Page 1 sur 17

Facult des sciences de l'administration

Dpartement des systmes dinformation organisationnels
Universit Laval

Plan de cours
A2004

SIO-21925 Scurit, contrle et gestion du risque

1- Objectif gnral

Dans un contexte o la scurit informatique prend une place importante au sein des
organisations, ce cours a pour objectif gnral de permettre ltudiant davoir une vision
globale des actions raliser pour assurer la scurit des systmes dinformation dans une
organisation.

2- Objectifs spcifiques
Le cours Scurit, contrle et gestion du risque vise les objectifs spcifiques suivants:

comprendre les concepts de base de la scurit informatique et prendre

connaissance des enjeux futurs

connatre les facteurs cls et les expertises requises pour assurer la scurit

comprendre les besoins des organisations en matire de scurit

comprendre limportance de la gestion des risques

prendre connaissances des mthodologies existantes pour lanalyse de risque

connatre des stratgies pour diminuer le risque et connatre limportance dune

politique de la scurit

savoir les grandes tapes relies limplantation dun plan de la continuit

connatre limportance des ressources humaines pour grer la scurit

prendre connaissance de lutilit de la gestion de la scurit lors du

dveloppement dun systme dinformation

prendre connaissance du rle des fonctions comptabilit et marketing dans le

contexte de la scurit

connatre les concepts de scurit relis la dimension technologie

comprendre limportance de la scurit physique

Page 2 sur 17
3- Le droulement du cours
3.1 Introduction la scurit
Dans cette sance, vous devriez en premier lieu faire les lectures de votre livre
obligatoire. On y aborde d'abord l'histoire de la scurit. Par la suite, on dfinit les
concepts de scurit et de scurit de l'information. Enfin on vous propose des
caractristiques fondamentales de l'information. Parmi ces dernires, il en existe trois qui
reviennent constamment dans le discours des professionnels en scurit: la disponibilit,
l'intgrit et la confidentialit. La disponibilit concerne l'atteinte l'information lorsque
l'on dsire y accder. Si notre portable est bris, nous ne pouvons pas accder
l'information contenue dans ce dernier; par consquent, l'accs l'information n'est pas
disponible. Quant l'intgrit, les informations ne doivent pas tre modifies par mfait
ou malveillance. Enfin, on ne doit pas donner accs aux informations tous afin de
respecter la confidentialit des donnes. Les auteurs parlent du triangle C.I.A. i.e.
Confidendiality, Integrity et Availability; pour nous, dans la langue franaise, on nomme
ce triangle le D.I.C. i.e. la Disponibilit, l'Intgrit et la Confidentialit. Cependant, en
plus de ces trois caractristiques, il y en a deux autres soit l'authentification et la nonrpudiation. Ainsi on forme le sigle D.I.C.A.N. En lisant le document intitul "Les
principales caractristiques de la scurit", on peut avoir une dfinition pour chacune
d'elles.
Aprs avoir termin le lecture du livre obligatoire, lisez l'article de la revue Scurit. C'est
un exemple qui reflte les enjeux de plusieurs organisations.
Visionnez la vido de la firme Nortel. Elle reflte les enjeux de la scurit pour le monde
de demain. C'est un discours futuriste auquel vous serez confront dans un futur pas trs
lointain et qui fait suite l'volution de la scurit que vous avez lue dans le livre
obligatoire. Un des concepts importants de cette vido concerne la scurit plusieurs
niveaux. Comme vous pourrez le constater, on ne peut pas scuriser 100% les actifs
physiques ou informationnels et il ne faut pas tout scuriser. Il faut scuriser ce qui a de
la valeur. Prenons l'exemple de votre maison et supposons que vous avez des bijoux pour
une valeur de trois millions de dollars dans votre chambre coucher. Barrer les portes qui
donnent accs l'intrieur de la maison est le premier niveau de scurit. Cependant, la
valeur protger est tellement importante que vous mettez un deuxime niveau de
scurit pour rendre la vie plus dure un potentiel voleur; vous posez une serrure la
porte de votre chambre. De plus, vous estimez tant de valeur vos bijoux que vous
dcidez d'acheter un coffre-fort que vous installez dans votre chambre. Ainsi, vous avez
un troisime niveau de scurit. Plus vous mettez des niveaux de scurit, plus c'est
difficile pour le voleur et plus vous tes en scurit. Enfin, au cours de son discours M.
Denoncourt utilise le terme WEP; c'est un protocole pour encrypter les donnes.
Pour terminer, consultez le site de la ville de Toronto montrant tous les endroits du
centre-ville o l'information se propage dans l'air sans y tre protge. Une fois sur la
page d'accueil, choisissez le lien "Toronto, the naked city" et cliquez sur le bouton intitul
"Agree".

