Académique Documents
Professionnel Documents
Culture Documents
Elabore par :
GHAZEL Taoufik
Promotion: 2010/2011
DEDICACES
REMERCIEMENTS
Rsum
Initialement, notre principale motivation tait lie la volont de se dmarquer dans le
domaine de la protection des systmes dinformations par ralisation dun Systme de
Management de la Scurit de lInformation dans la poste tunisienne.
Aujourdhui, les bnfices ne se mesurent pas seulement en termes dimage mais galement
sur le fonctionnement en interne.
En effet, la mise en uvre du SMSI a t loccasion de mettre en avant limportance de la
scurit du SI, de la faire reconnatre dans les diffrents services et de donner aux actions un
rythme clair et partag.
Les exigences pour la mise en place du SMSI sont dcrites par la norme ISO/CEI 27001.
Cette norme sadapte tout type dentreprise, quelque soit le secteur dactivit, sa structure,
sa taille et la complexit de son systme dinformation.
Lapplication de cette norme passe par une dmarche qualiticienne classique : la roue de
Deming (Planifier, Dvelopper, Contrler, Agir) qui permet de prendre en compte des
dysfonctionnements le plus en amont possible et damener une amlioration continue du
systme.
Mots cls : Scurit de linformation, SMSI, ISO/CEI27001, PDCA,
Abstract
At the beginning, our main motivation was related to the will of standing out in the field of
information systems protection by the installation of a first Information Security Management
System in Tunisian Post.
Today, profits are not appeared only in terms of branding but also on the internal tasks.
Indeed, the implementation of the ISMS was an opportunity to highlight the importance of the
informations system security, to make it recognized in the various services and to give to the
actions a clear and shared rate.
The requirements for the implementation of the WSIS are described in ISO/ECI 27001. This
standard adapts to any type of business, whatever the sector of activity, structure, size and
complexity of its information system.
Applying this standard requires a classic approach of quality: the Deming wheel (Plan, Do,
Check, Act), which can take into account the failures as early as possible and bring a
continuous improvement of the system.
II.
1.
2.
3.
4.
Solution propose..................................................................................... 11
Introduction ................................................................................................................. 14
Systme de management de scurit de linformation : .................................... 14
II.
III.
1-
2.
3.
4.
5.
6.
7.
8.
Introduction ................................................................................................................. 26
II.
1.
2.
Modle en V ........................................................................................... 28
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
3.
III.
1.
2.
IV.
1.
Authentification : ..................................................................................... 33
2.
3.
Communication: ...................................................................................... 37
4.
5.
6.
Conclusion ............................................................................................. 42
Introduction : .......................................................................................... 44
II.
1.
a-
Le modle ........................................................................................................... 44
b-
La vue ................................................................................................................. 45
c-
Le contrleur ...................................................................................................... 45
2.
a-
b-
3.
4.
a.
Dfinition ........................................................................................................... 49
N2TR
Page 2
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
b.
III.
1.
2.
III.
Technologies : ........................................................................................................... 50
IV.
1.
2.
3.
N2TR
Page 3
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
N2TR
Page 4
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
N2TR
Page 5
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Introduction gnrale
N2TR
Page 6
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
N2TR
Page 7
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Dans le second chapitre intitul Spcification et Analyse, jai bien parl sur le Systme de
Management de la Scurit de lInformation, sa mise en place, son architecture, la gestion de
risque, Processus damlioration continue
N2TR
Page 8
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
N2TR
Page 9
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
I.
Prsentation de socit
La Poste tunisienne, dnomination commerciale pour l'Office national des Postes
tunisiennes, est l'entreprise publique tunisienne de service postal. Depuis le 1er janvier 1999,
suite au retrait des activits de tlphonie, la Poste tunisienne est un tablissement
caractre industriel et commercial centr sur deux activits principales :
LISO 27001 permettent aux entreprises et aux administrations d'obtenir une certification
qui atteste la mise en place effective d'un systme de management de la scurit de
l'information SMSI). Cette norme garantit aux parties prenantes (clients, actionnaires,
partenaires, etc.) que la scurit des systmes d'information a t srieusement prise en
compte et que l'entreprise s'est engage dans une dmarche d'amlioration constante.
II.
