Vous êtes sur la page 1sur 8

Introduction 

L’univers  des  systèmes  d’information  composé  de  réseaux  et  de  systèmes  informatiques  prend  un  rôle  et  une  place 
chaque jour plus important dans les entreprises. 

Cependant,  l’actualité  présentée  par  les  médias  nous  démontre  que  le  système  d’information  est  vulnérable  et  qu’il 
peut  subir  des  piratages,  des  attaques  (virus,  hackers…),  des  pertes  de  données,  des  sinistres.  Il  est  donc 
indispensable pour les entreprises de savoir définir et de garantir la sécurité de ses ressources informatiques. 

La sécurité des systèmes définie dans cet ouvrage doit constituer le moyen de protéger dans un sens large le système 
d’information ou de minimiser les risques encourus par l’entreprise dans l’usage de l’outil informatique. 

Les nécessités de sécuriser son système d’information 
Certains facteurs peuvent apparaître de l’ordre de l’évidence comme la nécessité de protéger une partie opérationnelle 
de l’entreprise. Toutefois, l’ensemble des menaces n’est pourtant pas toujours bien identifié. 
Par  contre,  d’autres  sont  souvent  méconnues  comme  les  obligations  et  responsabilités  légales  des  dirigeants 
d’entreprise dans l’exploitation et la maîtrise de leur système d’information. 

Ces  exigences  impliquent  la  mise  en  place  d’une  protection  des  systèmes  sous  la  forme  d’une  politique  de  sécurité 
avec : 

● l’élaboration de règles et procédures, 

● la définition des actions à entreprendre et des personnes responsables, 

● la détermination du périmètre concerné. 

Ce périmètre comprend à la fois les données aussi bien sous forme électronique que papier (fichiers, messages…), les 
transactions dans les réseaux, les applications logicielles et bases de données. Il ne faut pas oublier l’aspect continuité 
des services du traitement de l’information et les plans de reprise d’activité après sinistre. 
Les principes de base et objectifs principaux, la mise en œuvre 

La sécurité des données couvre quatre objectifs principaux, et est représentée sous forme d’acronymes (C.I.D.P) : 

● La  disponibilité  est  l’assurance  que  les  personnes  autorisées  ont  accès  à  l’information  quand  elles  le 
demandent ou dans les temps requis pour son traitement. 

● L’intégrité est la certitude de la présence non modifiée ou non altérée d’une information et de la complétude 
des  processus  de  traitement.  Pour  les  messages  échangés,  il  concerne  la  protection  contre  l’altération 
accidentelle ou volontaire d’un message transmis. 

● La  confidentialité  est  l’assurance  que  l’information  n’est  accessible  qu’aux  personnes  autorisées,  qu’elle  ne 
sera pas divulguée en dehors d’un environnement spécifié. Elle traite de la protection contre la consultation de 
données stockées ou échangées. Cela est réalisable par un mécanisme de chiffrement pour le transfert ou le 
stockage des données. 

● La  preuve  consiste  à  garantir  que  l’émetteur  d’une  information  soit  bien  identifié  et  qu’il  a  les  droits  et  les 
accès logiques, que le récepteur identifié est bien autorisé à accéder à l’information. 

D’autres principes de sécurité peuvent être établis, il s’agit de : 

● La non­répudiation, considérée comme le cinquième principe, a été introduite dans la norme ISO 7498­2 comme 
un  service  de  sécurité  pouvant  être  rendu  par  un  mécanisme  comme  la  signature  numérique,  l’intégrité  des 
données  ou  la  notarisation.  L’élément  de  la  preuve  de  non­répudiation doit permettre l’identification  de  celui 
qu’il  représente,  il  doit  être  positionné  dans  le  temps  (horodatage),  il  doit  présenter  l’état  du  contexte  dans 
lequel il a été élaboré (certificats). 

● L’authentification est le moyen qui permet d’établir la validité de la requête émise pour accéder à un système. 
L’authenticité est la combinaison d’une authentification et de l’intégrité. 

● Les mécanismes de chiffrement procèdent du principe que l’émetteur et le récepteur conviennent d’un mot de 
passe  connu  d’eux  seuls.  L’émetteur  utilise  ce  mot  de  passe  comme  clé  de  chiffrement  pour  le  message  à 
transmettre, seul le récepteur qui connaît ce mot de passe peut l’utiliser comme clé pour déchiffrer le message 

© ENI Editions - All rigths reserved - Jonifar lina - 1-


4
et y accéder. 

Les  objectifs  de  base  peuvent  être  traités  sous  la  forme  de  solutions  de  sécurité  sous  la  forme  de  matériels,  de 
logiciels, de procédures, de support opérationnel pour : 

● l’intégrité des données et la confidentialité : gestion des accès physiques et logiques, sécurité des réseaux, 

● la  disponibilité  :  redondance  des  systèmes  et  du  stockage  des  données,  sauvegarde  et  archivage  des 
données. 

