Académique Documents
Professionnel Documents
Culture Documents
Introduction et historique
Voyages Extrêmes inc. (VE) a commencé ses opérations à Montréal en mars 2003. C'est Marc
Leroux et son épouse, Isabelle Garnier, qui fondent l'agence de voyages dès leur retour d'une
expédition dans le Sahara. Ces deux grands aventuriers veulent créer un nouveau type
d'agence de voyages. Dès ses débuts, VE se spécialise essentiellement dans le tourisme
d'aventure extrême. Ses forfaits les plus populaires sont la traversée du Sahara avec une
caravane de bédouins, une randonnée à dos d'éléphant dans le nord de la Thaïlande et
l'expédition en canot avec des amérindiens du Canada. VE loue un local dans un immeuble
de bureaux au centre-ville.
L'agence obtient un certain succès commercial et une grande visibilité dans plusieurs médias
locaux, mais aussi à l'international. Compte tenu de ce marché de niche, Marc et Isabelle
décident en 2005 de rapidement se lancer à l'assaut du marché international en misant sur la
création d'un réseau de revendeurs et sur la création d'une agence virtuelle en ligne.
L'agence connaît une croissance impressionnante en signant des accords de partenariat avec
plusieurs agences de voyage généralistes. En moins de 18 mois, VE compte sur un réseau
de 75 partenaires dans 20 pays. L'entreprise qui possédait un site Web promotionnel depuis
2003 lance son portail de voyages transactionnel en mai 2006. Le responsable du marketing
est particulièrement fier d'avoir maintenant plus de 76 000 membres inscrits sur le site Web,
ce qui constitue une base de clients qualifiée. Depuis l'année précédente, VE génère même
de nouveaux revenus en revendant des listes de clients.
La deuxième étape a été de transformer le site Web promotionnel en site Web transactionnel
afin d'héberger la nouvelle agence virtuelle. VE a automatisé et simplifié le maximum de ses
opérations grâce aux paiements électroniques et intégré en partie la gestion électronique de
documents (GED).
Avec les changements apportés, Internet occupe une place importante dans les opérations
commerciales de VE. Dans un premier temps, les clients potentiels consultent le site Web afin
d'obtenir des informations sur les différents produits et services offerts ainsi que des
informations générales sur l'entreprise.
Le client qui désire passer une commande ou consulter un guide de voyage personnalisé doit
avant tout s'inscrire. Pour ce faire, il remplit un formulaire à l'écran en indiquant obligatoirement
son nom, ses coordonnées, une adresse électronique et son numéro de carte de crédit ainsi
que la date d'expiration de celle-ci. Il doit également indiquer quelques renseignements
personnels tels que son âge, son sexe, ses centres d'intérêt et ses préférences de destination,
etc.
Le client doit ensuite choisir un nom d'utilisateur (identifiant) et un mot de passe contenant au
moins huit caractères qu'il doit saisir deux fois. Avant de valider son inscription, le système
consulte la base de données afin de s'assurer que le nom d'utilisateur (identifiant) n'est pas
déjà employé. Le système communique également avec les sociétés émettrices de cartes de
crédit pour valider le numéro donné par le client. Le tout ne prend que quelques minutes.
Le client consent par son formulaire d'inscription à recevoir le bulletin électronique de
VE ou toute autre information promotionnelle par email. Il autorise également VE à fournir cette
information à des partenaires commerciaux qui pourront s'en servir à des fins de promotion.
En tout temps, l'information sur les cartes de crédit reste confidentielle.
Dès que l'inscription du client est acceptée, les renseignements sont enregistrés dans la base
de données de VE. Le client peut, après coup, accéder au site en utilisant son nom d'utilisateur
(identifiant). Lorsque le client accède au site en employant son nom d'utilisateur (identifiant), il
peut personnaliser le site pour qu'il réponde mieux à ses besoins. Par exemple, il peut
demander que VE l'avertisse des nouveaux forfaits en
Asie dès leur arrivée sur le site. Le client a également la possibilité de modifier les informations
personnelles qu'il a entrées lors de l'inscription. Lorsque le client communique des
informations confidentielles à VE par le site Web (nom d'utilisateur (identifiant) et mot de
passe, informations personnelles, etc.), cela se fait en utilisant le protocole de transmission
sécuritaire SSL (Secure Socket Layer).
