IUC-Sécurité informatique(2021-2022)

Objectifs du cours
- Appréhender les enjeux de la sécurité des systèmes d’information dans notre contexte
- Découvrir la logique de la norme qui y est associée
- Repositionner notre rôle dans ce contexte
- Echanger autour de la réglementation RGPD

INTRODUCTION

La sécurité informatique consiste à protéger un système informatique contre toute

violation, intrusion, dégradation ou vol de données au sein du système d’information

En raison de l’explosion des données, de la complexité des systèmes et du partage de l’accès

aux systèmes et aux données, les risques d’atteinte à l’intégrité, à la confidentialité et à la
disponibilité des données des entreprises font peser une menace croissante sur la
réputation et le fonctionnement de toutes organisations.

L’impact d’une infraction ou d’un manquement à la conformité peut engendrer des coûts
financiers élevés, ternir l’image de l’entreprise, et restreindre définitivement son évolution.

Sachant qu’une brèche de sécurité peut engendrer des impacts négatifs, comme des arrêts
de services, la fraude, la destruction d’informations, ternir l’image, et restreindre
définitivement son évolution.les entreprises doivent s’assurer de sécuriser adéquatement leur
périmètre réseau

Pour cela donc, la compréhension des vulnérabilités et des risques d’une entreprise
constitue une première phase vers la sécurisation du réseau

Etant donné le nombre de systèmes attaqués ces dernières années et les enjeux financiers
qu'ils abritent, les systèmes d'informations se doivent aujourd'hui d'être protégés contre les
anomalies de fonctionnement provenant soit d'une attitude intentionnellement malveillante
d'un utilisateur, soit d'une faille rendant le système vulnérable.

Les bases de données informatiques sont sensibles aux attaques et peuvent être accessibles
par n'importe qui. Êtes-vous préparé à ces menaces ? Quel est le niveau de sécurité de votre
poste de travail chez vous ou dans votre entreprise ?

Approche

Il s’agit de protéger la confidentialité, l'intégrité et la disponibilité du réseau interne, ainsi que

les ressources d'information qui en dépendent et d’atteindre les trois objectifs suivants :
1-Septembre 2021
  Protéger le réseau lui-même
 Réduire la vulnérabilité des systèmes informatiques et des applications aux menaces
provenant de l’extérieur
 Protéger les données pendant la transmission sur le réseau externe.

Aujourd'hui, la plupart des organisations dépendent largement des réseaux informatiques

pour partager des informations de manière efficace et productive au sein du réseau défini. De
nos jours, les réseaux informatiques organisationnels sont très vastes, en supposant que
chaque membre du personnel dispose d'un poste de travail dédié et directement connecté à
internet par exemple, Ce type de réseau si non sécurisé devient la cible d'une attaque

Un Système d’Information a besoin de mécanismes de sécurité qui ont pour objectif

d’assurer de garantir les propriétés DICP sur les biens de ce S.I. Voici quelques
exemples de mécanismes de sécurité participant à cette garantie

2-Septembre 2021
NB : faire la différence entre Cybersécurité et Sécurité Informatique

La cybersécurité est la protection des systèmes interconnectés (Internet, réseau) contre les
menaces informatiques visant le matériel, les logiciels et les données

Sécurité informatique est la protection des systèmes interconnectés (Internet, réseau) ou

pas contre les menaces informatiques visant le matériel, les logiciels et les données

PREMIER CHAPITRE – GENELARITES SECURITE INFORMATIQUE

I-DEFINITION & CONTEXTE D’ETUDES

L'impact d'une atteinte au système d'information est potentiellement grave :
● Légal : responsabilité des tutelles engagée
● Financier : perte de matériel ou de données coûteuses, voire impossible à reconstruire,
● Image de marque
● Atteinte à des personnes
● Activités de l'entreprise paralysées
La sécurité informatique consiste à protéger un système informatique contre toute
violation, intrusion, dégradation ou vol de données au sein du système d’information

Faire de la sécurité sur un réseau consiste à s'assurer que celui qui modifie ou consulte des
données du système en a l'autorisation et qu'il peut le faire correctement car le service est
disponible

1-États des lieux

Il est indéniable que l'informatique et la mise en réseau des moyens informatiques a
révolutionné notre quotidien, nos habitudes d'achat, notre façon de travailler, notre façon de
3-Septembre 2021
nous documenter et suivre l'actualité. Mêmes nos enfants nous réclament l'accès Internet à la
maison pour de simples devoirs à la maison. L'Internet a gagné nombre de foyers et bien
rares sont les entreprises qui aujourd'hui résistent aux attraits de l'Internet pour communiquer
avec leurs clients, faire de la publicité, vendre en ligne, mais aussi partager des informations
dans l'entreprise, mettre à disposition des ressources informatiques, télétarvail, BYOD, etc...

L’évolution technologique et la numérisation des données constituent des enjeux

économiques énormes.

Face donc, aux nouvelles technologies qui se développent continuellement (intelligence

artificielle, big data, objets connectés, drones, informatique quantique, etc), les usages
évoluent et la cybersécurité adapte. Toutes les entreprises et organisations, dans tous les
secteurs, se doivent de veiller à la cybersécurité de leurs systèmes d'informations. Ces
dernières font alors appel aux consultants en cybersécurité pour les conseiller, identifier les
risques et les vulnérabilités, et les aider à renforcer leur dispositif, voire se défendre de
cyberattaques, toujours plus nombreuses et agressives.

La crise sanitaire mondiale du CORONAVIRUS – COVID-19 a nécessité la mise en place de

mesures de confinement et de stricte limitation des déplacements aux seuls motifs
indispensables. Face à cette situation exceptionnelle et inédite, les entreprises qui en avaient
la possibilité ont dû mettre en place le télétravail pour préserver au moins les activités
essentielles que ce mode de fonctionnement peut permettre. Certaines de ces organisations
étaient déjà préparées au télétravail, mais pas pour y faire face de manière aussi massive et
en s’inscrivant autant dans la durée.

