Université Claude Bernard - Lyon 1, Maîtrise IUP Génie Informatique Réseau, Novembre 2002. Des entités sont crées, chacune responsable de zones de sécurité spécifiques du réseau d'entreprise. La stratégie du moindre privilège consiste à s'assurer que chacun dispose de tous les privilèges et seulement des privilèges dont il a besoin. Pour reprendre notre analogie, le manant n'a pas le droit d'accéder au château fort du seigneur ni aux mécanismes de protection du château.
Il faut s’assurer que les dernières mises à jour soient appliquées de façon minimiser les risques en termes de sécurité. Les failles de sécurité sont un phénomène courant pour les organisations, presque toutes les organisations ont déjà subi une faille de sécurité informatique à un moment donné. Les spécialistes de la sécurité informatique comprennent remark les pirates informatiques pénètrent dans les organisations et remark les empêcher de réussir. Votre architecture de sécurité informatique est la clé pour empêcher votre organisation de subir une faille de sécurité majeure. De surcroît définir une PSSI permet également d’évaluer l’importance du rôle que joue le
système d'information définition d’information dans le fonctionnement de l’ensemble des services.
Selon le paragraphe 5.3.1 de la politique de sécurité informatique de l'Office, ce sont les propriétaires de l'info qui doivent classer les données en fonction de leur sensibilité. Le HCR reconnaît qu'il n'existe pas de politique de sécurité informatique en bonne et due forme. La délégation permet de donner à un utilisateur particulier un privilège, sans donner ce privilège à toutes les personnes ayant le même rôle que lui. La délégation, bien que très utilisée, est très peu modélisée dans les politiques de sécurité automotive ce concept est très complexe. Dans Or-BAC, ces deux hiérarchies réapparaissent mais les droits qui leur sont associés sont quelque peut modifiés. En effet, avec le modèle Or-BAC, on peut définir des permissions mais aussi des interdictions.
Cette règle doit également s’appliquer aux comptes des administrateurs systèmes et réseaux et des autres brokers chargés de l’exploitation du système d’information. La politique de sécurité informatique peut être comparée à une chaîne de maillons plus ou moins résistants. De nombreuses entreprises manquent de compétences en matière de sécurité informatique pour se protéger même si une attaque peut avoir des résultats dévastateurs.
Identiquement, une activité est un ensemble d'actions sur lesquels sont appliquées les mêmes règles de sécurité et une vue est un ensemble d'objets sur lesquels sont appliquées les mêmes règles de sécurité. Ainsi, en plus d'avoir une politique de sécurité indépendante de son implémentation, Or-BAC a d'autres avantages. Il permet d'exprimer aussi bien des permissions, que des interdictions et des obligations. Pour pouvoir réaliser une action sur un objet, un utilisateur doit d'abord créer une session et, dans cette session, activer un rôle qui a reçu l'autorisation de réaliser cette action sur cet objet. Si un tel rôle existe et si cet utilisateur a été affecté à ce rôle, alors cet utilisateur aura la permission de réaliser cette action sur cet objet une fois ce rôle activé.