Risques Opérationnels Et Sécurité Des Systèmes D'information 2 Février ...

R.I.
B
International
Réseau International d’Intelligence Bancaire
International Network of Banking Intelligence
R.I.B International / Département Afrique Bâtir un nouvel ordre bancaire international
RISQUES OPERATIONNELS ET
SECURITE DES SI DANS LA BANQUE
Par
Jean Marcial KOFFI
Expert-Consultant en
Audit des systèmes d’information Bancaire.
Membre de l’AFAI et de l’ISACA
Du 16 au 17 Aout 2021
A l’hôtel 2 février.
République du TOGO
BIENVENUE
LOGISTIQUE
Vos questions sont les

Pause en milieu de bienvenues.
session N’hésitez pas !
Feuille d’évaluation à
remettre remplie en fin USB
de session
Merci d’éteindre
Commodités vos téléphones
LA SECURITE INFORMATIQUE
LA SÉCURITÉ DU SYSTÈME
D’INFORMATION
AGENDA
Partie 1 Introduction à la sécurité

Partie 2 Les concepts clés de la sécurité informatique
bancaire
Partie 3 La maîtrise des aspects législatifs et réglementaires
de la sécurité
Partie 4 Evaluer la sécurité du système d’information
bancaire pour réduire les risques
Partie 5 Analyser le niveau de sécurité de la banque
Partie 6 Comment réduire les risques
Partie 7 Organiser la sécurité informatique
AGENDA
Partie 8 Assurer la continuité de service

Partie 9 Maintenir la continuité d’exploitation
Partie 10 Délimiter la sécurité logique et réseaux
Partie 11 Connaître les techniques d’attaques et de piratage
des banques
Partie 12 Sécurité des réseaux et d’internet
Partie 13 Mettre en œuvre la sécurité des systèmes
d’exploitation
partie 14 Mettre en œuvre la sécurité des bases de données
AGENDA

Partie 2 Les concepts clés de la sécurité informatique bancaire
de la sécurité
Partie 4 Evaluer la sécurité du système d’information bancaire
pour réduire les risques
INTRODUCTION À LA
SÉCURITÉ
LA SÉCURITÉ DES
SYSTÈMES D’INFORMATION
BANCAIRES
LA SÉCURITÉ DES
BANCAIRES:
EXERCICES
EXERCICE N°1
Lequel des éléments suivants représente la préoccupation la PLUS

fréquente pour un auditeur des SI concernant les journaux?
1. Les journaux peuvent être vérifiés uniquement par les

administrateurs.
2. La collecte et la révision des journaux nécessite des outils
spéciaux.
3. Une copie de secours des journaux ne se fait habituellement
pas de façon régulière.
4. Les journaux sont recueillis, mais pas analysés
EXERCICE N°1: Réponse
Un des problèmes les plus fréquents à propos des journaux

d’audit est qu’ils sont recueillis sans être analysés. Dans la
plupart des circonstances, les journaux d’audit sont révisés
seulement en cas d’incident, d’erreur ou d’exception.
Les options 1, 2 et 3 constituent des préoccupations valides, mais

ne représentent pas le problème le plus fréquent.
EXERCICE N°2
Le directeur des TI d’une banque a approuvé l’installation d’un point

d’accès au réseau local sans fil (WLAN) dans une salle de
conférence pour permettre à une équipe de consultants d’accéder à
Internet avec leur ordinateur portatif. Le meilleur contrôle pour
protéger les serveurs de la banque d’un accès non autorisé est de
s’assurer que:
1. Le chiffrement est activé au point d’accès.
2. Le réseau de la salle de conférence est sur un LAN virtuel
(VLAN) séparé.
3. Les signatures antivirus et correctifs des ordinateurs portatifs des
consultants sont à jour.
4. Les ID utilisateurs par défaut sont désactivés et des mots de
passe forts sont instaurés sur les serveurs de la banque.
L’installation du périphérique de réseau sans fil présente des

risques pour les serveurs de la banque de la part d’utilisateurs
autorisés et non autorisés. Activer le chiffrement est une bonne
idée pour prévenir l’accès non autorisé au réseau mais, les
consultants n’accéderont pas au réseau. Un VLAN séparé
représente la meilleure solution, puisqu’il fait en sorte que les
utilisateurs, autorisés ou non, n’auront pas accès aux serveurs de
bases de données par l’entremise du réseau, tout en permettant
aux utilisateurs autorisés d’accéder à internet . Les signatures
antivirus et les correctifs représentent de bonnes pratiques, mais pas
aussi essentielles que de prévenir l’accès au réseau en implantant des
contrôles d’accès pour les serveurs de la banque.
Les options 3 et 4 sont importants, mais ne sont pas prioritaires
EXERCICE N°3
Laquelle des options suivantes constitue le meilleur moyen de

minimiser l’accès non autorisé à l’ordinateur d’un utilisateur laissé
sans surveillance?
1. L’utilisation d’un économiseur d’écran protégé par un mot de

passe.
2. Utiliser la fermeture de session automatique quand un utilisateur
quitte le système
3. Mettre fin à la session de l’utilisateur à intervalles prédéfinis
4. Eteindre le moniteur pour qu’il n’y ait rien à l’écran.
Un économiseur d’écran protégé par mot de passe

apparaissant après un intervalle de temps adéquat est un
meilleur moyen de prévenir l’accès non autorisé à un système
laissé sans surveillance par l’utilisateur final.
Les options 2 et 3 seraient appropriées pour des applications

orientées session, mais ne s’appliquent pas à un ordinateur.
Eteindre le moniteur n’est pas une solution puisqu’il pourrait
facilement être rallumé.
LA SÉCURITÉ DES
BANCAIRES:
Questions pour chaque
Participant
• Questions pour chaque participant
Séminaire de formation à la BFA

QUESTION POUR CHAQUE PARTICIPANT
1. Les objectifs de sécurité informatique pour votre

établissement ont-ils été définis et formalisés par écrit ? Si
oui, ont-ils été communiqués à l’ensemble du personnel?
2. La fonction de responsable de la sécurité du système

d'information (RSSI) a-t-il été attribué dans votre
établissement à vous ou à un de vos collègues?
ET POUR COMMENCER
ET POUR COMMENCER
Tout dirigeant d'établissement financier, conscient des

problèmes posés par la sécurité de son système d'information,
devrait être en mesure de répondre précisément aux cinq
questions suivantes :
1. Avez-vous défini et formalisé par écrit les objectifs de sécurité

informatique pour votre établissement ? Les avez-vous
communiqués à vos collaborateurs ?
2. Avez-vous attribué à un collaborateur direct la fonction de
responsable de la sécurité du système d'information (RSSI) de
votre établissement ?
3. Avez-vous déterminé vos vulnérabilités informatiques et évalué
les pertes financières (directes ou indirectes) qu'elles pourraient
occasionner ?
ET POUR COMMENCER
4. Connaissez-vous votre "risque maximal tolérable" (RMT),

calculé comme une proportion de vos fonds propres que
vous "acceptez de perdre" à la suite d'un sinistre touchant
votre système d'information ? Autrement dit : quelle est la
limite maximale de perte que vous avez fixée pour ne pas
remettre en cause la pérennité de votre établissement ?
5. En cas d'indisponibilité durable de votre système

informatique, par exemple aujourd'hui, savez-vous dans quel
délai vos services pourraient reprendre une activité normale
?
AGENDA

