Vous êtes sur la page 1sur 13

Q2. Quel est le rôle du contrôle d'accès au niveau du système d'information ?

Ibtissam Boukhris
22 avr.
Le contrôle d’accès donne à une entité l’autorisation d’accéder aux ressources
demandées, qu’elles soient physiques (accès à un bâtiment, une salle, un coffre,
etc.) ou logiques (accès à certains dossiers, programmes, informations, etc.).
Le contrôle d'accès logique est une technique de sécurité qui peut être utilisée
pour déterminer les utilisateurs ou les programmes autorisés à voir ou à utiliser
les ressources d'un système d’information.
Les systèmes de contrôle d'accès gèrent l'identification des autorisations,
l'authentification, l'approbation des accès et la responsabilité des entités grâce
à des identifiants de connexion, notamment des mots de passe, des codes PIN, des
analyses biométriques et des clés physiques ou électroniques ainsi que les actions
tracées et conservées au sein d’une base de données ou d’un fichier de log.
Le contrôle d’accès a comme rôle :
- de gérer et contrôler les accès logiques aux ressources informationnelles par des
personnes ou des dispositifs
- de détecter les accès non autorisés
- de préciser les règles à observer en matière d’identification, d’authentification
et d’autorisation d'accès des personnes ou des dispositifs
- d’assurer la disponibilité de l’information en réduisant :
• les attaques de déni de service
• les destructions ou les effacements non autorisés
• la propagation d'un code malicieux entre systèmes informatiques
• les erreurs d’opération ou de configuration des applications.
- d’assurer l’intégrité de l’information en réduisant :
• les abus d’utilisation ou de modification
• les altérations par des utilisateurs non autorisés
• les erreurs d’utilisation
• la dénégation des modifications.
- d’assurer la confidentialité de l’information en réduisant :
• les accès non autorisés
• les divulgations involontaires
• les diffusions non autorisées.
- d’assurer la traçabilité des accès et des tentatives d’accès.

Walid Chamour
24 avr.
Le contrôle d'accès est une technique de sécurité qui peut être utilisée pour
déterminer les utilisateurs ou les programmes autorisés à voir ou à utiliser les
ressources d'un environnement informatique.
Il existe deux types principaux de contrôle d'accès : physique et logique.
• Le contrôle d'accès physique permet de limiter les accès aux bâtiments, aux
salles et aux matériels informatiques.
• Le contrôle d'accès logique restreint les connexions aux réseaux informatiques,
aux fichiers système et aux données.
Les systèmes de contrôle d'accès gèrent l'identification des autorisations,
l'authentification, l'approbation des accès et la responsabilité des entités grâce
à des identifiants de connexion.

Hajar Benabail
24 avr.
En matière de système d’information, le contrôle d’accès est un système de sécurité
visant à vérifier le droit nécessaire d’accès d’une personne ou d’une machine à une
ou plusieurs données.

Ce contrôle d’accès peut être un contrôle physique ou un contrôle logique.


Le contrôle d’accès logique se subdivise en trois éléments : (les étapes décrites
par le protocole AAA (Authentication Authorization Accounting)).

** L’authentification consiste à s’assurer que l’identité de l’entité demandant


l’accès est connu de la base de données et qu’il le prouve (par un mot de passe que
lui seul connaît par exemple).

** L’autorisation suit l’authentification et contrôle si l’entité est autorisée à


l’exploitation des données.

** La traçabilité permet la collecte d’informations sur l’utilisation des données


(durée de connexion, adresse IP de l’utilisateur…).

Hassan SAKHI
25 avr.

Il existe deux types de contrôle d'accès: physique et logique. Le contrôle d'accès


physique limite l'accès aux campus, aux bâtiments, aux salles et aux actifs
informatiques physiques. Le contrôle d'accès logique limite les connexions aux
réseaux informatiques, aux fichiers système et aux données.

Les systèmes de contrôle d'accès effectuent l'authentification, l'identification et


l'autorisation des utilisateurs et des entités en évaluant les informations de
connexion requises qui peuvent inclure des mots de passe, des numéros
d'identification personnels (PIN), des analyses biométriques, des tokens de
sécurité ou d'autres facteurs d'authentification. L'authentification multi-
facteurs, qui nécessite deux facteurs d'authentification ou plus, est souvent un
élément important de la défense en couches pour protéger les systèmes de contrôle
d'accès.