Pour chaque produit acheté, le client doit inscrire le nom et les coordonnées de la personne
(ou des personnes) pour qui l'achat est fait (nom et adresse du passager pour un billet d'avion,
par exemple). Cela est nécessaire puisque chaque billet d'avion, forfait, etc., doit porter le nom
d'un individu, qui peut être différent de celui qui passe la commande. Par défaut, le système
propose les nom et coordonnées du client inscrit.
À tout moment, le client peut revenir à l'écran précédent afin d'apporter des modifications.
Enfin, le client doit inscrire les renseignements relatifs à la carte de crédit. VE est reliée, par
Internet, aux sociétés émettrices de cartes de crédit et obtient un numéro d'autorisation. Une
confirmation du paiement portant le numéro de la commande du client apparaît à l'écran. Le
client est invité à imprimer ce document. Le processus est très rapide. Le système de VE est
programmé de façon à ce que l'argent soit transféré du compte commercial au compte de
banque courant et que le produit de la vente soit enregistré à la date du départ.
Veuillez lire les parties suivantes de l'étude de cas fournie pour ce cours :
Avantage 1
....................................................................................................................................................
....................................................................................................................................................
Avantage 2
....................................................................................................................................................
....................................................................................................................................................
Avantage 3
....................................................................................................................................................
..................................................................................................................................................
Fiers de la croissance de leur entreprise, les dirigeants de Voyage Extrême sont soudainement
préoccupés par les aspects de contrôle et de sécurité, d'autant plus qu'il y a eu quelques
incidents de sécurité dernièrement. Comme ils vous connaissent bien et qu'ils savent que vous
êtes des experts en sécurité de l'information, ils vous confient la mission de les accompagner
pour la mise en œuvre d'un système de gestion de la sécurité de l'information et de les préparer
à la certification ISO 27001.
La première étape de votre m1ss1on est d'établir le contexte de la gestion de la sécurité de
l'information dans l'organisme. Cela lui semble du jargon de spécialistes. Il veut que vous lui
proposiez une version qu'il approuvera par la suite. Pour y parvenir, en vous basant sur les
informations contenues dans l'étude de cas, veuillez déterminer quelles seraient
potentiellement les trois sources d'exigences de conformité pour l'organisme que vous
considérez les plus importantes. Également, veuillez identifier quelle serait les deux actifs
informationnels ainsi que les deux processus métiers que vous jugez les plus critiques pour
l'organisme.
À partir des informations fournies dans l'étude de cas sur le fonctionnement du processus de
gestion des modifications, veuillez évaluer le niveau de maturité de ce processus.
Également, la direction de l'organisme désire recevoir des recommandations de votre part
pour améliorer le processus en place afin de se conformer aux exigences de l'ISO 27001
relatives à la gestion des changements.
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
À partir des informations fournies dans l'étude de cas, veillez proposer un domaine
d'application pour le SMSI de l'organisme et en déterminer les frontières. La direction désire
choisir un domaine d'application qui sera perçu comme une valeur ajoutée pour ses clients et
en même temps le circonscrire le plus possible pour la certification initiale du SMSI.
Frontières organisationnelles :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Frontières physiques :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Exercice 5 :
#1
#2
#1
#2
#1
#2
Exercice 6 : Options de traitement du risque
Suite à l'analyse de risque, vous avez identifié que 0,5% des transactions électroniques (chiffre
d'affaires de 10 millions) effectués par cartes de crédit sur le site Web de l'entreprise sont de
nature frauduleuse et que 70% proviennent de transactions en provenance de 6 pays. La
direction de Voyage Extrême veut prendre une décision pour traitement de risque. Veuillez lui
préparer un sommaire exécutif expliquant les 4 choix d'options possible pour traiter ce risque
et les actions à entreprendre si l'option est sélectionnée.
Option 1 :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Option 2 :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Option 3 :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Option 4 :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Exercice 7 : Liste principale des documents
Les dirigeants de Voyage Extrême ont décidé d'inclure l'ensemble des mesures de sécurité
relatif à la gestion de la continuité (clause A.14) dans leur firme. Afin de préparer la mise en
œuvre, on vous demande de compléter la liste principale des documents pour ce domaine.
Proposer une liste des documents et enregistrements que vous devriez créer afin que Voyage
Extrême se conforme aux exigences des mesures de sécurité de la section A.14.
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Exercice 8 : Classification des mesures de sécurité
Pour chacune des 5 mesures de sécurité suivantes, indiquez si elle est préventive, corrective
et/ou détective. Indiquez également si cette mesure est administrative, technique, managériale
ou légale. Expliquez votre réponse.
