Académique Documents
Professionnel Documents
Culture Documents
ISO 27001
Master co-construit en électronique et système
embarqué appliqué à l’agriculture
Sécurité
de
l’information
Sécurité
des systèmes
d’information
Sécurité
informatique
1975 ------------1990 1995 2000 2010 2015
Sécurité de l’information
Selon l’ISO 27002
Cryptage
Identification VPN
Filtrage
Authentification
Filtrage
Confidentialité
Anti virus
Hackers
Virus
Erreurs
Confidentialité
ISO 27000, clause 2.13
Menaces
Confidentialité
Intégrité
Légalité Vulnérabilités
Disponibilité
Non
Traçabilité répudiation
Risques
Vulnérabilité
Faiblesse d’un actif ou d’une menace de
contrôle qui pourrait être exploitée par une
menace
Personnel
Produits
Processus Technologies
Partenaires
Fournisseurs
Types de vulnérabilité
ISO 27005, Annexe D
Type de vulnérabilité Exemples
1. Matériel informatique Entretien insuffisant
Portabilité
2. Logiciel Aucun registre
Interaction compliqué
3. Réseau Manque de transfert de chiffrement
Simple point d’accès
4. Personnel Formation insuffisante
Manque de supervision
5. Site Système électrique instable
Site dans une zone inondable
6. Structure de l’organisme Manque de séparation des tâches
Aucune description de tâches
Sources de vulnérabilités
Manque de formation
Inexistence de procédure
Application non testée
Humain
Organisationnel
Logiciel
Services
(environnement)
Matériel
Manque de maintenance
Coupure de courant électrique
Sources de vulnérabilités
Hacker
Actifs de l’entreprise
1. Pertes financières:
2. Perte d’actifs ou de leur valeur
3. Perte de clients, de fournisseurs;
4. Procès et sanctions;
5. Perte d’avantages compétitifs
6. Perte d’avantages technologiques;
7. Perte de rendement ou d’efficacité;
8. Violation de la vie privée d’utilisateurs ou de clients;
9. Interruption des services;
10. Incapacité de fournir des services;
11. Perte de la marque ou de la réputation;
12. Interruption des opérations;
13. Interruption des opérations de tiers (fournisseurs, clients…);
14. Incapacité à remplir les obligations légales;
15. Incapacité à remplir les obligations contractuelles;
16. Menace à la sécurité du personnel, des utilisateurs
Exercice 1
Menaces et vulnérabilités
Exercice 1: Menace et vulnérabilité
Proposition Menace ou Complément (menace D I C
vulnérabilité / vulnérabilité)
Vol d’un fichier
Probabilité Conséquence
Risque
(occurrence) (impact)
Le risque
ISO 31000, clause 2.1
Définition: Effet de l’incertitude sur l’atteinte des
objectifs
1. Vision positive
Possibilité de gain
2. Vision neutre
Probabilité d’événement
3. Vision négative
Événement nuisible
Contrôles (ou mesures de sécurité)
Classification
Contrôle préventif
Décourager ou prévenir l’apparition
des problèmes
Préventif
Contrôle de détection
Rechercher, détecter et identifier les
Correctif problèmes
De détection
Contrôle corrective
Résoudre les problèmes trouvés et
en prévenir la récurrence
Mesure de prévention
But: décourager ou prévenir l’apparition de problèmes
•Détecter les problèmes avant qu’ils se produisent
•Contrôler les opérations;
•Prévenir une erreur, une omission ou des actes malveillants
Mesure de détection
But: Rechercher et identifier les anomalies
•Utiliser les contrôles qui détectent et rapportent l’apparition d’une erreur, d’une omission
ou d’un acte malveillant
Mesure corrective
Objectif de sécurité
Mesure Mesure •Déclaration décrivant ce qui est à
technique administrative accomplir par suite de la mise en
place des mesures de sécurité
Mesure de sécurité
•Moyens de management du risque
Mesure •Comprend les politiques, les
Corrective procédures, les lignes directrices et
managériale
les pratiques ou l’organisation
•Synonyme: contrôle, contre
mesure, dispositif de sécurité,
sauvegarde, mesure de contrôle
Le lien entre les objectifs de la sécurité
et les contrôles