Partie 2 Les concepts clés de la sécurité informatique
bancaire
de la sécurité
LES CONCEPTS CLES DE LA

SÉCURITÉ INFORMATIQUE
LES FACTEURS DE SÉCURITÉ: Définition
La sécurité des systèmes d'information repose sur quatre facteurs

définis de la façon suivante:
Disponibilité: Information au bon moment

Intégrité: Information correcte
Confidentialité: Information pour la personne accrédité
Auditabilité/Preuve et contrôle/Imputabilité
• Preuve de la délivrance et de la qualité de l’information
• Etendu à Authentification (preuve d’une identité)
LES FACTEURS DE SÉCURITÉ: Explication
• Disponibilité(D): Aptitude des systèmes à remplir une fonction

dans des conditions prédéfinies d'horaires, de délais, de
performances.
• Intégrité(I): Propriété qui assure que des informations sont

identiques en deux points, dans le temps et dans l'espace.
• Confidentialité(C): Propriété qui assure la tenue secrète des

informations avec accès aux seules entités autorisées.
• Contrôle et preuve(P): Faculté de vérifier le bon déroulement

d'une fonction. Non répudiation : impossibilité pour une entité
de nier avoir reçu ou émis un message."
LES EXIGENCES DES

FACTEURS DE LA SÉCURITÉ
INFORMATIQUE
LES EXIGENCES DES FACTEURS DE SÉCURITÉ
Les définitions des facteurs de sécurité recouvrent les

exigences suivantes :
Disponibilité (D)
• Garantir la continuité du service.
• Assurer les objectifs de performances (temps de réponse).
• Respecter les dates et heures limites des traitements.
Intégrité (I)
• Garantir :
 l'exhaustivité,
 l'exactitude,
 la validité de l'information.
 Eviter la modification, par erreur, de l'information.
LES EXIGENCES DES FACTEURS DE SÉCURITÉ
Confidentialité (C)
• Réserver l'accès aux données d'un système par les seuls
utilisateurs habilités (authentification),en fonction de la
classification des données et du niveau d'habilitation des
utilisateurs.
• Garantir le secret des données échangées par deux
correspondants, sous forme de message ou de fichiers.
Possibilité de contrôle et de preuve (P)

• Garantir la possibilité de reconstituer un traitement à tous les
niveaux (logique de programmation, déroulement du traitement,
forme des résultats) à des fins de contrôle ou de preuve
ILLUSTRATION DES FACTEURS

DE SÉCURITÉ
ILLUSTRATION DES FACTEURS DE SÉCURITÉ
FLUX TRAITEMENTS DONNEES

Garantie de la Garantie de la Garantie de la
continuité des continuité de disponibilité
échanges service des traitements. prévue pour l'accès
d'informations aux données (délais et
horaires).
Disposer, chaque fois Disposer des ressources Disposer de l'accès aux

DISPONIBILITÉ que le besoin existe, en matériels et logiciels données, chaque fois
des possibilités de nécessaires à l'ensemble que le besoin existe,
réception ou de des services, des agences dans les conditions de
transfert, aussi bien à et à la clientèle extérieure performances définies
partir du réseau au contrat de service,
informatique que sur entre l'utilisateur et
d'autres supports. l'exploitant.

Garantie de fiabilité Assurance de Garantie d'exactitude
et d'exhaustivité des conformité de et d'exhaustivité des
échanges l'algorithme des données vis-à-vis
INTÉGRITÉ d'informations. traitements automatisés d'erreurs de
ou non par rapport aux manipulation ou
Faire en sorte que les spécifications. d'usages non autorisés.
données soient reçues
comme elles ont Obtenir des résultats Disposer de données
été émises et avoir les complets et fiables quel dont l'exactitude, la
moyens de le vérifier. que soit le processus. fraîcheur et l'exhaustivité
sont reconnues.

Protection des Protection des Protection des données
échanges algorithmes dont l'accès ou l'usage
d'informations dont décrivant les règles de par des tiers non
la divulgation ou gestion et les résultats autorisés porterait
l'accès par des tiers dont la divulgation à un préjudice.
CONFIDENTIALITÉ non autorisés tiers non autorisé
porterait préjudice. porterait préjudice.
Protéger au mieux les Protéger le savoir-faire et Donner l'accès aux seules

échanges effectués les modalités de personnes habilitées par
par l'intermédiaire du fonctionnement des procédures
réseau ou tout autre organisationnelles
mode de transport de et informatiques.
l'information.
Authentifier les
utilisateurs habilités.
LES FACTEURS DE SÉCURITÉ: illustration
Garantie de ne Garantie de pouvoir à Garantie de pouvoir à
pouvoir nier tout moment tout moment
avoir émis ou reçu reconstituer le reconstituer la donnée
un flux et possibilité déroulement d'un et de ne pouvoir nier
de reconstituer le traitement et de ne l'accès à la donnée.
POSSIBILITÉ DE flux. pouvoir nier la réception
CONTRÔLE ET DE des résultats.
PREUVE
Pouvoir apporter la Avoir la possibilité de Assurer la possibilité de
preuve de la vérifier pas à pas le reconstituer une donnée
réception du message déroulement du et de retrouver la trace de
(logs, authentifiant, traitement et prouver la son utilisation.
accusés de remise des résultats.
réception...) et
pouvoir relancer le
message.
AGENDA

de la sécurité
LA MAÎTRISE DES ASPECTS

LÉGISLATIFS ET
RÉGLEMENTAIRES DE LA
SÉCURITÉ
LA MAÎTRISE DES ASPECTS LÉGISLATIFS ET RÉGLEMENTAIRES
Définition
Les modalités de traitement, de circulation et de stockage de

l'information font courir à l'établissement de crédit des risques
juridiques divers. L'étude des aspects juridiques fait donc aussi partie
des risques pesant sur les systèmes d'information.
Du fait d'un comportement volontaire ou laxiste de ses dirigeants ou

de son personnel, une entreprise court le risque de se trouver en
contravention avec les lois régissant la sécurité de l'information,
d'être poursuivie par un tiers (client, fournisseur, concurrent, ...) et
condamnée à de lourdes peines.
Bien que ces peines se traduisent essentiellement par des
amendes infligées à la Société personne morale, la jurisprudence
fait de plus en plus souvent état de condamnations (amendes,
prison) infligées à des personnes physiques : PDG, mais aussi
personnel(s) coupable(s) de l'infraction.
Le risque de réputation porté à l'image de l'entreprise est également à

prendre en considération.
Les risques juridiques peuvent se classer en deux grandes catégories :
-ceux relatifs aux obligations légales permanentes (respect du secret

