Cours Securite Système D'Information

COURS SECURITE Youssoupha LAM
Ingénieur en
SYSTÈME Système
d’Information et
D’INFORMATION Conduite de
Projets
Informatiques
L’objectif principal de cette formation est de s’assurer que, dès

la fin de la formation, que les participants ont acquis des
connaissances et l’expertise nécessaires pour mettre en œuvre
l’ensemble des actions et des solutions permettant d'assurer la
sécurité du système d’information d’une organisation.
COURS SECURITE SYSTEME D’INFORMATION
Table des matières

Objectifs et structure de la formation..................................................................................................... 3
Objectif général ................................................................................................................................... 3
Objectifs apprentissages ..................................................................................................................... 3
Approche éducative ............................................................................................................................ 4
Section 1 : Les fondamentaux de la sécurité du système d’information ................................................ 6
Information et actif ............................................................................................................................. 7
Système d’information et la sécurité de l’information ....................................................................... 7
La définition du risque SSI et ses propriétés spécifiques .................................................................... 9
1. La vulnérabilité ........................................................................................................................ 9
2. Les menaces .......................................................................................................................... 10
3. La relation entre vulnérabilité et menace ............................................................................. 11
4. Les impacts ............................................................................................................................ 11
5. Les risques ............................................................................................................................. 12
Section 2 : Les objectif et les mesures de sécurité ................................................................................ 14
2.1. Objectif d’une mesure de sécurité ............................................................................................. 14
2.2. Mesure .................................................................................................................................. 14
2.3. Les natures de mesures de sécurités .................................................................................... 14
2.4. Classement de mesures......................................................................................................... 15
Section 3 : Les cadres normatifs et réglementaires .............................................................................. 16
3.1. La famille ISO 27000 ................................................................................................................... 16
3.2. Les normes métiers, les réglementions et les organismes de normalisation ....................... 17
Section 4 : Gestion des risques.............................................................................................................. 19
4.1. Appréciation du risque .......................................................................................................... 19
4.2. Analyse de risque .................................................................................................................. 19
4.3. Processus de traitement de risque ........................................................................................ 20
Section 5 : La politique de sécurité et sensibilisation ........................................................................... 22
5.1. Objectifs de la politique de sécurité ........................................................................................... 22
5.2. Les types de politiques .......................................................................................................... 22
5.3. Modèle de politique de sécurité ........................................................................................... 24
5.4. Processus de rédaction d’une politique ................................................................................ 25
5.5. Publier et diffuser les politiques ............................................................................................ 27
5.6. Formation, communication et sensibilisation ....................................................................... 28
5.7. Contrôle, évaluation et révision ............................................................................................ 29
Section 6 : L’audit de la sécurité des systèmes d’information .............................................................. 30
6.1. Définition .................................................................................................................................... 30
Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

6.2. Types d’audits............................................................................................................................. 31

6 .3. Différence entre audits internes et externes ............................................................................ 32
6.4. L’objectif de l’audit interne ........................................................................................................ 32
Section 7 : Plan de secours du système d’information ......................................................................... 33
7.1. Définition .................................................................................................................................... 33
7 .2. Elaboration d’un plan de secours pour PME ............................................................................. 34
7.2.1. Prérequis ............................................................................................................................. 34
7.2.2. Analyse de risque et de l’impact ......................................................................................... 35
7.2.3. Mise en place d’un plan de secours .................................................................................... 35
7.2.4. Maintenance du plan de secours ........................................................................................ 37
Section 8 : Les recommandations : guide de bonnes pratiques de l’informatique............................... 38
Pourquoi sécuriser son informatique ? ............................................................................................. 38
8.1. Choisir avec soin ses mots de passe ........................................................................................... 39
8.2. Mettre à jour régulièrement vos logiciels .................................................................................. 40
8.3. Bien connaitre ses utilisateurs et ses prestataires ..................................................................... 41
8.4 Effectuer des sauvegardes régulières.......................................................................................... 42
8.5 Sécuriser l’accès WI-FI de votre entreprise ................................................................................. 43
8.6 Être aussi prudent avec son ordiphone (smartphone) ou sa tablette ........................................ 44
8.7 Protéger ses données lors de ses déplacements ........................................................................ 45
8.8 Être prudent lors de l’utilisation de sa messagerie ..................................................................... 46
8.9 Télécharger ses programmes sur les sites officiels des éditeurs ................................................ 47
8.10 Être vigilent lors d’un paiement sur internet ............................................................................ 48
8.11 Séparer les usages personnels des usages professionnels........................................................ 49
8.12 Prendre soins de ses informations personnelles, professionnelles et de son identité
numérique ......................................................................................................................................... 50
Section 9 : Mise en place des solutions techniques (Travaux Pratiques) .............................................. 52

Objectifs et structure de la formation
Objectif général
L’objectif principal de cette formation est de s’assurer que, dès la fin de la
formation, que les participants ont acquis des connaissances et l’expertise
nécessaires pour mettre en œuvre l’ensemble des actions et des solutions
permettant d'assurer la sécurité du système d’information d’une organisation.
Objectifs apprentissages
▪ Maitriser les concepts, les approches, les méthodes et les techniques
nécessaire pour assurer la sécurité des systèmes d’information.
▪ Comprendre la corrélation entre ISO 27000, 27001, 27002, 27003, 27004
et 27005 ainsi que d’autres normes et cadre réglementaires.
▪ Comprendre les processus d’analyse et de traitement de risques.
▪ Être en mesure de mener des audits et de sensibiliser les utilisateurs.
▪ Maitriser les couts alloués à la sécurité des systèmes d’information.
▪ Maitre en place des solutions optimales pour assurer la sécurité des SI.
▪ Formuler des recommandations pour accompagner un organisme à
mettre en œuvre, gérer, surveiller et maintenir la sécurité des SI.

Approche éducative

CONTENU DU COURS
CONTENU DU COURS

Section 1 : Les fondamentaux de la sécurité du système d’information
La présente section fournit des informations qui aideront les étudiants à

acquérir des connaissances sur les principes et les concepts fondamentaux de
la sécurité des systèmes d’information tels que la confidentialité, l’intégrité, la
disponibilité, la traçabilité, la vulnérabilité, la menace, l’impact, le risque et les
mesures de sécurité des systèmes d’information.

Information et actif
Information : données porteuses de sens.
Actif : item, chose ou entité qui a une valeur potentielle ou réelle pour un
organisme.
Il existe plusieurs types d’actifs, par exemple :
• Information
• Logiciel, comme un programme d’ordinateur
• Actifs physiques, comme un ordinateur
• Personnes et leurs qualifications et compétences
• Services
• Actifs intangibles, comme la réputation et l’image.
Identification des actifs : il existe deux types d’actif :
▪ Actifs primordiaux : désignent ceux qui contribuent aux processus
d’analyse des risques tels que les processus (métier et support) et les
informations.
▪ Actifs en support : comprennent la matériel informatique, les logiciels, le
réseau informatique, le personnel, le site et la structure
organisationnelle.
Système d’information et la sécurité de l’information

Système d’information (SI) : Selon la norme ISO 27000 un SI est définit comme
l’ensemble d'applications, services, actifs informationnels ou autres
composants permettant de gérer l'information.
Sécurité informatique : La sécurité informatique c’est l’ensemble des moyens
mis en œuvre pour réduire la vulnérabilité d’un système contre les menaces
accidentelles ou intentionnelles. L’objectif de la sécurité informatique est
d’assurer que les ressources matérielles et/ou logicielles d’un parc
informatique sont uniquement utilisées dans le cadre prévu et par des
personnes autorisées.
Il convient d'identifier les exigences fondamentales en sécurité informatique,
qui caractérisent ce à quoi s'attendent les utilisateurs de systèmes
informatiques au regard de la sécurité :

▪ La confidentialité : propriété selon laquelle l'information n'est pas

diffusée ni divulguée à des personnes, des entités ou des processus non
autorisés.
▪ L’intégrité : propriété d'exactitude et de complétude.
▪ La disponibilité : propriété d'être accessible et utilisable à la demande
par une entité autorisée.
Note : Entre autres, d’autres propriétés, telles que l’authenticité, la non-
répudiation, l’imputabilité, la traçabilité, et la fiabilité peuvent également être
concernées.
▪ L’authenticité : propriété selon laquelle une entité est ce qu'elle
revendique être.
▪ La non-répudiation : capacité à prouver l'occurrence d'un événement ou
d'une action donnée(e) et des entités qui en sont à l'origine.
▪ L’imputabilité : propriété qui garantit que les actions d'une entité sont
tracées et attribuées à cette seule entité.
▪ La traçabilité : propriété qui garantit que les accès et tentatives d'accès
aux éléments considérés sont tracés et que ces traces sont conservées et
exploitables.
▪ La fiabilité : est la propriété de se comporter et de fournir des résultats
conformes aux attentes.
Bref, on mesure la sécurité d'un système entier à la sécurité du maillon le
plus faible. Ainsi, si tout un système est sécurisé techniquement mais que le
facteur humain, souvent mis en cause, est défaillant, c'est toute la sécurité
du système qui est remise en cause.