Page 3 sur 17
3.2 La scurit et lorganisation
Dans cette sance, vous devriez en premier lieu faire les lectures du chapitre 1 de votre
livre obligatoire. On y aborde d'abord le modle NSTISSC. Grce ce modle, vous
pouvez trouver les domaines o l'on doit scuriser les systmes d'information
d'aujourd'hui. Prenons l'exemple de l'un des 27 domaines: la technologie du sans-fil, la
transmission des donnes et la confidentialit. Cette cellule concerne donc la transmission
des donnes l'aide du sans-fil o il faut protger la confidentialit des donnes
transmises. Par la suite, on fait l'inventaire des actifs protger, on propose deux
approches d'implantation, on dcrit le cycle de dveloppement d'un systme et d'un
systme de scurit et on dfinit des termes spcifiques au jargon de la scurit. Enfin, on
dcrit les rles de plusieurs professionnels en scurit. Ainsi, on s'aperoit qu'une quipe
de scurit est multidisciplinaire. Par consquent, on a besoin de personnes comme vous
qui ont des connaissances en gestion. Par contre, vous aurez besoin de personnes qui
connaissent fond les technologies pour pouvoir les implanter. Une des leons de ce
cours est que la scurit n'est pas un problme de technologie, mais un problme de
gestion. vous d'en profiter. Enfin, on propose le concept de "Data Ownership". C'est un
concept trs important en scurit. Qui est responsable de la scurit? Est-ce le Chief
Information Security Officer (CISO)? Non, ce sont les propritaires des actifs physiques
ou informationnels. Par exemple, on voit sur l'actate du MRN qui sont les dtenteurs
d'information.
Aprs avoir termin vos lectures du chapitre 1, lisez les lectures du chapitre 6. On vous
parle de programme de formation et de sensibilisation. Selon Pipkin, l'erreur humaine est
de loin la menace la plus rpandue contre les ressources de l'entreprise. L'erreur humaine
est cause par des individus autoriss utiliser un systme informatique et elle peut tre
rduite par une formation. Par exemple, un firewall mal configur laisse la porte ouverte
des malfaiteurs. La technologie change rapidement et il faut former rgulirement notre
personnel qui s'occupe de l'installation. Enfin, le personnel doit bien comprendre
l'implication de la scurit dans l'excution de son travail. La sensibilisation est donc de
mise pour tous les niveaux du personnel. De plus, elle doit tre continue, sinon on oublie.
Par exemple, il faut sensibiliser le personnel garder confidentiel son mot de passe et le
changer rgulirement.

Aprs avoir termin les lectures du livre obligatoire, lisez les deux articles qui mettent
l'emphase sur un principe important soit le retour sur l'investissement pour convaincre la
direction. Lors d'un rencontre organise par Oracle, on me disait l'importance de tenir un
discours sur le ROI (Return Of Investment) pour convaincre la direction. Il faut tre
capable de trouver les mots pour librer les fonds. Par exemple, on parlera de perte de
revenus (site non disponible, personne qui ne travaille pas suite la perte de la
disponibilit, vol, nombre de transactions perdues, avantage concurrentiel), de perte
d'image ou d'impact sur la rputation si on nous vole des informations confidentielles. Si
on parle avec des mots de la technologie comme IDS ou Firewall, on passe ct des
proccupations de la direction.

Page 4 sur 17
Aprs avoir lu les articles de cette sance, consultez les actates du Ministre des
Ressources Naturelles. Elles concrtisent les concepts prsents prcdemment (appui
haute direction, sensibilisation et langage non technique) dans un ministre du Qubec.
Pour terminer, visionnez la vido de M. Lino Cerantola. Elle reflte une organisation o
la scurit est bien gre. Cela vous donnera une bonne ide comment la scurit se
concrtise dans notre contexte universitaire. On y parle de culture i.e. un endroit o la
formation et la sensibilisation prennent une importance capitale pour assurer la scurit.
De plus, on vous parle de scurit logique qui fait appel des logiciels et de la scurit
physique qui fait appel au matriel. Enfin, on parle de l'importance d'une mthodologie
pour implanter la scurit. Dans le contexte de gestion de la scurit, il est trs important
d'en choisir une. D'ailleurs, on vous en prsentera quelques-unes un peu plus tard dans la
session.
3.3 Les besoins de lorganisation en matire de scurit
Dans cette sance, vous devriez en premier lieu faire les lectures du chapitre 2 de votre
livre obligatoire. On y aborde d'abord les fonctions ralises par la scurit. Par la suite,
on vous explique les concepts de menaces ainsi que les types de menaces. Enfin, il y a le
concept d'attaque et on vous en numre les principaux types. Parmi ceux-ci, j'ai omis
ceux qui taient les plus techniques.
Aprs avoir termin les lectures du livre obligatoire, lisez les deux articles. Celui de
Gonik met en vidence le concept de menace et celui du site SecuriteInfo.com met en
lumire un type d'attaque qui utilise la confiance des gens. La formation et la
sensibilisation en relation avec ce dernier type d'attaque sont importantes.
Pour terminer, consultez les actates du MRN et de Danda pour connatre des faons de
grer les virus et les mots de passe. Ces deux derniers thmes ont t traits dans le livre
obligatoire.
3.4 La gestion du risque
Dans cette sance, vous devez faire les lectures du chapitre 4 de votre livre obligatoire.
On y aborde la gestion du risque, l'identification du risque, l'valuation du risque et la
documentation du rsultat de l'valuation du risque. C'est un chapitre majeur pour la
gestion de la scurit. Pour grer le risque, il faut l'identifier. Voici quatre questions
importantes entre autres:

quelle est la valeur des actifs? Je protge ce qui a de la valeur

quelles sont les vulnrabilits?
quelles sont les menaces?

