Vous êtes sur la page 1sur 17

Page 1 sur 17

Faculté des sciences de l'administration Département des systèmes d’information organisationnels Université Laval

Plan de cours

A2004

SIO-21925 Sécurité, contrôle et gestion du risque

1- Objectif général

Dans un contexte où la sécurité informatique prend une place importante au sein des organisations, ce cours a pour objectif général de permettre à l’étudiant d’avoir une vision globale des actions à réaliser pour assurer la sécurité des systèmes d’information dans une organisation.

2- Objectifs spécifiques

Le cours « Sécurité, contrôle et gestion du risque » vise les objectifs spécifiques suivants:

comprendre les concepts de base de la sécurité informatique et prendre connaissance des enjeux futurs

connaître les facteurs clés et les expertises requises pour assurer la sécurité

comprendre les besoins des organisations en matière de sécurité

comprendre l’importance de la gestion des risques

prendre connaissances des méthodologies existantes pour l’analyse de risque

connaître des stratégies pour diminuer le risque et connaître l’importance d’une politique de la sécurité

savoir les grandes étapes reliées à l’implantation d’un plan de la continuité

connaître l’importance des ressources humaines pour gérer la sécurité

prendre connaissance de l’utilité de la gestion de la sécurité lors du développement d’un système d’information

prendre connaissance du rôle des fonctions comptabilité et marketing dans le contexte de la sécurité

connaître les concepts de sécurité reliés à la dimension technologie

comprendre l’importance de la sécurité physique

Page 2 sur 17

3- Le déroulement du cours

3.1 Introduction à la sécurité

Dans cette séance, vous devriez en premier lieu faire les lectures de votre livre obligatoire. On y aborde d'abord l'histoire de la sécurité. Par la suite, on définit les concepts de sécurité et de sécurité de l'information. Enfin on vous propose des caractéristiques fondamentales de l'information. Parmi ces dernières, il en existe trois qui reviennent constamment dans le discours des professionnels en sécurité: la disponibilité, l'intégrité et la confidentialité. La disponibilité concerne l'atteinte à l'information lorsque l'on désire y accéder. Si notre portable est brisé, nous ne pouvons pas accéder à l'information contenue dans ce dernier; par conséquent, l'accès à l'information n'est pas disponible. Quant à l'intégrité, les informations ne doivent pas être modifiées par méfait ou malveillance. Enfin, on ne doit pas donner accès aux informations à tous afin de respecter la confidentialité des données. Les auteurs parlent du triangle C.I.A. i.e. Confidendiality, Integrity et Availability; pour nous, dans la langue française, on nomme ce triangle le D.I.C. i.e. la Disponibilité, l'Intégrité et la Confidentialité. Cependant, en plus de ces trois caractéristiques, il y en a deux autres soit l'authentification et la non- répudiation. Ainsi on forme le sigle D.I.C.A.N. En lisant le document intitulé "Les principales caractéristiques de la sécurité", on peut avoir une définition pour chacune d'elles.

Après avoir terminé le lecture du livre obligatoire, lisez l'article de la revue Sécurité. C'est un exemple qui reflète les enjeux de plusieurs organisations.

Visionnez la vidéo de la firme Nortel. Elle reflète les enjeux de la sécurité pour le monde de demain. C'est un discours futuriste auquel vous serez confronté dans un futur pas très lointain et qui fait suite à l'évolution de la sécurité que vous avez lue dans le livre obligatoire. Un des concepts importants de cette vidéo concerne la sécurité à plusieurs niveaux. Comme vous pourrez le constater, on ne peut pas sécuriser à 100% les actifs physiques ou informationnels et il ne faut pas tout sécuriser. Il faut sécuriser ce qui a de la valeur. Prenons l'exemple de votre maison et supposons que vous avez des bijoux pour une valeur de trois millions de dollars dans votre chambre à coucher. Barrer les portes qui donnent accès à l'intérieur de la maison est le premier niveau de sécurité. Cependant, la valeur à protéger est tellement importante que vous mettez un deuxième niveau de sécurité pour rendre la vie plus dure à un potentiel voleur; vous posez une serrure à la porte de votre chambre. De plus, vous estimez tant de valeur à vos bijoux que vous décidez d'acheter un coffre-fort que vous installez dans votre chambre. Ainsi, vous avez un troisième niveau de sécurité. Plus vous mettez des niveaux de sécurité, plus c'est difficile pour le voleur et plus vous êtes en sécurité. Enfin, au cours de son discours M. Denoncourt utilise le terme WEP; c'est un protocole pour encrypter les données.

Pour terminer, consultez le site de la ville de Toronto montrant tous les endroits du centre-ville où l'information se propage dans l'air sans y être protégée. Une fois sur la page d'accueil, choisissez le lien "Toronto, the naked city" et cliquez sur le bouton intitulé "Agree".