Etude de lexistant
1. Description de lexistant
Les dernires annes a connu galement le dmarrage de nouveaux services bass sur
les technologies de linformation et de la communication visant dvelopper les services
distance et renforcer le positionnement de la Poste tunisienne au cur de lconomie
immatrielle, ladministration communicante et commerante et le commerce lectronique
annonce le rapport. Parmi ces produits, on trouve les chques postaux via Internet, le
paiement des factures distance, le dveloppement du dinar lectronique, la messagerie
scurise via Internet, le service de courrier hybride, le transfert dargent partir de ltranger,
le service de mandat minute, le paiement en ligne des bourses et prts universitaires aux
tudiants et des pensions de retraite, le rseau de distributeurs automatiques des billets DAB.
Le systme d'information est compos d'lment divers (employs, ordinateur...) chargs de
stocker et de traiter les informations relative au systme oprant afin de les mettre la
disposition du systme de pilotage. Il peut en outre recevoir de celui-ci des dcisions
N2TR
Page 10
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
destines son propre pilotage. Enfin il peut mettre vers le systme oprant des
informations-interaction, c'est dire qu'il peut ragir sur le systme oprant.
3. Critique de lexistant
Il nya pas une norme bien structure.
Il n ya pas une description pratique et dtaille de la mise en uvre. des objectifs et
mesures de scurit.
Il ny a pas daudit rgulier qui permet le suivi entre les risques initialement identifis,
les mesures prises et les risques nouveaux ou mis jour, afin de mesurer lefficacit des
mesures prises.
4. Solution propose
Un SMSI est un ensemble dlments interactifs permettant un organisme dtablir
une politique et des objectifs en matire de scurit de linformation, dappliquer la politique,
datteindre ces objectifs et de contrler latteinte des objectif.
La politique de scurit de linformation donne les grandes orientations de lorganisme en
matire de scurit de linformation et fixe des objectifs quantifis. Elle est officiellement
N2TR
Page 11
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
formule par la direction, qui sengage fournir les moyens ncessaires pour atteindre ses
objectifs.
Elle est cohrente avec les objectifs mtiers de lorganisme, et avec les besoins de ses clients
et partenaires. Elle est communique au sein de lorganisme, sa comprhension par les
intervenants internes et externes est vrifie, elle est revue de faon priodique(en gnral
annuellement) pour rester en adquation avec les objectifs globaux de lentit.
Le SMSI tabli, document, mis en uvre et entretenu. Son efficacit est mesure par rapport
aux objectifs de lentit, et cette mesure permet damliorer en permanence le SMSI.
Le SMSI est cohrent avec les autres systmes de management de lentit, notamment avec
les systmes de management de la qualit, de la scurit des conditions de travail, et de
lenvironnement.
Le SMSI inclut donc au minimum :
*des lments documentaires (politique, description des objectifs, cartographie des processus
impacts, des activits de scurit, et des mesures),
*la description de la mthode danalyse des risques utiliss,
*les processus impliqus dans la mise en uvre de la scurit de linformation,
*les ressources ncessaires sa mise en uvre,
*les activits relatives la scurit de linformation.
Lexistence dun SMSI dans lorganisme permet de renforcer la confiance dans le mode de
gestion de la scurit de linformation.
N2TR
Page 12
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
N2TR
Page 13
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
I.
Introduction
Les dernires annes ont connu galement le dmarrage de nouveaux services bass
sur les technologies de linformation et de la communication visant dvelopper les services
distance et renforcer le positionnement de la Poste tunisienne au cur de lconomie
immatrielle, ladministration communicante et commerante et le commerce lectronique
annonce le rapport.
Parmi ces produits, on trouve les chques postaux via Internet, le paiement des factures
distance, le dveloppement du dinar lectronique, la messagerie scurise via Internet, le
service de courrier hybride, le transfert dargent partir de ltranger, le service de mandat
minute, le paiement en ligne des bourses et prts universitaires aux tudiants et des pensions
de retraite, le rseau de distributeurs automatiques des billets DAB.
Pour ce qui est du rseau commercial, les efforts sont intensifis en vue de moderniser ce
rseau.
II.
Page 14
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
1-
Si lorganisme dcide dexternaliser un processus ayant une incidence sur la scurit, il doit
en assurer la maitrise et mentionner dans le SMSI les moyens de cette maitrise.
N2TR
Page 15
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
2.
3.