Le contrôle d'accès représente l'un des composants de la sécurité du système


d'information, appelé sécurité logique. La sécurité logique contient trois
technologies mutuellement complémentaires qui peuvent être utilisées pour assurer
la sécurité du système: l'authentification, le contrôle d'accès et l'audit
(Protocole AAA). Cependant, le contrôle d'accès est la technique la plus importante
au niveau de la sécurité logique et il est utilisé fréquemment. Le contrôle d'accès
permet de définir les responsabilités et possibilités de l'utilisateur dans un
système. Il peut définir ce qu'un utilisateur peut faire directement et également
ce que les programmes exécutés au nom de l'utilisateur sont autorisés à faire. Le
contrôle d'accès limite les activités des utilisateurs authentifiés avec succès en
se basant sur les contraintes de sécurité définies au niveau de la conception et au
niveau de l'administration.

Fatima zahra EL Kourchali


25 avr.
Le contrôle d’accès est un des plusieurs outils et technologies qui aide à protéger
les entreprises contre les intrusions et à les contrôler. Il comprend les
politiques et procédures qu’une entreprise utilise et mise en place pour empêcher
et bloquer l'accès non autorisée à ses systèmes en interne et en externe.
Pour accéder, l'utilisateur doit y être autorisé c’est-à-dire il doit accorder une
permission et il doit être authentifié, c’est-à-dire vérifier si la personne est
bien celle qu’elle prétend être.
Pour procéder une authentification, on recourt souvent à un mot de passe. Les
systèmes s'appuient sur des dispositifs d'authentification comme des cartes à puce.
On trouve aussi l'authentification biométrique comme les empreintes digitales ou la
reconnaissance faciale

Anas Bouchouha
25 avr.
*Qu’est-ce que le contrôle d’accès ?
Le contrôle d’accès est un composant fondamental de la sécurité des données qui
dicte qui a le droit de consulter et d’utiliser des informations et ressources
d’une entreprise. Via une authentification et une autorisation, les stratégies de
contrôle d’accès vérifient que les utilisateurs sont bien ceux qu’ils disent être
et qu’ils disposent d’un accès adapté aux données de l’entreprise. Le contrôle
d’accès peut également être appliqué pour limiter l’accès physique aux campus,
bâtiments, salles et datacenters.

*Pourquoi le contrôle d’accès est-il important ?


Le contrôle d’accès protège les informations confidentielles, telles que les
données des clients, les informations personnellement identifiables et la propriété
intellectuelle, et évite qu’elles ne tombent entre les mauvaises mains. Sans une
stratégie de contrôle d’accès robuste, les entreprises risquent les fuites de
données, que ce soit de sources internes ou externes.
Le contrôle d’accès est particulièrement important pour les entreprises qui ont des
environnements multi-cloud et hybrides, où les ressources, les applications et les
données résident à la fois sur site et dans le cloud. Le contrôle d’accès offre à
ces environnements une sécurité d’accès plus robuste au-delà de l’authentification
unique (SSO)

mahmoud boukhar
26 avr.
Le rôle de contrôle d'accès au niveau du système d'information, c'est de connaître
les entrant du système et le contrôler et donnera les règles de permission de
travail au sien du système. Et aussi pour bloqué les accès non autorisés.

boumalek kaoutar
26 avr.
Contrôle d’accès est une section qui définit les mesures pour gérer et contrôler les
accès à l’information afin d’assurer la protection des systèmes en réseau. Elle
couvre également la sécurité de l’information lors de l’utilisation d’appareils
mobiles. D’où le contrôle d'accès est une technique de sécurité qui peut être
utilisée pour déterminer les utilisateurs ou les programmes autorisés à voir ou à
utiliser les ressources d'un environnement informatique.
Il existe deux types principaux de contrôle d'accès : physique et logique.
Le contrôle d'accès physique permet de limiter les accès aux campus, aux bâtiments,
aux salles et aux matériels informatiques.
Le contrôle d'accès logique restreint les connexions aux réseaux informatiques, aux
fichiers système et aux données.
Alors les systèmes de contrôle d'accès protègent le système d’information et ses
unités par la gestion de l'identification des autorisations, l'authentification,
l'approbation des accès et la responsabilité des entités grâce à des identifiants
de connexion, notamment des mots de passe, des codes PIN, des analyses biométriques
et des clés physiques ou électroniques.

Bouchra Essalime
26 avr.
Le contrôle d’accès c’est l’ensemble de politiques et de procédures permettent de
bloquer l’accès au système d’information par les personnes non autorisés. Ce qui
permet de sécuriser les accès externes ou internes au Système d'Information. Et
assure que les bons droits ont été attribués sur les ressources sensibles du
Système d’Information.Donc il est important pour assurer la sécurité d'un système
d'information d'un contrôle d’accès quelque soit son type soit un contrôle d'accès
physique ou logique.