Pour beaucoup d’entreprises, la mise en place du télétravail a dû se faire dans l’urgence,

voire elles ont dû l’initier « à distance » avec des collaborateurs confinés et sans réelle
maîtrise des mesures de sécurité à mettre en place pour protéger de manière satisfaisante le
système d’information de l’organisation.

Dans certains cas, et faute d’avoir pu déployer les moyens nécessaires, le télétravail s’opère
même depuis les équipements personnels des collaborateurs, dont le niveau de sécurité ne
peut pas être évalué et encore moins garanti.

Dans ce contexte, les hackers ont profité du choc mondial de la pandémie pour augmenter
leurs attaques. Rien que sur le mois de mars 2019, les cas de phishing ayant pour but de
dérober des informations personnelles et utilisant le prétexte du covid-19 ont augmenté de
670%.

Beaucoup d’organisations (CERT : computer emergency response team , Le Centre

gouvernemental de veille, d'alerte et de réponse aux attaques informatiques )de
Cyberdefense ont constaté une augmentation des différentes campagnes frauduleuses
utilisant la COVID-19 comme prétexte. Plusieurs vecteurs de diffusion ont été identifiés,
notamment :

4-Septembre 2021
  les e-mails : le pirate se fait passer pour un service connu (administration, banque,
organisation internationale etc.). Il incite à cliquer sur un lien ou télécharger une pièce-
jointe.
 les faux sites Internet, les fake news, les fausses cartes de propagation de la
maladie dans le monde, les fausses applications de télétravail : ils ont l’apparence
de sites légitimes mais sont en réalité des répliques frauduleuses. Ils incitent à
renseigner des informations personnelles et/ou à cliquer sur des liens malveillants
et/ou à télécharger parfois à l’insu de l’utilisateur des fichiers malveillants.

La réactivité qu’a imposée la crise du COVID-19 aux équipes informatiques exige

aujourd’hui de prendre le temps de la réflexion pour sécuriser durablement
l’environnement de travail du futur. Cela passera par une analyse de nouveaux cas
d’usages rencontrés liés au télétravail et un audit des risques de sécurité associés afin de
mesurer es faiblesses du système et prendre les bonnes décisions pour la suite,
Sensibilisations, conformité dans la gestion des données personnelles, bonnes pratiques sur
le comportement des employés qui utilise l'ordinateur personnel ou smartphone pour des
besoins professionnels, ce qui n'est pas sans poser de forts risques quant à la sécurité des
données de l'entreprise

2. Législation et contrôle
 D'une part, les moyens informatiques et réseaux apportent un confort notable aux
entreprises dans la gestion de leurs informations et de leurs communications. Ils leur
offrent ainsi une meilleure réactivité sur un marché de plus en plus concurrentiel en
leur permettant d'accéder à distance à leurs réseaux privés et à leurs données, et ce
depuis n'importe où, avec différents types de terminaux (Smartphone, PC...).

Cependant, cela vulnérabilise aussi ces entreprises qui peuvent être la cible des
cyberattaques...

 D'autre part, les particuliers sont friands des nouvelles technologies qui leur offrent
une plus grande liberté, de plus en plus de services en ligne – services d'achat en
ligne, réseaux sociaux, etc... mais cela n'est pas sans conséquence pour eux puisqu'ils
laissent de plus en plus de données personnelles, ici et là sur des serveurs, dans les
équipements de réseaux...

Ces données sont utilisées, en général, à des fins commerciales pour établir leur profil
de consommation, et leur envoyer des publicités ciblées, mais elles peuvent aussi être
utilisées par des malfaiteurs pour usurper leur identité et obtenir un service
gratuitement à la charge financière de la victime.

 Ainsi, les Autorités/Gouvernement ont pour rôle d'établir une régulation qui assure la
protection des citoyens et des entreprises dans l'usage qu'ils font des moyens
informatiques et réseau, mais elles doivent aussi veiller à ce que l'usage qui est fait de
ces moyens ne soit pas dans le but de nuire à autrui. Cette régulation suit une directive
et doit répondre au dilemme suivant : offrir des moyens sûrs et de niveau de
sécurité élevé pour assurer une protection robuste des usagers légitimes et
5-Septembre 2021
 permettre à tout moment aux autorités de contrôler que leur usage est légitime
et n'a pas pour but de dissimuler des actions terroristes.

3-Organisation dans l'entreprise

Pour une bonne mise en œuvre de la SSI dans une entreprise, il est nécessaire de s'adosser
à des technologies SSI existantes, et surtout, d'associer l'ensemble du personnel dans
cette démarche de sécurisation SSI et de définir des méthodes de travail conformes à
la politique de l'entreprise.

Pour assurer un bon suivi de son SSI, une entreprise se doit de nommer un, ou plusieurs,
responsable(s) (RSSI/Data protection Officer » (DPO) qui a pour fonction de :

 maintenir, ou renforcer, la SSI en fonction des risques encourus et des potentielles

pertes occasionnées ;
 participer au processus d'arbitrage du budget alloué à la SSI ;
 définir une politique SSI et une charte SSI.
 Protection et sécurité des données personnelles
 Associer le personnel à la démarche SSI ;

4-notion de risque
Un risque est la conjonction de trois facteurs :

a)Une menace fait référence à un incident susceptible de nuire à un système ou à

l’ensemble de votre organisation. C’est l'exploitation d'une faiblesse de sécurité
par un attaquant, qu'il soit interne ou externe à l'entreprise

Exemples de menaces

Un individu malveillant injecte des requêtes non prévues dans le formulaire d’un site
web. Un concurrent, en visite incognito, vole un disque dur portable. Un membre du
personnel supprime des tables d’une base de données par inadvertance. Un dégât des
eaux détruit les serveurs informatiques et de télécommunications

6-Septembre 2021
b) Une Vulnérabilité fait référence à une faiblesse connue d’une ressource pouvant être
exploitée par un ou plusieurs attaquants. En d’autres termes, il s’agit d’un problème connu qui
permet à une attaque de réussir.