La définition du risque SSI et ses propriétés spécifiques
1. La vulnérabilité
1.1. Définition
Une vulnérabilité est définie comme une faille dans un actif ou dans une
mesure de sécurité qui peut être exploitée par une ou plusieurs menaces.
Les vulnérabilités qui n’ont pas de menace correspondante peuvent ne pas
nécessiter de mesure, mais doivent être reconnues et surveillées pour détecter
des changements.
Les mesures qui ne sont pas mises en œuvre correctement ou qui fonctionnent
mal pourraient devenir des vulnérabilités.
1.2. Les types de vulnérabilité
Ce tableau ci-dessous décrit les types de vulnérabilité associé à des exemples
Les type de vulnérabilités Les exemples de vulnérabilités
Maintenance insuffisante/mauvaise installation des
Matériel informatique supports de stockage
Absence de programmes de remplacement périodique
Tests de logiciel absent ou insuffisants
Logiciels Interface utilisateur compliquée
Voies de communications non protégées
Réseau Point de défaillance unique
Formation insuffisante à la sécurité
Personnel
Travail non surveillé d’une équipe extérieur ou d’une
équipe d’entretient
Réseau électrique instable
Site
Emplacement situé dans une zone sujette aux inondations
Absence de bonne attribution des responsabilités en

Organisme sécurité de l’information
Absence de responsabilités en sécurité de l’information
dans les descriptions de postes

2. Les menaces
2.1. Définition
Une menace est définie comme une cause potentielle d'un incident
indésirable, qui peut nuire à un système ou à un organisme.
Une menace est susceptible d’endommager les actifs tels que des
informations, des processus, et des systèmes, et par conséquent, des
organismes.
Les menaces peuvent être d’origine naturelle ou humaine et peuvent être
accidentelle ou délibérée.
2.2. Les types de menaces
Types Menaces
Incendie
Dommage physique Dégâts des aux
Phénomène volcanique
Catastrophe naturelle Inondations
Panne du système de climatisation ou d’alimentation en
Pertes de services essentiels eau
Perte de la source d’alimentation en électricité
Rayonnements électromagnétiques
Perturbation due à des rayonnements
Rayonnements thermiques
Piégeage de matériel
Compromission d’informations
Vol de supports ou documents
Panne de matériel
Défaillances techniques Dysfonctionnement du logiciel
Utilisation non autorisée du matériel
Actions non autorisées
Corruption de données
Erreur d’utilisation
Compromission des fonctions Abus de droit

3. La relation entre vulnérabilité et menace

La mise en œuvre incorrecte, la mauvaise utilisation ou la défaillance d’une
mesure pourrait, en soi, représenter une menace. D’un autre côté, une menace
qui n’est pas en lien avec une vulnérabilité ne peut pas représenter un risque.
Vulnérabilités Menaces
Entrepôt non protégé et sans Vol
surveillance
Procédures compliquées de Erreur d’entrée des données par le
traitement des données personnel
Pas de séparation des taches Fraude, utilisation non autorisée du
système
Données non chiffrées Vol de données
Utilisation de logiciels piratés Poursuite judiciaire, virus
Pas de revue des droits d’accès Accès non autorisés par des
personnes qui ont quitté l’organisme
Pas de procédure de sauvegarde Pertes d’informations
4. Les impacts
L’impact d’un risque se qualifie principalement selon les trois critères : la
disponibilité, la confidentialité et l’intégrité
Exemples d’impacts sur la Exemples d’impacts sur la Exemples d’impacts sur
disponibilité confidentialité l’intégrité
• Dégradation de la • Atteinte à la vie privée • Changement accidentel
performance des utilisateurs ou des • Changement délibéré
• Interruption du clients • Résultats incorrects
service • Atteinte à la vie privée • Résultats incomplets
• Indisponibilité du des employés • Pertes de données
service • Fuite d’information
• Interruption des confidentielle
opération

5. Les risques
Le risque est défini comme effet de l’incertitudes sur les objectifs.
Le risque lié à la sécurité de l’information est associé à la possibilité que les
menaces exploitent les vulnérabilités d’un actif ou d’un groupe d’actifs
informationnels et nuisent donc à un organisme.
Un risque est souvent exprimé en termes de combinaison des conséquences
d’un évènement (incluant des changements de circonstances) et de sa
vraisemblance
▪ Risque résiduel : est défini comme un risque substituant après le

traitement du risque.
▪ Acceptation du risque : décision argumentée en faveur de la prise d'un
risque particulier.
L'acceptation du risque peut avoir lieu sans traitement du risque ou lors
du processus de traitement du risque.
Les risques acceptés font l'objet d'une surveillance et d'une revue.
▪ Analyse du risque : processus mis en œuvre pour comprendre la nature
d'un risque et pour déterminer le niveau de risque.
L'analyse du risque fournit la base de l'évaluation du risque et des
décisions relatives au traitement du risque.
L'analyse du risque inclut l'estimation du risque.
▪ Appréciation du risque : ensemble du processus d'identification du
risque, d'analyse du risque et d'évaluation du risque.
▪ Critères de risque : termes de référence vis-à-vis desquels l'importance
d'un risque est évaluée.
Les critères de risque sont fondés sur les objectifs de l'organisme et sur le
contexte externe et le contexte interne.

▪ Evaluation du risque : processus de comparaison des résultats de

l'analyse du risque avec les critères du risque afin de déterminer si le
risque et/ou son importance sont acceptables ou tolérables.
L'évaluation du risque aide à la prise de décision relative au traitement
du risque.
▪ Identification des risques : processus de recherche, de reconnaissance et
de description des risques.
L'identification du risque comprend l'identification des sources de risque,
des événements, de leurs causes et de leurs conséquences potentielles.
L'identification du risque peut faire appel à des données historiques, des
analyses théoriques et des avis d'experts et autres personnes
compétentes, et tenir compte des besoins des parties prenantes.
▪ Gestion des risques : activités coordonnées visant à diriger et contrôler
un organisme vis-à-vis du risque.
▪ Processus de management du risque : application systématique de
politiques, procédures et pratiques de management aux activités de
communication, de concertation, d'établissement du contexte, ainsi
qu'aux activités d'identification, d'analyse, d'évaluation, de traitement,
de surveillance et de revue des risques.
▪ Propriété du risque : personne ou entité ayant la responsabilité du
risque et ayant autorité pour le gérer
▪ Traitement du risque : processus destiné à modifier un risque.
Le traitement du risque peut inclure :
✓ Un refus du risque en décidant de ne pas démarrer ni
poursuivre l'activité porteuse du risque ;
✓ La prise ou l'augmentation d'un risque afin de saisir une
opportunité ;
✓ L’élimination de la source de risque ;
✓ Une modification de la vraisemblance
✓ Une modification des conséquences
✓ Un partage du risque avec une ou plusieurs autres parties
(incluant des contrats et un financement du risque) ;
✓ Un maintien du risque fondé sur un choix argumenté.

Section 2 : Les objectif et les mesures de sécurité

2.1. Objectif d’une mesure de sécurité
Une déclaration décrivant ce qui est attendu de la mise en œuvre des mesures
de sécurité.
2.2. Mesure
• Mesure qui modifie le risque.
• Les mesures de sécurité comprennent tous les processus, politiques,
dispositifs, pratiques ou autres actions qui modifient un risque.
• Une mesure de sécurité est aussi appelée contre-mesure, dispositif de
sécurité.
2.3. Les natures de mesures de sécurités

Les mesures peuvent être de nature technique, administrative, managériale et
légale, qui modifient les risques liés à la sécurité de l’information.
• Mesure technique : Mesure liée à l’utilisation des mesures techniques ou
technologiques comme les pares-feux, les systeme d’alarme, les cameras
de surveillance, les systèmes de détection d’intrusion (IDS) etc.
• Mesure administrative : Masure liée à la structure organisationnelle
comme la séparation des tâches, la rotation des postes, les descriptions
de tâches, les processus d’approbation etc.
• Mesure managériale : Mesure liée à la gestion du personnel, incluant la
formation et le coaching des employés, les revues de direction et les
audits.
• Mesure légale : Mesure liée aux applications d’une législation, aux
obligations réglementaires ou aux obligations contractuelles.
Note : Une mesure administrative est liée à la structure de l’organisme comme

un tout, sans être appliquée par une personne en particulier, tandis que la
mesure managériale doit être appliquées par les directeurs.