Khadija El-hadi
26 avr.
L’accessibilité aux ressources d’information dans les systèmes d'information est un
aspect très important. De plus, le contrôle de cet accès forme une brique de base
essentielle pour gérer cette accessibilité

Le contrôle d’accès désigne les différentes solutions techniques qui permettent de


sécuriser et gérer les accès à un système d'information. Il est indispensable pour
la sécurité de ces systèmes, ses dispositifs représentent un rouage essentiel dans
la protection et la préservation des ressources d'un SI

fatima idelaouad
26 avr.
Le contrôle d’accès au système d’information désigne les différentes technologies
qui permettent de sécuriser les accès externes ou internes au système
d’information. C’est un système de sécurité qui vise à vérifier les droits
nécessaires d’accès d’une personne ou machine au certaines données.
En générale, il est subdivisé en trois éléments fondamentaux, c’est qu’on appelle
le protocole AAA;
L’authentification : consiste à s’assurer que l’identité de l’entité demandant
l’accès est connu de la base de données et qu’il le prouve (par un mot de passe que
lui seul connaît par exemple)
L’autorisation : suit le premier, désigne le contrôle ou la vérification si
l’entité s’authentifiant est autorisée à l’exploitation des données ou non.
La traçabilité : permet la collecte d’informations sur l’utilisation des données
(durée de connexion, adresse IP de l’utilisateur…). Elle consiste à suivre les
accès aux ressources informatiques sensibles.
En peut dire que les contrôle d’accès sert à définit les mesures pour gérer et
contrôler les accès à l’information afin d’assurer la protection des systèmes
d’information. Il couvre également la sécurité de l’information lors de
l’utilisation d’appareils mobiles.

Maryam AJARRAR
26 avr.
Le contrôle d’accès représente une composante importante de la sécurité des
systèmes d’information. Son rôle est de définir les utilisateurs qui sont
authentifiées et autorisées à accéder au système d’information et de bloquer les
utilisateurs non autorisés. En d’autres termes, le contrôle d’accès consiste à
vérifier si un sujet qui demande l’accès à un objet possède, à cet égard, les
autorisations nécessaires.

Le mécanisme du contrôle d’accès comprend l’authentification qui permet de vérifier


l’identité de l’utilisateur en cohérence avec le login et le mot de passe saisis
afin de prouver que celui-ci est bien celui qu’il prétend être. Cela permet de
vérifier que l’utilisateur dispose des droits nécessaires pour accéder au système,
aux ressources ou services du système d’information.

On peut deux types de contrôle d’accès :

- Le contrôle d’accès physique consiste à vérifier qu’une personne est autorisée à


accéder à un bâtiment, un local ou toute autre infrastructure à tout instant. Tout
cela, dans le but d’améliorer la sécurité du patrimoine et de protéger les sites
présentant un risque d’intrusion. L’installation d’un interphone ou d’un portier
vidéo, à titre d’exemple, permet de sécuriser l’accès à un logement, bâtiment, site
industriel. Voix, vidéo ou les deux, ils permettent de prendre instantanément
contact avec l’interlocuteur avant de lui autoriser, ou non, l’accès. D'autres
mécanismes tels que les digicodes, carte, badge ou clé magnétique peuvent être
utilisés pour gérer les autorisations des individus pour pénétrer dans les
différents espaces d’une entreprise ou d’un bâtiment.
- Le contrôle d'accès logique permet à chaque connexion de l’utilisateur
l’attribution de droits et privilèges propres définis en considération stricte des
besoins du poste qu’il occupe. Tout accès logique au système d’information est
sécurisé par une étape d’identification et d’authentification de l’utilisateur qui
doit fournir son couple d’identifiant et mot de passe ou tout moyen
d’authentification mis en place dans l’organisation. Il est souvent couplé avec le
contrôle d'accès physique et permet de restreindre le nombre d'utilisateurs du
système d'information. D'une manière générale, l’utilisateur admet que toute
connexion au système d’information permet son identification et qu’elle constitue
une acceptation implicite de l’enregistrement automatique de traces de son
activité.

Dans cette optique, il est capital d’effectuer une revue régulière des règles de
contrôle d’accès mises en œuvre afin d’identifier les accès non souhaités au
système d’information et de s’assurer si elles sont cohérentes et complètes par
rapport à une politique de sécurité donnée.

Ijjou ELMAZOUD
26 avr.
Le contrôle d’accès est un composant fondamental de la sécurité des données qui
dicte qui a le droit de consulter et d’utiliser des informations et ressources
d’une entreprise. Via une authentification et une autorisation, les stratégies de
contrôle d’accès vérifient que les utilisateurs sont bien ceux qu’ils disent être
et qu’ils disposent d’un accès adapté aux données du système d’information.
Le contrôle d’accès identifie les utilisateurs en vérifiant plusieurs identifiants
de connexion, notamment le nom d’utilisateur et le mot de passe, le code PIN…
(Authentification).Une fois qu’un utilisateur est authentifié, le contrôle d’accès
lui donne le niveau d’accès adapté et l’autorise à effectuer certaines actions
liées à son identifiant et à son adresse IP.
Donc le contrôle d’accès permet de protéger le système d’information contre toute
intrusion.