C’est une faiblesse qui pourrait être exploitée pour violer un système ou les
informations qu’il contient

C)un impact et des conséquences plus ou moins importantes résultant de la réalisation de

cette menace

Un risque représente donc, la possibilité d’exploitation des menaces et vulnérabilités

existantes afin de produire un impact bien défini
Ou
Probabilité qu’une vulnérabilité soit exploitée par une menace et que les événements
redoutés aient un impact sur le SI

Un risque est qualifié en fonction de l’impact qu’il peut avoir et de sa probabilité ou

vraisemblance d’occurrence.

Equation de risque :
- Risque=fonction(menaces,Vulnérabilité,Impact) ;
- Risque=fonction(menaces,Vulnérabilité,Impact )/Contres mesures

d)Attaque : Toute action qui compromet la sécurité de l’information

Les attaques de sécurité sont les attaques informatiques qui compromettent la sécurité du
système. Sur le plan conceptuel, les attaques de sécurité peuvent être classées en deux
types: les attaques actives et les attaques passives

Attaque active Attaque passive

L’attaque passive tente de lire ou
Une attaque active tente de modifier
d’utiliser les informations du système
De base les ressources du système ou
mais n’influence pas les ressources du
d’affecter leur fonctionnement.
système.
Nuire au système Cause toujours des dommages au Ne provoque aucun mal.
7-Septembre 2021
 Attaque active Attaque passive
système.
Modification de
Se produit N’a pas lieu
l’information
Menace à Intégrité et disponibilité Confidentialité

DEUXIEME CHAPITR-Stratégie de sécurité : Formalisation

du SMSI
But : Appréhender la sécurité de l’information sous l’angle du management(Norme)
permet de dépasser le stade purement technique de la SSI

Le Système de Management de la Sécurité d’Information (SMSI) est une partie du système

de management global.

Tout d’abord, système de management permet d'établir une politique, de fixer des
objectifs et de les atteindre. En d’autres termes, il s’agit de mettre en œuvre des actions
(techniques, organisationnelles) pour atteindre un objectif fixé.

Dans ce contexte donc, la SMSI constitue la colonne vertébrale de l’activité sécurité portée
par le RSSI pour mettre en œuvre et gouverner la sécurité de l’information au sein de
l’entreprise.

Cette une approche basée sur le risque lié à l’activité, visant à établir, mettre en œuvre,
exploiter, surveiller, réexaminer, tenir à jour et améliorer la sécurité de l’information

1- Pourquoi un SMSI/Avantages ?

Le SMSI permet la gouvernance de la sécurité des systèmes d’information. Il vise à

protéger les actifs numériques de l’entreprise :

 la mise en place de bonnes pratiques et d’un retour d’expérience vise à améliorer

l’application des procédures ;
 la concrétisation formelle des documents de politique et des processus (comme la
PSSI) favorise les vérifications et les certifications
 renforcer l'assurance de l’entreprise dans la maîtrise de risques identifiés.
 Apporter la confiance attendue aux parties prenantes.
 Se démarquer de la concurrence.
NB : les certifications ont comme vertu d’augmenter la confiance entre les entreprises
et leurs clients.
8-Septembre 2021
Au final, un SMSI peut se définir comme un jeu d’outils, de documents et de
méthodes, qui vise à fixer et à appliquer une politique de sécurité de l’information
adaptée au besoin d’une entreprise
Autrement dit, C’est un mode d’organisation que l’entreprise doit mettre en place
pour préserver la confidentialité, l’intégrité et la disponibilité de l’information.
Ce système prend en compte à la fois des facteurs Organisationnel, Techniques et
Humains.
Le SMSI permet donc de gérer les risques relatifs à l’information au moyen de
processus, et définit les différentes responsabilités

Dans son approche, le SMSI cherche à établir un compromis équilibré entre, d’une
part, le risque encouru et, d’autre part, l’atténuation de ce même risque. Il s’agit
d’apporter une réponse proportionnelle : la gestion des actifs, par exemple,
implique l’échange de données sensibles et doit donc faire l’objet de processus
renforcés.
le SMSI répond aux menaces internes et externes, lesquelles sont en constante
évolution. Dans cette perspective, le système doit lui aussi être constamment
optimisé.

Le SMSI est en fait une optimisation continue de la sécurité de l’information, Un

très bon moyen d’assurer un SMSI efficace est de planifier des audits internes
périodiquement durant lesquels on pourrait détecter des incohérences et/ou des
non-conformités qu’il convient d’y remédier.

2-Quel est le standard dans le management de la sécurité des systèmes d'information ?

La norme traitant des systèmes de management de la sécurité de l'information (SMSI) est

l'ISO/CEI 27001(code de bonnes pratiques pour la gestion de la sécurité de l’information) qui
insiste sur Disponibilité, Intégrité et Confidentialité, et la Authenticité de l’information

-Disponibilité : Garantir l'accès à un service, à une application, au réseau ou à une donnée

et que cela soit possible en tout temps, afin de garantir le bon fonctionnement du système
d'information.

La disponibilité d’une infrastructure s’exprime par un taux d’indisponibilité dans l’année

Par exemple 90% de disponibilité = 36,5 jours d'indisponibilité ; 99% = 3,65 jours ; 99,9% =
8,76 heures ; 99,99% = 52,56 minutes ; 99,999% = 5,26 minutes(HD) ; 99,9999% = 31,5
secondes(THD).

∙Intégrité: lors de la réception d’un message, la garantie que le message reçu est bien celui
qui a été envoyé, qu’il n’a en aucune manière pu être modifié en cours de transfert, doit être
assurée

∙Confidentialité: lors d’un échange d’informations entre deux entités, celles-ci ne doivent
Être lues exclusivement que par son (ou ses) destinataire(s) officiel(s)

9-Septembre 2021
 -La traçabilité (ou « preuve ») : garantie que les accès et tentatives d'accès aux éléments
considérés sont tracés et que ces traces sont conservées et exploitables.

