Académique Documents
Professionnel Documents
Culture Documents
Ingénieur en
SYSTÈME Système
d’Information et
D’INFORMATION Conduite de
Projets
Informatiques
Objectif général
L’objectif principal de cette formation est de s’assurer que, dès la fin de la
formation, que les participants ont acquis des connaissances et l’expertise
nécessaires pour mettre en œuvre l’ensemble des actions et des solutions
permettant d'assurer la sécurité du système d’information d’une organisation.
Objectifs apprentissages
▪ Maitriser les concepts, les approches, les méthodes et les techniques
nécessaire pour assurer la sécurité des systèmes d’information.
▪ Comprendre la corrélation entre ISO 27000, 27001, 27002, 27003, 27004
et 27005 ainsi que d’autres normes et cadre réglementaires.
▪ Comprendre les processus d’analyse et de traitement de risques.
▪ Être en mesure de mener des audits et de sensibiliser les utilisateurs.
▪ Maitriser les couts alloués à la sécurité des systèmes d’information.
▪ Maitre en place des solutions optimales pour assurer la sécurité des SI.
▪ Formuler des recommandations pour accompagner un organisme à
mettre en œuvre, gérer, surveiller et maintenir la sécurité des SI.
Approche éducative
CONTENU DU COURS
CONTENU DU COURS
Information et actif
Information : données porteuses de sens.
Actif : item, chose ou entité qui a une valeur potentielle ou réelle pour un
organisme.
Il existe plusieurs types d’actifs, par exemple :
• Information
• Logiciel, comme un programme d’ordinateur
• Actifs physiques, comme un ordinateur
• Personnes et leurs qualifications et compétences
• Services
• Actifs intangibles, comme la réputation et l’image.
Identification des actifs : il existe deux types d’actif :
▪ Actifs primordiaux : désignent ceux qui contribuent aux processus
d’analyse des risques tels que les processus (métier et support) et les
informations.
▪ Actifs en support : comprennent la matériel informatique, les logiciels, le
réseau informatique, le personnel, le site et la structure
organisationnelle.
1. La vulnérabilité
1.1. Définition
Une vulnérabilité est définie comme une faille dans un actif ou dans une
mesure de sécurité qui peut être exploitée par une ou plusieurs menaces.
Les vulnérabilités qui n’ont pas de menace correspondante peuvent ne pas
nécessiter de mesure, mais doivent être reconnues et surveillées pour détecter
des changements.
Les mesures qui ne sont pas mises en œuvre correctement ou qui fonctionnent
mal pourraient devenir des vulnérabilités.
1.2. Les types de vulnérabilité
Ce tableau ci-dessous décrit les types de vulnérabilité associé à des exemples
Les type de vulnérabilités Les exemples de vulnérabilités
Maintenance insuffisante/mauvaise installation des
Matériel informatique supports de stockage
Absence de programmes de remplacement périodique
Tests de logiciel absent ou insuffisants
Logiciels Interface utilisateur compliquée
Voies de communications non protégées
Réseau Point de défaillance unique
Formation insuffisante à la sécurité
Personnel
Travail non surveillé d’une équipe extérieur ou d’une
équipe d’entretient
Réseau électrique instable
Site
Emplacement situé dans une zone sujette aux inondations
2. Les menaces
2.1. Définition
Une menace est définie comme une cause potentielle d'un incident
indésirable, qui peut nuire à un système ou à un organisme.
Une menace est susceptible d’endommager les actifs tels que des
informations, des processus, et des systèmes, et par conséquent, des
organismes.
Les menaces peuvent être d’origine naturelle ou humaine et peuvent être
accidentelle ou délibérée.