Page 3 sur 17

3.2 La sécurité et l’organisation

Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 1 de votre livre obligatoire. On y aborde d'abord le modèle NSTISSC. Grâce à ce modèle, vous pouvez trouver les domaines où l'on doit sécuriser les systèmes d'information d'aujourd'hui. Prenons l'exemple de l'un des 27 domaines: la technologie du sans-fil, la transmission des données et la confidentialité. Cette cellule concerne donc la transmission des données à l'aide du sans-fil où il faut protéger la confidentialité des données transmises. Par la suite, on fait l'inventaire des actifs à protéger, on propose deux approches d'implantation, on décrit le cycle de développement d'un système et d'un système de sécurité et on définit des termes spécifiques au jargon de la sécurité. Enfin, on décrit les rôles de plusieurs professionnels en sécurité. Ainsi, on s'aperçoit qu'une équipe de sécurité est multidisciplinaire. Par conséquent, on a besoin de personnes comme vous qui ont des connaissances en gestion. Par contre, vous aurez besoin de personnes qui connaissent à fond les technologies pour pouvoir les implanter. Une des leçons de ce cours est que la sécurité n'est pas un problème de technologie, mais un problème de gestion. À vous d'en profiter. Enfin, on propose le concept de "Data Ownership". C'est un concept très important en sécurité. Qui est responsable de la sécurité? Est-ce le Chief Information Security Officer (CISO)? Non, ce sont les propriétaires des actifs physiques ou informationnels. Par exemple, on voit sur l'acétate du MRN qui sont les détenteurs d'information.

Après avoir terminé vos lectures du chapitre 1, lisez les lectures du chapitre 6. On vous parle de programme de formation et de sensibilisation. Selon Pipkin, l'erreur humaine est de loin la menace la plus répandue contre les ressources de l'entreprise. L'erreur humaine est causée par des individus autorisés à utiliser un système informatique et elle peut être réduite par une formation. Par exemple, un firewall mal configuré laisse la porte ouverte à des malfaiteurs. La technologie change rapidement et il faut former régulièrement notre personnel qui s'occupe de l'installation. Enfin, le personnel doit bien comprendre l'implication de la sécurité dans l'exécution de son travail. La sensibilisation est donc de mise pour tous les niveaux du personnel. De plus, elle doit être continue, sinon on oublie. Par exemple, il faut sensibiliser le personnel à garder confidentiel son mot de passe et à le changer régulièrement.

Après avoir terminé les lectures du livre obligatoire, lisez les deux articles qui mettent l'emphase sur un principe important soit le retour sur l'investissement pour convaincre la direction. Lors d'un rencontre organisée par Oracle, on me disait l'importance de tenir un discours sur le ROI (Return Of Investment) pour convaincre la direction. Il faut être capable de trouver les mots pour libérer les fonds. Par exemple, on parlera de perte de revenus (site non disponible, personne qui ne travaille pas suite à la perte de la disponibilité, vol, nombre de transactions perdues, avantage concurrentiel), de perte d'image ou d'impact sur la réputation si on nous vole des informations confidentielles. Si on parle avec des mots de la technologie comme IDS ou Firewall, on passe à côté des préoccupations de la direction.

Page 4 sur 17

Après avoir lu les articles de cette séance, consultez les acétates du Ministère des Ressources Naturelles. Elles concrétisent les concepts présentés précédemment (appui haute direction, sensibilisation et langage non technique) dans un ministère du Québec.

Pour terminer, visionnez la vidéo de M. Lino Cerantola. Elle reflète une organisation où la sécurité est bien gérée. Cela vous donnera une bonne idée comment la sécurité se concrétise dans notre contexte universitaire. On y parle de culture i.e. un endroit où la formation et la sensibilisation prennent une importance capitale pour assurer la sécurité. De plus, on vous parle de sécurité logique qui fait appel à des logiciels et de la sécurité physique qui fait appel au matériel. Enfin, on parle de l'importance d'une méthodologie pour implanter la sécurité. Dans le contexte de gestion de la sécurité, il est très important d'en choisir une. D'ailleurs, on vous en présentera quelques-unes un peu plus tard dans la session.

3.3 Les besoins de l’organisation en matière de sécurité

Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 2 de votre livre obligatoire. On y aborde d'abord les fonctions réalisées par la sécurité. Par la suite, on vous explique les concepts de menaces ainsi que les types de menaces. Enfin, il y a le concept d'attaque et on vous en énumère les principaux types. Parmi ceux-ci, j'ai omis ceux qui étaient les plus techniques.

Après avoir terminé les lectures du livre obligatoire, lisez les deux articles. Celui de Gonik met en évidence le concept de menace et celui du site SecuriteInfo.com met en lumière un type d'attaque qui utilise la confiance des gens. La formation et la sensibilisation en relation avec ce dernier type d'attaque sont importantes.

