La sécurité est un élément complexe qui intervient à tous les niveaux d'un système déployé. L'objectif principal du développement des exigences liées à la sécurité consiste à identifier les menaces de sécurité et à développer une stratégie pour les combattre. Cette analyse de sécurité se compose des étapes suivantes :
Identification des éléments critiques
Identification des menaces pesant sur ces éléments
Identification des failles de sécurité présentant un risque pour l'organisation
Développement d'un plan de sécurité afin de limiter les risques spécifiques à votre organisation
L'analyse des exigences de sécurité nécessite une collaboration de la part des parties prenantes de votre organisation, notamment les directeurs, les analystes d'exploitation et le personnel du service des technologies de l'information. Il arrive très souvent qu'une organisation désigne une personne responsable de la sécurité et chargée de la conception et de l'implémentation des mesures de sécurité.
La section suivante décrit quelques-uns des domaines abordés en matière de planification de la sécurité.
La planification de la sécurité d'un système fait partie de la conception du déploiement et est essentielle à la réussite de l'implémentation. Vous devez tenir compte des points suivants lors de la planification de la sécurité :
Sécurité physique : la sécurité physique concerne l'accès physique aux routeurs, aux serveurs, aux salles de serveurs, aux centres de données et à d'autres parties de votre infrastructure. Toutes les mesures de sécurité peuvent se révéler inutiles si une personne non autorisée pénètre dans la salle des serveurs et déconnecte les routeurs.
Sécurité réseau : la sécurité réseau concerne l'accès à votre réseau par l'intermédiaire de pare-feux, les zones d'accès sécurisées, les listes de contrôle d'accès, ainsi que l'accès au port. Dans le cadre de la sécurité réseau, vous développez des stratégies contre les accès non autorisés, les falsifications et les attaques de refus de service.
Sécurité des applications et des données d'application : la sécurité des applications et des données d'application traite de l'accès aux comptes utilisateur, aux données d'entreprise et aux applications d'entreprise par le biais de procédures et de stratégies d'authentification et d'autorisation. Les stratégies suivantes doivent être définies :
stratégies de mot de passe ;
droits d'accès, tels que l'administration déléguée aux utilisateurs par opposition à l'accès administrateur ;
inactivation du compte ;
contrôle d'accès ;
stratégies de chiffrement, y compris le transport sécurisé de données et l'utilisation de certificats pour la signature de données.
Sécurité des personnes : la stratégie de sécurité d'une organisation définit l'environnement de travail et les exercices pratiques auxquels les utilisateurs doivent se conformer pour garantir l'exécution des autres mesures de sécurité. Il est généralement préférable de concevoir un manuel de sécurité et d'offrir une formation aux utilisateurs sur les exercices de sécurité. Des exercices de sécurité fiables doivent faire partie de la culture de votre organisation pour assurer une stratégie de sécurité globale efficace.