Page 16
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
1. Phase Plan : consiste planifier les actions que lentreprise va entreprendre en termes
de scurit,
2. Phase Do : lentreprise ralise ce quelle a planifi dans ce domaine,
3. Phase Check : lentreprise vrifie quil nexiste pas dcart entre ce quelle a dit et ce
quelle a fait,
4. Phase Act : consiste entreprendre des actions correctives pour les carts qui ont t
constats prcdemment.
La norme 27001 comporte 9 chapitres dont 5 (les chapitres 4 8) doivent
obligatoirement tre respects pour rpondre cette norme et obtenir une certification.
Le chapitre 4 est au cur de la norme et est divis en plusieurs parties correspondant aux 4
phases du PDCA. Il dtermine la mise en place du SMSI, son implmentation et son
exploitation, le contrle du SMSI et son amlioration. Le chapitre 5 dfinit les engagements et
responsabilits de la direction, le chapitre 6 dveloppe les questions daudits internes du
SMSI tandis que les 7me et 8me prcisent respectivement le rexamen du SMSI par la
direction et son amlioration.
N2TR
Page 17
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Phase Plan : fixe les objectifs du SMSI La phase Plan du SMSI comprend 4 tapes :
Page 18
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
web). Cette solution ne doit tre que ponctuelle pour viter la perte de confiance des
parties prenantes.
2. Lvitement : politique mise en place si lincident est jug inacceptable
3. Le transfert : lorsque le risque ne peut pas tre vit et quelle ne peut pas mettre en
place les mesures de scurit ncessaires elle transfre le risque par le biais de la
souscription dune assurance ou de lappel la sous-traitance.
4. La rduction : le rendre un niveau acceptable par la mise en uvre de mesures
techniques et organisationnelles, solution la plus utilise.
Lorsque la dcision de traitement du risque est prise lentreprise doit identifier les risques
rsiduels cest--dire ceux qui persistent aprs la mise en place des mesures de scurit. S'ils
sont jugs inacceptables, il faut dfinir des mesures de scurit supplmentaires.
Etape 4 : Slection des mesures de scurit mettre en place
La norme ISO 27001 dispose dune annexe A qui propose 133 mesures de scurit classes
en 11 catgories (politique de scurit, scurit du personnel, contrle des accs) et
numrotes sur 3 niveaux, dont on a parler essentiellement des articles A5, A6.1, A10, A6,
A9.2, A10, A10.5, A13. Toutefois cette annexe nest quune liste qui ne donne aucun conseil
de mise en uvre au sein de lentreprise.
Phase Do : elle met en place les objectifs fixs, et se dcoupe en plusieurs tapes :
1. Etablir un plan de traitement des risques
2. Dployer les mesures de scurit
3. Gnrer des indicateurs
o De performance pour savoir si les mesures de scurit sont efficaces
o De conformit qui permettent de savoir si le SMSI est conforme ses
spcifications
4. Former et sensibiliser le personnel
Phase Check : consiste grer le SMSI au quotidien et dtecter les incidents en
permanence pour y ragir rapidement 3 outils peuvent tre mis en place pour dtecter ces
incidents :
1. Les audits internes qui vrifient la conformit et lefficacit du systme de
management. Ces audits sont ponctuels et planifis lavance.
2. Le contrle interne qui consiste sassurer en permanence que les processus
fonctionnent normalement.
3. Les revues (ou rexamens) qui garantissent ladquation du SMSI avec son
environnement.
N2TR
Page 19
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Phase Act : mettre en place des actions correctives, prventives ou damlioration pour les
incidents et carts constats lors de la phase Check
Actions correctives : agir sur les effets pour corriger les carts puis sur les causes pour
viter que les incidents ne se reproduisent
Actions prventives : agir sur les causes avant que lincident ne se produise
Actions damlioration : amliorer la performance dun processus du SMSI.
4.
Dclaration d'applicabilit
Qu'est qu'une dclaration d'applicabilit? L'annexe de L'ISO 27001 fait la liste des mesures
de contrle les plus rgulires, soit 133 contrles catgoriss en 39 objectifs de contrles, dont
on a parler essentiellement des articles A5, A6.1, A10, A6, A9.2, A10, A10.5, A13. On s'en
sert comme une liste de vrification afin d'tablir quels sont les mesures de contrles
appropries et/ou dj mises en place dans l'entreprise. Comme exemple de contrle, la
protection contre les intrusions est faite via un couvre-feu et un logiciel anti-virus mis jour
rgulirement ou encore; le vol de documents sensibles est assur par des classeurs sous cls
et des locaux avec serrures, un systme d'alarme et une sensibilisation du personnel cet
effet. Pour chacun des contrles, une valuation d'applicabilit est faite. Une grille Excel est
utilise cet effet et un responsable est indiqu pour chacun des contrles applicables.