3-Politique de Sécurité du Système d’Information (PSSI)

La Politique de Sécurité du Système d’Information (PSSI) constitue un document de
référence de sécurité du système d’information. Elle doit être perçue comme un élément
de qualité.

La PSSI reflète la vision stratégique de l’organisation en matière de sécurité des systèmes

d’information (SSI). Elle est un élément fondateur du Système de Management de la
Sécurité de l’Information (SMSI).

La PSSI est un outil de communication qui sera transmis à l’ensemble des acteurs du
système d’information. Un document exposant la vision stratégique des dirigeants de
l’entreprise en termes de SSI.

4-Mise en œuvre du SMSI

La démarche s’inscrit dans une logique d’amélioration continue, qui est le cœur et
l’essence même des référentiels utilisés pour la formalisation des politiques de sécurité.

 Autrement dit, la mise en place d’un SMSI opérationnel est exposée dans la norme ISO
27001 et repose sur les principes chers au domaine de la qualité. La démarche, connue sous
l’abréviation PDCA, ou principe de la roue de Deming, vise une amélioration continue du
système(Soit, un processus en quatre temps: Collecte des informations, Application
des politiques déterminées, Veille, Amélioration) par le déploiement de 4 phases :

 Planifier (Plan) : vous collectez toutes les informations nécessaires à

l’identification des failles et l’évaluation des risques. Sur cette base, vous définissez un
ensemble de politiques et de processus, puis établissez des méthodes pour vous
assurer de l’optimisation continue du SMSI.
 Faire (Do) : vous appliquez les politiques déterminées en suivant la norme ISO
27001 et les ressources qu’a l’entreprise. Déployer la sécurité de manière
opérationnelle.
 Vérifier (Check) : vous menez une veille de l’efficacité des processus et évaluez les
résultats.
 Agir (Act) : on n’améliore les processus existants, en éliminant ou en construisanst
de nouveaux grâce à ces retours.

Bref, L’objectif est de :

 Réaliser une analyse de risques.

 Rédiger la Politique de Sécurité des Systèmes d’Information (tactique).
 Rédiger la Déclaration D’Applicabilité.
10-Septembre 2021
  Valoriser la mise en œuvre des politiques de sécurité.
 Tableau de bord de suivi de la mise en œuvre du SMSI (Système de Management de
la Sécurité de l’Information).

Pour réduire les risques, on agit sur les vulnérabilités, ou on essaie de réduire l’impact
qu’aurait ’exploitation d’une de ces vulnérabilités par une menace.

Pour réduire l’impact il faut mettre en place des mesures préventives et les coordonner
dans le cadre d'une politique de sécurité
.

Phase 1 : Plan

L’objectif de cette première étape est de poser les bases d’un SMSI opérationnel. il s’agit de

 Définir la politique et et de cadrer le périmètre du SMSI ;

 Apprécier les risques
 Traitement des risques (décidé en tenant en compte des risques résiduels) ;
 choisir les mesures de sécurité́ adéquates pour maîtriser les risques.

11-Septembre 2021
a)Politique et périmètre du SMSI
La première étape consiste à définir la politique et le périmètre du SMSI.
La politique est là pour préciser le niveau de sécurité qui sera appliqué au sein du périmètre
du SMSI. La norme ne fixe pas d’exigences sur le périmètre, il peut être restreint ou couvrir
l’ensemble des activités de l’entreprise.
L’objectif est d’y inclure les activités pour lesquelles les parties prenantes exigent un
certain niveau de confiance.

NB : Ces étapes correspondent aux premiers pas de l’élaboration de la PSSI(document

qui cadre la politique et le rôle du RSSI ici, est une place de maître d’ouvrage.)

B)Appréciation des risques

Étape 1 : Identifier et classer par ordre de priorité les actifs : consiste dresser une liste de
tous les actifs qui ont une importance en matière d’information au sein du SMSI. On distingue
généralement six catégories d’actifs.

1. – Matériel, pour tous les équipements réseau et système.

2. – Physique, pour les bureaux, lieux de production, de livraisons.
3. – Logiciel, pour les bases de données, fichiers, les systèmes d’exploitation.
4. – Humain, pour tous les collaborateurs de l’organisme.
5. – Documents, pour les documents papier, manuels d’utilisation.
6. – Immatériel, pour le savoir faire de l’organisme.

NB : Etablir une liste de tous les actifs de valeur en collaboration avec les utilisateurs et la
direction de l’entreprise

Étape 2 : Identifier les menaces : Une menace est tout ce qui peut exploiter une
vulnérabilité pour enfreindre la sécurité et porter préjudice à votre organisation .
(Catastrophes naturelles, Défaillance du système, nterférence humaine accidentelle, Humains
malveillants., etc)

Étape 3 : Identifier les vulnérabilités : Une vulnérabilité est une faiblesse qu’une menace
peut exploiter pour enfreindre la sécurité et nuire à votre entreprise.
A titre d’exemple, un ordinateur portable est vulnérable au vol mais sa vulnérabilité n’est pas
le vol mais sa portabilité. Dans ce cas l’identification de la vulnérabilité est la portabilité.
12-Septembre 2021
Étape 4 : Analyser les contrôles :Pour minimiser ou supprimer la possibilité qu’une menace
exploite une vulnérabilité du système. Des contrôles peuvent être mis en œuvre par des
moyens techniques, des mécanismes de détection d’intrusion, audit, etc

Étape 5 : Déterminer la probabilité d’un incident :Evaluer la probabilité qu’une vulnérabilité

soit effectivement exploitée, en tenant compte du type de vulnérabilité, des capacités et de la
motivation de la source de menace, ainsi que de l’existence et de l’efficacité de vos contrôles .
On utilise généralement les catégories élevée, moyenne ou limité et faible
Si l’ordinateur portable possède une clef d’authentification, un cryptage de ses données via
accès VPN pour travailler, alors la probabilité d’observer un impact sur la confidentialité, la
disponibilité ou l’intégrité de ses données est limitée.