Les propositions d’amélioration de la sécurité, associées aux bonnes pratiques à mettre en place dans l’environnement 
d’une entreprise sont traitées dans cet ouvrage. 

- 2- © ENI Editions - All rigths reserved - Jonifar lina


5
Les domaines et normes associés 
La  mise  en  œ uvre  de  solutions  de  protection  et  de  sécurité  requiert  de  prendre  des  références  par  rapport  à  des 
normes ou des préconisations. 

1. Les bonnes pratiques ITIL (Information Technology Infrastructure Library) 

ITIL  se  compose  d’un  ensemble  de  livres  qui  liste,  condense  et  présente  les  meilleures  pratiques  à  utiliser  dans  le 
cadre de l’ensemble des services informatiques dédiés à une entreprise. Elle se décline en plusieurs versions depuis 
ses origines. La plus récente est la version N°3. 

La méthodologie décrite en version 2 est composée des processus suivants : 

Service  Support ­  Support  des  Services,  il  s’agit  de  la  gestion  opérationnelle  des  services.  Il  comprend  les  thèmes 
suivants : 

● Centre de Services (Service Desk) 

● Gestion des Incidents (Incident Management) 

● Gestion des Problèmes (Problem Management) 

● Gestion des Configurations (Configuration Management) 

● Gestion des Changements (Change Management) 

● Gestion des Mises en Production (Release Management) 

Service  Delivery  ­  Fourniture  des  Services,  cet  ensemble  de  processus  concerne  les  aspects  contractuels  et 
l’amélioration des services à long terme : 

● Gestion des Niveaux de Service (Service Level Management) 

● Gestion des Capacités (Capacity Management) 

● Gestion Financière des Services de l’Information (Financial Management for IT Services) 

● Gestion de la Disponibilité (Availability Management) 

● Gestion de la Continuité des Services de l’Information (IT Service Continuity Management) 

La version 3 s’inscrit dans un domaine plus large et comprend les processus suivants : 

Stratégie des Services (Service Strategy) 

● Définition Stratégique (Strategy Generation) 

● Gestion financière des services (Financial Management) 

● Gestion de la demande (Demand Management) 

● Gestion du portefeuille des services (Service Portfolio Management) 

Conception de Service (Service Design) 

● Gestion du catalogue des services (Service Catalogue Management) 

● Gestion des niveaux de service (Service Level Management) 

© ENI Editions - All rigths reserved - Jonifar lina - 1-


6
● Gestion des fournisseurs (Supplier Management) 

● Gestion de capacité (Capacity Management) 

● Gestion de la disponibilité (Availability Management) 

● Gestion de la continuité de service (IT Service Continuity Management) 

● Gestion de la sécurité (Information Security Management) 

Transition des Services (Service Transition) 

● Transition Planning and Support 

● Gestion des Changements (Change Management) 

● Gestion des Actifs et des Configurations (Service Asset and Configuration Management) 

● Gestion des Mises en Production et Déploiements (Release and Deployment Management) 

● Gestion des tests et validation (Validation and Testing Management) 

● Évaluation 

● Gestion de Connaissance (Knowledge Management) 

Exploitation des Services (Service Operation) 

● Gestion des événements (Event Management) 

● Gestion des incidents (Incident Management) 

● Gestion des problèmes (Problem Management) 

● Exécution des requêtes (Request Fulfilment) 

● Gestion des accès (Access Management) 

Amélioration continue de Service (Continual Service Improvement) 
Il s’appuie sur les processus suivants : 

● Évaluation de la qualité de service 

● Évaluation des processus mis en place 

● Développement des initiatives d’amélioration des services et des processus 

● Surveillance des initiatives d’amélioration, mesures de correction 

Dans l’optique de cet ouvrage, les processus suivants en lien avec la sécurité informatique peuvent être utilisés dans 
le cadre de la gestion de systèmes dans une PME : 

● La gestion des configurations. 

● La gestion de la disponibilité. 

- 2- © ENI Editions - All rigths reserved - Jonifar lina


7
● La gestion des applications ­ Elle traite du cycle de développement de ces applications. 

● La  gestion  de  la  sécurité  ­  Elle  comporte  les  aspects  de  sécurité,  de  manière  transversale,  avec  les  autres 
processus. 

La gestion des configurations

La  CMDB  (Configuration  Management  DataBase)  est  une  base  de  données,  pierre  angulaire  de  la  gestion  des 
configurations. Elle présente une vue complète des composants de l’infrastructure informatique et des services rendus 
dans l’environnement d’une entreprise. 

