SENCITS Industry 29/12/2020

PLAN DE PROTECTION DU SI

INTRODUCTION
Le système d’information se trouve confronté à un certain nombre de
difficultés aux besoins de l’entreprise. Ainsi à la demande du DSI, nous allons
donc proposer un plan de protection du SI. Pour cela on va décrire les bases
fondamentales du Système d’Informatique et proposer une démarche
technique et opérationnelle .

1) OBJECTIFS
L’objectif de ce présent document est de mettre en place un plan de protection
du SI de l’entreprise pour réduire les risques comme :
 les virus et programmes
 malveillants,
 les emails frauduleux,
 le piratage,
 l'espionnage industriel,
 la malversation,
 la perte d'information confidentielles,
 l'erreur de manipulation

2) Les bases fondamentales du SI et les démarches

techniques et opérationnelles
Pour réduire les risques au niveau du système d’information, nous allons
élaborer des procédures :
 Procédure inventaire des biens ;
 Procédure contrôle physique des accès ;
 Procédure maintenance du matériel ;
 Procédure maintenance informatique préventive ;
 Procédure maintenance informatique proactive ;
 Procédure sécurité du câblage ;
 Procédure atténuation des menaces ;
 Procédure atténuation des vulnérabilités ;
 Procédure atténuation des incidents ;
 Procédure réaction en cas d'infection ;
 Procédure politique de sauvegarde ;
  Procédure réalisation de sauvegarde ;
 Procédure contrôle d'accès réseau ;
 Procédure Identification et authentification de l'utilisateur ;
 Procédure manipulation des supports.
3)Détail des procédures
Procédure inventaire des biens
Évaluation annuelle obligatoire des biens de l’entreprise afin de
clairement identifier tous les biens :
 des biens physiques (serveurs, réseau, imprimantes, baies de stockage,
poste de travail, des matériels non IT) ;
 des informations (bases de données, fichiers, archives) ;
 des logiciels (applications ou systèmes) ;
 des services de la documentation (politiques, procédures, plans).
Procédure contrôle physique des accès
Il convient de protéger les zones sécurisées par des contrôles à l'entrée
adéquats pour s'assurer que seule la personne habilitée soit admise. Pour cela
on peut définir les règles suivants :
R1 : Définition des zones sécurisées
 Définition de périmètre de sécurité.
 Le périmètre peut avoir trois types : temporel, géographique ou
fonctionnel.
R2 : Identification des personnes
Identité, durée de validité, périmètre d'accès, etc.
R3 : Surveiller l'accès des personnes tiers
 Les visiteurs doivent disposer d'une autorisation pour pénétrer dans les
zones sécurisées.
 Conserver une trace des accès.
R4 : Réexamen et mise à jour réguliers des droits d'accès aux zones sécurisées
Une révision régulière des privilèges et droits d'accès devrait être effectuée par
le responsable de sécurité dont le but de s'assurer que les privilèges donnés
correspondent toujours aux besoins réels des tâches à effectuer.
Procédure maintenance du matériel
La maintenance est l'ensemble des actions à mettre en œuvre pour assurer une
continuité de service optimum. Il convient d'entretenir le matériel
correctement pour garantir sa disponibilité permanente et son intégrité.
Comme première étape nous devons déterminer les exigences concernant la
maintenance du matériel. Cette procédure facilite le choix de réalisation pour
la maintenance.
Procédure maintenance informatique proactive
La maintenance proactive assure la bonne conformité des systèmes, elle
garantit la sécurité et améliore les performances et la fiabilité des
équipements, afin de travailler de façon plus rapide et plus sécurisée.