Certains sont peu coteux, d'autres ncessitent une infrastructure plus ou moins onreuse.
5.
Page 20
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Page 21
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
MEHARI a t adopte par des milliers dorganismes travers le monde et reste la mthode
la plus utilise en France, en particulier dans l'industrie. Lutilisation et la distribution de son
logiciel sont libres. En outre, certaines bases de connaissances sont disponibles et une tude
illustre la mthode pour faciliter son utilisation.
MEHARI s'appuie sur deux mthodes anciennes aujourdhui abandonnes, appeles
MARION20 (Mthode d'Analyse de Risques Informatiques Optimise par Niveau) et
MELISA (Mthode d'valuation de la Vulnrabilit Rsiduelle des Systmes d'armement).
Contrairement la mthode EBIOS, MEHARI repose sur des scnarios de risques qui
permettent didentifier les risques potentiels au sein de lorganisme. Elle est dfinie comme
une bote outils conue pour la gestion de la scurit. En fonction des besoins, des choix
dorientation, de politique de l'organisation ou simplement des circonstances, la mthode
veille ce qu'une solution dapprciation des risques approprie puisse tre labore. La
mthode est prsente sous la forme d'un ensemble que l'on appelle modules, centrs sur
l'valuation des risques et leur gestion.
En conclusion, la mthode MEHARI, se caractrise par une dmarche descendante , c'est-dire une dlgation des dcisions de la direction vers les entits oprationnelles.
Elle convient bien aux organisations multi-environnements. Cette mthode est conforme au
cahier des charges impos par lISO/CEI 27001.
N2TR
Page 22
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
6.
Analyse de risque :
Les exigences de scurit (Disponibilit, Intgrit, Confidentialit, Preuve) sont dfinies par
les propritaires des informations.
Le responsable de lanalyse des risques partir de lidentification exhaustive des actifs
sensibles de lentreprise, des menaces pesant sur ces derniers et des vulnrabilits quelles
pourraient exploiter, value les risques.
7.
Gestion du risque :
8.
N2TR
Amlioration continue.
Gestion du temps.
Ce qui n'a cess de manquer la SSI depuis son existence universalit.
Pas de concurrence.
Applicable tous les mtiers, tous les secteurs d'activit.
Applicable toutes les tailles d'entreprises ou de primtres compltude.
Mthodologie d'apprciation des risques
Mthodologie de construction d'indicateurs et processus d'amlioration continue
Page 23
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
III.
Conclusion :
N2TR
Page 24
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
N2TR
Page 25
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
I.
Introduction
Le cycle de vie d'un logiciel (en anglais software lifecycle), dsigne toutes les
tapes du dveloppement d'un logiciel, de sa conception sa disparition. L'objectif d'un tel
dcoupage est de permettre de dfinir des jalons intermdiaires permettant la validation du
dveloppement logiciel, c'est--dire la conformit du logiciel avec les besoins exprims, et la
vrification du processus de dveloppement, c'est--dire l'adquation des mthodes mises en
uvre.
Le cycle de vie du logiciel comprend gnralement au minimum les activits suivantes :
Dfinition des objectifs, consistant dfinir la finalit du projet et son inscription dans une
stratgie globale.
Analyse des besoins et faisabilit, cest--dire l'expression, le recueil et la formalisation des
besoins du demandeur (le client) et de l'ensemble des contraintes.
Conception gnrale. Il s'agit de l'laboration des spcifications de l'architecture gnrale du
logiciel.
Conception dtaille, consistant dfinir prcisment chaque sous-ensemble du logiciel.
Codage (Implmentation ou programmation), soit la traduction dans un langage de
programmation des fonctionnalits dfinies lors de phases de conception.
Tests unitaires, permettant de vrifier individuellement que chaque sous-ensemble du
logiciel est implment conformment aux spcifications.