Une fois que j'ai rpondu ces questions, j'value le risque: quelle est la probabilit?

Page 5 sur 17

3.5 Des mthodologies pour l'analyse du risque

Dans cette sance, vous devez d'abord faire les lectures concernant les mthodologies
MARION et MEHARI. Par la suite, visionnez la vido de M. Cusson. Aprs avoir
visionn la vido, lisez la mthodologie COBIT.
Enfin, consultez les actates du MRN qui ont utilis la mthode Marion et dont on
spcifie qu'elle a rpondu aux besoin du systme centralis, mais qu'elle ne peut couvrir
les nouveaux environnements comme les systmes distribus.
Que ce soit en gestion de projet (mthode du PMI), en dveloppement de systme
d'information (mthode Datarun), une mthodologie est toujours ncessaire pour en
assurer le succs d'un projet. De mme pour l'valuation des risques, une mthodologie
est ncessaire.
3.6 Stratgies pour diminuer le risque et politiques de scurit
Dans cette sance, vous devriez en premier lieu faire les lectures du chapitre 5 de votre
livre obligatoire. On y aborde d'abord des stratgies pour contrler le risque. Par la suite,
on numre quatre catgories de contrle, mais il y en a deux qui sont importantes: les
contrles par fonction et les principes de scurit. On a dj parl de la catgorie "control
function" dans l'article intitul "Des arguments pour convaincre" de la sance 2. En effet,
on y parle des effets bnfiques des contrles prventifs par rapport aux contrles
ractifs. Cependant, on ne peut pas tout prvoir; c'est pourquoi on a besoin des contrles
qui seront connus par des audits et des IDS (Intrusion Detection System). En ce qui
concerne les principes de la scurit, on connat dj les principes du D.I.C.A.N. Parmi
les autres principes de scurit numrs, il y a les contrles d'accs. Une fois authentifi,
on se voit accorder des privilges d'accs (authorization) des fichiers bien prcis de la
base de donnes. Enfin, il y a le principe de responsabilit et de confidentialit. Aprs
avoir lu ces principes, vous devez lire les pages concernant deux caractristiques du
risque: le risque acceptable et le risque rsiduel. On a dj abord ce thme dans le
document de la mthodologie de MEHARI (grille concernant la gravit du risque).
Aprs avoir termin vos lectures du chapitre 5, vous devez lire des sections du chapitre 6
qui concernent trois types de politique. Enfin, on vous enseigne la faon de les grer.
Lors d'une confrence, on a mentionn trois points importants pour grer les politiques de
scurit:

s'assurer de communiquer la politique tous les membres de l'organisation

contrler l'application des politiques
rviser priodiquement la politique de scurit

Aprs avoir termin la lecture du chapitre 6, lisez le texte intitul " quoi sert une
politique de scurit". Par la suite, vous pouvez consulter deux exemples concrets d'une

Page 6 sur 17
politique de scurit et un code de conduite sur l'utilisation des T.I. Enfin, consultez
l'actate du MRN.
3.7 Plan de continuit
Dans cette sance, vous devriez en premier lieu faire les lectures de votre livre
obligatoire. On y distingue d'abord trois plans diffrents: un plan de rponse un
incident, un plan de recouvrement lors d'un dsastre et un plan de continuit des affaires.
Par la suite, on y dcrit comment et pourquoi faire une analyse d'impact. On la qualifie de
cruciale. Enfin, on dtaille le plan de la gestion des incidents.
Aprs avoir termin vos lectures du chapitre 7, consultez les actates du MRN.
Pour terminer, visionnez la vido de de M. Jocelyn Audette. Il vous dmontrera
l'importance de l'analyse d'impact pour choisir les processus d'affaires critiques. De
mme, la dtermination de l'objectif de recouvrement va permettre de choisir la stratgie
adquate pour l'atteindre.
Enfin, le plan de continuit des affaires concerne uniquement le principe de disponibilit.
On peut dire que ce dernier est en conflit avec les principes d'intgrit et de
confidentialit puisque plus l'information est disponible, plus elle est sujette tre
attaque.
Avec la fin de cette sance, on termine la partie I du cours. Voici la logique de cette
partie:

sance 1 et 2: on a dfini les concepts gnraux de la scurit

sance 3: on a identifi les besoins gnraux de l'organisation dus aux attaques
potentielles
sance 4: on a vu la thorie pour identifier et valuer les risques
sance 5: on a valu des mthodes pour prendre en charge l'identification et
l'valuation des risques
sance 6: on a identifi des stratgies pour diminuer les risques et on a vu
l'importance de la politique de scurit, de la formation et de la sensibilisation
pour assurer le succs de la stratgie choisie
sance 7: on a prpar des plans pour grer les incidents et pour assurer la
continuit des affaires lors d'un potentiel dsastre