bancaire, ...),
- ceux consécutifs au comportement indélicat de membres du

personnel de l'établissement (fraude informatique, intrusion dans des
systèmes externes, espionnage, piratage de logiciels du commerce,
création de virus, ...).
Parades
La seule parade consiste à connaître les lois, la reglémentation, et à

les faire respecter dans l'entreprise ; Toutefois, l'esprit et les grandes
lignes des principales d'entre elles sont rappelés ci-dessous :
Toutes les organisations amenées à effectuer des traitements sur des

données personnelles de citoyens européens sont concernées,
incluant les collectivités territoriales. Un petit peu de vocabulaire
pour comprendre la suite :
• L’organisation qui collecte et traite les données personnelles est «

responsable du traitement »
• Une donnée à caractère personnel désigne toute information
relative à une personne physique identifiée ou qui peut être
identifiée, directement ou indirectement, par référence à un
numéro d’identification ou à un ou plusieurs éléments qui lui sont
propres. Exemples : nom de famille, numéro de téléphone,
adresse IP, photo, etc.
• Un traitement : toute opération, quel que soit le procédé utilisé
et notamment la collecte, l’enregistrement, l’organisation, la
conservation, l’adaptation, l’extraction, la consultation,
l’utilisation, la communication, la diffusion, le rapprochement, le
verrouillage, l’effacement ou la destruction. Exemples : un
formulaire, un nouveau logiciel de gestion, un tableur, etc.
Cinq grands principes concernant les traitements doivent être

respectés :
• Le principe de finalité : les données à caractère personnel ne

peuvent être recueillies et traitées que pour un usage déterminé et
légitime.
• Le principe de proportionnalité et de pertinence des données :

seules doivent être traitées les informations pertinentes et
nécessaires au regard des objectifs poursuivis.
• Le principe d’une durée de conservation des données limitée : les

informations ne peuvent être conservées de façon indéfinie dans les
fichiers informatiques. Une durée de conservation précise doit être
déterminée en fonction de la finalité de chaque fichier.
• Le principe de sécurité et de confidentialité des données : le

responsable de traitement est astreint à une obligation de sécurité : il
doit prendre les mesures nécessaires pour garantir la confidentialité des
données et éviter leur divulgation à des tiers non autorisés et éviter la
perte d’intégrité des données.
• Le principe du respect des droits des personnes : information des

personnes, droits d’accès et de rectification, droit d’opposition.
AGENDA

de la sécurité
Partie 4 Evaluer la sécurité du système d’information
bancaire pour réduire les risques
EVALUER LA SÉCURITÉ DU
SYSTÈME D’INFORMATION
BANCAIRE POUR
RÉDUIRE LES RISQUES
LE RISQUE INFORMATIQUE
LE RISQUE INFORMATIQUE:
Définition
LE RISQUE INFORMATIQUE: Définition
De nombreuses définitions existent qui combinent :
 Vulnérabilité: Faiblesse du système d’information

 Menace: Ce qu’on craint
 Risque: Danger plus ou moins probable émanant d’une
menace et résultant d’une vulnérabilité
Risque = « quelque chose comme » Vulnérabilité X Menace

GRAVITE D’UN SINISTRE:

Définition
GRAVITE D’UN SINISTRE : Définition
 Potentialité: Exprime l’éventualité qu’un scénario déterminé

survienne
 Impact: Mesure les conséquences d’un sinistre
Impact et Potentialité caractérisent un sinistre et permettent

d’apprécier en fonction de l’un et l’autre sa Gravité
LE RISQUE INFORMATIQUE:
Origine et Tendances
RISQUE INFORMATIQUE: Origine
Origine Bernoulli
"Le risque est l'espérance mathématique d'une fonction de

probabilité d'événements". En termes plus simples, il s'agit de la
valeur moyenne des conséquences d'événements affectés de leur
probabilité d'occurrence. Ainsi, un événement e1 a une probabilité
d'occurrence p1 avec une conséquence probable C1; de même un
événement en aura une probabilité pn et une conséquence Cn, alors
le risque vaudra R = p1.C1 + p2.C2 + ... + pn.Cn.
Un produit pi.Ci est appelé valeur de l'aléa i.

Origine IFACI
• Risque : possibilité que se produise un événement qui aura un

impact sur la réalisation des objectifs. Le risque se mesure en
termes de conséquences et de probabilité.
• Cartographie des risques : positionnement des risques majeurs
selon différents axes tels que l’impact potentiel, la probabilité
de survenance ou le niveau actuel de maîtrise des risques.
Son objectif est de permettre d’orienter le plan d’audit interne et
d’aider le management à prendre en compte la dimension risque
dans son pilotage interne
Deux tendances principales se dégagent de «l’histoire du

risque»:
– Approche mathématique
 Blaise Pascal et Pierre de Fermat en 1654
 Loi des grands nombres
 Bernoulli en 1738
 Théorie des Jeux en 1944
– Approche «management par les risques»

 Apparue en fin des années 1950 aux Etats-Unis
 Gouvernement d’entreprise et obligation de contrôle des
risques
RISQUE INFORMATIQUE: Définition ISO/IEC TR 13335-1
 Risque: « La potentialité qu’une menace exploite des

vulnérabilités pouvant causer des dommages sur les actifs ».
 Analyse de risque: « Le processus d’identification et

d’évaluation de la magnitude des risques ».
 Gestion des risques: « Le processus d’identification et

d’application de contrôle dans une organisation et ses
systèmes, applications et services, mesurés et justifiés par
rapport aux risques.
EVALUER LA SÉCURITÉ DU SYSTÈME D’INFORMATION BANCAIRE
POUR RÉDUIRE LES RISQUES
UNE "CHECK-LIST" SUR LES POINTS DE SÉCURITÉ LES

PLUS IMPORTANTS
Organisation de la sécurité : responsabilités
La nomination d'un Responsable de la Sécurité du Système

d'Information est la première mesure qui permet à un établissement
de crédit d'affirmer l'importance accordée aux objectifs de sécurité.
Est-ce fait ? Oui ou non


PLUS IMPORTANTS
Méthode et outils de développement
Les méthodes de conception et de réalisation d'applications

informatiques doivent intégrer une analyse de risque débouchant sur
une prise de conscience des causes de risques et l'élaboration des
mesures de sécurité appropriées.


PLUS IMPORTANTS
Moyens et procédures de secours
Le Plan de secours met en œuvre des moyens et des procédures qui

permettront à l'établissement de reprendre et de poursuivre son
activité à la suite d'un sinistre affectant son outil informatique.
Le caractère indispensable d'un tel Plan est démontré dès que sont
analysés les impacts d'un arrêt partiel ou total des traitements
informatiques.

PLUS IMPORTANTS
Sauvegardes procédures et conservation
L'un des objectifs majeur du Plan de secours réside dans la

production régulière et la conservation des sauvegardes ; en effet, de
leur cohérence, de leur exhaustivité et de leur aptitude à limiter la
perte d'information dépendra la poursuite de l'activité de
l'établissement de crédit.