Bader Eddine
26 avr.
Le contrôle d’accès est un composant fondamental de la sécurité des données qui
offre le droit de consulter et d’utiliser des informations et ressources d’une
entreprise. à partir d'une authentification et une autorisation. Le contrôle
d’accès protège les informations confidentielles, telles que les données des
clients, les informations personnellement identifiables et la propriété
intellectuelle, et évite qu’elles ne tombent entre les mauvaises mains. Sans une
stratégie de contrôle d’accès robuste, les entreprises risquent les fuites de
données, que ce soit de sources internes ou externes.

Il existe quatre modèles de contrôle d’accès : (contrôle d’accès discrétionnaire,


contrôle d’accès obligatoire, contrôle d’accès basé sur des rôles, contrôle d’accès
basé sur des attributs).

SIHAM FARIS
26 avr.
Le rôle du contrôle d'accès au niveau du système d'information

Dans les systèmes d'information, le rôle du contrôle d'accès vise à vérifier le


droit nécessaire d'une personne ou d'une machine à accéder à une ou plusieurs
données. Ce dernier est divisé en trois composants :
l’authentification, l’autorisation et la traçabilité. Ce sont des étapes décrites
par le protocole AAA (Authentication Authorization Accounting).

L’authentification consiste à s’assurer que l’identité de l’entité demandant


l’accès est connu de la base de données et qu’il le prouve. Elle consiste à
vérifier que l’entité correspond à l’identité qui cherche à se connecter, c’est-à-
dire le lien entre l’identité et la preuve de l’identité. La forme
d’authentification la plus répandue est celle de l’identifiant/mot de passe.

L’autorisation suit l’authentification et contrôle si l’entité est autorisée à


l’exploitation des données. Elle consiste à filtrer l’accès des entités
s’authentifiant pour l’accès au système ou une ressource définie. L’utilisateur
authentifié n’est pas systématiquement autorisé à accéder à une ressource, il doit
y être habilité.

La traçabilité permet la collecte d’informations sur l’utilisation des données.


Elle consiste à surveiller l'accès à des ressources informatiques sensibles, afin
de lutter contre les usurpations de droit. Des données sont collectées pour assurer
la sécurité du système d'information. Dans le cas du piratage, la traçabilité vous
permet également de trouver l'adresse IP, afin que vous puissiez identifier
l'utilisateur qui a effectué l'action malveillante, ainsi que les informations
recueillies seront utiles afin de déterminer les actions entreprises dans un but
malveillant.

fatima Amzil
26 avr.
Contrôle d’accès définit les mesures pour gérer et contrôler flux des visiteurs et
les accès à l’information afin d’assurer la protection des systèmes en réseau. Elle
couvre également la sécurité de l’information grâce à des identifiants de
connexion, notamment des mots de passe, des codes PIN, des analyses biométriques et
des clés physiques ou électroniques. Elle permet aussi de préserver la
confidentialité, l’intégrité et la disponibilité des données
Contrôle d’accès permet de répondre a tout ou partie des questions suivant ; Qui
accéder au système d’information, Où, Par où, Quand et Combien

AAA acronyme de : Authentication, Authorization et Accounting ou Auditing c’est un


protocole ou un mécanisme servant à renforcer la sécurité d’accès aux ressources de
l’entreprise en se passant par trois étapes :

Authentification : Qui est autorisé à accéder.


Autorisation : Qu’est-ce qu’elle peut faire la personne autorisée.
Accounting : Auditer en détail tout ce qui s’est passé.

Il existe deux types principaux de contrôle d'accès : physique et logique.

**Le contrôle d'accès physique pour rôle de limiter les accès aux campus, aux
bâtiments, aux salles et aux matériels informatiques
** Le contrôle d'accès logique restreint les connexions aux réseaux informatiques,
aux fichiers système et aux données.

Ouchna Laila
26 avr.
Pour sécurisé les systèmes d'information, le contrôle d'accès a pour rôle majeur
d'atteindre le maximum possible de cette sécurité, en visant à vérifier le droit
nécessaire d'accès d'une personne ou d'une machine à une ou plusieurs données.

Autrement, Le contrôle d'accès désigne les différentes solutions techniques qui


permettent de sécuriser et gérer les accès physiques à un bâtiment ou un site, ou
les accès logiques à un système d'information.