Procédure sécurité du câblage

Les câbles électriques ou de télécommunications transportant des données
doivent être protégé contre toute interception ou dommage.
Procédure atténuation des menaces
Une menace pour un système informatique est une circonstance qui a le
potentiel de causer des dommages ou des pertes. Le but de cette procédure est
de se protéger contre toute menace.
Pour cela on peut :
 Installer des antivirus
 Détecter et enlever les spywares
 Installer des pare-feu
 Faire une configuration sécurisée pour les hôtes
Procédure atténuation des vulnérabilités
Une vulnérabilité est une faiblesse du système informatique qui peut être
utilisée pour causer des dommages. Les faiblesses peuvent apparaître dans
n'importe quel élément d'un ordinateur, à la fois dans le matériel, le système
d'exploitation et le logiciel. Le but de cette procédure est de détecter les
vulnérabilités.
On peut :
 Gérer les patchs logiciels
 Renforcer la sécurité des hôtes
 Désactiver l'exécution automatique des scripts
Procédure atténuation des incidents
Un incident ou plusieurs évènements indésirables ou inattendus présentant
une probabilité forte de compromettre les opérations liées à l'activité de
l'organisme et de menacer la sécurité de l'information. Le but de cette
procédure est de se protéger contre tout incident.
Procédure réaction en cas d'infection
Le but de cette procédure est de former l'utilisateur par des étapes qu'il doit
faire afin d'atténuer la propagation d'une infection dans le réseau.
Procédure politique de sauvegarde
La sauvegarde est l'opération qui consiste à dupliquer et à mettre en sécurité
les données contenues dans un système informatique.
Il convient de réaliser des copies de sauvegarde des informations et logiciels et
de les soumettre régulièrement à essai conformément à la politique de
sauvegarde convenue.
Procédure réalisation de sauvegarde
R1 : Établir un état des lieux des données à sauvegarder
 Faire l'inventaire des données de l'entreprise ;
 Identifier les informations stratégiques ;
 Distinguer les données hébergées par l'entreprise et celles hébergées par
un tiers.
R2 : Choisir la fréquence des sauvegardes
La périodicité et la durée des sauvegardes dépendent de plusieurs facteurs :
 Le volume des données ;
 La vitesse d'évolution des données ;
 La quantité d'informations que l'on accepte de perdre ;
 La durée légale de conservation de l'information.
R3 : Choisir le type de sauvegarde
 Sauvegarde complète ;
 Sauvegarde incrémentale ;
 Sauvegarde différentielle ;
 Sauvegarde ponctuelle.
R4 : Choisir le support de sauvegarde
 Le disque dur (interne, externe) ;
 Le CD-ROM ou DVD-ROM ;
 La clé USB ;
 La sauvegarde réseau ;
 La sauvegarde sur Internet (cloud);
 La bande magnétique.
R5 : Vérification des sauvegardes
Contrôler régulièrement le journal des sauvegardes afin de vérifier qu'aucune
anomalie n'ait perturbé le bon fonctionnement des sauvegardes.

Procédure contrôle d'accès réseau

Empêcher les accès non autorisés aux services disponibles sur le réseau.

Procédure Identification et authentification de l'utilisateur

Il convient d'attribuer à chaque utilisateur un identifiant unique et exclusif. Le
mot de passe est une méthode parmi d'autres pour effectuer une
authentification, c'est-à- dire vérifier qu'une personne correspond bien à
l'identité déclarée. Le mot de passe doit être tenu secret pour éviter qu'un tiers
non autorisé puisse accéder à la ressource ou au service.
Procédure manipulation des supports
Il convient de contrôler et de protéger physiquement les supports afin
d'empêcher la divulgation, la modification, le retrait ou la destruction non
autorisé des biens et l'interruption des activités de l'organisme.

4) Conclusion
Le manuel des procédures adapté à la sécurité du matériel informatique
permettra à l'entreprise de mieux protéger l'intégrité des biens et des
ressources informatiques. Nous avons procédé à l'inventaire puis à l'évaluation
des procédures les plus importantes concernant la sécurité et le contrôle du
matériel informatique. Il faut noter que le manuel de procédures n'est pas figé.
Il doit être régulièrement mis à jour par des notes qui les complètent ou en
modifiant quelques aspects à partir de l'évolution de la structure et des
activités de l'entreprise.

LOVEL SALL
Stagiaire Ingénieur RSSI