Pour terminer, consultez les acétates du MRN et de Danda pour connaître des façons de gérer les virus et les mots de passe. Ces deux derniers thèmes ont été traités dans le livre obligatoire.

3.4 La gestion du risque

Dans cette séance, vous devez faire les lectures du chapitre 4 de votre livre obligatoire. On y aborde la gestion du risque, l'identification du risque, l'évaluation du risque et la documentation du résultat de l'évaluation du risque. C'est un chapitre majeur pour la gestion de la sécurité. Pour gérer le risque, il faut l'identifier. Voici quatre questions importantes entre autres:

quelle est la valeur des actifs? Je protège ce qui a de la valeur

quelles sont les vulnérabilités?

quelles sont les menaces?

Une fois que j'ai répondu à ces questions, j'évalue le risque: quelle est la probabilité?

Page 5 sur 17

3.5 Des méthodologies pour l'analyse du risque

Dans cette séance, vous devez d'abord faire les lectures concernant les méthodologies MARION et MEHARI. Par la suite, visionnez la vidéo de M. Cusson. Après avoir visionné la vidéo, lisez la méthodologie COBIT.

Enfin, consultez les acétates du MRN qui ont utilisé la méthode Marion et dont on spécifie qu'elle a répondu aux besoin du système centralisé, mais qu'elle ne peut couvrir les nouveaux environnements comme les systèmes distribués.

Que ce soit en gestion de projet (méthode du PMI), en développement de système d'information (méthode Datarun), une méthodologie est toujours nécessaire pour en assurer le succès d'un projet. De même pour l'évaluation des risques, une méthodologie est nécessaire.

3.6 Stratégies pour diminuer le risque et politiques de sécurité

Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 5 de votre livre obligatoire. On y aborde d'abord des stratégies pour contrôler le risque. Par la suite, on énumère quatre catégories de contrôle, mais il y en a deux qui sont importantes: les contrôles par fonction et les principes de sécurité. On a déjà parlé de la catégorie "control function" dans l'article intitulé "Des arguments pour convaincre" de la séance 2. En effet, on y parle des effets bénéfiques des contrôles préventifs par rapport aux contrôles réactifs. Cependant, on ne peut pas tout prévoir; c'est pourquoi on a besoin des contrôles qui seront connus par des audits et des IDS (Intrusion Detection System). En ce qui concerne les principes de la sécurité, on connaît déjà les principes du D.I.C.A.N. Parmi les autres principes de sécurité énumérés, il y a les contrôles d'accès. Une fois authentifié, on se voit accorder des privilèges d'accès (authorization) à des fichiers bien précis de la base de données. Enfin, il y a le principe de responsabilité et de confidentialité. Après avoir lu ces principes, vous devez lire les pages concernant deux caractéristiques du risque: le risque acceptable et le risque résiduel. On a déjà abordé ce thème dans le document de la méthodologie de MEHARI (grille concernant la gravité du risque).

Après avoir terminé vos lectures du chapitre 5, vous devez lire des sections du chapitre 6 qui concernent trois types de politique. Enfin, on vous enseigne la façon de les gérer. Lors d'une conférence, on a mentionné trois points importants pour gérer les politiques de sécurité:

s'assurer de communiquer la politique à tous les membres de l'organisation

contrôler l'application des politiques

réviser périodiquement la politique de sécurité

Après avoir terminé la lecture du chapitre 6, lisez le texte intitulé "À quoi sert une politique de sécurité". Par la suite, vous pouvez consulter deux exemples concrets d'une

Page 6 sur 17

politique de sécurité et un code de conduite sur l'utilisation des T.I. Enfin, consultez l'acétate du MRN.

3.7 Plan de continuité

Dans cette séance, vous devriez en premier lieu faire les lectures de votre livre obligatoire. On y distingue d'abord trois plans différents: un plan de réponse à un incident, un plan de recouvrement lors d'un désastre et un plan de continuité des affaires. Par la suite, on y décrit comment et pourquoi faire une analyse d'impact. On la qualifie de cruciale. Enfin, on détaille le plan de la gestion des incidents.

Après avoir terminé vos lectures du chapitre 7, consultez les acétates du MRN.

Pour terminer, visionnez la vidéo de de M. Jocelyn Audette. Il vous démontrera l'importance de l'analyse d'impact pour choisir les processus d'affaires critiques. De même, la détermination de l'objectif de recouvrement va permettre de choisir la stratégie adéquate pour l'atteindre.

Enfin, le plan de continuité des affaires concerne uniquement le principe de disponibilité. On peut dire que ce dernier est en conflit avec les principes d'intégrité et de confidentialité puisque plus l'information est disponible, plus elle est sujette à être attaquée.