Étape 6 : Evaluer l’impact potentiel d’une menace : Une attaque ou un événement

malencontreux peuvent compromettre la confidentialité, l’intégrité et la disponibilité du
système d’information. Comme pour la probabilité d’une attaque ou d’un événement
malencontreux, l’impact sur le système peut être évalué de manière qualitative comme élevé,
moyen ou faible.

Étape 7 : Classer par ordre de priorité les risques de sécurité informatique

13-Septembre 2021
C) Traitement des risques
L’ISO 27001 a identifié quatre traitements possibles du risque, l’acceptation, l’évitement, le
transfert et la réduction.
– « Accepter » le risque revient à ne déployer aucune mesure de sécurité autre que celles
déjà en place. Cette décision peut être justifiée si le vol de données dans un cas précis n’a
pas d’impact sur l’organisme.
– « Eviter » le risque consiste à supprimer par exemple l’activité ou le matériel offrant un
risque.
– « Transférer » un risque par souscription d’une assurance ou par sous-traitance.
Ces moyens de transfert du risque sont souvent employés quand l’entreprise ne peut ou ne
souhaite pas mettre en place les mesures de sécurité qui permettraient de le réduire.
– « Réduire » le risque consiste à prendre des mesures techniques et organisationnelles pour
ramener à un niveau acceptable le risque. C’est le traitement le plus courant.
Il existe d’autres traitements du risque possibles mais pour être en conformité avec la norme,
il faut en priorité considérer ceux que nous venons de citer.
Après avoir sélectionné le traitement et mis en place les mesures de sécurité, un risque peut
persister. Il convient de traiter ce risque comme les autres c’est-à-dire, l’accepter, l’éviter, le
transférer ou le réduire.

Une fois choisie la politique et le périmètre du SMSI, appréciés et traités les risques, et
sélectionnées les mesures de sécurité, il faut mettre en œuvre les objectifs fixés de la
phase « Plan » du PDCA. Il s’agit de la phase « Do » du PDCA.

Phase 2 : Do
Globalement, l'objectif de cette étape est la mise en place de mesures évoquées dans la
phase précédente. Il s’agit de déployer la sécurité de manière opérationnelle.

Bref, elle reprend les grandes lignes du plan d’action sécurité de la PSSI
la place du RSSI ici, est orientée vers du conseil. Son rôle est aussi de se placer en
assistance à maîtrise d’œuvre, pour accompagner le changement au sein des équipes
projet.

14-Septembre 2021
Phase 3 : Check

Elle vise à mettre en œuvre les moyens nécessaires pour mesurer la conformité des
exigences de sécurité avec le cahier des charges de référence(PSSI).

Le rôle du RSSI ici est de vérifier la bonne application des exigences afin que la cible
définie soit atteinte le plus efficacement et le plus rapidement possible.

A ce niveau, le RSSI peut réaliser (ou proposer de réaliser) :

 Des audits internes planifiés à l’avance ou des contrôles inopinés. Leur objectif est de
déterminer, grâce aux indicateurs précédents, l’écart entre la norme et le SMSI mis en
place.
 Animer des réunions pour entériner les changements.
 Des campagnes de tests d’intrusion

Phase 4 : Act

Cette dernière phase vise à mettre en place les actions correctrices, préventives ou
d’amélioration pour réduire les dysfonctionnements relevés dans la phase précédente. Il faut
garder en tête que cette démarche en 4 phases vise une amélioration continue du SMSI, pour
tendre vers une conformité maximale aux textes de référence.

Bref, L'objectif est d’améliorer la maturité de sécurité du SI de manière continue et

permanente.

D’une manière succincte,

un SMSI est un ensemble d’outils (comme le tableau de bord), de documents (comme la PSSI)
et de méthodes (comme la démarche PDCA) qui vise à fixer et à appliquer une politique de
sécurité de l’information adaptée au besoin d’une entreprise , il permet à l’entreprise de fixer
les objectifs, de les atteindre et, finalement, d’évaluer leur effet dans un objectif
d’amélioration constante , pour le mettre en œuvre, la norme ISO 27001 préconise une
approche qualité basée sur une démarche (Plan - Do - Check - Act) d’amélioration continue.

NB : Il faut envisager ce principe comme un référentiel d’objectifs, une proposition de

méthodologie, qui doivent toutefois être enrichis du bon sens et de l’expertise des
professionnels de la SSI que vous êtes en train de devenir. Seule cette combinaison assure la
pertinence des choix d’implémentation.

15-Septembre 2021
Pourquoi externaliser la fonction de Responsable SMSI ?
Plusieurs raisons peuvent vous amener à externaliser cette fonction :

 Une entreprise n’a pas nécessairement le temps ou les compétences en interne pour le suivi
du SMSI.
 Un plein temps pour cette fonction est peut-être disproportionné
 Et inversement votre RSSI doit rester concentrer sur ses missions opérationnelles
 Une externalisation de la fonction amène de la flexibilité

Chapitre III. Règlement général de la protection des données :

RGPD/GDPR (General Data Protection Regulation)

Pour les entreprises, c’est un défi législatif qui impose de prendre en compte les données
personnelles identifiables des clients au travers des processus internes.
Bref, c’est le nouveau cadre européen concernant le traitement et la circulation des données
à caractère personnel,

À titre d’exemple, la CIA se base sur les trois facteurs «confidentialité», «intégrité» et
«disponibilité» des données personnelles pour créer et appliquer des politiques d’utilisation
acceptables qui définissent quelles sont les données les plus sensibles ainsi que les
employés à y accéder et à les utiliser dans le cadre de leur activité professionnelle.

1-Une donnée à caractère personnel, c'est quoi ?

C'est toute information relative à une personne physique susceptible d'être identifiée,
directement ou indirectement. Toute information qui identifie ou permet d’identifier une
personne physique
Il peut s’agir du nom, prénom, date de naissance, numéro de carte d’identité, heures
d'arrivée et de départ de son lieu professionnel, adresse IP, photo, empreinte digitale
au numéro de carte bancaire, etc.

Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un
numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un
identifiant de connexion informatique, un enregistrement vocal, etc.