PLUS IMPORTANTS
Contrôle d'accès logique
Les contrôles d'accès logiques s'avèrent indispensables pour

restreindre et contrôler les possibilités opératoires quasi illimitées
offertes par l'utilisation de l'outil informatique.


PLUS IMPORTANTS
Audits et contrôles
La permanence des missions d'audit et de contrôle est un élément

déterminant de leur efficacité qui vise à détecter, le plus tôt possible,
des dérives par rapport aux règles internes et externes.
Une seule réponse négative devrait vous inciter à revoir au plus vite
cette question.
AGENDA

de la sécurité
ANALYSER LE NIVEAU DE
SÉCURITÉ DE LA BANQUE
L'AUDIT DE LA SECURITE INFORMATIQUE
LES QUATRE NOTIONS

FONDAMENTALES EN
MATIÈRE DE GESTION DU
RISQUE
LES QUATRE NOTIONS FONDAMENTALES EN MATIÈRE DE
SÉCURITÉ
Quatre notions fondamentales en matière de sécurité : la menace, le

facteur de risque, la manifestation du risque, la maîtrise du
risque.
ANALYSER LE NIVEAU DE SÉCURITÉ DE LA BANQUE
La méthode d'analyse de risques informatiques est une méthode

d'audit, visant à évaluer le niveau de sécurité informatique de la
banque. L'objectif est double :
• situer la banque auditée par rapport à un niveau jugé correct, et

par rapport au niveau atteint par les banques similaires
• identifier les menaces et vulnérabilités à contrer.

L'analyse est articulée en 6 grands thèmes en général :
1. la sécurité organisationnelle
2. la sécurité physique
3. la continuité de service
4. l'organisation informatique
5. la sécurité logique et l'exploitation
6. la sécurité des applications
Dix-sept types de menaces :

1. Accidents physiques
2. Malveillance physique
3. Panne du SI
4. Carence de personnel
5. Carence de prestataire
6. Interruption de fonctionnement du réseau
7. Erreur de saisie
8. Erreur de transmission
9. Erreur d'exploitation
10. Erreur de conception / développement
11. Vice caché d'un progiciel
12. Détournement de fonds
13. Détournement de biens
14. Copie illicite de logiciels
15. Indiscrétion / détournement d'information
16. Sabotage immatériel
17. Attaque logique du réseau
AGENDA

de la sécurité
COMMENT RÉDUIRE LES

RISQUES
LES FACTEURS DE
LIMITATION DES RISQUES
LES FACTEURS DE LIMITATION DES RISQUES
Les facteurs de limitation des risques :
• existence d’une politique de sécurité du système

d’information ;
• existence d’une charte d’utilisation des moyens
informatiques ;
• implication des utilisateurs ;
• méthodes de travail et outils adaptés aux objectifs ;
• compétence du personnel ;
• outils efficaces d’administration et de gestion.
LES OBJECTIFS ET POINTS DE

CONTRÔLES
LES OBJECTIFS ET POINTS DE CONTRÔLES
Les objectifs et points de contrôles :
• Repérer les actifs informationnels de la banque;

• Identifier les risques ;
• Evaluer les menaces ;
• Mesurer les impacts ;
• Définir les parades.
Points de contrôle CobiT DS 5 : assurer la sécurité des

systèmes. Référentiels spécifiques à la sécurité ISO 27002 et
aussi ISO 27001.
DS5.1 Gestion de la sécurité informatique

Gérer la sécurité informatique au plus haut niveau approprié de la
banque, de façon à ce que la gestion des actions de sécurité soit
alignée sur les exigences des métiers.
DS5.2 Plan de sécurité informatique
Traduire les exigences des métiers, des risques et de la conformité
dans un plan global de sécurité informatique tenant compte de
l’infrastructure informatique et de la culture de la sécurité. S’assurer
que le plan se décline en politiques et procédures de sécurité
assorties des investissements appropriés en services, personnels,
logiciels et matériels. Communiquer les politiques et les procédures
de sécurité aux parties prenantes et aux utilisateurs.
DS5.3 Gestion des identités
S’assurer que tous les utilisateurs (internes, externes et

temporaires) et leur action sur les systèmes informatiques
(applications métiers, environnement informatique, exploitation,
développement et maintenance des systèmes) sont identifiables
sans ambiguïté. Gérer les identités à l’aide de systèmes
d’authentification.
S’assurer que les droits d’accès des utilisateurs aux systèmes et

aux données sont en accord avec des besoins métiers définis et
documentés et que des profils de fonctions sont attachés aux
identités.
DS5.3 Gestion des identités (suite)
S’assurer que les droits d’accès des utilisateurs sont demandés

par leur management, approuvés par le propriétaire du système et
mis en place par la personne responsable de la sécurité.
Tenir à jour les identités et les droits d’accès des utilisateurs dans
un entrepôt de données centralisé.
Déployer et maintenir opérationnelles au meilleur coût des

techniques et des procédures pour créer l’identité des utilisateurs,
mettre en œuvre leur authentification et pour faire respecter les
droits d’accès.
DS5.4 Gestion des comptes utilisateurs
Disposer de procédures de gestion des comptes utilisateurs

permettant de traiter les demandes, attributions, ouvertures,
suspensions, modifications et clôtures des comptes utilisateurs et
des droits associés.
Y inclure une procédure d'approbation spécifiant le nom du

propriétaire des données ou du système qui attribue les droits
d'accès.
DS5.4 Gestion des comptes utilisateurs (suite)
Ces procédures doivent s’appliquer à tous les utilisateurs, y

compris les administrateurs (utilisateurs privilégiés), les
utilisateurs internes et externes, dans les circonstances normales
ou dans les cas d’urgence.
Les droits et obligations relatifs à l’accès aux systèmes et aux

données de la banque doivent faire l’objet d’accord contractuel
avec tous les types d’utilisateurs. Effectuer une revue régulière
de la gestion de tous les comptes et des privilèges associés.
DS5.10 Sécurité des réseaux

Mettre en œuvre des techniques de sécurité et des procédures de
gestion associées (ex. pare-feux, dispositifs de sécurité,
compartimentage réseau, détection d’intrusion) pour autoriser et
contrôler les flux d’informations entre réseaux.
DS5.11 Échange de données sensibles