2.4. Classement de mesures

Les mesures de sécurité peuvent être classées en trois catégories : préventive,
détective et corrective.
Les mesures sont classées par catégorie :

Section 3 : Les cadres normatifs et réglementaires
3.1. La famille ISO 27000
La famille de normes ISO 27000, qui existe depuis 2005 est dédié à la sécurité
de l’information.
Les normes de la série ISO 27000 sont les suivantes :
▪ ISO/IEC 27000 : Introduit les concepts de base ainsi que le vocabulaire
qui s’applique au développement de système de management de la
sécurité de l’information
▪ ISO/IEC 27001 : Définit les exigences du système de management de la
sécurité de l’information (SMSI) et fournit un ensemble de mesures de
sécurité de référence dans son Annexe A
▪ ISO/IEC 27002 (remplace ISO/IEC 17799) : Code de bonnes pratiques
pour le management de la sécurité de l’information. Fournit les objectifs
et les lignes directrices de mise en œuvre des mesures de sécurité
annoncées à l'Annexe A de la norme ISO/IEC 27001
▪ ISO/IEC 27003 : Lignes directrices pour la mise en œuvre ou la mise en
place d’un système de management de la sécurité de l’information

▪ ISO/IEC 27004 : Lignes directrices pour définir les objectifs de mise en

œuvre et les critères d’efficacité de surveillance, mesurage, analyse et
évolution tout au long du processus
▪ ISO/IEC 27005 : Directives pour la gestion des risques liées à la sécurité
de l’information conforme aux concepts, modèles et processus généraux
spécifiés dans la norme ISO/IEC 27001
▪ ISO/IEC 27006 : Exigences pour les organisations qui auditent et
certifient les SMSI
▪ ISO/IEC 27007 : Lignes directrices pour l’audit des SMSI
▪ ISO/IEC 27008 : Lignes directrices pour les auditeurs des contrôles de
sécurité de l’information
3.2. Les normes métiers, les réglementions et les organismes de

normalisation
▪ La Commission de Protection des Données Personnelles (CDP-
Sénégal) : est une Autorité Administrative Indépendante (AAI)
instituée par la loi n° 2008-12 du 25 janvier 2008 portant sur la
protection des données à caractère personnel.
▪ Agence Nationale de Sécurité des Systèmes d’Information
(ANSSI) : a été créé par le décret n° 2009-834 du 7 Juillet 2009,
sous la forme d’un service à compétence nationale. Autorité
nationale en matière de sécurité et de défense des systèmes
d’information
▪ PCI-DSS : L’acronyme PCI DSS (Payment Card Industry Data
Security Standard) désigne les normes de sécurité des données
applicables à l’industrie des cartes de paiement. Élaborée par le
conseil des normes de sécurité PCI, la norme PCI DSS vise à
réduire la fraude en ligne. Toute organisation qui traite les
données de titulaires de cartes de paiement est tenue de s’y
conformer. La conformité est validée par un évaluateur de
sécurité homologué, un évaluateur de la sécurité en interne, ou
par le biais d’un questionnaire d’auto-évaluation pour les
entreprises qui traitent de plus petits volumes de données de
cartes bancaires.
▪ Club de la Sécurité de l’information français (CLUSIF) : Le CLUSIF
est l’association de référence de la sécurité du numérique en France. Sa
mission consiste à favoriser les échanges d’idées et de retours

d’expérience. Il réunit en parfaite équité au sein de 2 collèges, offreurs et

utilisateurs, tous les secteurs d’activité de l’économie autour de la
cybersécurité et de la confiance numérique.
▪ Agence de l’Union Européenne pour la Cybersécurité (CENISA) :
L’ENISA contribue à la politique de l’UE en matière de
cybersécurité. Elle élabore des schémas européens de
certification de cybersécurité afin de renforcer la confiance dans
les produits, services et processus numériques. Elle coopère avec
les pays et organes de l’UE et aide l'UE à se préparer aux défis
futurs en matière de cybersécurité.
▪ EBIOS RM : EBIOS Risk Manager (EBIOS RM) est la méthode
d'appréciation et de traitement des risques numériques publiée
par l'Agence nationale de la sécurité et des systèmes d'information
(ANSSI) avec le soutien du Club EBIOS.

Section 4 : Gestion des risques
Un organisme souhaitant se conformer à ISO 27001 doit au moins :

➢ Sélectionner et définir une méthode d’appréciation du risque
➢ Démontrer que méthodologie choisie fournira des résultats comparables
et reproductibles
➢ Définir les critères d’acceptation des risques et déterminer les niveaux de
risque acceptables
4.1. Appréciation du risque
L’organisme doit définir et appliquer les processus d’appréciation des risques

de sécurité de l’information :
▪ Etablir et tient à jour les critères du risque de sécurité de l’information
▪ S’assurer que la répétition de ces appréciations des risques produit des
résultats cohérents, valides et comparables
▪ Identifier les risques de sécurité de l’information
▪ Analyser les risques de sécurité de l’information
▪ Evaluer les risques de sécurité de l’information
4.2. Analyse de risque
L’analyse de risque a pour objectif de déterminer le niveau de risque.

ISO 31000 est la référencée dans ISO/IEC 27001 en tant que modèle général.
ISO/IEC 27001 exige que, pour chaque risque identifié, l’analyse des risques soit
fondée sur l’appréciation des conséquences résultant des risques et sur
l’évaluation de la vraisemblance que ces conséquences se produisent pour
déterminer un niveau de risque.
Les techniques d’analyse de risque basées sur les conséquences et la
vraisemblance peuvent être :
▪ Qualitatives : en actualisant une échelle d’attributs qualitatif (faible,
moyen et fort)

▪ Quantitatives : en utilisant une échelle avec des valeurs numériques

(coût, fréquence ou vraisemblable d’occurrence)
▪ Semi-quantitative : en utilisant des échelles quantitatives avec des
valeurs assignées.
4.3. Processus de traitement de risque
Comme le montre la figure ci-dessus, le processus de management du risque

peut être itératif autant pour les activités que de traitement du risque. Si du
risque procure les éléments suffisants pour déterminer effectivement les
actions requises pour ramener le risque à un niveau acceptable, on passe
directement à la mise en des options de traitement du risque. Si les
informations sont insuffisantes pour déterminer le niveau du risque ou que le
niveau de risque projeté après traitement est inacceptable, une nouvelle
itération de du risque devra être conduite, partiellement ou en totalité, dans le
domaine. Plus précisément, si le traitement du risque pas suffisant et que du
contexte est correct, une nouvelle itération du traitement du risque sera
conduite, sinon, une nouvelle itération de du contexte sera conduite.

L’efficacité du traitement du risque dépend en partie de la juste appréciation

du risque. Il est possible que le traitement du risque ne conduise pas
directement à un niveau acceptable du risque résiduel. Dans ce cas, une
nouvelle itération du risque devrait être entreprise. La communication du
risque aux parties prenantes de l'organisme et le suivi du risque sont des
activités continues à mettre en œuvre.

Section 5 : La politique de sécurité et sensibilisation
5.1. Objectifs de la politique de sécurité

Les principaux objectifs de la politique de sécurité de l’information
▪ Objectif principal :
Apporter à la sécurité de l’information de l’information une orientation et un
soutient de la part de la direction, conformément aux exigences métiers et aux
lois règlement en vigueur.
▪ Objectifs secondaires :
1. Communiquer l’engagement de la Direction générale
2. Identifier les parties prenantes concernées et leurs rôles et
responsabilités dans le management de la sécurité de l’information
3. Sensibiliser l’organisme aux risques associés au traitement de
l’information
4. Favoriser l’intégration du management de la sécurité de l’information
dans les processus métiers de l’organisation
5. Enoncer les paramètres qui encadrent les politiques de sécurité
spécifiques.
5.2. Les types de politiques

La politique est communément identifiée comme une expression formaliste
des normes de comportement applicables au sein organisme. Elle définit (sans
toutefois les décrire systématiquement) pour les membres du personnel des
manières conformément à ce qui est attendu dans divers domaines où il peut
nécessaire de mieux définir le cadre organisationnel de travail.
On distingue généralement trois niveaux de politiques au sein organisme :
1. Les politiques générales de haut niveau qui délimitent de façon générale
le cadre au sein duquel la sécurité de sera assurée ainsi que les objectifs
généraux permettant la continuité des activités et de limiter les
dommages potentiels aux actifs de en prévenant et en limitant à un

niveau acceptable pour celui-ci les conséquences potentielles des

incidents de sécurité.
2. Les politiques spécifiques de haut niveau qui définissent un sous-ensemble
de règles et de pratiques encore assez générales mais qui sont relatives à un
domaine précis. Elles sont subordonnées aux politiques générales de haut
niveau, le plus souvent.
Note : Ces deux types de politiques sont habituellement soumises à un
processus de revue assez formaliste et relativement contraignant en raison de
leur nature sensible eu égard à la stratégie fonctionnelle de sont censées
soutenir.
3. Les politiques détaillées viennent en appui à la politique de sécurité de
(politique spécifique de haut niveau). Elles permettent de préciser les exigences
internes en matière de sécurité. Elles déterminent la façon de procéder en vue
la sécurité de dans des domaines particuliers. À titre on peut citer les politiques
suivantes : politique pour la sécurité des droits aux informations et aux
infrastructures technologiques, politique sur politique sur et la destruction de
documents, etc.
Note : Certaines de ces politiques détaillées sont indépendantes, tandis que
rattachées à une autre politique, sont dépendantes. Par exemple, un
organisme peut avoir une politique de sécurité qui est complété par une
politique de sécurité physique et une autre sur la sécurité de. À son tour, la
politique de sécurité de peut-être la référence pour la publication de politiques
spécifiques tel que la politique sur le contrôle.

5.3. Modèle de politique de sécurité
Avant de rédiger les politiques de l’organisme, il est important de définir une

structure-type en créant des modèles. Ceci à de permettre de ne pas oublier
important lors de la rédaction de la politique concernée de même que le
document pourra aborder tous les principaux éléments de ce type de politique
afin de couvrir des environnements variés où les niveaux de risque sont
différents.
ISO 27003, annexe A proposé de structurer les politiques comme suit :
1. Sommaire de la politique : Présente un résumé de la politique en
quelques phrases. (Celles-ci peuvent parfois être combinées à.)
2. Introduction : Explique le sujet de la politique de façon concise ainsi que
le contexte de publication.
3. Domaine : Décrit le périmètre de la politique en indiquant qui est visé
par la politique. Cela peut être un secteur (TI, vente, RH, etc.), un type de
fonctions (administrateur-réseaux, programmeurs, agents service à la
clientèle, etc.) ou encore un statut (employés, sous-contractant, clients,
fournisseurs, etc.) ou encore des utilisateurs de l’organisme. Également,
si applicable, la clause du domaine énumère aussi les politiques gérées
par la politique.