Il s'agit d'une mesure de sécurité préventive qui doit aider à sécuriser l'organisme contre les
intrusions physiques. L'installation d'un grillage est une mesure technique qui implique une
installation matérielle.
Pour chacune des clauses suivantes de l'ISO 27001, veuillez définir un plan d'action contenant
au moins deux actions concrètes qui permettraient d'assurer la conformité à la clause
concernée et de satisfaire aux objectifs de sécurité.
• Utilisation de gaines de câblage réseau pour isoler et protéger celui-ci contre les
interceptions de paquets.
• Inventaire documenté du matériel de câblage autorisé pour éviter l'utilisation de matériel
non conforme.
Pour chacune des clauses d'ISO 27001 citée ci-dessous, veuillez fournir deux exemples de
mesures qui seraient acceptable pour mesurer la conformité à la clause concernée.
Voyage Extrême a été audité et plusieurs non-conformités ont été identifiées par l'auditeur.
Veuillez proposer une action corrective pour chacune de ces non-conformités et justifiez.
1.Une non-conformité indique que les seuls enregistrements conservés pour le contrôle des
accès des utilisateurs sont ceux relatifs à l'Active Directory. Les autres enregistrements ne
sont pas conservés.
Cause intrinsèque :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Action corrective :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Justification :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Cause intrinsèque :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Action corrective :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Justification :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
3.Une non-conformité indique que l'entreprise n'a pas traité un incident dans le délai indiqué
dans la politique de gestion des incidents. En effet, la politique de gestion des incidents
mentionne explicitement que le délai de fermeture d'un incident ne pet excéder cinq jours et
que 100% des incidents doivent être clôturés dans les quinze jours qui suivent leur première
notification. Pour cet incident, un client qui a acheté un pack voyage a signalé avoir été victime
d'une fraude à la carte de crédit et désirait un remboursement intégral. La personne en charge
de la gestion de cet incident est tombée malade le lendemain et est revenue au travail
seulement après 12 jours. Il y avait tant de retard à rattraper dans sa gestion et la complexité
de cet incident de fraude à la carte de crédit était si complexe qu'il fallut cinq jours à l'employé
pour traiter le cas, investiguer et clôturer l'incident. Personne d'autre dans l'entreprise ne
s'occupa des incidents durant l'absence de l'employé.
Cause intrinsèque :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Action corrective :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Justification :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
4.Une non-conformité indique que durant l'audit, le site web de l'entreprise est devenu
inaccessible et que le tiers responsable de la maintenance du site web n'a pas réglé le
problème avant un délai de 72 heures. Personne dans l'organisation ne semblait savoir quoi
faire. Le Directeur Général estime que Voyage Extrême a perdu au moins $35,000 de
revenus au cours de cette indisponibilité, un montant considéré comme inacceptable pour
l'entreprise.
Cause intrinsèque :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Action corrective :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Justification :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
5. Une non-conformité indique que l'auditeur a demandé à un technicien IT de réaliser un scan
du système de fichiers partagés et que plus de 2.000 fichiers musicaux y ont été détectés.
L'organisation n'interdit en effet pas formellement la copie des fichiers musicaux sur son
réseau. L'auditeur a remarqué que plusieurs fichiers musicaux étaient déposés dans des
répertoires partagés et que certains employés avaient écouté ou copié plusieurs chansons
d'autres employés. L'auditeur a également trouvé trace de téléchargement de chansons
depuis des sites web de partage musical. En interrogeant des employés sur cette question,
certains d'entre eux ont expliqué qu'ils avaient copié des chansons depuis leur CD personnels
et qu'ils pouvaient donc ainsi écouter de la musique tout en travaillant. D'autres ont admis
qu'ils avaient téléchargé des chansons depuis divers sites Web de partage musical mais qu'il
s'agissait de chansons qu'ils possèdent sur CD et qu'ils avaient donc achetées légalement. -
"Nous sommes conscients de la politique de la société en matière de droits de propriété
intellectuelle et n'écouterions en aucun cas de la musique obtenue illégalement". Ils
indiquèrent avoir procédé de la sorte parce qu'ils souhaitaient écouter certaines de leurs
chansons favorites qu'ils possédaient par ailleurs à la maison mais qu'ils ne voulaient pas
apporter leurs CD au bureau et les copier sur leur ordinateur.
Cause intrinsèque :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Action corrective :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Justification :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………