Avec la fin de cette séance, on termine la partie I du cours. Voici la logique de cette partie:

séance 1 et 2: on a défini les concepts généraux de la sécurité

séance 3: on a identifié les besoins généraux de l'organisation dus aux attaques potentielles

séance 4: on a vu la théorie pour identifier et évaluer les risques

séance 5: on a évalué des méthodes pour prendre en charge l'identification et l'évaluation des risques

séance 6: on a identifié des stratégies pour diminuer les risques et on a vu l'importance de la politique de sécurité, de la formation et de la sensibilisation pour assurer le succès de la stratégie choisie

séance 7: on a préparé des plans pour gérer les incidents et pour assurer la continuité des affaires lors d'un potentiel désastre

3.8 La sécurité et la fonction ressource humaine

Avec cette séance, on entre dans la partie II du cours. Dans celle-ci, on prend en compte la dimension humaine impliquée dans chaque fonction organisationnelle.

Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 11 de votre livre obligatoire. On y positionne d'abord la fonction sécurité dans la structure

Page 7 sur 17

organisationnelle. Par la suite, puisqu'une équipe de sécurité est multidisciplinaire, on y décrit chacune des responsabilités nécessaires et ses pré-requis.

En sécurité, il existe aussi la possibilité d'obtenir une certification. J'ai choisi d'insister sur la certification CISSP et CISA puisque ce sont elles qui ont la vogue dans notre milieu.

Comme futurs gestionnaires de la sécurité, l'auteur de votre livre obligatoire a trouvé d'excellents conseils à vous donner. À vous d'en profiter.

Enfin, on présente des politiques et des considérations relatives à la gestion des ressources humaines. Par conséquent, ce chapitre s'adresse à la fonction des ressources humaines qui doit gérer en tenant compte de la sécurité. Selon la majorité des auteurs, 80% des menaces à la sécurité proviennent de l'interne. Connaissant cet état de fait, il va sans dire l'importance de la gestion des ressources humaines dans un contexte de sécurité.

Après avoir terminé vos lectures du chapitre 11, consultez l'acétate du MRN qui décrit l'organisation de la sécurité.

3.9

d'information)

La

sécurité

et

la

fonction

production

(développement

de

systèmes

Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 10 de votre livre obligatoire. On y aborde sommairement les activités de la gestion de projets (puisque j'ai retranché les détails de la gestion de projets). Par la suite, vous lirez plusieurs aspects à tenir compte lors du projet: l'approvisionnement, l'aptitude de l'organisation à faire le changement, le changement de culture des membres de l'organisation, le besoin de la gestion de projet, la supervision de l'implantation, les stratégies de conversion, la gouvernance, la résistance au changement, etc. Tout projet, même un projet de sécurité doit être géré selon une méthodologie. Le PMI (Project Management Institute) a développé une méthodologie pour assurer le succès d'un projet. Ce succès se mesure par trois objectifs qui doivent être atteints: le respect de l'échéance, le respect du budget et la qualité du produit ou du service à réaliser. Un projet a une date de début et une date de fin. Cependant, un projet de sécurité n'a pas de fin. En effet, la gestion de la sécurité est un processus continu, car la technologie évolue rapidement et on doit constamment réviser ou améliorer les procédures et les politiques, former et sensibiliser sans cesse le personnel. Plutôt que de voir les détails des activités de la gestion de projet, j'ai choisi de vous présenter le rôle du vérificateur interne dans le processus d'implantation de la sécurité.

Après avoir terminé vos lectures du chapitre 10, lisez le document intitulé "Le rôle du vérificateur interne selon M. Clément Clément" et par la suite, visionnez la vidéo de Mme Sophie Du Berger. Après la lecture de ce document et le visionnement de cette vidéo, on réalise l'importance de cet acteur pour assurer le succès du projet de sécurité. Le vérificateur interne a une vision globale de l'organisation et, par conséquent, il est bien placé pour voir les embûches menant à un échec du projet. Il surveille particulièrement le développement des systèmes d'information; il vérifie si la méthodologie du PMI est bien

Page 8 sur 17

suivie pour s'assurer que le logiciel développé soit de qualité. De plus, il surveille toute activité relative aux aspects mentionnés du chapitre 10. Toute cette surveillance n'a qu'un objectif: assurer la disponibilité, l'intégrité et la confidentialité. Enfin, consultez l'acétate du MRN qui confirme l'importance du rôle du vérificateur interne dans l'implantation de la sécurité.

Pour terminer, lisez l'article intitulé "Les produits certifiés". De plus en plus les organisations recherchent les logiciels qui ont été développés selon les normes des bonnes pratiques. Ainsi, on s'assure de la qualité des logiciels puisque toutes les étapes relatives au bon fonctionnement (analyse, conception, test, prise en compte de la sécurité) de ces derniers ont été suivies.

3.10 La sécurité et les fonctions comptabilité et marketing

La confiance est préalable à toute transaction sur Internet. Les facteurs prépondérants pour la développer sont la protection des renseignements personnels et la sécurité des transactions financières. La prise en charge de ces deux facteurs s'applique aux fonctions comptabilité et marketing.