NB : pour que ces données ne soient plus considérées comme personnelles, elles
doivent être rendues anonymes de manière à rendre impossible toute identification de
la personne concernée : noms masqués, visages floutés, etc.

16-Septembre 2021
2-L’objectif du RGPD
Il a pour objectif de renforcer les droits des personnes, de responsabiliser les acteurs
qui traitent les données et de crédibiliser la régulation, d’améliorer la relation B2B des
entreprises en passant par l’amélioration de ses relations B2C grâce à l’instauration
d’un climat de confiance avec l’utilisateur.

Aussi appelé GDRP (General Data Protection Regulation), le règlement général sur la
protection des données est le nouveau cadre européen concernant le traitement des
données à caractère personnel.
En France, c’est la CNIL (Commission Nationale de l’Informatique) qui a pour objectif
d’aider et d’assurer la mise aux normes des entreprises (PME, entreprise de moyenne
taille, grande entreprise…) quant au RGPD.

Dans un monde numérique où le contrôle des données personnelles devient de plus en

plus en complexe, le règlement européen a pour objectif d’apporter de l’ordre et
d’harmoniser le panorama juridique qui pouvait exister auparavant.

Il est approuvé par 29 pays européens signataires. Aussi, toutes les organisations qui
Détiennent, stockent ou traitent des données personnelles de citoyens européens doivent
Obligatoirement s’y conformer depuis le 25 mai 2018.
L’Europe a ainsi élaboré un instrument unique qui structure et impose des règles. Par ailleurs,
l’annonce de sanctions adresse un signal fort notamment aux GAFAM
: « Vous pouvez utiliser des données personnelles mais exclusivement selon nos règles ! »

La loi distingue certaines données personnelles comme des données « sensibles ».

Celles-ci font l’objet de dispositions particulières. Dans cette catégorie, se trouvent des
données comme, par exemple, les données génétiques, les données médicales, les
sanctions administratives, les opinions politiques et religieuses, l’orientation sexuelle, etc.

3-Un traitement de données à caractère personnel,

c'est quoi ?
C'est toute opération portant sur des données personnelles, quel que soit le procédé utilisé.
Par exemple, enregistrer, organiser, conserver, modifier, rapprocher avec d'autres données,
transmettre, etc. des données personnelles.

17-Septembre 2021
Des fichiers mais pas seulement :
 Un traitement n'est donc pas uniquement un fichier, une base de données ou un tableau
Excel. Il peut s'agir aussi d'une installation de vidéosurveillance, d'un système de paiement
par carte bancaire ou de reconnaissance biométrique, d'une application pour smartphone,
etc. ;
 Des traitements apparaissent et évoluent selon les innovations technologiques.

Informatisés mais pas uniquement :

 Un traitement de données à caractère personnel peut être informatisé ou non ;
 Un fichier papier organisé selon un plan de classement, des formulaires papiers nominatifs
ou des dossiers de candidatures classés par ordre alphabétique ou chronologique sont aussi
des traitements de données personnelles.

NB : le responsable de traitement est celui « qui détermine les finalités et les moyens
d’un traitement »

Les données à caractère personnel (DCP) doivent être distinguées des autres
informations présentes dans les systèmes d’information.

Elles peuvent représenter une valeur pour l’organisme qui les traite, mais leur
traitement engendre également de facto une importante responsabilité du fait des
risques qu’il fait encourir sur la vie privée des personnes concernées

4-Les données sensibles, c'est quoi ?

Ce sont les informations qui révèlent la prétendue origine raciale ou ethnique, les opinions
politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale.

Ce sont également les données génétiques, les données biométriques aux fins d'identifier une
personne physique de manière unique, les données concernant la santé, la vie sexuelle ou
l'orientation sexuelle d'une personne physique.

5.Qui est concerné?

Toute organisation effectuant un traitement de données personnelles et répondant à l’une
des deux situations suivantes est concernée:

∙être établie sur le territoire de l’Union européenne

∙être une activité ciblant directement des résidents européens.

Donc, l’ensemble des organisations établies sur le territoire de l’Union européenne et qui
stockent des données personnelles sont donc concernées, le stockage de données étant
assimilée à une forme de traitement. Peu importe que la collecte de données soit ou non
pour l’activité principale ou qu’elle soit effectuée pour le compte d’un tiers. De même, le
RGPD s’applique indépendamment quelle que soit la taille de l’organisation, qu’il s’agisse
d’organisations privées ou publiques et quel que soit le chiffre d’affaires annuel.
18-Septembre 2021
6.Qui sont les acteurs responsables?
Il est naturel de s’interroger afin de savoir qui est responsable dans le traitement de données
personnelles.

Concernant la sous-traitance, toujours selon l’article 4 du RGPD, un sous-traitant est défini

ainsi:

Ainsi, sont considérés comme sous-traitant, par exemple, les prestataires de services
informatiques, les intégrateurs de logiciels, les sociétés de sécurité informatique...
En cas de non-respect du RGPD, les sanctions financières peuvent être conséquentes. Les
contrevenants risquent des amendes pouvant atteindre jusqu’à 20 millions d’euros ou encore
quatre pour cent du chiffre d’affaires global de l’entreprise

7-Finalité d’un traitement : doit être déterminée,

légitime et explicite
La finalité du traitement est l’objectif principal de l’utilisation de données personnelles.

Les données sont collectées pour un but bien déterminé et légitime et ne sont pas traitées
ultérieurement de façon incompatible avec cet objectif initial. Ce principe de finalité limite la
manière dont le responsable de traitement peut utiliser ou réutiliser ces données dans le futur.

Exemples de finalité : gestion des recrutements, gestion des paies, gestion des clients, enquête de
satisfaction, surveillance des locaux, etc.

8-Obligation générale de sécurité et de

confidentialité
Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux
et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés ou que
des tiers non autorisés y aient accès.
19-Septembre 2021
L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui détiennent
une autorisation spéciale et ponctuelle (service des impôts par exemple.).

Le responsable des données doit fixer une durée raisonnable de conservation des informations
personnelles.