4. Objectifs : Décrit les buts de la politique.

5. Principes : Décrit les règles visant les actions et décisions pour atteindre
les objectifs. Dans certains cas il peut être utile les processus clés
associés au sujet de la politique et ensuite les règles pour utiliser ces
processus.
6. Responsabilités : Décrit qui est responsable des actions à porter pour
répondre aux exigences de la politique.
7. Principaux éléments attendus : Décrit les résultats attendus par si les
objectifs sont atteints.
8. Politiques connexes : Indique la liste des autres politiques pertinentes à
la réalisation des objectifs de la présente politique.
D’autres rubriques peuvent être ajoutées au modèle de politique
organisme. Communément, on y retrouve :
9. Définitions : Contient une liste des thèmes utilisés
10.Sanctions : Décrit la liste des sanctions possible si un utilisateur enfreint
la politique ou inclut une mention générale du type : « Tout utilisateur
qui contrevient à la présente politique est passible de sanction
disciplinaire pouvant aller jusqu’au congédiement, incluant des
poursuites judiciaires »
5.4. Processus de rédaction d’une politique

Après la création le modèles-type de création politique, il convient de définir le

processus de rédaction des politiques.
Voici les étapes du processus de rédaction politique :
1. Désigner un responsable : Il ne convient personne soit désignée comme
responsable et mandatée par la direction pour développer, examiner et
évaluer la politique à publier. Habituellement, le responsable du
département du management anti-corruption qui est le responsable du
management et du suivi de la politique anticorruption ainsi que
politiques détaillées reliées directement à une thématique contre la
corruption qui est désigné. Par contre, plusieurs des politiques qui
peuvent être incluses dans le SMAC sont habituellement de la
responsabilité managers telles que la politique des services à la clientèle,
la politique des ressources humaines, etc.
2. Définir les éléments de la politique : chargée de la politique dresse une
liste de tous les sujets qui doivent être traités dans la politique. Au
minimum, la politique anti-corruption doit couvrir les sujets SMAC de
37001.
3. Rédiger les articles : chargée de la politique en rédige les différents
articles. Il faut que les énoncés soient écrits dans un langage simple mais
précis afin que la politique soit comprise par tous les parties concernées
par sa publication. En outre, il faut éviter des spécifications
opérationnelles ou des références à des produits particuliers dans la
politique. La politique devrait répondre au « Pourquoi » et surtout au «
Quoi » et non au « Comment ». Le « comment » sera détaillé dans les
procédures.
4. Valider le contenu et la forme : Le responsable de la politique doit
valider le contenu afin de que la politique est conforme aux exigences
des lois, de la norme ISO 27001 ainsi autres politiques de. Par exemple, il
serait contradictoire de publier une politique autorisant la surveillance
et la lecture de toutes les communications des employés si une politique
de sur le respect de la vie privée et encore plus, si en violation avec les
lois du pays. Au niveau du format, il faut valider que la politique
respecte la procédure de gestion documentaire quant à son cycle de vie.
5. Faire valider par les parties prenantes : Afin de s’assurer de l’adhésion
et de la compréhension de la politique, il est courant de consulter les
employés, les managers et autres parties prenantes sur la politique afin
de récolter leurs commentaires. L’expérience vécue concernant de
validation politique démontre que cette étape peut être longue selon
l’envergure de l’organisation, de sa structure organisationnelle et la
diversité des intervenants impliqués. La prise en compte de ces
éléments à une incidence directe sur les délais de validation qui peuvent
représenter une proposition allant d’un à six fois le temps pris pour
l’élaboration de la politique elle-même.
5.5. Publier et diffuser les politiques
Lors de la publication initiale de la politique de sécurité de l’organisation, il

est de bonne pratique (mais non obligatoire) de faire signer la politique de
sécurité par tous les employés de l’organisme, y compris de direction. Le
formulaire original de signature devrait être conservé dans le dossier de
chaque employé au département des ressources humaines ou par toute
autre instance qui en est responsable.
Pour les nouveaux employés, la prise de connaissance des politiques de
l’organisme et de l’acceptation de s’y conformer est habituellement une

étape incluse dans le processus d’accueil et d’intégration d’un nouvel

employé.
Si l’on ne procède pas à la signature de la politique, il faut s’assurer d’être
en mesure de démontrer que les membres de l’organisation ont compris et
appliquent la politique de sécurité de l’information. Par exemple, cela peut
être réalisé par la participation à une session de formation.
5.6. Formation, communication et sensibilisation
Il convient que ces politiques soient communiquées aux salariés et aux tiers
concernés sous une forme pertinente, accessible et compréhensible par leurs
destinataires, par exemple dans le contexte d’un « programme
d’apprentissage, de formation et de sensibilisation à la sécurité de
l’information » ISO 27001
Pour y parvenir, il convient que l’organisation prépare un plan de
communication avant la publication de la politique. Le plan de communication
de la politique consiste à assurer la propagation de celle-ci à du personnel de
l’organisation. Une méthode ordonnée de diffusion de la politique de sécurité

doit être suivie afin efficacement tous les employés et de que chacun a compris
et accepte ses responsabilités face à cette politique.
Il est préférable la communication de la politique par la publication lettre
officielle de la direction. Cette lettre devrait démontrer le soutien et de la
direction en ce qui concerne la sécurité de dans tout l’organisme.
Il convient que la politique de sécurité l’information soit également incluse en
tant qu’élément à couvrir dans le programme de sensibilisation des employés à
la sécurité de l’information.
5.7. Contrôle, évaluation et révision
L’étape de contrôle, d’évaluation et de révision de la politique de sécurité

permet d’ajuster la politique de sécurité et d’entrer dans un processus
d’amélioration continue. En révisant régulièrement la politique de sécurité,
l’organisation s’assure qu’il reste conforme aux exigences de et aux contraintes
légales.

Section 6 : L’audit de la sécurité des systèmes d’information
6.1. Définition
L’audit est un exercice basé sur des faits. Cette évaluation met en évidence les
forces et les faiblesses de l’organisation ou du système audité. Les résultats de
l’audit sont communiqués à la direction qui prendra alors les mesures
nécessaires et appropriées. L’audit est une activité qui a été établie de longue
date et est bien respectée dans le domaine comptable. Les mêmes principes et
techniques de base aux audits de système de management.

6.2. Types d’audits
1. Audit interne :
L'audit interne, parfois appelé audit de première partie, est une activité
indépendante et objective qui donne à un organisme une assurance sur le
degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer,
et contribue à créer de la valeur ajoutée. Les audits internes, sont réalisés par,
ou pour le compte de, lui-même, pour la revue de direction et les autres
besoins internes. L’impartialité de la démarche doit être démontrée par de
responsabilités à de à auditer.
2. Les audits externes comprennent les audits appelés audits de seconde et
de tierce parties.
▪ Audit de seconde partie : Les audits de seconde partie sont
réalisés par des parties ayant un intérêt à l’égard de
l’organisme audité, comme les clients, ou d’autres
personnes agissant en leur nom.
▪ Audit de tierce partie : Les audits de tierce partie sont
réalisés par des organismes externes et indépendants tels
que les organismes qui octroient ou la certification de
conformité de systèmes de management.

▪ Note importante : de tierce partie est réalisé par des

auditeurs externes indépendants de l’audité.
6 .3. Différence entre audits internes et externes
L'audit interne est une activité indépendante, objective et consultative conçue

pour actualiser et améliorer le fonctionnement de l'organisation. Il contribue
aux objectifs de l'organisation en fournissant une méthodologie systématique
et structurée pour évaluer et améliorer l'efficacité du processus de
management des risques, son contrôle et la prise de décision.
6.4. L’objectif de l’audit interne
L’objectif principal d’un audit interne de la sécurité des systèmes d’information

est d’évaluer avec précision la capacité du système d’information à résister aux
attaques informatiques, à identifier les failles et appliquer des actions
correctives nécessaire avant qu’il ne soit trop tard.