Ne faire circuler les échanges de données sensibles que sur des
circuits sûrs ou sur des supports dotés de contrôles qui
garantissent
l’authenticité du contenu et fournissent la preuve de la réception
et celle de non-répudiation de la part de l’expéditeur.
AGENDA

de la sécurité
ORGANISER LA SÉCURITÉ
INFORMATIQUE
ORGANISER LA SÉCURITÉ INFORMATIQUE
Définition
Il s'agit d'apporter un éclairage sur la fonction "Sécurité des Systèmes

d'Information" et sur les moyens à mettre en œuvre, sur le plan
organisationnel, pour que cette fonction puisse être exercée avec le
maximum d'efficacité.
Risques
Il est souvent dit que ..."la sécurité est l'affaire de tous"... Il ne

faudrait donc pas oublier qu'elle est l'affaire de chacun. C'est ainsi
qu'une mauvaise organisation, ou même une absence de définition
des "droits et devoirs" en matière de sécurité, peut entraîner une
dilution des actions de sécurité, voir même une absence de celles-ci.
L'utilisation malveillante ou accidentelle d'une faille dans la Sécurité

des Systèmes d'Information de la Banque, peut mettre en péril son
exploitation, sa survie, voire même celle de ses contreparties. Des
parades existent en matière d'organisation.
Parades
Le Responsable de la Sécurité des Systèmes d'Information ou RSSI

est le garant de la sécurité des systèmes d'Information de la Banque.
Ses domaines d'action sont multiples mais ils répondent à un seul

objectif : assurer l'intégrité, la cohérence et la confidentialité des
données de tous les Systèmes d'Information de la Banque.
L'originalité de son statut et de son organisation actuelle réside dans

le fait qu'il cumule trois fonctions réparties habituellement dans
plusieurs Directions.
Contrôle-Audit
Cette fonction assure la définition des règles de sécurité et les
contrôles de leur mise en application.
Architecture-Conception
Cette fonction prolonge le diagnostic émis par la fonction Contrôle
Audit pour définir les moyens de la mise en oeuvre des règles de
sécurité.
Administration
La fonction d'administrateur et de gestionnaire s'exerce sur les

systèmes de gestion de la confidentialité : le RSSI est "maître
d'ouvrage" de la sécurité.
Parmi les avantages que présente cette organisation, il convient de

souligner :
• Le rattachement du RSSI au plus haut niveau hiérarchique (un

poste spécifique, avec un budget spécifique et un rattachement
de niveau Direction Générale) lui confère une réelle crédibilité
vis-à-vis du personnel "informaticien" de la Direction
Informatique comme de tous les autres utilisateurs des Systèmes
d'Information de la Banque.
• Les interventions menées en synergie avec la Direction

Informatique évitent à celle-ci de pourvoir des postes sécurité au
niveau de la Production et des Développements Informatiques.
• L'administration quotidienne du système de gestion de la

confidentialité permet d'entretenir les compétences nécessaires à
son évolution et à son amélioration.
• Ces compétences s'avèrent également déterminantes dans
l'élaboration des règles de sécurité.
• La surveillance quotidienne et le "support" aux gestionnaires
décentralisés de la Sécurité permettent des actions de formation,
sensibilisation et promotion de la sécurité auprès des utilisateurs
des systèmes d'information.
• Le cumul des fonctions du RSSI lui assure plusieurs sources

d'informations (interventions en production, tableaux de bord,
sécurité de nouveaux projets...) et lui donne une visibilité
suffisante des risques et des faiblesses du Système d'Information,
pour apprécier les priorités des actions qui doivent être engagées.
Le RSSI assure à la fois des fonctions d'audit et de contrôle, et

des fonctions opérationnelles d'administration et de gestion au
quotidien. Cette situation lui donne une partie de son efficacité et
de sa crédibilité dans la Banque. Elle est aussi à l'origine de la
motivation de son équipe.
Les objectifs généraux :
• Les principes généraux de sécurité sont formalisés par cette unité

de rappel.
• Les principes généraux de sécurité doivent être respectés et mis

en œuvre quels que soient les environnements, les implantations
géographiques, la taille des équipements informatiques (micro-
ordinateur, réseau local, site départemental, régional ou central),
les applications, les types de matériels... Toute dérogation à ces
principes généraux nécessite l'accord de cette unité.
• Les évolutions de logiciels système, les choix de nouvelles

technologies et les choix d'architectures doivent être étudiés
obligatoirement en collaboration avec cette unité pour qu'une
analyse de vulnérabilité soit effectuée.
• Toute création ou modification importante de logiciel applicatif

développé en interne, ou tout achat de progiciel applicatif doit
faire l'objet d'une analyse de vulnérabilité donnant lieu à
l'établissement d'un chapitre sécurité formalisé : consultable,
maintenable et accessible.
• Cette unité devra pouvoir maîtriser l'administration décentralisée

de la Sécurité. Elle doit pouvoir contrôler l'attribution des droits
et des privilèges de chacun et l'utilisation qui en est faite.
L'Organisation de la Sécurité sur le terrain :
Les responsables des différents secteurs géographiques sont

généralement responsables de toutes les fonctions de leur secteur ; ils
sont donc responsables de la sécurité de l'Information dans leur
domaine et doivent faire respecter les principes généraux de sécurité.
Dans le même esprit, le Chef de métier est responsable de la sécurité

dans son métier. Il doit donc faire respecter les principes généraux de
sécurité.
Cas particulier de la Direction des Systèmes d'Information :
Compte tenu de son rôle stratégique vis-à-vis du système

d'information de la Banque, des relations privilégiées doivent exister
avec cette unité de rappel de la Direction Générale.
Il s'agit essentiellement d'une collaboration étroite pour tous les

problèmes de sécurité tels que les télécommunications, les choix
d'architectures, les évolutions de logiciels "système"...
AGENDA

des banques
d’exploitation
ASSURER LA CONTINUITÉ DE
SERVICE
Règles de base
Elles sont au nombre de trois :
1. Vous ne pouvez pas gérer ce que vous ne pouvez pas contrôler
2. Vous ne pouvez pas contrôler ce que vous ne pouvez pas mesurer
3. Vous ne pouvez pas mesurer ce que vous n'avez pas défini

AGENDA

des banques
d’exploitation
MAINTENIR LA CONTINUITÉ
D’EXPLOITATION
MAINTENIR LA CONTINUITÉ D’EXPLOITATION
Définition
Pour permettre le redémarrage d'un système informatique après un
sinistre, matériel ou logique, ayant détruit ou altéré de façon
importante les supports de données, il est nécessaire d'avoir
préalablement effectué des copies de celles-ci afin de disposer de
l'image du système à un moment aussi proche que possible de celui
du sinistre.
A ce titre, le plan de sauvegarde des données informatisées (et

éventuellement non informatisées) est le complément indispensable
du plan de secours, l'un ne pouvant aller sans l'autre. Pour être établi,
il doit tenir compte des scénarios retenus pour la construction du plan
de secours.
On distinguera plusieurs types de sauvegardes :