Donc on peut en général le contrôle d'accès a pour objectif la sécurité des système
d'information, avec :

1- Maintenance de la sécurité physique


Pour contrôler l'accès à votre système, vous devez maintenir la sécurité physique
de votre environnement informatique. Par exemple, un système qui est connecté et
laissé sans surveillance est vulnérable aux accès non autorisés. Un intrus peut
accéder au système d'exploitation et au réseau. La zone alentour de l'ordinateur et
le matériel de l'ordinateur doivent être physiquement protégés contre tout accès
non autorisé.

2 -Gestion du contrôle de connexion


Vous devez également empêcher toute connexion non autorisée à un système ou au
réseau, par le biais de l'affectation d'un mot de passe ou du contrôle de
connexion. Tous les comptes sur un système doivent disposer d'un mot de passe. Un
mot de passe est un mécanisme d'authentification simple. Un compte sans mot de
passe rend l'ensemble du réseau accessible à un intrus ayant deviné un nom
d'utilisateur. Un algorithme de mot de passe fort protège contre les attaques en
force.

3 -Contrôle de l'accès aux périphériques


Les périphériques reliés à un système informatique représentent un risque pour la
sécurité. Les microphones peuvent capter des conversations, puis les transmettre à
des systèmes distants. Les CD-ROM peuvent laisser des informations pouvant être
lues par l'utilisateur suivant de l'unité de CD-ROM. Les imprimantes sont
accessibles à distance. Les périphériques qui font partie intégrante du système
peuvent également présenter des problèmes de sécurité. Par exemple, des interfaces
réseau telles que hme0 sont considérées comme des périphériques intégrés.

4 -Contrôle de l'accès aux ressources de la machine


En tant qu'administrateur système, vous pouvez contrôler et surveiller l'activité
du système. Vous pouvez définir des limites quant aux utilisateurs pouvant utiliser
les ressources. Vous pouvez consigner l'utilisation des ressources et surveiller
qui utilise les ressources. Vous pouvez également configurer vos systèmes pour
réduire l'utilisation inappropriée des ressources.

5-Contrôle de l'accès aux fichiers


Dans un environnement Multi-utilisateur, tous les utilisateurs connectés à un
système peuvent lire des fichiers appartenant à d'autres utilisateurs. Les
utilisateurs disposant des autorisations de fichiers appropriées peuvent également
utiliser des fichiers appartenant à d'autres utilisateurs

6-Contrôle de l'accès réseau


Les ordinateurs font souvent partie d'un réseau d'ordinateurs. Un réseau permet aux
ordinateurs connectés d'échanger des informations. Les ordinateurs en réseau
peuvent accéder aux données et à des ressources sur d'autres ordinateurs du réseau.
Les réseaux d'ordinateurs créent un environnement informatique puissant et
sophistiqué. Toutefois, ils rendent la sécurité informatique plus difficile à
assurer.

Amine AMROUZ
26 avr.
Le rôle de contrôle d'accès au niveau dn système d'information est le contrôle et
la gestion de l'accès des utilisateurs et l'utilisation de ses ressources.
Ce mécanisme permet au système d'accorder ou de révoquer des privilèges aux entités
actives (sujets) pour accéder à ou effectuer certaines actions sur des entités
passives (objets).
Le mécanisme est également identifié comme un service d'autorisation ou un moniteur
de référence qui applique généralement les politiques de contrôle d'accès.
Le contrôle d’accès renforce les bonnes propriétés de disponibilité, de
confidentialité et d’intégrité de l’information. Il est généralement mis en œuvre
par un moniteur qui contrôle le flux de transactions entre les utilisateurs et les
ressources protégés auxquelles ces derniers essaient
d’accéder.

Badr Abibou
26 avr.
Le contrôle d'accès permet de déterminer les utilisateurs ou les programmes
autorisés à voir ou à utiliser les ressources d'un système d'information.
On distingue entre deux types de contrôle d’accès au niveau d'un système
d'information : Le contrôle d’accès physique et le contrôle d’accès logique.
Le contrôle d'accès physique permet de limiter les accès aux campus, aux bâtiments,
aux salles et aux matériels informatiques.
Le contrôle d'accès Logique permet de limiter les connexions aux réseaux
informatiques, aux fichiers et aux données du système

Q3. Comment gérer le risque ? quels sont les critères de classification du risque ?

Bouchra Essalime
10 mai
* Il est important pour une entreprise de gérer les risques.la gestion des risque
consiste donc à mettre en place des méthodes des outils, et des stratégies pour
faire face aux risques. ITIL et Cobit sont parmi les méthodes utilisés pour
analyser les risques informatiques. La gestion des risques consiste donc à :
- Indentification des risques.
- Évaluation des risques (qualifier les risques selon des critères).
- Analyser les risques (classification des risques et prévoir des solutions pour
eux).
- Réduire les risques (mettre en place des actions).
- Évaluation des actions mises en place.