3.8 La scurit et la fonction ressource humaine

Avec cette sance, on entre dans la partie II du cours. Dans celle-ci, on prend en compte
la dimension humaine implique dans chaque fonction organisationnelle.
Dans cette sance, vous devriez en premier lieu faire les lectures du chapitre 11 de votre
livre obligatoire. On y positionne d'abord la fonction scurit dans la structure

Page 7 sur 17
organisationnelle. Par la suite, puisqu'une quipe de scurit est multidisciplinaire, on y
dcrit chacune des responsabilits ncessaires et ses pr-requis.
En scurit, il existe aussi la possibilit d'obtenir une certification. J'ai choisi d'insister sur
la certification CISSP et CISA puisque ce sont elles qui ont la vogue dans notre milieu.
Comme futurs gestionnaires de la scurit, l'auteur de votre livre obligatoire a trouv
d'excellents conseils vous donner. vous d'en profiter.
Enfin, on prsente des politiques et des considrations relatives la gestion des
ressources humaines. Par consquent, ce chapitre s'adresse la fonction des ressources
humaines qui doit grer en tenant compte de la scurit. Selon la majorit des auteurs,
80% des menaces la scurit proviennent de l'interne. Connaissant cet tat de fait, il va
sans dire l'importance de la gestion des ressources humaines dans un contexte de scurit.
Aprs avoir termin vos lectures du chapitre 11, consultez l'actate du MRN qui dcrit
l'organisation de la scurit.
3.9 La scurit et la fonction production (dveloppement de systmes
d'information)
Dans cette sance, vous devriez en premier lieu faire les lectures du chapitre 10 de votre
livre obligatoire. On y aborde sommairement les activits de la gestion de projets
(puisque j'ai retranch les dtails de la gestion de projets). Par la suite, vous lirez
plusieurs aspects tenir compte lors du projet: l'approvisionnement, l'aptitude de
l'organisation faire le changement, le changement de culture des membres de
l'organisation, le besoin de la gestion de projet, la supervision de l'implantation, les
stratgies de conversion, la gouvernance, la rsistance au changement, etc. Tout projet,
mme un projet de scurit doit tre gr selon une mthodologie. Le PMI (Project
Management Institute) a dvelopp une mthodologie pour assurer le succs d'un projet.
Ce succs se mesure par trois objectifs qui doivent tre atteints: le respect de l'chance,
le respect du budget et la qualit du produit ou du service raliser. Un projet a une date
de dbut et une date de fin. Cependant, un projet de scurit n'a pas de fin. En effet, la
gestion de la scurit est un processus continu, car la technologie volue rapidement et on
doit constamment rviser ou amliorer les procdures et les politiques, former et
sensibiliser sans cesse le personnel. Plutt que de voir les dtails des activits de la
gestion de projet, j'ai choisi de vous prsenter le rle du vrificateur interne dans le
processus d'implantation de la scurit.
Aprs avoir termin vos lectures du chapitre 10, lisez le document intitul "Le rle du
vrificateur interne selon M. Clment Clment" et par la suite, visionnez la vido de Mme
Sophie Du Berger. Aprs la lecture de ce document et le visionnement de cette vido, on
ralise l'importance de cet acteur pour assurer le succs du projet de scurit. Le
vrificateur interne a une vision globale de l'organisation et, par consquent, il est bien
plac pour voir les embches menant un chec du projet. Il surveille particulirement le
dveloppement des systmes d'information; il vrifie si la mthodologie du PMI est bien

Page 8 sur 17
suivie pour s'assurer que le logiciel dvelopp soit de qualit. De plus, il surveille toute
activit relative aux aspects mentionns du chapitre 10. Toute cette surveillance n'a qu'un
objectif: assurer la disponibilit, l'intgrit et la confidentialit. Enfin, consultez l'actate
du MRN qui confirme l'importance du rle du vrificateur interne dans l'implantation de
la scurit.
Pour terminer, lisez l'article intitul "Les produits certifis". De plus en plus les
organisations recherchent les logiciels qui ont t dvelopps selon les normes des
bonnes pratiques. Ainsi, on s'assure de la qualit des logiciels puisque toutes les tapes
relatives au bon fonctionnement (analyse, conception, test, prise en compte de la scurit)
de ces derniers ont t suivies.
3.10 La scurit et les fonctions comptabilit et marketing
La confiance est pralable toute transaction sur Internet. Les facteurs prpondrants
pour la dvelopper sont la protection des renseignements personnels et la scurit des
transactions financires. La prise en charge de ces deux facteurs s'applique aux fonctions
comptabilit et marketing.
En premier lieu, lisez les deux articles suivants qui introduisent l'enjeux des donnes
personnelles et la scurit des transactions dans Internet:

La protection des renseignements personnels

L'avenir des paiements dans Internet demeure une affaire de confiance.