En premier lieu, lisez les deux articles suivants qui introduisent l'enjeux des données personnelles et la sécurité des transactions dans Internet:

La protection des renseignements personnels

L'avenir des paiements dans Internet demeure une affaire de confiance.

Pour assurer la protection des données personnelles, l'ICCA joue un rôle important. Pour le connaître, lisez l'article suivant: "L'ICCA sollicite la participation des entreprises". Enfin, pour comprendre comment assurer la sécurité des données qui transitent sur le Web, lisez l'article intitulé: "La sécurité des données informatiques". Dans ce dernier, on parle de chiffrement, de signature électronique et de systèmes de paiement sécurisé (ne lisez pas les paragraphes concernant la législation française). De plus, les comptables créent des labels ou sceaux pour mettre en confiance les internautes. Lisez les deux articles suivants à cet effet:

WebTrust, le sceau de qualité

BetterWeb, veut devenir le label de qualité des sites marchands

Par la suite, consultez le site de Bell Canada pour lire l'encadré intitulé "Webtrust information".

Les comptables vérifient si les organisations utilisent adéquatement leur sceau. Ainsi, ils contrôlent la conformité des organisations qui adhèrent à leurs principes ou référentiel. Lisez la page 1 du document intitulé "Le référentiel du certificat qualité "Luxembourg e- commerce Certified" et survolez les grands titres des pages suivantes. Par la suite, lisez les deux premières pages du mini guide de la sécurité de l'information et survolez les questions relatives aux thèmes audités. Ce mini-guide vous aidera à comprendre

Page 9 sur 17

comment les comptables font les audits pour vérifier si les organisations, qui adhèrent à leur sceau, se conforment à leurs principes ou à leur référentiel. Enfin, lisez les pages 19 et 20 du document intitulé "Le certificat qualité des sites des e-commerce du grand-duché de Luxembourg" et survolez les pages 23 à 37. Ces dernières font références à différents labels ou sceaux et certificats. Ils sont tellement nombreux qu'on vous dit que trop de labels tue le label.

En ce qui concerne la fonction "ventes et marketing", elle est impliquée pour instaurer la confiance des internautes. La lecture des deux articles suivants en témoigne:

Bâtir la confiance

Instaurer la confiance sur le Web

Ceci termine à la fois cette séance et la partie II de la session. Dans cette dernière partie, on a vu l'importance de la gestion de la sécurité pour l'ensemble des fonctions organisationnelles: les ressources humaines, la production (développement des systèmes d'information), la comptabilité et les ventes et marketing. Les gestionnaires des ressources humaines doivent s'occuper de plusieurs aspects relatifs à la sécurité comme l'engagement, le congédiement, la formation, la sensibilisation, etc. Par exemple, lors de l'engagement, on doit s'assurer des antécédents de la personne qui doit travailler avec de l'information sensible. Les gestionnaires de la production (développement des systèmes d'information) doivent assurer la gestion des développements des systèmes d'information en utilisant les principes de la gestion de projet du PMI. Le respect de ces derniers permet de développer des logiciels de qualité pour assurer le DICAN. On a vu que le rôle du vérificateur interne était important comme intervenant qui surveille tout événement pouvant entraver ces principes. On a vu aussi le rôle de la fonction comptabilité, grâce à l'initiative de l'ICCA, qui consiste à appliquer des contrôles pour assurer la protection des renseignements personnels et à concevoir des sceaux de qualité pour susciter la confiance des internautes. Ces rôles ne sont qu'une partie de leurs responsabilités vis-à-vis le contrôle informatique. Si on lit le livre de l'ICCA concernant les contrôles informatiques, on s'aperçoit que les comptables sont impliqués dans tous les aspects relatifs à la sécurité. Enfin, on a vu la place de la fonction "ventes et marketing" pour bâtir la confiance sur le Net. La fonction manquante dans cette partie II est la fonction finance. Cependant, elle n'est pas inactive pour autant. Dans la séance 1, on a vu l'importance de tenir un discours de ROI (return OF Investment) avec la direction. C'est donc le rôle de la fonction finance

à calculer le ROI pour la convaincre.

Par conséquent, chaque fonction organisationnelle a un rôle à jouer en relation avec la sécurité. Lorsque l'on qualifie la sécurité de globale, cela veut dire qu'on doit prendre en compte l'ensemble des rôles de l'organisation. Comme insistait M. Cerantola, il faut créer une culture de sécurité. Cependant, si seulement certaines fonctions sont sensibilisées, on

a de grandes faiblesses. C'est comme si un parent était sensibilisé à la récupération du papier et que ses enfants jetaient au rebus ce qu'il recyclait.

Enfin, visionnez la vidéo de Nortel (SSL) et passez à troisième partie du cours soit la technologie.