Section 7 : Plan de secours du système d’information
7.1. Définition
Grèves, coupures d'électricité, Intempéries, incendies, sont des évènements

inopinés causant des pertes conséquentes. Afin de minimiser le déficit, nos
experts vous accompagnent en menant leurs actions autour de quatre
axes : Prévention Détection Réaction Protection
Les objectifs que nous souhaitons garantir visent à :
▪ Protéger les actifs de l'entreprise et de ses clients

▪ Assurer à l'entreprise la continuité effective de ses activités
Qu’est ce qu’un plan de secours ?
Le PCA
Un plan de continuité d’activité (PCA) ou plan de reprise d’activité (PRA) couvre

un champ plus large que le plan de secours informatique (PSI). Un PCA ne se
limite pas à la continuité du système d’information, « il prend également en
compte le repli des utilisateurs, le risque sanitaire (pandémie), l’organisation
permettant la gestion de crise (astreinte, cellule de crise), et la communication
de crise, entre autres » (Source : Wikipédia).
Le PSI
Le PSI vise la reprise d’activité de l’entreprise après un sinistre important ayant

atteint le système d’information. Il traite principalement de la restauration de
l’infrastructure informatique et des données. Le PSI représente un maillon
capital de la politique de sécurité informatique de l’entreprise. Sa réalisation
découle d’un large diagnostic des données à protéger et des risques potentiels.
Cette phase amont peut être parfois assez longue si le système d’information
est complexe et le volume de données conséquent. L’organisation des
ressources humaines est aussi structurée : constitution d’un comité de crise,
d’une cellule de coordination, d’équipes d’intervention, etc. Les moyens de
secours sont parfois très importants lorsque l’entreprise ne peut se permettre

une interruption de service, comme dans le secteur bancaire par exemple.
Certaines organisations doublent l’intégralité de leur infrastructure afin de
pouvoir transférer leurs utilisateurs dans un autre site identique et reprendre
très vite leur activité.
7 .2. Elaboration d’un plan de secours pour PME
7.2.1. Prérequis
▪ Nommer un responsable
Avant tout, il convient de désigner une personne responsable de l’élaboration

et de la mise en œuvre du plan de secours. Dans les PMI / PME, cette fonction
est très souvent assurée par le responsable informatique lui-même, ou le
responsable qualité.
Cette personne doit réunir plusieurs compétences :
✓ Une bonne connaissance dans le domaine de la sécurité, sans pour

autant connaître en détail le fonctionnement des technologies. Il y
a donc un minimum de connaissances à acquérir et à maintenir
pour être crédible vis-à-vis des techniciens en sécurité
informatique, mais aussi pour savoir apprécier les risques liés à
l´utilisation du système d´information.
✓ Une vision transversale de l’activité de l’entreprise.
✓ Une aptitude à communiquer pour mener des missions de
sensibilisation du personnel.
✓ Des capacités en matière d’organisation, car il sera le chef
d’orchestre de la gestion du sinistre.
▪ Maîtriser le contenu et la valeur du système d’information
Si cela n’a pas encore été fait, il convient de commencer par inventorier les
données à protéger, puis d’en évaluer la valeur. Dans un premier temps,
commencez par recenser les données internes à l’entreprise : messagerie
électronique (courriels, contacts, calendriers), fichiers, données des logiciels
(fichier client, comptabilité gestion…), parc informatique, etc.
Hiérarchisez ensuite la valeur des informations selon l’importance de leur

disponibilité et de leur intégrité. L’objectif de cette classification de
l’information est de définir le degré de valeur ajoutée pour chaque type de

données
Information stratégique : Elle doit être restaurée en priorité en cas de sinistre.

Son intégrité doit être préservée au maximum.
Information sensible : Son intégrité doit être préservée, mais sa restauration

en cas de sinistre n’est pas prioritaire.
Information basique : Elle est utile, mais n’est pas prioritaire en matière de
préservation et de restauration de l’information.
7.2.2. Analyse de risque et de l’impact
Il s’agit de déterminer les menaces qui pèsent sur l’informatique de

l’entreprise. Elles peuvent être d’origine humaine (maladresse, attaque,
malveillance) ou technique (panne), et être interne ou externe à l’entreprise. Il
convient d’estimer la probabilité que chaque menace se concrétise. L’analyse
d’impact consiste à mesurer les conséquences d’un risque qui se matérialise.
Cette évaluation essentiellement financière peut être segmentée en paliers
pour lesquels les coûts s’aggravent.
Ex : à H (heure du sinistre) +2h : …. H+10h : … H+1 jour
7.2.3. Mise en place d’un plan de secours
Il s’agit de mettre en place des mesures préventives et curatives. Certaines de

ces mesures reposent sur des outils, tandis que d’autres sont davantage liées
au comportement des utilisateurs.
Mais avant de mettre en place ces mesures, l’entreprise doit d’abord statuer
sur 2 questions :
▪ quelle est la quantité maximale d'informations que je peux perdre

mettre en péril mon activité ?
▪ quel est le délai maximum de reprise d'activité normal au-delà duquel le
suivi de la société est compromis ?

La réponse à ces questions va déterminer le niveau de sécurité à mettre en

place. Autrement dit, quelles informations faut-il protéger et rétablir en
priorité en cas de sinistre pour perdre le moins d’agent possible ?
Les mesures préventives
Elles permettent d’éviter une discontinuité de l’activité. Voici les principaux

points de vigilance (le détail de ces mesures est disponible dans les notices
indiquées).
• Le plan de sauvegarde : il s’agit de déterminer la fréquence et le type de

sauvegarde (complète, différentielle, incrémentale) pour chaque
catégorie d’information (basique, sensible, stratégique).
• Important : ne pas stocker les supports de sauvegarde à côté du serveur
ou de la machine qui contient les données.
• La sécurité logique : il convient de mettre en place des outils de
protection de base (anti-virus, firewall, anti-spam) et de les maintenir à
jour. A cela peuvent s’ajouter des contrôles d’accès aux données par mot
de passe ou certificat électronique.
• La sécurité physique : il s’agit de la sécurité des locaux. Une attention
particulière doit être portée à la sécurité du serveur de l’entreprise
• Le facteur humain : la sécurité des systèmes d’information n’est pas
qu’une affaire d’outils. C’est aussi - voire surtout - une information
régulière diffusée auprès des collaborateurs. Une charte informatique
permet de responsabiliser et sensibiliser les salariés à la sécurité
informatique.
Mesures curatives
Ces mesures sont nécessaires car aucune mesure préventive n’est efficace à
100%. Elles interviennent lorsqu’un sinistre survient.
• Restauration des dernières sauvegardes

• Redémarrage des applications (bureautiques, métiers, etc).
• Redémarrage des machines (serveurs, imprimantes / copieurs, boitiers,
etc.).

Le temps de remise en route du système va dépendre de l’endommagement

occasionné par le sinistre. Un renouvellement de matériel peut parfois être
nécessaire.
7.2.4. Maintenance du plan de secours

Il est important de vérifier que le plan est réalisable en termes de procédures, de budget ou
de temps nécessaires au redémarrage. Par ailleurs, le plan de secours doit être actualisé
pour être en phase avec le développement de l’entreprise : création d’une nouvelle activité,
mise en œuvre d’une nouvelle infrastructure, croissance externe, recrutement, etc.

Section 8 : Les recommandations : guide de bonnes pratiques

de l’informatique
Pourquoi sécuriser son informatique ?
Alors que le numérique fait désormais partie intégrante de nos vies

personnelles et professionnelles, la sécurité est trop rarement prise en compte
dans nos usages. Les nouvelles technologies, omniprésentes, sont pourtant
porteuses de nouveaux risques pesant lourdement sur les entreprises. Par
exemple, les données les plus sensibles (fichiers clients, contrats, projets en
cours...) peuvent être dérobées par des attaquants informatiques ou
récupérées en cas de perte ou vol d’un ordiphone (smartphone), d’une
tablette, d’un ordinateur portable. La sécurité informatique est aussi une
priorité pour la bonne marche des systèmes industriels (création et fourniture
d’électricité, distribution d’eau…). Une attaque informatique sur un système de
commande industriel peut causer la perte de contrôle, l’arrêt ou la dégradation
des installations.
Ces incidents s’accompagnent souvent de sévères répercussions en termes de

sécurité, de pertes économiques et financières et de dégradation de l’image de
l’entreprise. Ces dangers peuvent néanmoins être fortement réduits par un
ensemble de bonnes pratiques, peu coûteuses, voire gratuites, et faciles à
mettre en œuvre dans l’entreprise. A cet effet, la sensibilisation des
collaborateurs de l’entreprise aux règles d’hygiène informatique est
fondamentale et surtout très efficace pour limiter une grande partie des
risques.
Réalisé par le biais d’un partenariat entre l’Agence Nationale de Sécurité des
Systèmes d’Information (ANSSI) et la CPME, ce guide a pour objectif de vous
informer sur les risques et les moyens de vous en prémunir en acquérant des
réflexes simples pour sécuriser votre usage de l’informatique. Chaque règle ou
« bonne pratique » est accompagnée d’un exemple inspiré de faits réels
auxquels l’ANSSI a été confrontée.