Pour assurer la protection des donnes personnelles, l'ICCA joue un rle important. Pour
le connatre, lisez l'article suivant: "L'ICCA sollicite la participation des entreprises".
Enfin, pour comprendre comment assurer la scurit des donnes qui transitent sur le
Web, lisez l'article intitul: "La scurit des donnes informatiques". Dans ce dernier, on
parle de chiffrement, de signature lectronique et de systmes de paiement scuris (ne
lisez pas les paragraphes concernant la lgislation franaise). De plus, les comptables
crent des labels ou sceaux pour mettre en confiance les internautes. Lisez les deux
articles suivants cet effet:

WebTrust, le sceau de qualit

BetterWeb, veut devenir le label de qualit des sites marchands

Par la suite, consultez le site de Bell Canada pour lire l'encadr intitul "Webtrust
information".
Les comptables vrifient si les organisations utilisent adquatement leur sceau. Ainsi, ils
contrlent la conformit des organisations qui adhrent leurs principes ou rfrentiel.
Lisez la page 1 du document intitul "Le rfrentiel du certificat qualit "Luxembourg ecommerce Certified" et survolez les grands titres des pages suivantes. Par la suite, lisez
les deux premires pages du mini guide de la scurit de l'information et survolez les
questions relatives aux thmes audits. Ce mini-guide vous aidera comprendre

Page 9 sur 17
comment les comptables font les audits pour vrifier si les organisations, qui adhrent
leur sceau, se conforment leurs principes ou leur rfrentiel. Enfin, lisez les pages 19
et 20 du document intitul "Le certificat qualit des sites des e-commerce du grand-duch
de Luxembourg" et survolez les pages 23 37. Ces dernires font rfrences diffrents
labels ou sceaux et certificats. Ils sont tellement nombreux qu'on vous dit que trop de
labels tue le label.
En ce qui concerne la fonction "ventes et marketing", elle est implique pour instaurer la
confiance des internautes. La lecture des deux articles suivants en tmoigne:

Btir la confiance
Instaurer la confiance sur le Web

Ceci termine la fois cette sance et la partie II de la session. Dans cette dernire partie,
on a vu l'importance de la gestion de la scurit pour l'ensemble des fonctions
organisationnelles: les ressources humaines, la production (dveloppement des systmes
d'information), la comptabilit et les ventes et marketing. Les gestionnaires des
ressources humaines doivent s'occuper de plusieurs aspects relatifs la scurit comme
l'engagement, le congdiement, la formation, la sensibilisation, etc. Par exemple, lors de
l'engagement, on doit s'assurer des antcdents de la personne qui doit travailler avec de
l'information sensible. Les gestionnaires de la production (dveloppement des systmes
d'information) doivent assurer la gestion des dveloppements des systmes d'information
en utilisant les principes de la gestion de projet du PMI. Le respect de ces derniers permet
de dvelopper des logiciels de qualit pour assurer le DICAN. On a vu que le rle du
vrificateur interne tait important comme intervenant qui surveille tout vnement
pouvant entraver ces principes. On a vu aussi le rle de la fonction comptabilit, grce
l'initiative de l'ICCA, qui consiste appliquer des contrles pour assurer la protection des
renseignements personnels et concevoir des sceaux de qualit pour susciter la confiance
des internautes. Ces rles ne sont qu'une partie de leurs responsabilits vis--vis le
contrle informatique. Si on lit le livre de l'ICCA concernant les contrles informatiques,
on s'aperoit que les comptables sont impliqus dans tous les aspects relatifs la scurit.
Enfin, on a vu la place de la fonction "ventes et marketing" pour btir la confiance sur le
Net. La fonction manquante dans cette partie II est la fonction finance. Cependant, elle
n'est pas inactive pour autant. Dans la sance 1, on a vu l'importance de tenir un discours
de ROI (return OF Investment) avec la direction. C'est donc le rle de la fonction finance
calculer le ROI pour la convaincre.
Par consquent, chaque fonction organisationnelle a un rle jouer en relation avec la
scurit. Lorsque l'on qualifie la scurit de globale, cela veut dire qu'on doit prendre en
compte l'ensemble des rles de l'organisation. Comme insistait M. Cerantola, il faut crer
une culture de scurit. Cependant, si seulement certaines fonctions sont sensibilises, on
a de grandes faiblesses. C'est comme si un parent tait sensibilis la rcupration du
papier et que ses enfants jetaient au rebus ce qu'il recyclait.
Enfin, visionnez la vido de Nortel (SSL) et passez troisime partie du cours soit la
technologie.