Types Menaces
Incendie
Dommage physique Dégâts des aux
Phénomène volcanique
Catastrophe naturelle Inondations
Panne du système de climatisation ou d’alimentation en
Pertes de services essentiels eau
Perte de la source d’alimentation en électricité
Rayonnements électromagnétiques
Perturbation due à des rayonnements
Rayonnements thermiques
Piégeage de matériel
Compromission d’informations
Vol de supports ou documents
Panne de matériel
Défaillances techniques Dysfonctionnement du logiciel
Utilisation non autorisée du matériel
Actions non autorisées
Corruption de données
Erreur d’utilisation
Compromission des fonctions Abus de droit
Vulnérabilités Menaces
Entrepôt non protégé et sans Vol
surveillance
Procédures compliquées de Erreur d’entrée des données par le
traitement des données personnel
Pas de séparation des taches Fraude, utilisation non autorisée du
système
Données non chiffrées Vol de données
Utilisation de logiciels piratés Poursuite judiciaire, virus
Pas de revue des droits d’accès Accès non autorisés par des
personnes qui ont quitté l’organisme
Pas de procédure de sauvegarde Pertes d’informations
4. Les impacts
L’impact d’un risque se qualifie principalement selon les trois critères : la
disponibilité, la confidentialité et l’intégrité
Exemples d’impacts sur la Exemples d’impacts sur la Exemples d’impacts sur
disponibilité confidentialité l’intégrité
• Dégradation de la • Atteinte à la vie privée • Changement accidentel
performance des utilisateurs ou des • Changement délibéré
• Interruption du clients • Résultats incorrects
service • Atteinte à la vie privée • Résultats incomplets
• Indisponibilité du des employés • Pertes de données
service • Fuite d’information
• Interruption des confidentielle
opération
5. Les risques
Le risque est défini comme effet de l’incertitudes sur les objectifs.
Le risque lié à la sécurité de l’information est associé à la possibilité que les
menaces exploitent les vulnérabilités d’un actif ou d’un groupe d’actifs
informationnels et nuisent donc à un organisme.
Un risque est souvent exprimé en termes de combinaison des conséquences
d’un évènement (incluant des changements de circonstances) et de sa
vraisemblance
2.2. Mesure
• Mesure qui modifie le risque.
• Les mesures de sécurité comprennent tous les processus, politiques,
dispositifs, pratiques ou autres actions qui modifient un risque.
• Une mesure de sécurité est aussi appelée contre-mesure, dispositif de
sécurité.
La famille de normes ISO 27000, qui existe depuis 2005 est dédié à la sécurité
de l’information.
Les normes de la série ISO 27000 sont les suivantes :
▪ ISO/IEC 27000 : Introduit les concepts de base ainsi que le vocabulaire
qui s’applique au développement de système de management de la
sécurité de l’information
▪ ISO/IEC 27001 : Définit les exigences du système de management de la
sécurité de l’information (SMSI) et fournit un ensemble de mesures de
sécurité de référence dans son Annexe A
▪ ISO/IEC 27002 (remplace ISO/IEC 17799) : Code de bonnes pratiques
pour le management de la sécurité de l’information. Fournit les objectifs
et les lignes directrices de mise en œuvre des mesures de sécurité
annoncées à l'Annexe A de la norme ISO/IEC 27001
▪ ISO/IEC 27003 : Lignes directrices pour la mise en œuvre ou la mise en
place d’un système de management de la sécurité de l’information
validation politique démontre que cette étape peut être longue selon
l’envergure de l’organisation, de sa structure organisationnelle et la
diversité des intervenants impliqués. La prise en compte de ces
éléments à une incidence directe sur les délais de validation qui peuvent
représenter une proposition allant d’un à six fois le temps pris pour
l’élaboration de la politique elle-même.
Il convient que ces politiques soient communiquées aux salariés et aux tiers
concernés sous une forme pertinente, accessible et compréhensible par leurs
destinataires, par exemple dans le contexte d’un « programme
d’apprentissage, de formation et de sensibilisation à la sécurité de
l’information » ISO 27001
Pour y parvenir, il convient que l’organisation prépare un plan de
communication avant la publication de la politique. Le plan de communication
de la politique consiste à assurer la propagation de celle-ci à du personnel de
l’organisation. Une méthode ordonnée de diffusion de la politique de sécurité
doit être suivie afin efficacement tous les employés et de que chacun a compris
et accepte ses responsabilités face à cette politique.
Il est préférable la communication de la politique par la publication lettre
officielle de la direction. Cette lettre devrait démontrer le soutien et de la
direction en ce qui concerne la sécurité de dans tout l’organisme.
Il convient que la politique de sécurité l’information soit également incluse en
tant qu’élément à couvrir dans le programme de sensibilisation des employés à
la sécurité de l’information.