9-Quelles mesures de sécurité appliquer avec le

RGPD ?
Le RGPD impose une obligation générale de sécurité des données à caractère personnel.

20-Septembre 2021
10-Les mesures de sécurité
Quelques exemples de mesures de sécurité sont suggérés par le RGPD mais non imposées :

▶ Le chiffrement des données : seul l’émetteur et le destinataire peuvent accéder au contenu. Une
fois chiffré, il faut avoir la clé spécifique, sinon le message est inaccessible et illisible.

▶ La pseudonymisation : remplacer un identifiant, ou plus généralement des données personnelles,

par un pseudonyme. Il reste possible de ré-identifier la personne en combinant le pseudonyme avec
d’autres informations (différent donc de l’anonymisation).

L’organisme a ainsi l’obligation de prendre des mesures. On distingue 3 types de mesures :

▶ Mesures physiques ou mesures “matérielles” : verrouillage des portes, etc. ;

▶ Mesures logiques ou mesures “logicielles” : antivirus, mot de passe ;

▶ Mesures organisationnelles : procédure, gouvernance de la sécurité.

Les mesures physiques

Il s’agit de favoriser l’accès aux locaux, tout en garantissant la sécurité des données.

Exemples de mesures :

 Installer des alarmes anti-intrusion, avec vérification

 Distinguer les zones des bâtiments selon les risques, par exemple les salles hébergeant les
serveurs,
 Protéger physiquement les matériels informatiques,
 Installer des serrures dans chaque bureau,
 etc.

Les mesures logiques

▶ Adopter une politique rigoureuse de mot de passe pour l’accès aux postes de travail.

Exemples :
Identifiant unique par utilisateur et interdiction des comptes partagés.
Exiger des mots de passe robustes
Bloquer temporairement l’accès au compte après plusieurs échecs lors de l’authentification.

▶ Sécuriser les postes de travail.

Exemples :
Verrouillage automatique des postes de travail suite à une courte période d’inactivité.
Contrôle de l’usage des ports USB sur les postes sensibles.

▶ Tracer les accès à la base active et aux différentes archives

Exemples :
Responsabiliser les acteurs en créant une procédure de traçabilité des actions sur les fichiers.
Contrôle régulier des traces via de la détection automatisée d’actions suspectes.
21-Septembre 2021
▶ Protéger le réseau informatique interne et les serveurs d’attaques extérieurs.

Exemples :
Pare-feu et antivirus mis à jour régulièrement
Canaux sécurisés et systèmes d’authentification pour les connexions à distance
Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées.

▶ Anticiper le risque de perte ou de divulgation des données.

Exemples :
Effectuer des sauvegardes régulières et les stocker sur un site distinct
Protéger les équipements de journalisation et les informations journalisées
Chiffrer systématiquement les données stockées sur des supports nomades (clefs USB,
smartphones, ordinateurs etc.)

Les mesures organisationnelles

Elles sont complémentaires aux mesures physiques ou logiques, et structurent et créent les
procédures pour l’application des mesures de sécurité choisies.

▶ Politique de contrôle d’accès des données.

Exemples :
Définir les procédures à suivre à chaque mouvement de personnel (arrivée, départ, ou changement
d’affectation)
Réaliser des revues régulières des droits accordées aux utilisateurs
Prévoir les vérifications à effectuer en cas de demande d’un tiers de transmission des données (ex :
services de police, etc).

▶ Sensibiliser les utilisateurs sur les conditions d’utilisation des données.

Exemples :
Diffuser et faire signer à chaque utilisateur une charte informatique, qui rappellent conditions
d’utilisations des équipements informatiques et des données personnelles.
Sensibiliser régulièrement les utilisateurs sur les règles internes et pénales, et sur les menaces
existantes (faille, cyber-manipulation, etc).
Documenter les procédures d’exploitation des données, les mettre à jour et à disposition des
utilisateurs.

▶ Définir une politique de gestion des incidents touchant des données personnelles.

Exemples :
Etablir une procédure en cas de vol/perte de données personnelles (personnes à prévenir, dépôt de
plainte, etc).
Prévoir le ou les référents à saisir en cas d’atteinte à l’intégrité, la confidentialité, et la disponibilité
des données.

▶ Prévoir des audits réguliers des procédures et des traitements.

Exemples :
Identifier les traitements pertinents pour un audit interne ou externe régulier,
Etablir un suivi de la mise en oeuvre des mesures préconisés suite aux audits,

22-Septembre 2021
Prévoir les critères de revue des analyses de risques (délais, avancée technologique, failles rendue
publique, etc.).

11-L'analyse d’impact relative à la protection des données

(AIPD)ou PIA (Privacy Impact Assessment

L’AIPD est un outil qui permet de construire un traitement conforme au RGPD et respectueux
de la vie privée. Elle concerne les traitements de données personnelles qui sont susceptibles
d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

Qu’est-ce qu’un risque sur la vie privée ?

Un « risque sur la vie privée » est un scénario décrivant :
 un événement redouté (atteinte à la confidentialité, la disponibilité ou l’intégrité des
données, et ses impacts potentiels sur les droits et libertés des personnes) ;
 toutes les menaces qui permettraient qu’il survienne.

Il est estimé en termes de gravité et de vraisemblance. La gravité doit être

évaluée pour les personnes concernées, et non pour l’organisme.
La gravité représente l’ampleur d’un risque. Elle dépend essentiellement du caractère identifiant
des DCP et du caractère préjudiciable des impacts potentiels.

La vraisemblance traduit la faisabilité d’un risque

Par exemple, un salarié soudoyé par un concurrent pourrait lui envoyer le

fichier des adresses email des clients par courrier électronique. Si cela se
produisait, les clients pourraient ensuite être sollicités et avoir un sentiment
d'atteinte à la vie privée, des ennuis personnels ou professionnels, etc. Du point
de vue « informatique et libertés », ce risque pourrait être estimé comme peu
grave (conséquences peu importantes) et très vraisemblable (dans notre
contexte) par l’entreprise.