Page 10 sur 17

3.11 La sécurité et la technologie

Dans cette séance, vous devriez d'abord faire les lectures du chapitre 8 de votre livre obligatoire concernant les technologies suivantes: firewall, dial-up protection, IDS, scanning and analysis tools et l'introduction aux solutions d'encryptage. On peut qualifier les firewall et les IDS de senseurs i.e. qu'ils sont des yeux et des oreilles pour détecter les intrusions. En ce qui concerne les outils d'analyses, ils viennent en aide aux humains. En effet, ils permettent d'analyser une foule d'informations inscrites dans les journaux; pour un humain, il est impensable de les analyser. Les lectures précédentes ont pour objectif de vous donner une idée générale de ces technologies et non des informations techniques détaillées. Si celles-ci ne sont pas suffisantes pour votre compréhension, vous avez des "

documents supplémentaires dans la section "Pour en savoir plus

de cette séance. Après

avoir lu cette partie du livre obligatoire, lisez le document intitulé: "Les certificats électroniques. Pourquoi? Comment?". C'est un excellent document qui explique fort bien le concept de clés et de signatures liées au concept de certificat. Lisez-le attentivement, puisque c'est le concept le plus important dans cette séance. Après avoir terminé la lecture de ce document, lisez le document intitulé "Le PKI en quelques mots". Ce document est également très important puisqu'il est en relation directe avec les certificats et c'est une technologie d'avenir. Par la suite, lisez dans votre livre obligatoire la section sur les clés. Si vous avez bien compris les deux documents précédents, ce sera de la redondance. Enfin, lisez la section de votre livre obligatoire concernant les périphériques d'accès et la biométrie. Cette dernière section est aussi très importante, car c'est aussi une

technologie d'avenir.

Après avoir terminé vos lectures du chapitre 8, visionnez la vidéo de M. Page.

3.12 La sécurité physique

Avec cette séance, on entre dans la partie III du cours. Dans celle-ci, on prend en compte la technologie. Cette dernière doit avoir les qualificatifs suivants selon un conférencier d'Oracle:

répondre à un besoin identifié par l'analyse de risque

être en ligne avec la stratégie d'entreprise

être modulaire pour d'adapter à l'évolution

être capable d'accéder à des applications conviviales

Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 9 de votre livre obligatoire. On y aborde d'abord la nécessité de la sécurité physique. Par la suite, on énumère plusieurs équipements pour assurer cet aspect de la sécurité. De plus, on s'attarde au plus important principe de la sécurité physique: la sécurité des personnes qui travaillent dans l'organisation. Votre livre obligatoire indique que la menace la plus importante à cet égard est l'incendie. On s'intéresse aussi aux équipements secondaires, mais essentiels, qui supportent les activités de l'organisation. Par exemple, que se passerait-il s'il n'y avait pas de chauffage à l'Université Laval pendant l'hiver. Ces équipements secondaires et opérationnels, grâce à des équipements informatiques, sont

Page 11 sur 17

essentiels pour maintenir la disponibilité des activités opérationnelles et informationnelles. De tels incidents produisent des dommages collatéraux. On énumère aussi les méthodes pour intercepter les données de l'organisation. On considère ces interceptions comme le deuxième principe le plus important en matière de sécurité physique. Enfin, on s'attarde sur la sécurité physique en relation avec les équipements informatiques mobiles comme le portable. Ce sont des objets de valeur très convoités non seulement à cause de la valeur du matériel, mais aussi et surtout à cause de la valeur de l'information qu'ils contiennent.

Pour terminer, consultez les acétates du MRN.

4- Cours préalable

SIO-21936.

5- Les approches pédagogiques

L'atteinte des objectifs s'effectuera par les activités suivantes : des vidéos, des conférenciers, des recherches, des mini-examens, un travail long et un examen final.

6- Le site du cours

La page d’accueil vous permet d’accéder à chacune des séances, aux évaluations, au calendrier, au forum, à votre dossier académique, au syllabus, aux coordonnées du professeur et à ses disponibilités. Pour accéder au contenu du site, il y a des icônes et des liens hypertexte sur la page d’accueil. En voici la description :

L’icône « Séances ». Il permet d’accéder au contenu de chaque séance.

L’icône « Évaluations ». Il permet de trouver la description de chaque travail et de chaque examen. Vous y trouverez aussi la date où vous pouvez commencer le travail, la date de remise et l’endroit où le remettre.

L’icône « Calendrier ». Il vous permet de connaître les dates importantes comme les dates de remise des travaux, etc.

Page 12 sur 17

L’icône « Forum ». Il permet d’accéder à un forum où vous pouvez échanger avec vos collègues, mais uniquement sur le sujet du cours. Vous pouvez y poser des questions qui ne sont pas dans la section « Foire Aux Questions ». Vos collègues ou le professeur pourront y répondre. Vous avez un forum pour chaque séance ainsi qu’un forum pour chaque travail. En ayant des forums spécifiques, cela vous permet d’accéder à l’information plus rapidement.