• les sauvegardes pour plan de secours,
• les sauvegardes applicatives destinées aux reprises de traitement,
• les sauvegardes de très haute sécurité (THS) dont l'objet est la
restauration d'un système à la suite d'un sinistre immatériel partiel
ou total.
Les besoins réglementaires peuvent conduire à l'établissement de
sauvegardes spécifiques (délai de reprise de la Direction générale des
impôts ; délais exigés par la Commission bancaire...).
Parades
Il est souhaitable de mettre en œuvre un plan de sauvegarde

complémentaire du plan de secours et permettant de satisfaire aux
besoins de celui-ci. Au minimum, il faut établir sur une base régulière
une copie des données de la banque, aussi bien pour les grands
systèmes que pour la micro-informatique.
La périodicité d'établissement des sauvegardes doit être compatible

avec les besoins déterminés pour la mise en œuvre du plan de
secours.
Il est en effet souhaitable de minimiser les traitements de restauration

permettant de reconstituer la situation au moment du sinistre.
Les sauvegardes doivent être collectées et conservées hors de

l'environnement immédiat des machines dans des locaux adaptés
(conditions climatiques) et protégés (feu, dégât des eaux, contrôle
d'accès). Au moins pour les gros systèmes, il est souhaitable de les
conserver hors de la banque. Il est nécessaire de contrôler en
permanence l'état d'inventaire des sauvegardes. Ces sauvegardes dites
"de plan de secours" ne devraient jamais être utilisées à d'autres fins,
ceci pour en garantir la disponibilité permanente et immédiate.
L'accès à ces sauvegardes doit faire l'objet de procédures strictes afin

d'en garantir autant que faire se peut l'intégrité et la disponibilité.
Les essais du plan de secours permettront de valider le plan de

sauvegarde. Il est souhaitable par ailleurs de contrôler
périodiquement le contenu de ces sauvegardes afin de vérifier leur
lisibilité d'une part et, d'autre part, l'intégrité de leur contenu.
Chapitre 3 : Plan de secours et de continuité de l'activité

Article 39 : Gestion de la continuité de l’activité
Les établissements doivent mettre en place des plans de secours et de

continuité de l’activité visant à garantir une exploitation sans
interruption et à limiter les pertes en cas de perturbation grave de
l’activité, à savoir un incident qui peut endommager ou rendre
inaccessible les installations, les infrastructures technologiques et de
télécommunications de l'établissement et entraîner d'importantes
pertes financières, ainsi que des pandémies ou autres catastrophes
naturelles.
L’établissement doit notamment :

• désigner un responsable du plan de continuité de l’activité, chargé
d'élaborer, de mettre à jour et de tester ce plan ;
• mettre en place un comité de crise et de gestion de la continuité
de l’activité ;
• définir les principaux rôles, obligations et pouvoirs, incluant des
substituts, en matière de continuité de l’activité ;
• veiller à ce que les ressources humaines critiques, y compris des
intérimaires ou des experts externes, soient identifiées ainsi que
les modalités d'exercice des responsabilités ;
• prendre les mesures nécessaires pour s’assurer que l’ensemble du
personnel est informé du contenu du plan de continuité de
l’activité et de ses différentes révisions.
Article 40 : Eléments essentiels d'un plan de continuité

Un plan de continuité doit contenir notamment :
• les stratégies et les procédures d’identification des fonctions,

activités, processus et systèmes critiques de l’établissement qui
doivent prioritairement être repris en cas de perturbations
majeures, en particulier ceux qui dépendent de prestataires
externes ou d’autres tiers ;
• les stratégies et les procédures de protection et de récupération

des données, avec une attention particulière à la capacité de
restaurer les archives électroniques ou physiques nécessaires à la
reprise de l’activité ;
• des objectifs de continuité et de reprise d'actifs, notamment la
durée maximale pour restaurer les fonctions critiques, les niveaux
de reprise jugés acceptables des services fournis et le délai admis
pour la reprise de l’activité normale après une perturbation grave;
• les procédures de secours pour les données, les applications et les
matériels importants ;
• les sites alternatifs de remplacement ou centres de secours, qui

doivent être situés à une distance prudente des locaux principaux;
• les ressources minimales pour le rétablissement des fonctions
essentielles ;
• les processus pour la restauration ou le remplacement des
informations importantes, sous forme électronique et papier ;
• les niveaux et les délais de reprises attendus ;
• un dispositif d'alerte et de communication continue avec les
prestataires et toutes les parties prenantes, en cas d'interruption de
l'activité ;
• la validation de la capacité de reprise de l’activité des prestataires

d'activités externalisées ;
• les conditions dans lesquelles un état d’urgence doit être
déclenché ainsi que des programmes de formation et de
sensibilisation pour s'assurer que le personnel peut effectivement
exécuter les plans y afférents ;
• un budget identifiant les moyens nécessaires à la mise en œuvre
du plan de continuité de l’activité ;
• des plans de communication et de gestion de crise avec le
personnel et les divers partenaires externes.
Article 41 : Tests d'efficacité du plan de continuité
L’établissement doit procéder à des analyses d’impact préalablement

à la mise en place ou à la mise à jour d’un plan de secours et de
continuité de l’activité. Ces analyses doivent permettre d’évaluer les
niveaux de risque liés aux perturbations opérationnelles et les
différents scénarios probables ou plausibles de vulnérabilité. Leurs
résultats permettent notamment d'identifier des éléments essentiels de
la stratégie, en ce qui concerne les fonctions critiques, ainsi que les
ressources humaines et matérielles requises.
L'établissement est tenu de tester, au moins une fois par an, son
plan de secours et de continuité de l’activité.
Les résultats de ces tests doivent être documentés, analysés et

communiqués aux organes exécutif et délibérant ainsi qu'à la fonction
d’audit interne.
Ils doivent être utilisés notamment pour les modifications éventuelles

du plan et des stratégies de continuité.
La fonction d’audit interne doit réaliser des vérifications périodiques
du plan de continuité de l’activité, y compris des tests de
l’établissement et ceux des prestataires de service en charge
des activités critiques, le cas échéant.
AGENDA

des banques
d’exploitation
DÉLIMITER LA SÉCURITÉ
LOGIQUE ET RÉSEAUX
DÉLIMITER LA SÉCURITÉ LOGIQUE ET RÉSEAUX
Un réseau informatique est un ensemble d’équipements

informatiques (ordinateurs, routeurs, switch…) reliés (par liaisons
filaires ou sans fil) entre eux pour échanger des informations.
L’architecture réseau est la conception (ou l’organisation) de

l’assemblage des équipements constituants le réseau.
Ces équipements peuvent être reliés suivant plusieurs modèles - ou

architecture- (réseau local LAN : Local Area Network ; Réseau
élargi WAN : Wide Area Network, …) ou suivant un assemblage de
ces modèles ; produisant ainsi une architecture complexe unique.
Le réseau de la Banque peut comprendre les parties suivantes:
• le réseau interne principal (localisé physiquement au siège)

• le réseau interne des agences : chaque agence devrait constituer
un sous réseau
• le réseau de messagerie électronique : utilisé pour l’envoi et la
réception de messages électroniques en dehors de la Banque
• le réseau Internet : utilisé pour l’accès à Internet
• le réseau des services externes à la banque (BCEAO, Swift,
CTMI…)
Ces quatre (4) derniers réseaux devraient communiquer avec le

premier par l’intermédiaire d’un équipement de sécurité appelé Pare-
feu (Firewall).
Cet équipement permet l’établissement de Zones Démilitarisées (ou

DMZ : Demilitarized Zone).
Les DMZ consistent à filtrer l’accès par un contrôle des adresses IP