Elle doit comporter, a minima, les informations sur : 

● le matériel et les logiciels des composants des serveurs, des unités de stockage et de sauvegarde, du réseau, 

● les systèmes d’exploitation avec leurs versions et les outils associés, 

● les  applications  du  marché  avec  leurs  versions  (SGBD :  Système  de  Gestion  de  Base  de  Données,  ERP : 
Enterprise Resource Planning, Applicatifs client­serveur), 

● les outils de sauvegarde, de protection antivirale, de gestion des unités de stockage, d’administration  et  de 


supervision des systèmes, 

● les applications métiers développées en interne, 

● les licences pour les logiciels du marché et leurs dates de validité, 

● les informations sur les utilisateurs (accès logique et physique…), 

● les références sur les fournisseurs (matériels et logiciels) : contacts et contrats de maintenance, 

● les descriptifs d’installation et de configuration des serveurs et des applications, la documentation associée, 

● les documents relatifs aux incidents, problèmes survenus, les changements d’infrastructure effectués. 

La gestion de la disponibilité

Elle  précise  comment  optimiser  l’utilisation  du  système  d’information,  de  l’organisation  de  support  pour  délivrer  un 
niveau suffisant de services permettant aux activités métiers de l’entreprise de satisfaire ses objectifs. 

Pratiquement,  elle  comprend  la  mise  en  place  d’infrastructures  matérielles  et  organisationnelles  pour  prévenir  des 
risques d’interruption grâce à des solutions techniques ou logicielles. 

Celles­ci  peuvent  comprendre  des  dispositifs  techniques  permettant  un  environnement  de  Haute  Disponibilité 
(systèmes  à  tolérance  de  pannes,  clusters  ou  virtualisation  de  serveurs,  dispositifs  à  équilibrage  de  charges, 
redondance d’alimentation électrique ou d’équipements de réseau, onduleurs, ensembles redondants de disques) ou 
des procédures organisationnelles tels les plans de continuité d’activité. 

La gestion de la sécurité

Elle  fait  partie  intégrante  des  bonnes  pratiques  essentielles  à  mettre  en  place  dans  le  système  d’information  de 
l’entreprise.  En  effet,  celles­ci  peuvent  avoir  besoin  d’être  conformes  à  des  réglementations  particulières.  Les 
impératifs  professionnels  se  présentent  sous  forme  de  normes  de  type  FDA  (Food  and  Drug  Administration)  pour 
l’industrie pharmaceutique, Sarbanes­Oxley pour les établissements financiers. 
Cette gestion fournit à l’entreprise les concepts et la terminologie spécifique de façon à ce que les personnels puissent 
comprendre  les  objectifs  de  sécurité  et  les  risques  potentiels,  suivre  les  procédures  liées  aux  impératifs  requis.  Les 
processus  de  contrôle,  d’audit  de  validation  mis  en  place  sont  obligatoirement  en  correspondance  avec  les  bonnes 
pratiques de ITIL. 

Le processus de gestion de la sécurité comprend au moins plusieurs de ces composants : 

● contrôles (politique, organisation, rédaction de rapports), 

© ENI Editions - All rigths reserved - Jonifar lina - 3-


8
● contrats et accords de services, 

● implémentation (politiques de sécurité, contrôles d’accès, classification des risques), 

● évaluation (audits internes et externes, analyse des incidents de sécurité), 

● changements (gestion des demandes de changement). 

2. La méthode PDCA appelée aussi Roue de Deming 

La méthode PDCA (Plan, Do, Check, Act) issue de l’ISO 9000 est également appelée roue de l’amélioration de la qualité 
ou « roue de Deming », du nom de W. Edwards DEMING, statisticien et philosophe américain, inventeur des principes 
de la qualité et de Walter Andrew Shewhart Statisticien américain, inventeur de la roue de Deming. 
Le principe propose de maîtriser et d’améliorer un processus par l’utilisation d’un cycle continu en quatre étapes visant 
à  réduire  le  besoin  de  corrections.  Cette  méthode  démontre  aussi  que  les  bonnes  pratiques  doivent  être  mises  en 
œ uvre, documentées, appliquées et améliorées dans le temps. 
Elle comporte les étapes suivantes : 

● PLAN  (planifier)  ­  Cette  phase  définit  l’objectif  principal  qui  consiste  à  identifier  et  à  préciser  les  besoins  du 
maître d’ouvrage. Elle effectue l’inventaire des moyens nécessaires à sa réalisation, son coût et son planning. 

● DO (réaliser, déployer) ­ C’est la partie opérationnelle de la méthode. Elle comporte : 

● l’allocation de ressources en personnes, temps et budget, 

● la rédaction de la documentation, 

● la formation du personnel concerné, 

● la gestion du risque, 

● l’exécution des tâches. 

