Vous êtes sur la page 1sur 8

Chapitre 1

Gestion des risques et sécurité du système


d’information

1. Concept de sécurité du système d’information


1.1 Définition d’un système d’information

1.2. Structure d’un système d’information

1
1.3. Notion de sécurité

 Qu’est-ce que la sécurité ?

2. Gestion de la sécurité du système d’information


2.1. Les critères de sécurité

2
2.2. Explication des objectifs de la sécurité :

Pour assurer la sécurité, il faut assurer l’ensemble des objectifs bien définis :
2.2.1. La disponibilité :
- La disponibilité d’un service est la probabilité de pouvoir mener correctement à terme une
session de travail c'est-à-dire garantir en permanence la communication et l’échange des
données pour les personnes autorisées.
- Exemple : Dans un réseau grand distance et de topologie maillée, la disponibilité sera
réalisée à condition que l’ensemble  des liaisons ait été correctement dimensionné et que les
politiques de routage soient satisfaisantes.
- Une ressource doit être assurée avec un minimum d’interruption. On parle de continuité de
service.
«Le système doit fonctionner sans faille durant les plages d’utilisation prévues, garantir
l’accès aux services et ressources installées avec le temps de réponse attendu  »
2.2.2. Intégrité :

- Le critère d’intégrité est lié au fait que des ressources ou services n’ont pas été altérés ou
détruit tant de façon intentionnelle qu’accidentelle.
- Il est indispensable de se protéger contre la modification des données lors de leur stockage,
le leur traitement ou de leur transfert.
«  Les données doivent être celles que l’on s’attend à ce qu’elles soient, et ne doivent pas être
altérées de façon fortuite ou volontaire  »
2.2.3. Confidentialité :

- La confidentialité  peut être vue comme la protection des données contre une
divulgation non autorisé.
- Deux actions complémentaires permettent d’assurer la confidentialité des données:
- limiter leur accès par un mécanisme de contrôle d’accès;
- Transformer les données par des techniques de chiffrement  pour qu’elles deviennent
inintelligibles aux personnes qui n’ont pas les moyens de les déchiffrer.

3
- Le chiffrement des données (ou cryptographie) contribue à en assurer la confidentialité
des données et à en augmenter la sécurité des données lors de leur transmission ou de leur
stockage.
«  Seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout
accès indésirables doit être empêché  »
2.2.4. Authenticité :

Les interlocuteurs, émetteur et récepteur doivent pouvoir être identifiés sans qu’il puisse
exister le moindre doute sur leur identité.
«L’identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail
pertinents et maintenir la confiance dans les relations d’échange.  »

2.2.5. La non-répudiation et l’imputabilité :

Garantit la connaissance de l’origine et de la destination d’une action. Ca revient toujours à la


confiance à la source de données.
«  Aucun utilisateur ne doit pouvoir contester les opérations qu’il a réalisées dans le cadre de
ses actions autorisées, et aucun tiers ne doit pouvoir s’attribuer les actions d’un autre
utilisateur  »
3. Gestion des risques
3.1. Connaître les risques pour les maîtriser

- Pour une entreprise, l’objectif  de la sécurité informatique est de garantir qu’aucune perte


ne puisse mettre en danger son développement.
- Exemple : Il faut réduire la probabilité de voir des risques se concrétiser, à diminuer les
atteintes ou dysfonctionnements, et permettre le retour à un fonctionnement normal à des
coûts et des délais acceptables en cas d’incident.
- Il faut que les solutions de sécurité informatique assurent tout ou une partie des propriétés
suivantes:
 La disponibilité (aucun retard) : permet l’accessibilité  en continu sans
dégradation, ni interruption;
 L’intégrité (aucune falsification): maintient intégralement les données et
les programmes sans altération;
 La confidentialité (aucune écoute illicite): permet de maintenir le secret de
l’information et assure l’accès aux seules entités autorisées
 La pérennité (aucune destruction) : les logiciels et les données sont stockés,
ils sont conservés le temps nécessaire;
 La non-répudiation et l’imputabilité : garantit la connaissance de l’origine  et
de la destination d’une action
 Le respect des contraintes règlementaires ou légales (aucun risque juridique);
 L’authentification (pas de doute sur l’identité d’une ressource)
3.2. Analyse de risque
La première étape de management de la sécurité des systèmes doit rendre clair les risques
qui visent une organisation : l’analyse de risque.
3.3. Méthodologie d’analyse
Pour élaborer une politique de sécurité et arriver à implémenter un tel système de sécurité,
on doit passer par 4 étapes :

4
 Quoi protéger et pourquoi ? : liste des biens (actifs) sensibles (informations : les
données et les applications) à protéger.
 De quoi protéger ? : liste des menaces et modes opératoires (les attaques)
 Quels sont les risques ? listes des impacts et probabilités
 Comment protéger l’entreprise ? liste des contre-mesures
3.4. Exemple :

3.5. Définitions

3.5.1. Risques :
 Un risque en littérature est la prise en compte par une personne de la possibilité de
réalisation d’un événement contraire à ses attentes ou à son intérêt.
 C’est la possibilité qu’une menace donné exploite les vulnérabilités d’un bien actif ou
d’un groupe de biens actifs et nuise donc à l’organisation.
 Un risque est la combinaison de la probabilité d’un évènement et de ses impacts.
Un risque exprime la probabilité qu’une valeur soit perdue en fonction d’une
vulnérabilité liée à une menace. Pour évaluer un risque, il y a deux formules à utiliser :

 Avant implémentation : dans un nouveau système d’information :


………………………………………………………………………..