(Internet Protocol) à partir d’une liste de contrôle d’accès (Access
List Control) préalablement paramétrée au niveau du pare-feu.
SÉCURITÉ RÉSEAU – NOTION DE FIREWALL
Internet

Réseau
 d’entreprise
 Ressources de
l’entreprise
En plus des différentes parties évoquées ci-dessous, la

communication peut être établie à travers un réseau virtuel privé
(VPN : Virtual private Network) entre un poste de travail (ou un
serveur) précis du réseau de la banque et un poste de travail (ou un
serveur) d’un réseau distant.
Ceci afin de sécuriser la communication entre les deux entités (La

banque et ses prestataires externes).
Les principaux équipements réseau sont les suivant :

Les routeurs : permettant la communication entre deux réseaux
locaux distants
Les modems : permettant la communication entre deux sites distants
par l’intermédiaire d’une ligne téléphonique
Les Switch : permettant l’interconnexion de plusieurs postes de
travail ou de plusieurs Switch.
Lorsqu’ils servent à interconnecter plusieurs postes de travail,
l’on parle de Switch d’accès.
Dans le cas où ils relient plusieurs Switch, il s’agit alors de
Switch de distribution.
Les pare-feu : permet de contrôler l’accès depuis un réseau externe à
un réseau local.
Dans la réalisation de sa mission de gestion des systèmes

d’information de la banque, la DSI collabore avec plusieurs
prestataires et partenaires extérieurs. Ces partenaires interviennent ,
parfois à distance, sur les équipements de la banque. A cet effet, il est
nécessaire de leur permettre cet accès distant tout en veillant à
sécuriser l’environnement de connexion.
Cet accès distant nécessite les actions suivantes sans lesquelles aucun
accès distant n’est possible:
l’activation des routes (éléments logique situés sur les serveurs) afin
de permettre l’accès au serveur
l’ouverure de VPN (Virtual Private Network ou Réseau Privé Virtuel)
afin de créer un lien réseau entre le prestataire et la Banque.
Dans la réalisation de sa mission de gestion des systèmes

d’information de la banque, la DSI collabore avec plusieurs
prestataires et partenaires extérieurs.
Ces partenaires interviennent , parfois à distance, sur les équipements

de la banque. A cet effet, il est nécessaire de leur permettre cet accès
distant tout en veillant à sécuriser l’environnement de connexion.
Cet accès distant nécessite les actions suivantes sans lesquelles aucun
accès distant n’est possible:
 l’activation des routes (éléments logique situés sur les serveurs)

afin de permettre l’accès au serveur
 l’ouverure de VPN (Virtual Private Network ou Réseau Privé

Virtuel) afin de créer un lien réseau entre le prestataire et la
Banque
Toute intervention de prestataire devrait se faire sur un serveur de back

up. La mise en exploitation du résultat de l’intervention devrait se faire
par la suite suivant les dispositions d’une la procédure Mise en
exploitation.
Le service qui demande l’accès distant devrait s’assurer de

l’utilisation efficient de cet accès par le prestataire afin de demander
la fermeture de la connexion dès la fin du besoin.
NB : Généralement, on a au moins affaire avec ces deux

principaux acteurs:
1. l’éditeur du progiciel bancaire principal

2. et l’éditeur de l’application de monétique
Ils utilisent donc généralement des connexions externes ou

d’autres techniques d’accès.
AGENDA

des banques
d’exploitation
CONNAÎTRE LES
TECHNIQUES D’ATTAQUES ET
DE PIRATAGE DES BANQUES
CONNAÎTRE LES TECHNIQUES D’ATTAQUES ET DE PIRATAGE DES
BANQUES
ETUDE DE CAS PRATIQUE ET ECHANGES

AGENDA

des banques
d’exploitation
SÉCURITÉ DES RÉSEAUX ET

D’INTERNET
LES RISQUES PARTICULIERS

LIÉS À INTERNET
LES RISQUES PARTICULIERS LIÉS À INTERNET
La nature d’Internet le rend vulnérable aux attaques. L’internet est un

système globale basé sur la technologie TCP/IP qui permet aux
réseaux publics et privés de communiquer entre eux. Conçue à
l’origine pour un partage maximal de l’information et des données,
Internet est donc vulnérable par sa nature. On estime aujourd’hui à
plus de 300 millions d’ordinateurs branchés sur internet.
Le protocole Internet est conçu uniquement pour adresser et
acheminer les paquets de données dans un réseau. Il ne garantit ni ne
donne l’assurance que les messages seront livrés; une adresse n’est
pas vérifiée; L’expéditeur ne saura pas si le message est parvenu en
temps à sa destination finale; Le destinataire ne sait pas si le message
provient de l’adresse spécifiée comme adresse de retour des
paquets.
FACTEURS DE CAUSALITÉ DES ATTAQUES SUR INTERNET
Les attaques sur Internet, qu’elles soient de nature passive ou active

surviennent pour certaines raisons dont les suivantes:
• La disponibilité des outils et des techniques dans Internet ou en
tant que logiciel commercial qu’un intrus peut facilement
télécharger.
• Le manque de connaissance et de formation relativement à la
sécurité chez les employés d’une banque.
• L’exploitation des faiblesses connues liées à la sécurité des
systèmes réseaux et hôtes.
• La sécurité inappropriée liée aux coupe-feux et aux systèmes
d’exploitation hôtes permet aux intrus de visualiser les adresses
internes et d’utiliser les service du réseau.
Une banque doit développer des contrôles inhérents à la

structure de son système d’information à partir desquels les
contrôles de sécurité sur internet peuvent être implémentés.
Ce processus comporte:
• La définition par le biais des politiques et procédures
corporatives, de règles que la banque suivra pour contrôler
l’utilisation d’Internet. (Une série de règles devraient régir
l’utilisation appropriée des ressources Internet et d’autres règles
pourraient servir à accorder des privilèges Internet à ceux qui
ont des besoins professionnels, définir les ressources
informationnelles qui devraient être disponibles aux utilisateurs
externes, déterminer les réseaux fiables )
L’auditeur informatique doit ainsi pouvoir évaluer les risques,

et les procédures mise en place, liés à la connexion de la banque
à Internet
1. Politique et procédures de la banque liés à l’utilisation d’internet

2. Principes d’utilisation des coupe-feu (Firewall)
3. Principes de sécurisation des données.
Sécurité réseau-Internet-Les risques spécifiques.
a. Attaques passives
 Analyse de l’infrastructure réseau
 Analyse du trafic
 Perte de confidentialité (email, mot de passes, fichiers)
b. Attaques Actives
 Attaques par force brute
 Accès non autorisé par utilisation des failles de paramétrage
des systèmes.
SÉCURITÉ RÉSEAU – NOTION

DE FIREWALL
Chaque fois qu’une banque connecte son réseau interne

d’ordinateurs à Internet , elle fait face à des dangers possibles. A
cause de l’étendue d’Internet, chaque réseau corporatif qui lui est
connecté est vulnérable aux attaques.
Les banques devraient élaborer des coupe-feux entant que moyen

de sécurisation du périmètre de leur réseau
Sécurité réseau-Firewall
Les firewalls apportent une sécurité complémentaire dans les accès
à internet. Il permettent:
 De filtrer (autoriser) les accès vers certains sites Internet