8.1. Choisir avec soin ses mots de passe
Dans le cadre de ses fonctions de comptable, Julien va régulièrement

consulter l’état des comptes de son entreprise sur le site Internet mis à
disposition par l’établissement bancaire. Par simplicité, il a choisi un mot de
passe faible : 123456. Ce mot de passe a très facilement été reconstitué lors
d’une attaque utilisant un outil automatisé : l’entreprise s’est fait voler 10
000 euros.
Le mot de passe est un outil d’authentification utilisé notamment pour

accéder à un équipement numérique et à ses données. Pour bien protéger
vos informations, choisissez des mots de passe difficiles à retrouver à l’aide
d’outils automatisés ou à deviner par une tierce personne.
Choisissez des mots de passe composés si possible de 12 caractères de type

différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun
lien avec vous (nom, date de naissance…) et ne figurant pas dans le
dictionnaire.
Deux méthodes simples peuvent vous aider à définir vos mots de passe :
• La méthode phonétique : « J’ai acheté 5 CDs pour cent euros cet après-
midi » : ght5CDs%E7am ;
• La méthode des premières lettres : « Allons enfants de la patrie, le jour
de gloire est arrivé » : aE2lP,lJ2Géa ! Définissez un mot de passe unique
pour chaque service sensible.
Les mots de passe protégeant des contenus sensibles (banque, messagerie

professionnelle…) ne doivent jamais être réutilisés pour d’autres services. Il est
préférable de ne pas recourir aux outils de stockage de mots de passe. A
défaut, il faut s’en tenir à une solution ayant reçu une certification de premier
niveau (CSPN)
En entreprise :
• déterminez des règles de choix et de dimensionnement (longueur) des

mots de passe et faites-les respecter ;

• modifiez toujours les éléments d’authentification (identifiants, mots de

passe) définis par défaut sur les équipements (imprimantes, serveurs,
box…) ;
• rappelez aux collaborateurs de ne pas conserver les mots de passe dans
des fichiers ou sur des post-it ;
• sensibilisez les collaborateurs au fait qu’ils ne doivent pas préenregistrer
leurs mots de passe dans les navigateurs, notamment lors de l’utilisation
ou la connexion à un ordinateur public ou partagé (salons,
déplacements…).
8.2. Mettre à jour régulièrement vos logiciels
Carole, administrateur* du système d’information d’une PME, ne met pas

toujours à jour ses logiciels. Elle a ouvert par mégarde une pièce jointe
piégée. Suite à cette erreur, des attaquants ont pu utiliser une vulnérabilité
logicielle et ont pénétré son ordinateur pour espionner les activités de
l’entreprise.
Dans chaque système d’exploitation* (Android, IOS, MacOS, Linux,

Windows,), logiciel ou application, des vulnérabilités existent. Une fois
découvertes, elles sont corrigées par les éditeurs qui proposent alors aux
utilisateurs* des mises à jour* de sécurité. Sachant que bon nombre
d’utilisateurs ne procèdent pas à ces mises à jour, les attaquants exploitent
ces vulnérabilités pour mener à bien leurs opérations encore longtemps après
leur découverte et leur correction.
Il convient donc, au sein de l’entreprise, de mettre en place certaines règles :
▪ définissez et faites appliquer une politique de mises à jour régulières :

✓ S’il existe un service informatique au sein de l’entreprise, il
est chargé de la mise à jour du système d’exploitation et des
logiciels ;
✓ S’il n’en existe pas, il appartient aux utilisateurs de faire
cette démarche, sous l’autorité du chef d’entreprise.
▪ configurez vos logiciels pour que les mises à jour de sécurité s’installent
automatiquement chaque fois que cela est possible. Sinon, téléchargez
les correctifs de sécurité disponibles ;
▪ utilisez exclusivement les sites Internet officiels des éditeurs.

8.3. Bien connaitre ses utilisateurs et ses prestataires
Noémie naviguait sur Internet depuis un compte administrateur* de son

entreprise. Elle a cliqué par inadvertance sur un lien conçu spécifiquement
pour l’attirer vers une page web infectée. Un programme malveillant s’est
alors installé automatiquement sur sa machine. L’attaquant a pu désactiver
l’antivirus de l’ordinateur et avoir accès à l’ensemble des données de son
service, y compris à la base de données de sa clientèle.
Lorsque vous accédez à votre ordinateur, vous bénéficiez de droits

d’utilisation plus ou moins élevés sur celui-ci. On distingue généralement les
droits dits « d’utilisateur » * et les droits dits « d’administrateur » *.
▪ Dans l’utilisation quotidienne de votre ordinateur (naviguer sur Internet,

lire ses courriels, utiliser des logiciels de bureautique, de jeu,), prenez un
compte utilisateur. Il répondra parfaitement à vos besoins.
▪ Le compte administrateur n’est à utiliser que pour intervenir sur le
fonctionnement global de l’ordinateur (gérer des comptes utilisateurs,
modifier la politique de sécurité, installer ou mettre à jour des logiciels,).
Les systèmes d’exploitation récents vous permettent d’intervenir facilement

sur le fonctionnement global de votre machine sans changer de compte : si
vous utilisez un compte utilisateur, le mot de passe administrateur est
demandé pour effectuer les manipulations désirées. Le compte administrateur
permet d’effectuer d’importantes modifications sur votre ordinateur.
Au sein de l’entreprise :
▪ réservez l’utilisation au service informatique, si celui-ci existe ;

▪ dans le cas contraire, protégez-en l’accès, n’ouvrez pour les employés
que des comptes utilisateur, n’utilisez pas le compte administrateur
pour de la navigation sur Internet ;
▪ identifiez précisément les différents utilisateurs du système et les
privilèges qui leur sont accordés. Tous ne peuvent pas bénéficier de
droits d’administrateur ;
▪ supprimez les comptes anonymes et génériques (stagiaire, contact,
presse, etc.). Chaque utilisateur doit être identifié nommément afin de
pouvoir relier une action sur le système à un utilisateur ;

▪ encadrez par des procédures déterminées les arrivées et les départs de

personnel pour vous assurer que les droits octroyés sur les systèmes
d’information sont appliqués au plus juste et surtout qu’ils sont
révoqués lors du départ de la personne.
8.4 Effectuer des sauvegardes régulières
Patrick, commerçant, a perdu la totalité de son fichier client suite à une

panne d’ordinateur. Il n’avait pas effectué de copie de sauvegarde.
Pour veiller à la sécurité de vos données, il est vivement conseillé

d’effectuer des sauvegardes régulières (quotidiennes ou hebdomadaires
par exemple). Vous pourrez alors en disposer suite à un
dysfonctionnement de votre système d’exploitation ou à une attaque.
Pour sauvegarder vos données, vous pouvez utiliser des supports externes
tels qu’un disque dur externe réservé exclusivement à cet usage, ou, à
défaut, un CD ou un DVD enregistrable que vous rangerez ensuite dans un
lieu éloigné de votre ordinateur, de préférence à l’extérieur de l’entreprise
pour éviter que la destruction des données d’origine ne s’accompagne de la
destruction de la copie de sauvegarde en cas d’incendie ou d’inondation ou
que la copie de sauvegarde ne soit volée en même temps que l’ordinateur
contenant les données d’origine. Néanmoins, il est nécessaire d’accorder
une attention particulière à la durée de vie de ces supports.
Avant d’effectuer des sauvegardes sur des plateformes sur Internet

(souvent appelées « cloud » ou « informatique en nuage »), soyez conscient
que ces sites de stockage peuvent être la cible d’attaques informatiques et
que ces solutions impliquent des risques spécifiques :
✓ risques pour la confidentialité des données,

✓ risques juridiques liés à l’incertitude sur la localisation des données,
» risques pour la disponibilité et l’intégrité des données,
✓ risques liés à l’irréversibilité des contrats.
▪ soyez vigilant en prenant connaissance des conditions générales

d’utilisation de ces services. Les contrats proposés dans le cadre des
offres génériques ne couvrent généralement pas ces risques ;

▪ autant que possible, n’hésitez pas à recourir à des spécialistes

techniques et juridiques pour la rédaction des contrats personnalisés
et appropriés aux enjeux de votre entreprise ;
▪ veillez à la confidentialité des données en rendant leur lecture
impossible à des personnes non autorisées en les chiffrant à l’aide
d’un logiciel de chiffrement* avant de les copier dans le « cloud ».
8.5 Sécuriser l’accès WI-FI de votre entreprise
La borne d’accès à Internet (box) de la boutique de Julie est configurée pour

utiliser le chiffrement* WEP. Sans que Julie ne s’en aperçoive, un voisin a
réussi en moins de deux minutes, à l’aide d’un logiciel, à déchiffrer la clé de
connexion. Il a utilisé ce point d’accès Wi-Fi pour participer à une attaque
contre un site Internet gouvernemental. Désormais, Julie est mise en cause
dans l’enquête de police.
L’utilisation du Wi-Fi est une pratique attractive. Il ne faut cependant pas

oublier qu’un Wi-Fi mal sécurisé peut permettre à des personnes
d’intercepter vos données et d’utiliser la connexion Wi-Fi à votre insu pour
réaliser des opérations malveillantes malintentionnées. Pour cette raison
l’accès à Internet par un point d’accès Wi-Fi est à éviter dans le cadre de
l’entreprise : une installation filaire reste plus sécurisée et plus performante.
Le Wi-Fi peut parfois être le seul moyen possible d’accéder à Internet, il

convient dans ce cas de sécuriser l’accès en configurant votre borne d’accès à
Internet. Pour ce faire :
▪ n’hésitez pas à contacter l’assistance technique de votre fournisseur

d’accès*. Les fournisseurs d’accès à Internet vous guident dans cette
configuration en vous proposant différentes étapes, durant lesquelles
vous appliquerez ces recommandations de sécurité :
✓ au moment de la première connexion de votre ordinateur en Wi-
Fi, ouvrez votre navigateur Internet pour configurer votre borne
d’accès. L’interface de configuration s’affiche dès l’ouverture du
navigateur. Dans cette interface, modifiez l’identifiant de
connexion et le mot de passe par défaut qui vous ont été donnés
par votre fournisseur d’accès ;
✓ dans cette même interface de configuration, que vous pouvez
retrouver en tapant l’adresse indiquée par votre fournisseur