 Après implémentation : le système contient déjà quelques mesures de


sécurité implémentées qui peuvent réduire la valeur de risque :
………………………………………………………………………..

 La terminologie liée au risque distingue l’analyse, l’évaluation, l’appréciation, le


traitement et la gestion du risque :

5
- Analyse du risque : Exploitation systématique d’information pour fixer les
sources afin de pourvoir estimer le risque.
- Evaluation du risque  : c’est le processus de comparaison du risque estimé avec des
critères de risque donnés pour identifier l’importance du risque.
- Appréciation du risque  : Processus d’analyse et d’évaluation du risque.
- Traitement du risque : Processus de sélection et implémentation des mesures visant
à modifier le risque.
- Gestion du risque : activités coordonnées visant à conduire et à piloter une
organisation vis-à-vis des risques.
3.5.2. Exemples de risque :
a. risque lié à la disponibilité  :

…………………………………………………………
…………………………………………………………
…………………………………………………………
…………………………………………………………
…………………………………………………………
…………………………………………………………
…………………………………………………………
…………………………………………………………
………………………………………….........

b. risque lié à la l’intégrité  :


………………………………………………………
………………………………………………………
………………………………………………………
………………………………………………………
………………………………………………………
………………………………………………………
………………………………………………………
………………………………………………………
………………………………………………………
………..

b. risque lié à la confidentialité  :

6
………………………………………………………
………………………………………………………
………………………………………………………
………………………………………………….........

3.5.3. Niveau de risques


Il correspond à l’estimation de sa gravité (impact : l’ampleur d’un risque) et de sa
vraisemblance.

 Niveau de gravité :
- négligeable : l’organisme surmontera les impacts sans difficultés.
- Limitée : l’organisme surmontera les impacts malgré quelques difficultés.
- Importante : l’organisme surmontera les impacts avec de sérieuses difficultés
- Critique : l’organisme ne surmontera pas les impacts, sa survie est menacée.

 Niveau de vraisemblance : force d’occurrence


- Minime : cela ne devrait pas se (re)produire.
- Significative : cela devrait se (re)produire un jour ou l’autre.
- Forte : cela pourrait se reproduire.
- Maximale : cela va certainement se reproduire.

3.5.4. Menace :
Attaque possible d’un individu sur des biens (les informations) entraînant des conséquences
potentielles négatives. Elle est souvent caractérisée par une expertise de l’attaquant, ses
ressources disponibles et sa motivation.

7
Exemple : un développeur modifie le code source en vue de détournement de fond (grande
expertise et forte motivation si les flux financiers sont importants), vol d’un ordinateur
portable lors d’un déplacement (peu d’expertise nécessaire)…
3.5.5. Vulnérabilité :
Caractéristique d’une entité qui peut constituer une faiblesse ou une faille au regard de la
sécurité de l’information. Ces vulnérabilités peuvent être organisationnelle (ex : pas de
politique de sécurité), humaine (ex : pas de formation des personnels), logicielles ou
matérielles (ex : utilisation de produits peu fiables ou non testés)…
Exemple : les fichiers sur les ordinateurs portables ne sont pas protégés en lecture.
3.5.6. Bien essentiel et bien support :
Le bien essentiel est l’information ou processus jugé comme important pour l’organisation
autrement dit c’est les fonctions principales réalisées par le système. On appréciera ses
besoins de sécurité mais pas ses vulnérabilités.
Exemple : le dossier patient et les données médicales, les informations personnelles des
patients.
Le bien support est un bien sur lequel repose des biens essentiels autrement dit c’est les
parties du système qui réalisent les fonctions principales. On appréciera ses vulnérabilités
mais pas ses besoins de sécurité.
Exemple : les systèmes informatiques, les organisations et les locaux, logiciels, réseau.
4. Gouvernance de la sécurité du système d’information
4.1. Gouvernance des systèmes d’information

La gouvernance est un processus qui permet de contrôler stratégiquement des fonctions grâce
à des politiques, des objectifs, des délégations de responsabilité, des audits et des métriques.
La gouvernance permet aux organes de direction de s’assurer que les processus de système
informatique répondent bien aux besoins de l’entreprise.

4.2. Gouvernance de la sécurité des systèmes d’information

Ce processus a pour rôle d’identifier les acteurs et les responsabilités, d’identifier et de traiter
les risques sur les actifs tangibles et intangibles et de mesurer l’efficacité des processus de
sécurité.
Il s’articule principalement autour de 5 acteurs : le comité exécutif, le comité des risques, le
comité de pilotage de la sécurité de l’information, le CISO (Chief Information Security
Officer) ou RSSI (Responsable de la Sécurité des Systèmes d’Information) et les employés
de l’entreprise.