Page 10 sur 17
3.11 La scurit et la technologie
Dans cette sance, vous devriez d'abord faire les lectures du chapitre 8 de votre livre
obligatoire concernant les technologies suivantes: firewall, dial-up protection, IDS,
scanning and analysis tools et l'introduction aux solutions d'encryptage. On peut qualifier
les firewall et les IDS de senseurs i.e. qu'ils sont des yeux et des oreilles pour dtecter les
intrusions. En ce qui concerne les outils d'analyses, ils viennent en aide aux humains. En
effet, ils permettent d'analyser une foule d'informations inscrites dans les journaux; pour
un humain, il est impensable de les analyser. Les lectures prcdentes ont pour objectif de
vous donner une ide gnrale de ces technologies et non des informations techniques
dtailles. Si celles-ci ne sont pas suffisantes pour votre comprhension, vous avez des
documents supplmentaires dans la section "Pour en savoir plus..." de cette sance. Aprs
avoir lu cette partie du livre obligatoire, lisez le document intitul: "Les certificats
lectroniques. Pourquoi? Comment?". C'est un excellent document qui explique fort bien
le concept de cls et de signatures lies au concept de certificat. Lisez-le attentivement,
puisque c'est le concept le plus important dans cette sance. Aprs avoir termin la
lecture de ce document, lisez le document intitul "Le PKI en quelques mots". Ce
document est galement trs important puisqu'il est en relation directe avec les certificats
et c'est une technologie d'avenir. Par la suite, lisez dans votre livre obligatoire la section
sur les cls. Si vous avez bien compris les deux documents prcdents, ce sera de la
redondance. Enfin, lisez la section de votre livre obligatoire concernant les priphriques
d'accs et la biomtrie. Cette dernire section est aussi trs importante, car c'est aussi une
technologie d'avenir.
Aprs avoir termin vos lectures du chapitre 8, visionnez la vido de M. Page.
3.12 La scurit physique
Avec cette sance, on entre dans la partie III du cours. Dans celle-ci, on prend en compte
la technologie. Cette dernire doit avoir les qualificatifs suivants selon un confrencier
d'Oracle:

rpondre un besoin identifi par l'analyse de risque

tre en ligne avec la stratgie d'entreprise
tre modulaire pour d'adapter l'volution
tre capable d'accder des applications conviviales

Dans cette sance, vous devriez en premier lieu faire les lectures du chapitre 9 de votre
livre obligatoire. On y aborde d'abord la ncessit de la scurit physique. Par la suite, on
numre plusieurs quipements pour assurer cet aspect de la scurit. De plus, on
s'attarde au plus important principe de la scurit physique: la scurit des personnes qui
travaillent dans l'organisation. Votre livre obligatoire indique que la menace la plus
importante cet gard est l'incendie. On s'intresse aussi aux quipements secondaires,
mais essentiels, qui supportent les activits de l'organisation. Par exemple, que se
passerait-il s'il n'y avait pas de chauffage l'Universit Laval pendant l'hiver. Ces
quipements secondaires et oprationnels, grce des quipements informatiques, sont

Page 11 sur 17
essentiels pour maintenir la disponibilit des activits oprationnelles et
informationnelles. De tels incidents produisent des dommages collatraux. On numre
aussi les mthodes pour intercepter les donnes de l'organisation. On considre ces
interceptions comme le deuxime principe le plus important en matire de scurit
physique. Enfin, on s'attarde sur la scurit physique en relation avec les quipements
informatiques mobiles comme le portable. Ce sont des objets de valeur trs convoits non
seulement cause de la valeur du matriel, mais aussi et surtout cause de la valeur de
l'information qu'ils contiennent.
Pour terminer, consultez les actates du MRN.

4- Cours pralable
SIO-21936.

5- Les approches pdagogiques

L'atteinte des objectifs s'effectuera par les activits suivantes : des vidos, des
confrenciers, des recherches, des mini-examens, un travail long et un examen final.

6- Le site du cours
La page daccueil vous permet daccder chacune des sances, aux valuations, au
calendrier, au forum, votre dossier acadmique, au syllabus, aux coordonnes du
professeur et ses disponibilits. Pour accder au contenu du site, il y a des icnes et des
liens hypertexte sur la page daccueil. En voici la description :
Licne Sances . Il permet daccder au contenu de chaque sance.
Licne valuations . Il permet de trouver la description de chaque travail et de
chaque examen. Vous y trouverez aussi la date o vous pouvez commencer le travail, la
date de remise et lendroit o le remettre.
Licne Calendrier . Il vous permet de connatre les dates importantes comme les
dates de remise des travaux, etc.