L’icône « Foire aux Questions ». Il permet d’accéder aux questions les plus fréquemment posées. Avant de poser une question dans le forum, consultez cette section.

L’icône « Courrier ». Il permet l’envoi de courrier aux étudiants inscrits à ce cours. Pour communiquer avec le professeur, utilisez l’adresse de courrier électronique en cliquant sur le lien « Enseignant & disponibilités ».

L’icône « Partage ». Il permet de partager des documents lors des séances en classe ou pendant les rencontres virtuelles.

L’icône « Mon Dossier ». Il permet d’accéder à vos résultats académiques. Votre note y est affichée dès que la correction de tous les travaux ou examens sont corrigés. Nous faisons la correction le plus vite possible, mais il faut être conscient que c’est un cours obligatoire et que le volume à corriger est important. Dès que tous les travaux ou examens sont corrigés, les notes sont affichées dans votre dossier.

Le lien « Professeur et disponibilité ». Grâce à ce lien, vous pouvez connaître les coordonnées du professeur ainsi que ses disponibilités.

Le

lien

« Syllabus ».

Grâce

à

ce

lien,

vous

obtenez

le

plan

du

cours.

Page 13 sur 17

7- L’évaluation

Participation

10

%

individuel

Mini-examens

9

%

équipe

Recherches

6

%

individuel

Travail long

40

%

équipe

Examen final

35%

individuel

7.1 Participation

Avant le début de chaque séance, vous êtes tenu de faire une synthèse de la matière. Ce travail a pour objectif de vous faire participer aux discussions de la classe. Il se peut qu’à la deuxième séance, il y ait de nouveaux arrivants qui n’ont pas assisté à la première séance. Ils devront faire le travail de participation de la séance 2, mais ils le remettront avec le travail de participation de la séance 3. Pour réaliser le travail hebdomadaire, inscrivez dans un document Word une synthèse des lectures et des vidéos de la semaine ainsi que vos interrogations:

le contenu du rapport:

le numéro et le titre de la séance

votre nom et prénom (pas de page de présentation)

une synthèse des lectures

une synthèse des vidéos s’il y a lieu

le point qui vous marqué le plus dans les lectures

le point qui vous a marqué le plus dans la vidéo s’il y a lieu

la liste de vos questions (ce que vous ne comprenez pas ou de l’information supplémentaire)

la forme du rapport et les contraintes:

document Word

minimum 1 ½ page, maximum 2 pages

interligne 1 ½

grosseur des caractères : 12

le travail doit être obligatoirement être déposé dans la boîte de dépôt prévu

c'est un travail personnel

Politique reliée à la participation:

Tout retard pour la remise du travail est noté 0.

Le travail et la présence sont requis pour se prévaloir du point. L'omission d'une de ces deux conditions est notée 0.

Page 14 sur 17

Seul un billet du médecin ou la preuve d’un décès d’une personne proche compense l'absence en classe si le travail est remis à temps.

7.2 Les minis-examens

Les minis-examens se font obligatoirement en équipe (minimum 2 et maximum 3). Vous devez obligatoirement former vos équipes avec le logiciel que vous trouverez dans la séance 1. À la date limite de la formation des équipes, l’ordinateur formera des équipes avec les personnes ou les équipes non enregistrées. De plus, il se peut qu’un membre soit ajouté à une équipe de deux. Le mini-examen est fait normalement en classe. Cependant pour des raisons spéciales, il se peut qu’il soit reporté pour être fait à la maison. Vous devez transmettre votre réponse à l’aide de la boîte de dépôt dans la section « Évaluation » avant la fin de la séance s’il est fait en classe. Voici les directives pour ce travail :

les noms de chaque co-équipier en début de page (pas de page de présentation).

maximum 1 page.

identifiez les idées maîtresses en gras

un paragraphe par idée maîtresse

interligne 1 ½

grosseur des caractères : 12

identifiez votre travail comme ceci : votre nom d’équipe suivi du nom du mini- examen et de son numéro. Ex. équipe1-examen1

les minis-examens sont faits en équipe (minimum 2, maximum 3)

7.3 Recherches

Les recherches ont comme objectif de mettre en lien la théorie vue au cours des séances. De plus, elles pourront vous êtres utiles pour votre travail long.