* La classification des risques se fait en fonction de la probabilité d’occurrence


du risque, sa fréquence, sa durée d’exposition, et de sa gravité potentielle.

Khadija El-hadi
10 mai
On peut résumer le processus de gestion des risque en:
-l'identification méthodique des risques entourant les activités de l'entreprise.
-l'évaluation de la probabilité qu'un événement survienne.
-la compréhension de la façon de répondre à ces événements.
-la mise en place de systèmes afin de faire face aux conséquences.
-la surveillance de l'efficacité de vos approches et contrôles en matière de
gestion des risques.

On peut classifier les risque selon les catégories suivantes:


-stratégiques, par exemple un concurrent arrivant sur le marché.
-en lien à la conformité, par exemple l'introduction d'une nouvelle loi en matière
de santé et de sécurité.
-financiers, par exemple l'absence de paiement de la part d'un client ou
l'augmentation des frais d'intérêts relativement à un prêt commercial
-opérationnels, par exemple, la panne ou le vol d'un équipement clé.

Hajar Benabail
10 mai
**La gestion du risque se fait par le processus suivant :
1- L'identification du domaine et des assets : dans cette partie, il est question
de prendre connaissance avec l’organisation, son environnement, son SI et de
déterminer précisément les limites du
système sur lequel va porter l’étude de gestion des risques.

2 - La détermination des objectifs de sécurité : cette étape vise à spécifier les


besoins en termes de confidentialité, intégrité et disponibilité des assets.

3 - L’analyse des risques : elle constitue le cœur de la démarche de gestion des


risques. Elle a pour finalité l’identification et l’estimation de chaque composante
du risque (menace/vulnérabilité/impact), afin d’évaluer le risque et d’apprécier
son niveau, dans le but de prendre des mesures adéquates (parfois, cette étape est
également appelée «
appréciation du risque »

4 - La définition des exigences de sécurité : elle permettra


de réduire les risques identifiés. Comme précédemment, en fonction des méthodes,
cette étape pourra être effectuée avec l’assistance de référentiels.

5 - La sélection des contrôles : Les contrôles sont l’instanciation des exigences


de bas niveau pour le système cible étudié. Ici sont définis les choix techniques
des solutions de sécurité, influencés par le système déjà en place, les compétences
disponibles, les coûts de mise en oeuvre…

6 - L’implémentation des contrôles.

** Les critère de classification du risque sont :

1 − les causes accidentelles : risques matériels, pannes et dysfonctionnement de


matériel ou de logiciel de base.

2 − les erreurs : Erreurs de saisie, de transmission et d’utilisation de


l’information, d’exploitation, de conception et de réalisation.

3 − la malveillance : Vol et sabotage de matériel, Fraudes, Sabotage immatériel.

Bader Eddine
10 mai
Le processus de gestion des risques est comme le suivant :

Définir :(déterminer l’alignement pour la gestion des risques, définir les


pratiques de gestion des risques et de contrôle, planifier les activités de
contrôle selon les priorités).

Mettre en œuvre :(identifier les événements impactant les objectifs métier et


informatiques, identifier le propriétaire du risque et les propriétaires des
processus concernés, établir le contexte de chaque évaluation de risque).

Evaluer :(évaluer les risques associés aux événements, évaluer les réponses aux
risques).

Améliorer :(tenir à jour et sur veiller un plan d’actions de traitement des


risques).

Les critères de classification du risque :


Bien comprendre les objectifs stratégiques des métiers pour hiérarchiser les
risques.

La mise en place d’un système de management de la sécurité de l’information.

Maryam AJARRAR
11 mai
Le risque correspond à la possibilité de survenance d’un événement indésirable
pouvant mettre en cause la réalisation du projet conformément aux objectifs.
Contrairement à l’incertitude, le risque est modélisable. L’incertitude caractérise
des événements non définis ou dont on ne peut pas mesurer la probabilité de
survenance. On parle de risque lorsque l’on peut décrire différentes situations
envisageables et leur associer une probabilité. L’origine des risques peut être :

- Extérieure à l’entreprise : risques exogènes, sur lesquels elle a peu de prise.


Les risques exogènes trouvent leur origine dans l’environnement au sens large
(décisions politiques, contexte socio-économique, changements technologiques, aléas
naturels, modifications réglementaires, etc.).

- Interne à l’entreprise : risques endogènes qui dépendent en partie d’elle (à


titre d’exemple : le besoin à l’origine du projet a été mal défini, les solutions
envisagées pour répondre au besoin ne sont pas appropriées ou irréalistes, l’équipe
projet n’est pas adaptée en taille, niveau de compétence ou expérience, le projet
n’est pas accepté par les utilisateurs, etc.).