Page 12 sur 17
Licne Forum . Il permet daccder un forum o vous pouvez changer avec vos
collgues, mais uniquement sur le sujet du cours. Vous pouvez y poser des questions qui
ne sont pas dans la section Foire Aux Questions . Vos collgues ou le professeur
pourront y rpondre. Vous avez un forum pour chaque sance ainsi quun forum pour
chaque travail. En ayant des forums spcifiques, cela vous permet daccder
linformation plus rapidement.
Licne Foire aux Questions . Il permet daccder aux questions les plus
frquemment poses. Avant de poser une question dans le forum, consultez cette section.
Licne Courrier . Il permet lenvoi de courrier aux tudiants inscrits ce cours.
Pour communiquer avec le professeur, utilisez ladresse de courrier lectronique en
cliquant sur le lien Enseignant & disponibilits .
Licne Partage . Il permet de partager des documents lors des sances en classe ou
pendant les rencontres virtuelles.
Licne Mon Dossier . Il permet daccder vos rsultats acadmiques. Votre note y
est affiche ds que la correction de tous les travaux ou examens sont corrigs. Nous
faisons la correction le plus vite possible, mais il faut tre conscient que cest un cours
obligatoire et que le volume corriger est important. Ds que tous les travaux ou
examens sont corrigs, les notes sont affiches dans votre dossier.
Le lien Professeur et disponibilit . Grce ce lien, vous pouvez connatre les
coordonnes du professeur ainsi que ses disponibilits.
Le lien Syllabus . Grce ce lien, vous obtenez le plan du cours.

Page 13 sur 17
7- Lvaluation
Participation
Mini-examens
Recherches
Travail long
Examen final

10 % individuel
9 % quipe
6 % individuel
40 % quipe
35% individuel

7.1 Participation
Avant le dbut de chaque sance, vous tes tenu de faire une synthse de la matire. Ce
travail a pour objectif de vous faire participer aux discussions de la classe. Il se peut qu
la deuxime sance, il y ait de nouveaux arrivants qui nont pas assist la premire
sance. Ils devront faire le travail de participation de la sance 2, mais ils le remettront
avec le travail de participation de la sance 3. Pour raliser le travail hebdomadaire,
inscrivez dans un document Word une synthse des lectures et des vidos de la semaine
ainsi que vos interrogations:
le contenu du rapport:

le numro et le titre de la sance

votre nom et prnom (pas de page de prsentation)
une synthse des lectures
une synthse des vidos sil y a lieu
le point qui vous marqu le plus dans les lectures
le point qui vous a marqu le plus dans la vido sil y a lieu
la liste de vos questions (ce que vous ne comprenez pas ou de linformation
supplmentaire)

la forme du rapport et les contraintes:

document Word
minimum 1 page, maximum 2 pages
interligne 1
grosseur des caractres : 12
le travail doit tre obligatoirement tre dpos dans la bote de dpt prvu
c'est un travail personnel

Politique relie la participation:

Tout retard pour la remise du travail est not 0.

Le travail et la prsence sont requis pour se prvaloir du point. L'omission d'une
de ces deux conditions est note 0.

Page 14 sur 17
Seul un billet du mdecin ou la preuve dun dcs dune personne proche compense
l'absence en classe si le travail est remis temps.

7.2 Les minis-examens

Les minis-examens se font obligatoirement en quipe (minimum 2 et maximum 3). Vous
devez obligatoirement former vos quipes avec le logiciel que vous trouverez dans la
sance 1. la date limite de la formation des quipes, lordinateur formera des quipes
avec les personnes ou les quipes non enregistres. De plus, il se peut quun membre soit
ajout une quipe de deux. Le mini-examen est fait normalement en classe. Cependant
pour des raisons spciales, il se peut quil soit report pour tre fait la maison. Vous
devez transmettre votre rponse laide de la bote de dpt dans la section
valuation avant la fin de la sance sil est fait en classe. Voici les directives pour ce
travail :

les noms de chaque co-quipier en dbut de page (pas de page de prsentation).

maximum 1 page.
identifiez les ides matresses en gras
un paragraphe par ide matresse
interligne 1
grosseur des caractres : 12
identifiez votre travail comme ceci : votre nom dquipe suivi du nom du miniexamen et de son numro. Ex. quipe1-examen1
les minis-examens sont faits en quipe (minimum 2, maximum 3)

7.3 Recherches
Les recherches ont comme objectif de mettre en lien la thorie vue au cours des sances.
De plus, elles pourront vous tres utiles pour votre travail long.
Recherchez un article sur Internet ou dans les journaux (bibliothque branche de
l'Universit Laval voir FAQ du site pour savoir comment y accder). Cet article doit tre
en lien avec les trois dernires sances prcdant la sance o vous devez remettre le
travail. Voici ce que votre rapport devra contenir: Si le temps le permet, vous prsenterez
votre recherche devant vos pairs. Pour cette raison, vous devez prparer 2 ou 3 actates.
le contenu du rapport:

le titre de la recherche, par exemple "Recherche numro 1 concernant les sances

x,y et z
votre nom et prnom
un bref rsum de l'article dans vos propres mots

Page 15 sur 17

la rfrence (lien sur l'Internet ou lien menant une page externe votre travail
contenant l'article de journal ou la rfrence dun livre)
les liens avec la matire
leons tires comme gestionnaire

la forme du rapport et les contraintes:

document Word
maximum: 1 page
interligne 1
grosseur des caractres : 12
le travail doit tre obligatoirement tre dpos dans la bote de dpt prvu de
mme que vos actates.
c'est un travail personnel

Politique de retard: tout retard sera not 0.