Recherchez un article sur Internet ou dans les journaux (bibliothèque branchée de l'Université Laval voir FAQ du site pour savoir comment y accéder). Cet article doit être en lien avec les trois dernières séances précédant la séance où vous devez remettre le travail. Voici ce que votre rapport devra contenir: Si le temps le permet, vous présenterez votre recherche devant vos pairs. Pour cette raison, vous devez préparer 2 ou 3 acétates.

le contenu du rapport:

le titre de la recherche, par exemple "Recherche numéro 1 concernant les séances x,y et z »

votre nom et prénom

un bref résumé de l'article dans vos propres mots

Page 15 sur 17

la référence (lien sur l'Internet ou lien menant à une page externe à votre travail contenant l'article de journal ou la référence d’un livre)

les liens avec la matière

leçons tirées comme gestionnaire

la forme du rapport et les contraintes:

document Word

maximum: 1 page

interligne 1 ½

grosseur des caractères : 12

le travail doit être obligatoirement être déposé dans la boîte de dépôt prévu de même que vos acétates.

c'est un travail personnel

Politique de retard: tout retard sera noté 0.

7.4 Le travail long

L’association de la sécurité de l’information de la région de Québec (ASIRQ) invite les étudiants en administration à soumettre un travail de session en lien avec le thème de l’année 2004-2005 de l’association soit : « La sécurité, une affaire de communication ». Dans ce contexte, le travail long doit se conformer à ce thème. Les critères de sélection du meilleur travail vous seront communiqués dès que nous les recevrons de l’association. La sélection du meilleur travail se fera par un comité de professeurs ou de professionnels en sécurité.

Le contenu du rapport:

« La sécurité, une affaire de communication »

La forme du rapport et les contraintes:

document Word

page présentation

interligne 1 ½

grosseur des caractères : 12

nombre de pages : selon votre jugement. Mieux vaut un travail de qualité de 12 à 15 pages qu’un travail piètre de 40 pages.

le travail doit être obligatoirement être remis sur papier

c'est un travail d’équipe (minimum 2, maximum 3)

Une page présentation.

Brochez votre travail dans le coin supérieur gauche.

Le travail doit être remis en classe au début de l’examen final

Page 16 sur 17

L’évaluation. Voici quelques critères d’évaluation :

La qualité du contenu.

Le lien avec les critères de sélection de l’ASIRQ

La forme du rapport

La qualité du français

Un bon fil conducteur

Citation des auteurs

Une bibliographie

Politique de retard: pénalité de 10 points pour une durée de deux jours. Après deux jours, le travail sera noté 0.

7.5 L’examen final

L’examen final se tiendra pendant la période spécifiée dans la section « Évaluations » du site. Pour des raisons majeures, la Direction des programmes de premier cycle se réserve le droit de modifier l’horaire des examens de fin de session. Les étudiants doivent donc être disponibles pour toute cette période. Il est également possible que les examens de fin de session des cours de soir aient lieu le jour.

8- Plagiat

Nous vous invitons à prendre connaissance des règlements du premier cycle pour bien comprendre les conséquences du plagiat.

http://www.ulaval.ca/sg/reg/Reglements/Disc/infractions.html

9- Politique pour les reprises d’examen

Mini-examen. Seul un billet du médecin ou le décès d’une personne proche donne droit à une reprise d’examen. Voir la procédure dans la « Foire aux questions » section générale.

Final. Remplir un formulaire à l’administration du premier cycle. Les conditions de reprise sont déterminées par cette dernière.

10- Politique pour les communications

Dans le cadre de ce cours, toute communication doit se faire en utilisant le courrier du site du cours. Ce dernier constitue le moyen de communication officiel de l’enseignant vers l’étudiant. L’étudiant est donc responsable de vérifier régulièrement les courriels reçus dans le courrier du site du cours.

11- Politique pour les retards

Page 17 sur 17

Tout retard est noté zéro, sauf pour le travail long.

Retard toléré pour le travail long : 2 jours. Après ce délai, le travail est noté 0.

12- Références principales utilisées dans le cours

Matériels pédagogiques.

MATÉRIELS OBLIGATOIRES pour les étudiants en classe et pour les étudiants sur Internet

PRIX approximatif

Principles of Information security

Membre : $ Non-membre $ ??

par

Whitman, Michael E. et Mattord, Herbert J., , Thomson course

technology, 2003, 532 pages.

 

CD

ROM

$7.00

MATÉRIEL FACULTATIF

PRIX approximatif

Aucun

 

13. Bibliographie

Danda, Matthew, La sécurité sur le Web. Microsoft Press 2001, 379 pages. Gonik, Jacques, Management de la sécurité informatique, AFNOR, 1996, 210 pages.

Graves, John, Management roadmap to Information Security, Kent Information Services,

2000.

Institut Canadien des Comptables Agréés, La gestion du contrôle de l’informatique, 3 ième édition, 1998, 446 pages.

Martel, Louise, Vézina, Michel, La cyberPME et la gestion du risque, Guérin éditeur ltée, Montréal, 2000, 235 pages. Pipkin, Donald L., Sécurité des systèmes d’information, Campus Press, 2000, 391 pages. Réfalo, Pierre-Luc, Sécuriser l’entreprise connectée. Éditions d’Organisation, 2002, 415 pages. Whitman, Michael E. et Mattord, Herbert J., Principles of Information security, Thomson course technology, 2003, 532 pages.