d’accès, vérifiez que votre borne dispose du protocole de

chiffrement WPA2 et activez-le. Sinon, utilisez la version WPA-AES
(ne jamais utiliser le chiffrement WEP cassable en quelques
minutes) ;
✓ modifiez la clé de connexion par défaut (qui est souvent affichée
sur l’étiquette de votre borne d’accès à Internet) par une clé (mot
de passe) de plus de 12 caractères de types différents (cf. : 1-
Choisissez des mots de passe robustes) ; » ne divulguez votre clé
de connexion qu’à des tiers de confiance et changez-la
régulièrement ; activez la fonction pare-feu de votre box ;
✓ désactivez votre borne d’accès lorsqu’elle n’est pas utilisée.
▪ n’utilisez pas les Wi-Fi « publics » (réseaux offerts dans les gares, les
aéroports ou les hôtels) pour des raisons de sécurité et de confidentialité
;
▪ assurez-vous que votre ordinateur est bien protégé par un antivirus et un
pare-feu. (Voir aussi Fiche 7 : Protéger ses données lors d’un
déplacement). Si le recours à un service de ce type est la seule solution
disponible (lors d’un déplacement, par exemple), il faut s’abstenir d’y
faire transiter toute donnée personnelle ou confidentielle (en particulier
messages, transactions financières). Enfin, il n’est pas recommandé de
laisser vos clients, fournisseurs ou autres tiers se connecter sur votre
réseau (Wi-Fi ou filaire).
▪ préférez avoir recours à une borne d’accès dédiée si vous devez
absolument fournir un accès tiers. Ne partagez pas votre connexion.
8.6 Être aussi prudent avec son ordiphone (smartphone) ou sa

tablette
Arthur possède un ordiphone qu’il utilise à titre personnel comme
professionnel. Lors de l’installation d’une application, il n’a pas désactivé
l’accès de l’application à ses données personnelles. Désormais, l’éditeur de
l’application peut accéder à tous les SMS présents sur son téléphone.
Bien que proposant des services innovants, les ordiphones (smartphones)
sont aujourd’hui très peu sécurisés. Il est donc indispensable d’appliquer
certaines règles élémentaires de sécurité informatique :
▪ n’installez que les applications nécessaires et vérifiez à quelles données
elles peuvent avoir accès avant de les télécharger (informations
géographiques, contacts, appels téléphoniques…). Certaines applications

demandent l’accès à des données qui ne sont pas nécessaires à leur

fonctionnement, il faut éviter de les installer ;
▪ en plus du code PIN qui protège votre carte téléphonique, utilisez un
schéma ou un mot de passe pour sécuriser l’accès à votre terminal et le
configurer pour qu’il se verrouille automatiquement ;
▪ effectuez des sauvegardes régulières de vos contenus sur un support
externe pour pouvoir les conserver en cas de restauration de votre
appareil dans son état initial ;
▪ ne préenregistrez pas vos mots de passe.
8.7 Protéger ses données lors de ses déplacements

Dans un aéroport, Charles sympathise avec un voyageur prétendant avoir des
connaissances en commun. Lorsque celui-ci lui demande s’il peut utiliser son
ordinateur pour recharger son ordiphone, Charles ne se méfie pas. L’inconnu
en a profité pour exfiltrer les données concernant la mission professionnelle
très confidentielle de Charles.
L’emploi d’ordinateurs portables, d’ordiphones (smartphones) ou de
tablettes facilite les déplacements professionnels ainsi que le transport et
l’échange de données. Voyager avec ces appareils nomades fait cependant
peser des menaces sur des informations sensibles dont le vol ou la perte
auraient des conséquences importantes sur les activités de l’organisation.
Avant de partir en mission
▪ n’utilisez que du matériel (ordinateur, supports amovibles, téléphone)
dédié à la mission, et ne contenant que les données nécessaires ;
▪ sauvegardez ces données, pour les retrouver en cas de perte ;
▪ si vous comptez profiter des trajets pour travailler, emportez un filtre de
protection écran pour votre ordinateur ;
▪ apposez un signe distinctif (comme une pastille de couleur) sur vos
appareils pour vous assurer qu’il n’y a pas eu d’échange pendant le
transport ;
▪ vérifiez que vos mots de passe ne sont pas préenregistrés.
Pendant la mission

▪ gardez vos appareils, supports et fichiers avec vous, pendant votre

voyage comme pendant votre séjour (ne les laissez pas dans un bureau
ou un coffre d’hôtel) ;
▪ désactivez les fonctions Wi-Fi et Bluetooth de vos appareils ;
▪ retirez la carte SIM et la batterie si vous êtes contraint de vous séparer
de votre téléphone ;
▪ informez votre entreprise en cas d’inspection ou de saisie de votre
matériel par des autorités étrangères ;
▪ n’utilisez pas les équipements que l’on vous offre si vous ne pouvez pas
les faire vérifier par un service de sécurité de confiance ;
▪ évitez de connecter vos équipements à des postes qui ne sont pas de
confiance. Par exemple, si vous avez besoin d’échanger des documents
lors d’une présentation commerciale, utilisez une clé USB destinée
uniquement à cet usage et effacez ensuite les données avec un logiciel
d’effacement sécurisé ;
▪ refusez la connexion d’équipements appartenant à des tiers à vos
propres équipements (ordiphone, clé USB, baladeur…)
Après la mission
▪ effacez l’historique des appels et de navigation ;
▪ changez les mots de passe que vous avez utilisés pendant le voyage ;
▪ faites analyser vos équipements après la mission, si vous le pouvez ;
▪ n’utilisez jamais les clés USB qui peuvent vous avoir été offertes lors de
vos déplacements (salons, réunions, voyages…) : très prisées des
attaquants, elles sont susceptibles de contenir des programmes
malveillants.
8.8 Être prudent lors de l’utilisation de sa messagerie

Suite à la réception d’un courriel semblant provenir d’un de ses collègues,
Jean-Louis a cliqué sur un lien présent dans le message. Ce lien était piégé.
Sans que Jean-Louis le sache, son ordinateur est désormais utilisé pour
envoyer des courriels malveillants diffusant des images
pédopornographiques.

Les courriels et leurs pièces jointes jouent souvent un rôle central dans la
réalisation des attaques informatiques (courriels frauduleux, pièces jointes
piégées, etc.).
Lorsque vous recevez des courriels, prenez les précautions suivantes :
▪ l’identité d’un expéditeur n’étant en rien garantie : vérifiez la
cohérence entre l’expéditeur présumé et le contenu du message et
vérifier son identité. En cas de doute, ne pas hésiter à contacter
directement l’émetteur du mail ;
▪ n’ouvrez pas les pièces jointes provenant de destinataires inconnus
ou dont le titre ou le format paraissent incohérents avec les fichiers
que vous envoient habituellement vos contacts ;
▪ si des liens figurent dans un courriel, passez votre souris dessus avant
de cliquer. L’adresse complète du site s’affichera dans la barre d’état
du navigateur située en bas à gauche de la fenêtre (à condition de
l’avoir préalablement activée). Vous pourrez ainsi en vérifier la
cohérence ;
▪ ne répondez jamais par courriel à une demande d’informations
personnelles ou confidentielles (ex : code confidentiel et numéro de
votre carte bancaire). En effet, des courriels circulent aux couleurs
d’institutions comme les Impôts pour récupérer vos données. Il s’agit
d’attaques par hameçonnage ou « phishing » * ;
▪ n’ouvrez pas et ne relayez pas de messages de types chaînes de lettre,
appels à la solidarité, alertes virales, etc. ;
▪ désactivez l’ouverture automatique des documents téléchargés et
lancez une analyse antivirus* avant de les ouvrir afin de vérifier qu’ils
ne contiennent aucune charge virale connue.
8.9 Télécharger ses programmes sur les sites officiels des éditeurs
Emma, voulant se protéger des logiciels espions (spyware), a téléchargé un
logiciel spécialisé proposé par son moteur de recherche. Sans le savoir, elle a
installé un cheval de Troie*.
Si vous téléchargez du contenu numérique sur des sites Internet dont la
confiance n’est pas assurée, vous prenez le risque d’enregistrer sur votre
ordinateur des programmes ne pouvant être mis à jour, qui, le plus souvent,
contiennent des virus ou des chevaux de Troie*. Cela peut permettre à des

personnes malveillantes de prendre le contrôle à distance de votre machine

pour espionner les actions réalisées sur votre ordinateur, voler vos données
personnelles, lancer des attaques, etc.
Dans ce contexte, afin de veiller à la sécurité de votre machine et de vos
données :
▪ téléchargez vos programmes sur les sites de leurs éditeurs ou d’autres
sites de confiance ;
▪ pensez à décocher ou désactiver toutes les cases proposant d’installer
des logiciels complémentaires ;
▪ restez vigilants concernant les liens sponsorisés et réfléchir avant de
cliquer sur des liens ;
▪ désactivez l’ouverture automatique des documents téléchargés et
lancez une analyse antivirus* avant de les ouvrir afin de vérifier qu’ils ne
contiennent aucune charge virale connue.
8.10 Être vigilent lors d’un paiement sur internet