6.1. Définition
L’audit est un exercice basé sur des faits. Cette évaluation met en évidence les
forces et les faiblesses de l’organisation ou du système audité. Les résultats de
l’audit sont communiqués à la direction qui prendra alors les mesures
nécessaires et appropriées. L’audit est une activité qui a été établie de longue
date et est bien respectée dans le domaine comptable. Les mêmes principes et
techniques de base aux audits de système de management.
1. Audit interne :
L'audit interne, parfois appelé audit de première partie, est une activité
indépendante et objective qui donne à un organisme une assurance sur le
degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer,
et contribue à créer de la valeur ajoutée. Les audits internes, sont réalisés par,
ou pour le compte de, lui-même, pour la revue de direction et les autres
besoins internes. L’impartialité de la démarche doit être démontrée par de
responsabilités à de à auditer.
2. Les audits externes comprennent les audits appelés audits de seconde et
de tierce parties.
▪ Audit de seconde partie : Les audits de seconde partie sont
réalisés par des parties ayant un intérêt à l’égard de
l’organisme audité, comme les clients, ou d’autres
personnes agissant en leur nom.
▪ Audit de tierce partie : Les audits de tierce partie sont
réalisés par des organismes externes et indépendants tels
que les organismes qui octroient ou la certification de
conformité de systèmes de management.
7.1. Définition
Le PCA
Le PSI
7.2.1. Prérequis
▪ Nommer un responsable
Si cela n’a pas encore été fait, il convient de commencer par inventorier les
données à protéger, puis d’en évaluer la valeur. Dans un premier temps,
commencez par recenser les données internes à l’entreprise : messagerie
électronique (courriels, contacts, calendriers), fichiers, données des logiciels
(fichier client, comptabilité gestion…), parc informatique, etc.
Information basique : Elle est utile, mais n’est pas prioritaire en matière de
préservation et de restauration de l’information.
Mais avant de mettre en place ces mesures, l’entreprise doit d’abord statuer
sur 2 questions :
Mesures curatives
Ces mesures sont nécessaires car aucune mesure préventive n’est efficace à
100%. Elles interviennent lorsqu’un sinistre survient.
Réalisé par le biais d’un partenariat entre l’Agence Nationale de Sécurité des
Systèmes d’Information (ANSSI) et la CPME, ce guide a pour objectif de vous
informer sur les risques et les moyens de vous en prémunir en acquérant des
réflexes simples pour sécuriser votre usage de l’informatique. Chaque règle ou
« bonne pratique » est accompagnée d’un exemple inspiré de faits réels
auxquels l’ANSSI a été confrontée.
Deux méthodes simples peuvent vous aider à définir vos mots de passe :
• La méthode phonétique : « J’ai acheté 5 CDs pour cent euros cet après-
midi » : ght5CDs%E7am ;
• La méthode des premières lettres : « Allons enfants de la patrie, le jour
de gloire est arrivé » : aE2lP,lJ2Géa ! Définissez un mot de passe unique
pour chaque service sensible.
En entreprise :
Au sein de l’entreprise :
Pour sauvegarder vos données, vous pouvez utiliser des supports externes
tels qu’un disque dur externe réservé exclusivement à cet usage, ou, à
défaut, un CD ou un DVD enregistrable que vous rangerez ensuite dans un
lieu éloigné de votre ordinateur, de préférence à l’extérieur de l’entreprise
pour éviter que la destruction des données d’origine ne s’accompagne de la
destruction de la copie de sauvegarde en cas d’incendie ou d’inondation ou
que la copie de sauvegarde ne soit volée en même temps que l’ordinateur
contenant les données d’origine. Néanmoins, il est nécessaire d’accorder
une attention particulière à la durée de vie de ces supports.
▪ n’utilisez pas les Wi-Fi « publics » (réseaux offerts dans les gares, les
aéroports ou les hôtels) pour des raisons de sécurité et de confidentialité
;
▪ assurez-vous que votre ordinateur est bien protégé par un antivirus et un
pare-feu. (Voir aussi Fiche 7 : Protéger ses données lors d’un
déplacement). Si le recours à un service de ce type est la seule solution
disponible (lors d’un déplacement, par exemple), il faut s’abstenir d’y
faire transiter toute donnée personnelle ou confidentielle (en particulier
messages, transactions financières). Enfin, il n’est pas recommandé de
laisser vos clients, fournisseurs ou autres tiers se connecter sur votre
réseau (Wi-Fi ou filaire).