+ Critères de classification des risques en termes de SI

Tout projet présente des risques qui peuvent être mesurés par rapport à un certain
nombre de critères. Le risque ne peut pas être éradiqué, mais sa connaissance
permet de le gérer. En termes de système d’information, on analysera le risque en
traçant le profil de risque d’un projet en fonction d’un certain nombre de
critères. Des critères souvent retenus, en la matière sont :

- La taille du projet : se mesure par rapport à son périmètre dans le périmètre


total du système d’information.

- Son degré d’intégration : se mesure par le nombre d’interactions qui vont être
nécessaires entre le projet et les autres éléments du système d’information.

- Sa difficulté technique : est relative, d’une part, à la nouveauté des


technologies en matière logicielle ou matérielle et la maîtrise de la technologie à
mettre en œuvre, d’une autre part.

- Sa durée : se calcule en mois nécessaires pour parcourir toutes les phases du


projet, c’est-à-dire jusqu’à la mise en exploitation complète de l’application.
Plus le projet dure longtemps, plus la durée représente un facteur de risque.

- La stabilité de l’équipe projet : on constate dans la réalité quotidienne que la


réussite d’un projet est très liée à l’équipe qui le pilote, et particulièrement à
son chef de projet. De nombreux projets n’aboutissent pas suite à la défection du
chef de projet.

On peut également prendre en compte trois critères correspondant aux trois axes de
toute conduite de projet :

- La probabilité de respect des délais.

- La probabilité de respect du budget.


- La probabilité de respect des clauses du cahier des charges (de ne pas atteindre
le niveau de résultats prévu).

+ Comment gérer les risques ?

Il convient d’identifier les risques et de les positionner sur une échelle de


gravité (mineur, significatif, grave, critique, catastrophique), une échelle de
vraisemblance ou probabilité d’occurrence (impossible à probable, très peu
probable, peu probable, probable, très probable à certain). Cela permet de définir
des classes d’acceptabilité (accepté en l’état, tolérable sous contrôle et
inacceptable) dans un repère (vraisemblance, gravité). Une cartographie des risques
d’un projet peut alors être établie.

Une organisation peut traiter ses risques endogènes de manière exhaustive. Le choix
est guidé par le coût de diminution du risque face aux effets potentiels du risque.
Son action est par contre limitée en ce qui concerne les risques exogènes. Elle ne
peut influer sur les causes, elle peut seulement diminuer les effets, en essayant
d’y échapper, en atténuant leur impact ou encore en remédiant à leurs conséquences.
Généralement, les attitudes possibles face aux risques sont :

- Éviter : décider de ne pas prendre le risque et renoncer.

- Transférer : faire supporter le risque par un tiers (fournisseur, client,


assureur, etc.).

- Limiter : prendre des mesures pour réduire la probabilité de survenance ou les


conséquences.

- Assumer : supporter le risque ou le risque résiduel et se préparer à gérer les


conséquences de sa survenance.

fatima Amzil
11 mai
La gestion des risques liée à la sécurité de l'information doit permettre d’assurer
les critères suivant : la Disponibilité, l’Intégrité, la Confidentialité des
données de l’organisation ainsi que la preuve et le contrôle.
Pour gérer les risques Il existe quatre façons de traiter chaque risque que vous
avez identifié. Vous pouvez :
• L’accepter : vous pourriez décider d'accepter un risque, car le coût relié à son
élimination complète est trop élevés
• le transférer : décider de transférer le risque, ce qui est habituellement
effectué avec une assurance
• Réduire : diminuer le risque en introduisant de nouvelles mesures de sécurité
• Eviter : éliminer complètement la prise de risque en changeant la façon dont vous
produisez le produit
L’analyse des risques constitue le cœur de la démarche de gestion des risques. Elle
a pour finalité l’identification et l’estimation de chaque composante du risque
(menace/vulnérabilité/impact), afin d’évaluer le risque et d’apprécier son niveau,
dans le but de prendre des mesures adéquates
Les Méthodes d’analyse des risques :
• Ebios : cette méthode permet d’apprécier et de traiter les risques relatifs à la
sécurité des systèmes d’information conformément à la norme ISO :IEC 27005. Elle
permet également de construire une politique de sécurité en fonction d’une analyse
des risques qui repose sur le contexte de l’organisme et des vulnérabilités liées à
son SI.
• Mehari : est une méthode d’évaluation et de management des risques liés aux
systèmes d’information. Elle est conforme aux exigences de la norme ISO/IEC 27005.
• Cramm : est une méthode d’analyse et de maîtrise des risques concernant le
système d’information d’une entreprise
• Octave : C’est une méthode qui permet d’identifier et d’évaluer les risques de
sécurité associés aux systèmes d’information

Afin d'évaluer les risques, il est intéressant de classer ces risques lorsque vous
les aurez identifiés Cela peut être fait en envisageant les Importance de l’impact
et la probabilité de chaque risque. Un grand nombre d'entreprises estiment que
l'évaluation des conséquences et de la probabilité selon des critères tels que
élevée, moyenne ou faible est appropriée à leurs besoins.

