'une politique de gestion de ces clés.
EF.LOCAUX Les personnes extérieures entrant dans la partie « métier » du cabinet d'études doivent être accompagnées.
Les personnels de maintenance, de nettoyage ou toute autre personne extérieure au cabinet d'études ne doivent pas pénétrer dans les locaux en l'absence des membres du cabinet d'études.
Les locaux doivent être protégés par des serrures de sécurité dont les clés ne sont détenues que par le Directeur et son adjoint.

Justifier la complétude de la couverture des objectifs de sécurité

Une matrice de couverture doit être réalisée afin de s'assurer que tous les objectifs de sécurité portant sur le système cible ou sur son environnement sont couverts par au moins une exigence de sécurité fonctionnelle. De même, chaque exigence de sécurité fonctionnelle doit couvrir au minimum l'un de ces objectifs de sécurité.

L'argumentaire relatif aux exigences de sécurité doit démontrer que l'ensemble des exigences de sécurité convient pour satisfaire aux objectifs de sécurité et qu'ils sont reliés à ces derniers. Il doit pouvoir être démontré :

  • que la combinaison des composants individuels d'exigences fonctionnelles satisfait aux objectifs de sécurité déclarés,

  • que l'ensemble des exigences de sécurité constitue un tout ayant une cohérence interne et dont les éléments se soutiennent mutuellement,

  • que le niveau de résistance des fonctions choisi, de même que toute résistance de fonction explicite annoncée, est cohérent avec les objectifs de sécurité.

Ainsi, une première justification consiste à démontrer la couverture des objectifs de sécurité, tel que présenté sur la figure ici.

La couverture peut être synthétisée par une valeur selon l'échelle présenté ici.
 
Une seconde justification consiste à démontrer chaque exigence de sécurité fonctionnelle couvre au moins un objectif de sécurité.

Exemple

Mettre en évidence les éventuels défauts de couverture avec des justifications

L'obtention d'un consensus sur les moyens qui permettront de réaliser les objectifs de sécurité est nécessaire. Ce consensus ne peut être obtenu qu'en comparant les risques encourus au coût des mesures de sécurité correspondant aux exigences de sécurité fonctionnelles envisagées.

Il est raisonnable de considérer d'abord les risques les plus importants et les plus probables, puisque le fait de les traiter peut aboutir occasionnellement à en traiter des moins importants.
Le groupe de travail peut décider de ne pas couvrir parfaitement les objectifs de sécurité par les exigences de sécurité.

Il convient alors de le mettre en évidence et de justifier dûment l'incomplétude car ceci introduit des risques résiduels pour l'organisme.

Exemples :

  • Perte des moyens de télécommunications à cause d'un défaut d'exploitation du réseau téléphonique interne (PABX en panne sur le site du cabinet d'études) ; un plan de reprise et une garantie de maintenance sous 12 heures réduisent l'indisponibilité de ces moyens.
  • Un membre du personnel se fait manipuler, bien qu'il soit sensibilisé, et divulgue des renseignements à un concurrent dans le cadre d'un marché, portant ainsi atteinte à la confidentialité d'informations sensibles (devis, dossier de contentieux…).
  • Un intrus piége le logiciel du fait d'une action sur les logiciels des ressources du système via Internet, malgré les droits restreints sur les machines connectées, l'usage de firewalls et la mise à jour régulière des logiciels ; ceci peut porter atteinte à la confidentialité d'informations sensibles (devis, dossier de contentieux…) et à l'intégrité d'éléments essentiels (calculer les structures, devis, plan technique, paramètres techniques, dossier de contentieux…).

Classer les exigences de sécurité fonctionnelles en deux catégories

Les exigences de sécurité résultent du raffinement des objectifs de sécurité en un ensemble :

  • d'exigences de sécurité pour le système cible,
  • d'exigences de sécurité pour l'environnement.

Si elles sont satisfaites, elles garantiront que la cible de l'étude de sécurité peut satisfaire à ses objectifs de sécurité.

Justifier éventuellement la couverture des dépendances des exigences de sécurité fonctionnelles

Toutes les dépendances entre exigences de sécurité doivent être satisfaites. Il existe en effet des exigences de sécurité qui impliquent l'existence d'autres exigences de sécurité pour des raisons cohérence. Les dépendances peuvent être satisfaites en incluant le composant fonctionnel concerné dans les exigences fonctionnelles de sécurité du système-cible ou en tant qu'exigence sur son environnement.

L'insatisfaction d'une dépendance doit être rigoureusement justifiée.
Cette page présente l'activité 5.1, première activité de l'étape 5 (Détermination des exigences de sécurité). Les étudiants devraient d'abord se familiariser avec les concepts présentés sur cette page. Les étudiants débutant devraient ensuite compléter l'exercice 12.


Activité suivante

Liens pour Naviguer dans ce module

Accueil  Module 5  Activité 5.1  Activité 5.2  Conclusion  Exercices

mise à jour: 27/05/2008 09:04:41 AM -0400