7.4 Le travail long

Lassociation de la scurit de linformation de la rgion de Qubec (ASIRQ)

invite les tudiants en administration soumettre un travail de session en lien avec
le thme de lanne 2004-2005 de lassociation soit : La scurit, une affaire de
communication . Dans ce contexte, le travail long doit se conformer ce thme.
Les critres de slection du meilleur travail vous seront communiqus ds que
nous les recevrons de lassociation. La slection du meilleur travail se fera par un
comit de professeurs ou de professionnels en scurit.

Le contenu du rapport:

La scurit, une affaire de communication

La forme du rapport et les contraintes:

document Word
page prsentation
interligne 1
grosseur des caractres : 12
nombre de pages : selon votre jugement. Mieux vaut un travail de qualit de 12
15 pages quun travail pitre de 40 pages.
le travail doit tre obligatoirement tre remis sur papier
c'est un travail dquipe (minimum 2, maximum 3)
Une page prsentation.
Brochez votre travail dans le coin suprieur gauche.
Le travail doit tre remis en classe au dbut de lexamen final

Page 16 sur 17

Lvaluation. Voici quelques critres dvaluation :

La qualit du contenu.
Le lien avec les critres de slection de lASIRQ
La forme du rapport
La qualit du franais
Un bon fil conducteur
Citation des auteurs
Une bibliographie

Politique de retard: pnalit de 10 points pour une dure de deux jours. Aprs deux
jours, le travail sera not 0.
7.5 Lexamen final
Lexamen final se tiendra pendant la priode spcifie dans la section valuations du
site. Pour des raisons majeures, la Direction des programmes de premier cycle se rserve
le droit de modifier lhoraire des examens de fin de session. Les tudiants doivent donc
tre disponibles pour toute cette priode. Il est galement possible que les examens de fin
de session des cours de soir aient lieu le jour.
8- Plagiat
Nous vous invitons prendre connaissance des rglements du premier cycle pour bien
comprendre les consquences du plagiat.
http://www.ulaval.ca/sg/reg/Reglements/Disc/infractions.html

9- Politique pour les reprises dexamen

Mini-examen. Seul un billet du mdecin ou le dcs dune personne proche donne droit
une reprise dexamen. Voir la procdure dans la Foire aux questions section gnrale.
Final. Remplir un formulaire ladministration du premier cycle. Les conditions de
reprise sont dtermines par cette dernire.
10- Politique pour les communications
Dans le cadre de ce cours, toute communication doit se faire en utilisant le courrier du
site du cours. Ce dernier constitue le moyen de communication officiel de lenseignant
vers ltudiant. Ltudiant est donc responsable de vrifier rgulirement les courriels
reus dans le courrier du site du cours.

Page 17 sur 17
11- Politique pour les retards
Tout retard est not zro, sauf pour le travail long.
Retard tolr pour le travail long : 2 jours. Aprs ce dlai, le travail est not 0.
12- Rfrences principales utilises dans le cours
Matriels pdagogiques.
MATRIELS OBLIGATOIRES pour les tudiants en classe et
pour les tudiants sur Internet
Principles of Information security
par Whitman, Michael E. et Mattord, Herbert J., , Thomson course
technology, 2003, 532 pages.
CD ROM
MATRIEL FACULTATIF
Aucun

PRIX approximatif
Membre : $
Non-membre $ ??
$7.00
PRIX approximatif

13. Bibliographie
Danda, Matthew, La scurit sur le Web. Microsoft Press 2001, 379 pages.
Gonik, Jacques, Management de la scurit informatique, AFNOR, 1996, 210 pages.
Graves, John, Management roadmap to Information Security, Kent Information Services,
2000.
Institut Canadien des Comptables Agrs, La gestion du contrle de linformatique, 3ime
dition, 1998, 446 pages.
Martel, Louise, Vzina, Michel, La cyberPME et la gestion du risque, Gurin diteur lte,
Montral, 2000, 235 pages.
Pipkin, Donald L., Scurit des systmes dinformation, Campus Press, 2000, 391 pages.
Rfalo, Pierre-Luc, Scuriser lentreprise connecte. ditions dOrganisation, 2002, 415
pages.
Whitman, Michael E. et Mattord, Herbert J., Principles of Information security, Thomson
course technology, 2003, 532 pages.