 De tracer les communications entre un terminal interne et
un réseau externe
 De chiffrer les messages envoyés (VPN, Tunneling ou réseau
privé virtuel)
 De sécuriser certaines parties du réseau interne
Les entrées comme les sorties vers Internet sont ainsi contrôlées.
Sécurité réseau-Firewall
Risques résiduels importants:

 Faux sentiments de sécurité: « on a un Firewall, donc on est
protégé »
 Les Firewalls sont contournés par la connexion à internet via
un modem.
o Point d’entrée sur le réseau Interne
 Mauvaise configuration des Firewalls
 Pas de surveillance des évènements
 Nécessité d’appliquer régulièrement des « patchs » des
fournisseurs
AGENDA

des banques
d’exploitation
METTRE EN ŒUVRE LA
SÉCURITÉ DES SYSTÈMES
D’EXPLOITATION
METTRE EN ŒUVRE LA SÉCURITÉ DES SYSTÈMES
D’EXPLOITATION
La gestion du compte administrateur du Système Unix (compte

ROOT) fait partie de la politique de sécurité logique qui a pour
but de :
• protéger les données de la banque et de ses clients de tout
dommage, altération, divulgation, ou perte (y compris le vol
électronique).
• maintenir la confidentialité et l’intégrité des données de la
banque et de ses clients
D’EXPLOITATION
Le compte principal administrateur UNIX (compte ROOT) est le

compte disposant de tous les droits dans le système UNIX. Il
permet la création du compte administrateur secondaire
(srvADM) utilisé pour l’administration au quotidien du système
UNIX.
L’administration UNIX consiste principalement en la gestion des

utilisateurs UNIX (habilitation en création, modification,
suppression d’information) et la gestion des activités
d’exploitation informatique (installation de programmes,
paramétrage, supervision, support, sauvegardes, restaurations…).
D’EXPLOITATION
Le compte principal administrateur UNIX (compte ROOT) est le

compte disposant de tous les droits dans le système UNIX. Il
permet la création du compte administrateur secondaire
(srvADM) utilisé pour l’administration au quotidien du système
UNIX.
L’administration UNIX consiste principalement en la gestion des

utilisateurs UNIX (habilitation en création, modification,
suppression d’information) et la gestion des activités
d’exploitation informatique (installation de programmes,
paramétrage, supervision, support, sauvegardes, restaurations…).
AGENDA

des banques
d’exploitation
METTRE EN ŒUVRE LA
SÉCURITÉ DES BASES DE
DONNÉES
METTRE EN ŒUVRE LA SÉCURITÉ DES BASES DE DONNÉES
ETUDE DE CAS PRATIQUE ET ECHANGES

réseau
hôte
application
information
L'IDENTITÉ AU CENTRE
pour tous les environnements (physiques, virtuels et cloud

cloud))
Vos Clients Vos Fournisseurs
La banque sécurisée
Vos collaborateurs Vos Partenaires

distants

Risques Opérationnels Et Sécurité Des Systèmes D'information 2 Février ...

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Risques Opérationnels Et Sécurité Des Systèmes D'information 2 Février ...

Transféré par

Droits d'auteur :

Formats disponibles

R.I.

International Network of Banking Intelligence

R.I.B International / Département Afrique Bâtir un nouvel ordre bancaire international

Vos questions sont les

Partie 1 Introduction à la sécurité

Partie 8 Assurer la continuité de service

Partie 1 Introduction à la sécurité

Lequel des éléments suivants représente la préoccupation la PLUS

1. Les journaux peuvent être vérifiés uniquement par les

EXERCICE N°1: Réponse

Un des problèmes les plus fréquents à propos des journaux

Les options 1, 2 et 3 constituent des préoccupations valides, mais

Le directeur des TI d’une banque a approuvé l’installation d’un point

EXERCICE N°2: Réponse

L’installation du périphérique de réseau sans fil présente des

Laquelle des options suivantes constitue le meilleur moyen de

1. L’utilisation d’un économiseur d’écran protégé par un mot de

EXERCICE N°3: Réponse

Un économiseur d’écran protégé par mot de passe

Les options 2 et 3 seraient appropriées pour des applications

• Questions pour chaque participant

Séminaire de formation à la BFA

QUESTION POUR CHAQUE PARTICIPANT

1. Les objectifs de sécurité informatique pour votre

2. La fonction de responsable de la sécurité du système

Tout dirigeant d'établissement financier, conscient des

1. Avez-vous défini et formalisé par écrit les objectifs de sécurité

4. Connaissez-vous votre "risque maximal tolérable" (RMT),

5. En cas d'indisponibilité durable de votre système

Partie 1 Introduction à la sécurité

LES CONCEPTS CLES DE LA

LES FACTEURS DE SÉCURITÉ: Définition

La sécurité des systèmes d'information repose sur quatre facteurs

Disponibilité: Information au bon moment

LES FACTEURS DE SÉCURITÉ: Explication

• Disponibilité(D): Aptitude des systèmes à remplir une fonction

• Intégrité(I): Propriété qui assure que des informations sont

• Confidentialité(C): Propriété qui assure la tenue secrète des

• Contrôle et preuve(P): Faculté de vérifier le bon déroulement

LES EXIGENCES DES

LES EXIGENCES DES FACTEURS DE SÉCURITÉ

Les définitions des facteurs de sécurité recouvrent les

LES EXIGENCES DES FACTEURS DE SÉCURITÉ

Possibilité de contrôle et de preuve (P)

ILLUSTRATION DES FACTEURS

ILLUSTRATION DES FACTEURS DE SÉCURITÉ

FLUX TRAITEMENTS DONNEES

Disposer, chaque fois Disposer des ressources Disposer de l'accès aux

ILLUSTRATION DES FACTEURS DE SÉCURITÉ

FLUX TRAITEMENTS DONNEES

ILLUSTRATION DES FACTEURS DE SÉCURITÉ

FLUX TRAITEMENTS DONNEES

Protéger au mieux les Protéger le savoir-faire et Donner l'accès aux seules

Partie 1 Introduction à la sécurité

LA MAÎTRISE DES ASPECTS

LA MAÎTRISE DES ASPECTS LÉGISLATIFS ET RÉGLEMENTAIRES

Les modalités de traitement, de circulation et de stockage de

LA MAÎTRISE DES ASPECTS LÉGISLATIFS ET RÉGLEMENTAIRES

Du fait d'un comportement volontaire ou laxiste de ses dirigeants ou

Le risque de réputation porté à l'image de l'entreprise est également à

LA MAÎTRISE DES ASPECTS LÉGISLATIFS ET RÉGLEMENTAIRES

Les risques juridiques peuvent se classer en deux grandes catégories :

-ceux relatifs aux obligations légales permanentes (respect du secret