● CHECK  (mesurer  et  contrôler)  ­  C’est  ici  que  les  opérations  réalisées  précédemment  sont  vérifiées  pour 
qu’elles  correspondent  aux  besoins  exprimés,  dans  les  délais  et  les  coûts  précisés  à  la  première  étape.  Elle 
comprend : 

● Une évaluation à partir de ce qui a déjà été implémenté dans d’autres environnements. 

● Un contrôle global des résultats produits. 

● Un audit de l’environnement  du  système  de  gestion  de  la  sécurité  du  système  d’information,  soit  un 
audit  annuel,  sur  la  base  de  documents  et  de  traces  d’évènements  produits  par  les  outils  de 
supervision. 

● ACT  (améliorer,  agir)  ­  Cette  étape  recherche  les  améliorations  à  apporter  au  projet  global  de  changement. 
Des mesures sont évaluées à partir des bilans ou des constatations relevées lors de la phase de vérification. 
Des actions possibles sont élaborées selon les cas : 

● Passage à la phase de planification : si de nouveaux risques ou modifications ont été identifiés. 

● Passage à la phase d’exécution : si la phase de vérification en montre le besoin. 

● Après la constatation de non conformité, des actions correctives ou préventives sont déployées. 

- 4- © ENI Editions - All rigths reserved - Jonifar lina


9
PDCA 

Cette méthode, utilisée dans la nouvelle version de ITIL (V3) et dans la mise en place d’un système de gestion de la 
sécurité  informatique,  permet  de  réaliser  des  changements  progressifs  et  continus  à  partir  d’un  point  ou  objectif  de 
départ. Celui­ci peut être l’élément du système d’information qui a été défini, après un état des lieux, comme le plus 
critique ou le plus urgent à traiter ou encore le plus facile à mettre en œ uvre. 
Elle est, à l’opposé des changements brutaux ou pris dans l’urgence, toujours délicate à mettre en œ uvre et parfois 
source de dysfonctionnements. 

3. La norme ISO 20000 

Cette norme, décomposée en ISO 2000­1, ISO 2000­2, s’appuie sur les bonnes pratiques ITIL (Information Technology 
Infrastructure  Library)  et  comprend  un  ensemble  de  bonnes  pratiques  en  matière  de  gestion  des  services 
informatiques. Elle prend comme principe la roue de Deming ou PDCA (Plan­Do­Check­Act) et s’inscrit dans un processus 
de formalisation de normes de qualité (ISO 9000) ou de sécurité des systèmes d’information (ISO 27001). Il s’agit d’un 
système  de  gestion  complémentaire  avec  une  architecture  identique  composé  d’un  guide  de  bonnes  pratiques  (ISO 
20000­2). Ce système complète la norme ISO 20000­1. 

4. La norme ISO 27001 et le système de gestion de la sécurité informatique 

La série des normes ISO 27000 est composée des éléments suivants : 

ISO 27000 

Vocabulaire et définitions. 

ISO 27001 

La norme principale des besoins en système de gestion de la sécurité de l’information, plus connue sous la forme BS 
7799­2. Elle correspond au principe de certification des organisations. 

ISO 27002 (connue sous la forme ISO 17799) 

Il  s’agit  de  la  description  des  bonnes  pratiques  décrivant  les  principaux  objectifs  de  contrôle  de  l’ensemble  de  la 
sécurité de l’information. 

ISO 27003 

© ENI Editions - All rigths reserved - Jonifar lina - 5-


10
Comprend le guide d’implémentation détaillé relatif à l’adoption de la série complète de la norme ISO 27000. 

ISO 27004 

Contient la norme qui définit les principes d’évaluation de ce qui a été implémenté dans le cadre de la gestion de la 
sécurité de l’information pour mesurer l’efficacité du système de gestion de la sécurité mis en place. 

ISO 27005 

Contient la norme de gestion du risque dans le cadre de la sécurité de l’information. Il remplace la norme BS 7799­3. 

L’objectif de cette norme consiste à établir un système de gestion de la sécurité de l’information, c’est­à­dire définir et 
identifier tous les actifs, mettre en place toutes les mesures adéquates pour protéger les données de l’entreprise. Elle 
donne une idée sur les bonnes pratiques à utiliser par une approche basée sur des procédures et des processus. 

Elle  constitue  un  bon  moyen  d’organiser  et  de  structurer  la  politique  de  sécurité  informatique  dans  l’entreprise. Elle 
formalise : 

● l’amélioration continue, 

● les audits internes, 

● l’appréciation des risques, 

● le traitement des incidents, 

● les indicateurs. 

- 6- © ENI Editions - All rigths reserved - Jonifar lina


11

Vous aimerez peut-être aussi