Ouchna Laila
00:06
La Démarche de gestion du risque des SI est la suivante

-Identifier les risques -> facteurs de risque


-Évaluer l'impact des risques sur les coûts, le délai, et la qualité -> profil du
risque, matrice de probabilité/impact
-Identifier et mettre en place les actions aptes à réduire les risques
inacceptables -> stratégies de gestion du risque
-Suivre les actions et contrôler l'état des risques
-Capitaliser l'expérience

Il convient d’élaborer des critères d’évaluation du risque de l’organisme en


sécurité de l’information en prenant en compte les éléments suivants :

– La valeur stratégique des processus informationnels,


– La criticité des actifs informationnels concernés,
– Les exigences légales et réglementaires ainsi que les obligations contractuelles,
– L’importance opérationnelle et métier de la disponibilité, de la confidentialité
et de l’intégrité.

Fatima zahra EL Kourchali


00:59
Pour gérer des risques on commence par déterminer et identifier les risques , par
raisonnement, imagination et simulation de scénarios.
Puis valoriser les risques, on calcule une valeur pour chacun des risques en
fonction de la probabilité d’occurrence d’une menace, de la facilité d’exploitation
d’une vulnérabilité, et des impacts qui en découlent.
Donc, on sera amené à classer et à prioriser les risques selon la valeur calculée
et d’en proposer un traitement.
Au final, le traitement des risques consistera à décider quelles mesures prendre ou
pas pour diminuer ou éliminer le risque, en s’appuyant sur un référentiel de bonnes
pratiques.

Un risque est qualifié en fonction de l’impact qu’il peut avoir et de sa


probabilité ou vraisemblance d’occurrence.
- Impact majeur : une défaillance en matière de cybersécurité entraîne le vol de la
base de données des clients et l'échec de la mise en œuvre du nouveau système ERP.
- Impact moyen: en l’absence de dispositif de sauvegarde de données, la perte ou le
vol d’un PC peut compromettre une expérimentation et les activités d’une équipe
sans toutefois paralyser l’unité entière.
- Impact faible: dans des conditions de sécurité déjà présentes (présence
d’antivirus sur la majorité des PC de l’unité, sensibilisation permanente des
utilisateurs et filtrage sur les serveurs de messagerie) la contamination de
quelques PC dans l’unité fera perdre tout au plus quelques heures à l’utilisateur
et au service informatique.

SIHAM FARIS
16:02
La gestion des risques :
Les procédures de sécurité informatique sont construites sur une base de gestion
des risques, qui a de nombreuses approches possibles. Elles se résument toutes à
quelques aspects essentiels. La gestion des risques consiste en :
- Identification des risques (menaces, potentialité, probabilité de survenance) ;
- Les évaluer selon les normes propres à l'entreprise, tenant compte tant des
faiblesses des protections ;
- Répartition des risques entre les risques majeurs et mineurs ;
- Évaluation du niveau de sécurité actuel (audit) ;
- Formaliser les mesures ci-dessus sous la forme d'un plan d'amélioration de la
sécurité pour les années à venir ;
La gestion du risque permet de réduire, transférer ou prendre le risque, et parmi
les méthodes d’analyse des risques on trouve : Ebios (l’Expression des Besoins et
Identification des Objectifs de Sécurité), Mehari (Méthode Harmonisée d’Analyse de
Risques), Octav (Operationally Critical Threat, Asset, and Vulnerability
Evaluation).

Les critères de classification des risques :


- Classement par nature :
o Risques inhérents dans l’entreprise (Risques généraux propres à l’entreprise /
Risques liés à la nature des opération traitées)
o Les risques informatiques (Les risques stratégiques / techniques / juridiques)
o Risques de non détection lié à l’audit
- Classification des risques informatiques par source :
o Les causes accidentelles (Risques matériels / Pannes et dysfonctionnement de
matériel ou de logiciel de base)
o Les erreurs (Erreurs de saisie de transmission et d’utilisation de
l’information / Erreurs d’exploitation : effacement accidentel de fichiers /
Erreurs de conception et de réalisation)
o La malveillance (Vol et sabotage de matériel / Fraudes / Sabotage immatériel /
Indiscrétion, détournement d’informations / Détournement de logiciels
- Classement hiérarchiser : (Risque élevé / Risque moyen / Faible risque)