Intgration, dont l'objectif est de s'assurer de l'interfaage des diffrents lments (modules)
du logiciel. Elle fait l'objet de tests dintgrations consignes dans un document.
Qualification (ou recette), c'est--dire la vrification de la conformit du logiciel aux
spcifications initiales.
Documentation, visant produire les informations ncessaires pour l'utilisation du logiciel et
pour des dveloppements ultrieurs.
Mise en production, Cest le dploiement sur site du logiciel
Maintenance, comprenant toutes les actions correctives (maintenance corrective) et
volutives (maintenance volutive) sur le logiciel.
N2TR
Page 26
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
La squence et la prsence de chacune de ces activits dans le cycle de vie dpend du choix
d'un modle de cycle de vie entre le client et l'quipe de dveloppement.
II.
Le modle de cycle de vie en cascade a t mis au point ds 1966, puis formalis aux
alentours de 1970.
N2TR
Page 27
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Dans ce modle le principe est trs simple : chaque phase se termine une date prcise par la
production de certains documents ou logiciels. Les rsultats sont dfinis sur la base des
interactions entre tapes, ils sont soumis une revue approfondie et on ne passe la phase
suivante que sils sont jugs satisfaisants.
Le modle original ne comportait pas de possibilit de retour en arrire. Celle-ci a t rajoute
ultrieurement sur la base quune tape ne remet en cause que ltape prcdente, ce qui, dans
la pratique, savre insuffisant.
Linconvnient majeur du modle de cycle de vie en cascade est que la vrification du bon
fonctionnement du systme est ralise trop tardivement: lors de la phase dintgration, ou
pire, lors de la mise en production.
2. Modle en V
Le modle de cycle de vie en V part du principe que les procdures de vrification de la
conformit du logiciel aux spcifications doivent tre labores ds les phases de conception.
N2TR
Page 28
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Le principe de ce modle est quavec toute dcomposition doit tre dcrite la recomposition et
que toute description dun composant est accompagne de tests qui permettront de sassurer
quil correspond sa description.
Ceci rend explicite la prparation des dernires phases (validation-vrification) par les
premires (construction du logiciel), et permet ainsi dviter un cueil bien connu de la
spcification du logiciel : noncer une proprit quil est impossible de vrifier objectivement
aprs la ralisation.
La reprsentation en V tient d'avantage compte de la ralit, le processus de dveloppement
n'est pas rduit un enchanement de tches squentielles. Elle montre que:
Cest en phase de spcification que l'on se proccupe des procdures de qualification.
c'est en phase de conception globale que l'on se proccupe des procdures
d'intgration.
C'est en phase de conception dtaille que l'on prpare les tests unitaires.
Le modle de cycle de vie en V permet d'anticiper sur les phases ultrieures de
dveloppement du produit. En particulier le modle en V permet de commencer plus tt:
Plan de tests de qualification.
Plan d'valuation des performances.
Cependant, ce modle souffre toujours du problme de la vrification trop tardive du bon
fonctionnement du systme.
3. Le modle en spirale
(spiral model) est un modle de cycle de dveloppement logiciel qui reprend les diffrentes
tapes du cycle en V. Par l'implmentation de versions successives, le cycle recommence en
proposant un produit de plus en plus complet et dur. Le cycle en spirale met cependant plus
l'accent sur la gestion des risques que le cycle en V.
On distingue quatre phases dans le droulement du cycle en spirale :
III.
Mthodologies de conception :
1. Etude comparative entre MERISE et UML :
N2TR
Page 29
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
N2TR
Page 30
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
2. La dmarche adopte :
La dmarche que jadopte sinspire du Processus Unifi, dans la mesure o elle suit
les cinq activits cites prcdemment et sera ralise en une seule itration.
Je justifie mon choix par le fait que les besoins de mon futur systme, quoi que nombreux,
sont clairs et dfinis ds le dpart. Il est donc inutile de les analyser selon plusieurs itrations.
Ainsi, dans chaque activit, je traite les cas dutilisation qui traduisent les fonctionnalits du
futur systme et qui seront analyss et conus de faon dtaille.
Mon outil de conception UML est le logiciel Rational Rose 2003 Enterprise Edition de
Rational Software Corporation. Cest une rfrence pour la modlisation UML. Je vais
lutiliser pour raliser tous les diagrammes UML.