23-Septembre 2021
Situations concernées par l’analyse d’impact RGPD
L’analyse d’impact RGPD est obligatoire en cas de risque d’atteinte à la confidentialité, ainsi
qu’à la disponibilité et l’intégrité des données traitées. Les situations concernées sont
énumérées par la CNIL (ainsi que le G29) et comprennent :

 les opérations de traitement des données de santé par les établissements médicaux
 les opérations de traitement concernant les données sensibles (génétiques, de
géolocalisation, hautement personnelles)
 les opérations de traitement des données de personnes vulnérables (enfants,
personnes âgées)
 les opérations de traitement des données concernant le profilage (gestion, ressources
humaines)
 les opérations de traitement des données concernant la surveillance active et continue
d’employés
 les opérations de traitement de données dans le cadre d’un usage innovant (nouvelle
technologie)
 la collecte de données à large échelle et leur croisement

12-RGPD et sous-traitance
Le responsable du traitement est “la personne physique ou morale, une autorité publique, une
agence ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les
finalités et les moyens du traitement des données à caractère personnel”.

Le sous-traitant est la personne physique ou morale qui traitera ces données à la demande et
pour le compte du responsable du traitement.

par exemple, vous disposez d’une base de données de prospects que vous souhaitez
contacter via des campagnes de marketing ciblées. Vous faites pour cela appel à un
prestataire de webmarketing.

La société de webmarketing traitera les données que vous lui aurez transmis, elle aura donc
le statut de sous-traitant. Vous aurez, de votre côté, le statut de responsable du traitement.

Selon la définition du RGPD, un sous-traitant va s’occuper du traitement de données à

caractère personnel en suivant les ordres d’un client, considéré comme responsable de ce
traitement.
De ce fait, le RGDP impose au sous-traitant de respecter certaines obligations envers ce
responsable.

Tout d’abord, il est tenu de présenter à son client des contrats et mentions obligatoires en vue
de garantir la transparence et la traçabilité du déroulement du traitement de l’information.

24-Septembre 2021
Le sous-traitant doit présenter des garanties pour veiller à ce que le traitement des données
respecte le RGPD, comme, par exemple, le fait de collecter uniquement les données utiles à
l’objet du traitement.

13-Comment se conformer au RGPD quand on est

un hébergeur web ?

Que ce soit pour un simple besoin d’hébergement des données ou pour une transmission de
données à un sous-traitant, la vie des affaires impose bien souvent de transférer des données
personnelles à une entreprise établie dans un pays tiers, c’est-à-dire dans un pays
n’appartenant pas à l’Union européenne

Avec le RGPD, Les entreprises doivent s'interroger sur les processus de

stockage et de traitement des données par les fournisseurs d'infrastructures
de Cloud computing, en particulier la question de la localisation des
données et de leur transfert.

Conformément à l'article 46 du règlement général sur la protection des données (RGPD),

le transfert des données à caractère personnel de l'UE vers un pays tiers ne peut avoir
lieu que si ce dernier assure un niveau de protection adéquat, une certaine transparence sans
nuage.

Autrement dit, les entreprises doivent choisir des prestataires cloud garantissant
la mise en place de mesures de sécurité et de confidentialité appropriées, et qui
soient transparents vis-à-vis de leurs clients sur les moyens employés pour
exécuter leurs prestations (transfert de données à l’étranger, recours à des
sous-traitants, politique et mesures de sécurité, etc.).

Qu’est-ce qu’un SIEM (Security Information and Event Management)

Définition du SIEM
Le SIEM (Security Information and Event Management) est une solution qui permet de surveiller,
détecter et d’alerter l’ingénieur sur des événements ou incidents de sécurité dans son
environnement IT. Il fournit une vue globale et centralisée en matière de posture de sécurité d’une
infrastructure IT. Il donne un aperçu des activités au sein de leur environnement IT.

Bref, SIEM = SIM + SEM

Le SIEM (Security Information and Event Management) est une approche du management de
la sécurité. Il combine les fonctions du SIM (Security Information Management) et le SEM
25-Septembre 2021
(Security Event Management) en un seul système de management de sécurité. Et l’acronyme
SIEM se prononce « sim » avec un e silencieux.

Les systèmes de gestion des événements et des informations de sécurité (SIEM) sont des
systèmes centralisés qui offrent une visibilité totale sur l’activité de votre réseau et vous
permettent ainsi de réagir aux menaces en temps réel. Ils collectent, lisent et catégorisent les
données machine d’une grande diversité de sources, puis analysent celles -ci pour produire
des renseignements qui vous permettront d'agir.

Comment fonctionne le SIEM ?

Le logiciel SIEM collecte et regroupe les données de log générées au niveau de l’ensemble de
l’infrastructure IT de l’entreprise. Des systèmes et applications Cloud aux dispositifs liés aux
réseaux et à la sécurité, tels que les pare-feu et les antivirus. Le logiciel identifie, catégorise et
analyse ensuite les incidents et événements. Les analyses du SIEM génèrent et envoient des alertes,
des tableaux de bord et des rapports en temps réel à plusieurs services critiques liés à l’activité et à
la gestion de l’entreprise

Ses sources de données sont nombreuses :

 Périphériques réseau : routeurs, commutateurs, bridges, points d'accès sans fil, modems,
amplificateurs de ligne, hubs
 Serveurs : web, proxy, messagerie, FTP
 Dispositifs de sécurité : IDP/IPS, pare-feux, logiciels antivirus, dispositifs de filtrage de
contenu, détection des intrusions
 Applications : tous les logiciels installés sur les dispositifs

Quel est le rôle du SIEM dans le SOC ?

Le rôle du SIEM est de fournir aux analystes du SOC (centre des opérations de sécurité)
des renseignements consolidés provenant de l'analyse des données d'événements trop divers
et volumineux pour une étude manuelle.

Quelques exemple : EventSentry, ManageEngine Firewall Analyzer, Security Event Manager,

FortiSIEM, IBM QRadar, Splunk, etc

26-Septembre 2021