Céline a acheté sur Internet des fournitures de bureau pour son entreprise
sans vérifier l’état de sécurité du site de commerce en ligne. Ce dernier n’était
pas sécurisé. Des attaquants ont intercepté le numéro de carte bancaire de
l’entreprise et ont soutiré 1 000 euros.
Lorsque vous réalisez des achats sur Internet, via votre ordinateur ou votre
ordiphone (smartphone), vos coordonnées bancaires sont susceptibles d’être
interceptées par des attaquants directement sur votre ordinateur ou dans les
fichiers clients du site marchand. Ainsi, avant d’effectuer un paiement en
ligne, il est nécessaire de procéder à des vérifications sur le site Internet :
▪ contrôlez la présence d’un cadenas dans la barre d’adresse ou en bas à
droite de la fenêtre de votre navigateur Internet (remarque : ce cadenas
n’est pas visible sur tous les navigateurs) ;
▪ assurez-vous que la mention « https:// » apparait au début de l’adresse
du site Internet ;
▪ vérifiez l’exactitude de l’adresse du site Internet en prenant garde aux
fautes d’orthographe par exemple.
Si possible, lors d’un achat en ligne :

▪ privilégiez la méthode impliquant l’envoi d’un code de confirmation de la

commande par SMS ;
▪ de manière générale, ne transmettez jamais le code confidentiel de votre
carte bancaire ;
▪ n’hésitez pas à vous rapprocher votre banque pour connaître et utiliser
les moyens sécurisés qu’elle propose.
8.11 Séparer les usages personnels des usages professionnels

Paul rapporte souvent du travail chez lui le soir. Sans qu’il s’en aperçoive son
ordinateur personnel a été attaqué. Grâce aux informations qu’il contenait,
l’attaquant a pu pénétrer le réseau interne de l’entreprise de Paul. Des
informations sensibles ont été volées puis revendues à la concurrence.
Les usages et les mesures de sécurité sont différents sur les équipements de
communication (ordinateur, ordiphone, etc.) personnels et professionnels.
Le AVEC (Apportez Votre Equipement personnel de Communication) ou BYOD
(Bring Your Own Device) est une pratique qui consiste, pour les collaborateurs,
à utiliser leurs équipements personnels (ordinateur, ordiphone, tablette, etc.)
dans un contexte professionnel. Si cette solution est de plus en plus utilisée
aujourd’hui, elle pose des problèmes en matière de sécurité des données (vol
ou perte des appareils, intrusions, manque de contrôle sur l’utilisation des
appareils par les collaborateurs, fuite de données lors du départ du
collaborateur).
Dans ce contexte, il est recommandé de séparer vos usages personnels de vos
usages professionnels :
▪ ne faites pas suivre vos messages électroniques professionnels sur des
services de messagerie utilisés à des fins personnelles ;
▪ n’hébergez pas de données professionnelles sur vos équipements
personnels (clé USB, téléphone, etc.) ou sur des moyens personnels de
stockage en ligne ;
▪ de la même façon, évitez de connecter des supports amovibles
personnels (clés USB, disques durs externes, etc.) aux ordinateurs de
l’entreprise.
Note : Si vous n’appliquez pas ces bonnes pratiques, vous prenez le risque
que des personnes malveillantes volent des informations sensibles de votre

entreprise après avoir réussi à prendre le contrôle de votre machine

personnelle.
8.12 Prendre soins de ses informations personnelles, professionnelles

et de son identité numérique
Alain reçoit un courriel lui proposant de participer à un concours pour gagner
un ordinateur portable. Pour ce faire, il doit transmettre son adresse
électronique. Finalement, Alain n’a pas gagné mais reçoit désormais de
nombreux courriels non désirés.
Les données que vous laissez sur Internet vous échappent instantanément.
Des personnes malveillantes pratiquent l’ingénierie sociale, c’est-à-dire
récoltent vos informations personnelles, le plus souvent frauduleusement et à
votre insu, afin de déduire vos mots de passe, d’accéder à votre système
informatique, voire d’usurper votre identité ou de conduire des activités
d’espionnage industriel.
Dans ce contexte, une grande prudence est conseillée dans la diffusion de vos
informations personnelles sur Internet :
▪ soyez vigilant vis-à-vis des formulaires que vous êtes amenés à remplir :
✓ ne transmettez que les informations strictement nécessaires ;
✓ pensez à décocher les cases qui autoriseraient le site à conserver
ou à partager vos données.
▪ ne donnez accès qu’à un minimum d’informations personnelles et

professionnelles sur les réseaux sociaux, et soyez vigilant lors de vos
interactions avec les autres utilisateurs ;
▪ pensez à régulièrement vérifier vos paramètres de sécurité et de
confidentialité (Cf. Guide de la CNIL sur la sécurité des données
personnelles) ;
▪ enfin, utilisez plusieurs adresses électroniques dédiées à vos différentes
activités sur Internet : une adresse réservée aux activités dites sérieuses
(banques, recherches d’emploi, activité professionnelle…) et une adresse
destinée aux autres services en ligne (forums, jeux concours…).

En résumé
Afin de renforcer efficacement la sécurité de vos équipements
communicants et de vos données, vous pouvez compléter les douze bonnes
pratiques de ce guide par les mesures suivantes :
▪ désignez un correspondant/référent pour la sécurité informatique
dans les entreprises ;
▪ rédigez une charte informatique ;
▪ chiffrez vos données et vos échanges d’information à l’aide de
logiciels de chiffrement* ;
▪ durcissez la configuration de votre poste et utilisez des solutions de
sécurité éprouvées (pares-feux*, antivirus*) ;
▪ avant d’enregistrer des fichiers provenant de supports USB sur votre
ordinateur, faites-les analyser par un antivirus ;
▪ désactivez l’exécution automatique des supports amovibles depuis
votre ordinateur ;
▪ éteignez votre ordinateur pendant les périodes d’inactivité prolongée
(nuit, weekend, vacances,) ;
▪ surveillez et monitorez votre système, notamment en utilisant les
journaux d’événements, pour réagir aux événements suspects
(connexion d’un utilisateur hors de ses horaires habituels, transfert
massif de données vers l’extérieur de l’entreprise, tentatives de
connexion sur un compte non actif,).

Section 9 : Mise en place des solutions techniques (Travaux Pratiques)
TP 1 : WSUS Installation et Configuration Windows Server 2019

TP 2 : Sécurité réseaux informatiques (Cisco Packet Tracer et GNS3)
TP 3 : Sécurité sous linux
TP 4 : Mise en place d’un portail captif Pfsense
TP 5 : Serveur de supervision Nagios
TP 6 : Installation et Configuration de Kali Lunux
TP 7 : Mise en place de la gestion des accès à privilège (PAM)
TP 8 : Mise en place d’un SIEM pour centraliser les logs (OSSIM)

TP 9 : MFA Double Authentification
TP 10 : Mise place d’un système de monitoring des bases de données (DAM)


Cours Securite Système D'Information

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours Securite Système D'Information

Transféré par

Droits d'auteur :

Formats disponibles

COURS SECURITE Youssoupha LAM

L’objectif principal de cette formation est de s’assurer que, dès

Table des matières

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

6.2. Types d’audits............................................................................................................................. 31

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

Objectifs et structure de la formation

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

Section 1 : Les fondamentaux de la sécurité du système d’information

La présente section fournit des informations qui aideront les étudiants à

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

Système d’information et la sécurité de l’information

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

▪ La confidentialité : propriété selon laquelle l'information n'est pas

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

La définition du risque SSI et ses propriétés spécifiques

Absence de bonne attribution des responsabilités en

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

2.2. Les types de menaces

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

3. La relation entre vulnérabilité et menace

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

▪ Risque résiduel : est défini comme un risque substituant après le

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

▪ Evaluation du risque : processus de comparaison des résultats de

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

Section 2 : Les objectif et les mesures de sécurité

2.3. Les natures de mesures de sécurités

Note : Une mesure administrative est liée à la structure de l’organisme comme

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

2.4. Classement de mesures

Les mesures sont classées par catégorie :

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

Section 3 : Les cadres normatifs et réglementaires

3.1. La famille ISO 27000

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

▪ ISO/IEC 27004 : Lignes directrices pour définir les objectifs de mise en

3.2. Les normes métiers, les réglementions et les organismes de

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

d’expérience. Il réunit en parfaite équité au sein de 2 collèges, offreurs et

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

Section 4 : Gestion des risques

Un organisme souhaitant se conformer à ISO 27001 doit au moins :

4.1. Appréciation du risque

L’organisme doit définir et appliquer les processus d’appréciation des risques

4.2. Analyse de risque

L’analyse de risque a pour objectif de déterminer le niveau de risque.

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

▪ Quantitatives : en utilisant une échelle avec des valeurs numériques

4.3. Processus de traitement de risque

Comme le montre la figure ci-dessus, le processus de management du risque

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

L’efficacité du traitement du risque dépend en partie de la juste appréciation

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

Section 5 : La politique de sécurité et sensibilisation

5.1. Objectifs de la politique de sécurité

5.2. Les types de politiques

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

niveau acceptable pour celui-ci les conséquences potentielles des

Youssoupha LAM : Ingénieur en Système d’information et Conduite de Projets Informatiques

5.3. Modèle de politique de sécurité