Il ya 9 types de diagrammes :
N2TR
Page 31
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Dans notre travail, on va essayer de travailler avec deux vues (trois diagrammes)
Vue statique :
- diagramme de cas d'utilisation : dcrit les besoins utilisateurs.
-diagramme des classes : dfinit la structure statique.
Vue dynamique :
- diagramme de squence : scnarios et flots de messages
IV.
Conception dtaille :
Cas dutilisation
Acteurs
Authentification
utilisateur (site)/
responsable (administrateur).
Rclamation
utilisateur (site)
Service
utilisateur (site)
responsable (administrateur)
N2TR
Page 32
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
1.
Authentification :
Description :
Dans un souci de scurit de notre systme, et la scurisation de linformation, avant
deffectuer une tche quelconque, tous les utilisateurs du systme doivent sidentifier en
saisissant leurs identificateurs (Login, Password) respectifs.
SOMMAIRE D'IDENTIFICATION
Titre :
But :
Rsum :
Acteur :
utilisateur
Post conditions
Identifiant ().
Scnario nominal
1. Lutilisateur sauthentifier.
2. si les donnes sont correctes, le contenu de la plateforme saffiche.
3.. Lutilisateur choisit une tache ( partir des menus).
4.. lorsque lutilisateur click sur une tache, il peut consulter ce quil se trouve sur la
plateforme.
Enchanement alternatif
E1 : champs authentifiant ou mot de passe est faut ou vide.
1. Le systme affiche un message derreur
N2TR
Page 33
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
N2TR
Page 34
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
N2TR
Page 35
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
2.
Description :
La cration dun nouveau compte par le responsable se limite crer une instance de la classe
Authentification et une autre de la classe des utilisateurs; le responsable doit remplir les
informations du nouvel utilisateur lors de linscription.
SOMMAIRE D'IDENTIFICATION
Titre :
But :
Rsum :
Acteur :
responsable
Post conditions
Identifiant ().
-afficher le menu.
Scnario nominal
3. Le responsable sauthentifi.
2. une fentre responsable sera affiche.
3. Le responsable choisit le menu crer compte .
4. le responsable remplit le formulaire
5. le responsable valide la cration.
Enchanement alternatif
E1 : champs authentifiant ou mot de passe est faut ou vide.
1. Le systme affiche un message derreur
N2TR
Page 36
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
3.
Communication:
SOMMAIRE De Service
Titre :
But :
Rsum :
Acteur :
client.
N2TR
Page 37
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Post conditions
Authentification ().
Page 38
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
4.
But :
Rsum :
Acteur :
responsable (central).
N2TR
Post conditions
Page 39
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
-Authentification.
Scnario nominal
1. le responsable peut accder tous les clients.
2. il consulte, contrle, et exploite les donnes
Enchanement alternatif
E1 : Liste de clients vide
1. Le systme affiche un message derreur
2. Le scnario affiche linterface responsable.
E2 : ne peut pas accder aux clients
1. Le systme affiche un message derreur
2. Le scnario affiche la liste de clients.
N2TR
Page 40
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Page 41
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
5.
6.
Conclusion
Ce chapitre est dune grande importance pour la suite du travail ; du fait quil projette
les notions thoriques vues dans ltude bibliographique sur un cas pratique dun systme de
management de scurit de linformation et quil traite de la conception du systme raliser ;
sans laquelle la ralisation ne pourra se faire comme il se doit. Nous y avons dabord dcrit le
fonctionnement gnral de notre systme de scurisation de linformation, puis expliqu le
fonctionnement dtaill de chaque sous-systme composant le systme global par le moyen de
schmas explicatifs et une modlisation par des diagrammes UML. La partie suivante du
document sera consacre limplmentation et la mise en uvre technique du SMSI.
N2TR
Page 42
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Chapitre IV : Ralisation
N2TR
Page 43
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
I.
Introduction :
Ce chapitre traite des aspects techniques lis limplmentation et la mise en uvre
de notre systme de management de scurit de linformation base sur MySQL. Nous y
prsenterons dabord nos choix des technologies et outils adopts pour le dveloppement du
systme. Nous aborderons ensuite les principales fonctionnalits offertes par notre application
aux diffrents types dutilisateurs (responsable, clients) ainsi leur droit daccs. Les prises
dcrans et les explications assez approfondies sont mme de rsumer le fonctionnement
global du systme (SMSI de la poste tunisienne).
II.