▪ préférez avoir recours à une borne d’accès dédiée si vous devez
absolument fournir un accès tiers. Ne partagez pas votre connexion.
Pendant la mission
Après la mission
▪ effacez l’historique des appels et de navigation ;
▪ changez les mots de passe que vous avez utilisés pendant le voyage ;
▪ faites analyser vos équipements après la mission, si vous le pouvez ;
▪ n’utilisez jamais les clés USB qui peuvent vous avoir été offertes lors de
vos déplacements (salons, réunions, voyages…) : très prisées des
attaquants, elles sont susceptibles de contenir des programmes
malveillants.
Les courriels et leurs pièces jointes jouent souvent un rôle central dans la
réalisation des attaques informatiques (courriels frauduleux, pièces jointes
piégées, etc.).
Lorsque vous recevez des courriels, prenez les précautions suivantes :
▪ l’identité d’un expéditeur n’étant en rien garantie : vérifiez la
cohérence entre l’expéditeur présumé et le contenu du message et
vérifier son identité. En cas de doute, ne pas hésiter à contacter
directement l’émetteur du mail ;
▪ n’ouvrez pas les pièces jointes provenant de destinataires inconnus
ou dont le titre ou le format paraissent incohérents avec les fichiers
que vous envoient habituellement vos contacts ;
▪ si des liens figurent dans un courriel, passez votre souris dessus avant
de cliquer. L’adresse complète du site s’affichera dans la barre d’état
du navigateur située en bas à gauche de la fenêtre (à condition de
l’avoir préalablement activée). Vous pourrez ainsi en vérifier la
cohérence ;
▪ ne répondez jamais par courriel à une demande d’informations
personnelles ou confidentielles (ex : code confidentiel et numéro de
votre carte bancaire). En effet, des courriels circulent aux couleurs
d’institutions comme les Impôts pour récupérer vos données. Il s’agit
d’attaques par hameçonnage ou « phishing » * ;
▪ n’ouvrez pas et ne relayez pas de messages de types chaînes de lettre,
appels à la solidarité, alertes virales, etc. ;
▪ désactivez l’ouverture automatique des documents téléchargés et
lancez une analyse antivirus* avant de les ouvrir afin de vérifier qu’ils
ne contiennent aucune charge virale connue.
8.9 Télécharger ses programmes sur les sites officiels des éditeurs
Emma, voulant se protéger des logiciels espions (spyware), a téléchargé un
logiciel spécialisé proposé par son moteur de recherche. Sans le savoir, elle a
installé un cheval de Troie*.
Si vous téléchargez du contenu numérique sur des sites Internet dont la
confiance n’est pas assurée, vous prenez le risque d’enregistrer sur votre
ordinateur des programmes ne pouvant être mis à jour, qui, le plus souvent,
contiennent des virus ou des chevaux de Troie*. Cela peut permettre à des
En résumé
Afin de renforcer efficacement la sécurité de vos équipements
communicants et de vos données, vous pouvez compléter les douze bonnes
pratiques de ce guide par les mesures suivantes :
▪ désignez un correspondant/référent pour la sécurité informatique
dans les entreprises ;
▪ rédigez une charte informatique ;
▪ chiffrez vos données et vos échanges d’information à l’aide de
logiciels de chiffrement* ;
▪ durcissez la configuration de votre poste et utilisez des solutions de
sécurité éprouvées (pares-feux*, antivirus*) ;
▪ avant d’enregistrer des fichiers provenant de supports USB sur votre
ordinateur, faites-les analyser par un antivirus ;
▪ désactivez l’exécution automatique des supports amovibles depuis
votre ordinateur ;
▪ éteignez votre ordinateur pendant les périodes d’inactivité prolongée
(nuit, weekend, vacances,) ;
▪ surveillez et monitorez votre système, notamment en utilisant les
journaux d’événements, pour réagir aux événements suspects
(connexion d’un utilisateur hors de ses horaires habituels, transfert
massif de données vers l’extérieur de l’entreprise, tentatives de
connexion sur un compte non actif,).