Environnement logiciel :
1.
Le modle
N2TR
Page 44
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
b-
La vue
Le contrleur
N2TR
Page 45
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
2.
a-
Dans ce modle, chaque requte est traite par un contrleur sous la forme d'une
servlet. Celle-ci traite la requte, fait appel aux lments du model si ncessaire et redirige la
requte vers une JSP qui se charge de crer la rponse l'utilisateur.
Le principal dfaut du modle MVC est le nombre de servlets dvelopper pour une
application.
Pour simplifier les choses, le modle MVC model 2 ou MVC2 de Sun propose de n'utiliser
qu'une seule et unique servlet comme contrleur. Cette servlet se charge d'assurer le worflow
des traitements en fonction des requtes http reues.
N2TR
Page 46
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Le modle MVC 2 est donc une volution du modle 1 : une unique servlet fait office de
contrleur et gre toutes les requtes traiter en fonction d'un paramtrage gnralement sous
la forme d'un fichier au format XML.
N2TR
Page 47
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
3.
N2TR
Page 48
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Issue des travaux du groupe d'experts de la JSR 220 (EJB 3), JPA est une spcification cl de
Java EE 5. Loin d'tre un framework de plus, JPA tablit une norme standard simplifie pour
la persistance afin de garantir une meilleure portabilit des applications Java EE 5. JPA
reprend naturellement les meilleures pratiques de Framework tablis tels Hibernate ou
TopLink. EJB 3 s'appuie sur JPA pour la persistance des entits.
4.
a. Dfinition
Visual Paradigm est un outil de modlisation UML. Il permet d'analyser, de dessiner, de
coder, de tester et de dployer. L'application vous permet de dessiner tous les types de
diagrammes UML, d'inverser le code source pour le modle UML, gnrer le code source
partir de diagrammes et d'laborer la documentation.
b. Description de la gnration du bas de donnes :
N2TR
Page 49
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
III.
Environnement Matriel :
1.
Architecture matrielle :
Cette architecture nous montre comment tous les sites (clients) envoient la rclamation au
central (serveur), qui stocke toute les taches et les rclamations dans la base de donnes.
2. Matriel utilis :
Pour la ralisation du projet, jai utilis : Un pc portable pour le dveloppement ayant les
caractristiques suivantes :
III.
Technologies :
JSF est un standard J2EE.
Java Server Faces est un Framework d'interface utilisateur pour les applications web, bas sur
les technologies JSP et Servlets.
N2TR
Page 50
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Le but de JSF est d'accrotre la productivit des dveloppeurs dans le dveloppement des
interfaces utilisateur tout en facilitant leur maintenance.
Le support de JSF par les diteurs J2EE est obligatoire. Actuellement, les plus grands diteurs
Java annoncent ou proposent une intgration de JSF dans leurs IDEs.
JSF permet :
une sparation nette entre la couche de prsentation et les autres couches
le mapping HTML/Objet
un modle riche de composants graphiques rutilisables
une gestion de l'tat de l'interface entre les diffrentes requtes
une liaison simple entre les actions ct client de l'utilisateur et le code Java correspondant
ct Serveur
la cration de composants customs grce une API
IV.
Interface de connexion :
Cette interface donne la main aux utilisateurs pour accder aux diffrentes
interfaces, aprs la vrification si leur login et password existent dans la base de
donnes.
N2TR
Page 51
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
2.
Interface de Rclamation:
Une fois lutilisateur a le droit daccder aux rclamations, il va choisir lune des
interfaces ; et rempli le formulaire (date, code type incident, action raliser..),
attentivement, ensuite, il doit lenregistrer dans la base de donne.
N2TR
Page 52
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
N2TR
Page 53
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
N2TR
Page 54
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
3.
Interface dAdministrateur :
Ladministrateur a le droit de consulter les diffrentes client, il a le droit aussi
deffacer, modifier, ou ajouter un client.
Page 55
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
N2TR
Page 56
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
CONCLUSION ET PERSPECTIVES
N2TR
Page 57
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Annexe
Objectifs de scurit et mesures de scurit
Les objectifs de scurit et les mesures de scurit numrs dans le Tableau A.1 proviennent
directement et sont aligns sur les objectifs de scurit et les mesures de scurit numrs
dans l'ISO/CEI 27001: 2005, Articles A5, A6.1, A10, A6, A9.2, A10, A10.5, A13. Les listes
figurant dans ces tableaux ne sont pas exhaustives et un organisme peut considrer
ncessaires des objectifs de scurit et des mesures de scurit additionnels. Les objectifs de
scurit et les mesures de scurit mentionns dans ces tableaux doivent tre slectionns
comme partie intgrante du processus d'application du SMSI.
Les Articles A5, A6.1, A10, A6, A9.2, A10, A10.5, A13, de l'ISO/CEI 27001: 2005
fournissent des recommandations de mise en uvre et des lignes directrices affrentes aux
meilleures pratiques, venant l'appui des mesures spcifies aux paragraphes , A6.1, A10,
A6, A9.2, A10, A10.5, A13.
N2TR
Page 58
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
A.9.2.1
N2TR
Choix de lemplacement et
protection du matriel
Mesure
Le matriel doit tre situ et protg de
manire rduire les
risques de menaces et de dangers
environnementaux et les
possibilits daccs non autoris.
Page 59
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
A.9.2.2
A.9.2.3
A.9.2.4
A.9.2.5
A.9.2.6
A.9.2.7
Services gnraux
Scurit du cblage
Mesure
Le matriel doit tre protg des coupures de
courant et autres
perturbations dues une dfaillance des
services gnraux.
Mesure
Les cbles lectriques ou de
tlcommunications transportant des
donnes doivent tre protgs contre toute
interception
dinformation ou dommage.
Maintenance du matriel
Mesure
Le matriel doit tre entretenu correctement
pour garantir sa
disponibilit permanente et son intgrit.
Mesure
La scurit doit tre applique au matriel
utilis hors des locaux de
lorganisme en tenant compte des diffrents
risques associs au
travail hors site.
Mesure
Tout le matriel contenant des supports de
stockage doit tre vrifi
pour sassurer que toute donne sensible a
bien t supprime et
que tout logiciel sous licence a bien t
dsinstall ou cras de
faon scurise, avant sa mise au rebut.
Mesure
Un matriel, des informations ou des
logiciels ne doivent pas tre
sortis des locaux de lorganisme sans
autorisation pralable.
Page 60
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
linformation.
A.10.1.1
A.10.1.2
A.10.1.3
A.10.1.4
Procdures dexploitation
documentes
Management des
modifications
Mesure
Les procdures dexploitation doivent tre
documentes, tenues
jour et disponibles pour tous les utilisateurs
concerns.
Mesure
Les changements apports aux systmes et
moyens de traitement
de linformation doivent tre contrls.
Mesure
Les tches et les domaines de responsabilit
doivent tre spars
pour rduire les occasions de modification
ou de mauvais usage non
autoris(e) ou involontaire des actifs de
lorganisme.
Mesure
Les quipements de dveloppement, d'essai
et dexploitation
doivent tre spars pour rduire les risques
daccs ou de
changements non autoriss dans le systme
dinformation en
exploitation.
A.10.5 Sauvegarde
Objectif: Maintenir lintgrit et la disponibilit des informations et des moyens de
traitement de linformation.
A.10.5.1
N2TR
Sauvegarde des
informations
Mesure
Des copies de sauvegarde des informations
et logiciels doivent tre
ralises et soumises rgulirement essai
conformment la
politique de sauvegarde convenue.
Page 61
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
A.13.1.1
A.13.1.2
N2TR
Mesure
Les vnements lis la scurit de
linformation doivent tre
signals, dans les meilleurs dlais, par les
voies hirarchiques
appropries.
Mesure
Il doit tre demand tous les salaris,
contractants et utilisateurs
tiers des systmes et services dinformation
de noter et de signaler
toute faille de scurit observe ou
souponne dans les systmes
ou services.
Page 62
Conception et Ralisation dune Application de Gestion de Scurit dInformation pour la Poste Tunisienne
Bibliographie et rfrences
http://www.northconsulting.fr/ISO27001.html
http://www.resys-consultants.com/index.php?page=certification_BS
http://www.piloter.org/systeme-information/securite-ISO-27001.htm
http://javaweb.developpez.com/cours/
http://uml.developpez.com/
http://webstore.iec.ch/preview/info_isoiec27001%7Bed1.0%7Dfr.pdf
http://javaweb.developpez.com/faq/jsf/?page=composants_selectMany
N2TR
Page 63