PREMIER COURS

NOTIONS DE BASE

Sensible : Ces données peuvent porter à notre personne ou à notre entité

Compromettant : Conséquence de la sensibilité

Personnel : Propre à nous memes

Confidentiel: Donner des moyens pour proteger ces données

Protection : On aura besoin de la confidentialité

Processus metier : Les différentes étapes que l'individu met en place pour avoir des
résultats

RGPD: Reglement general sur la protection des donnees

Certaines notions clés sont importantes à définir

Information : Élément de connaissance susceptible d'être représenté à

l'aide de conventions pour être conservé, traité ou communiqué.

Donnée : information structurée ou traitée.

Système d’information : ensemble organisé de ressources qui permet de

collecter, stocker, traiter et distribuer de l'information.

Sécurité de l’information : Processus visant à protéger des données (sous

tous les formes) contre l'accès, l'utilisation, la diffusion, la destruction, ou la

modification non autorisée.

Sécurité de système d’information : ensemble des moyens techniques,

organisationnels, juridiques et humains nécessaires à la mise en place de

moyens visant à empêcher l'utilisation non-autorisée, le mauvais usage, la

modification ou le détournement du système d'information.

La sécurité du système d’information repose sur quatre volets essentiels :

 La disponibilité : il doit être disponible et accessible. La

disponibilité des services offerts doit être garantie dans la stratégie

de sécurité ;

 L’intégrité : l’information traitée et stockée dans le système doit

être intègre et en bonne état. Les informations échangées sur le

système doivent être non répudiables.

 La confidentialité : les accès doivent être accordées aux

personnes autorisées selon les deux catégories principales

d’autorisation que sont : l’accès en lecture seule et l’accès en

écriture.

 L’auditabilité ou la traçabilité : les accès et les activités

effectuées dans le système doivent être journalisés pour en assurer

la traçabilité.

LE CYBERESPACE ET CES REALITES

 Cybercriminalité : Activité illicite portant atteinte à la sécurité d’un système

d’information.

 Cyberespace : ensemble de données numérisées constituant un univers

d’information et un milieu de communication.

Le cyber-crime est une infraction pénale à partir d’un système d’informatique.

Quelques exemples de cyber-crimes dans le monde :

 Ransomware Attack : Renault

 Phénomène de broutage en CI

Le cyber-espionnage est une forme d’espionnage qui utilise les technologies de

l’information et de la communication. Il est souvent motivé par les intérêts

économique, politique et militaire.

L’hacktivisme est une forme de militantisme utilisant des compétences en

piratage informatique dans le but de favoriser des changements idéologiques :

religion, philosophique, politique ou sociétal.

Quelques exemples de mouvements hacktivistes :

 Wikileaks

 Les Anonymous

Le cyber Warfare ou la cyber guerre est l’utilisation d‘un réseau ordinateurs

ou d'Internet pour mener une guerre dans le cyberespace.

Quelques exemples de cyber warfare :

 Stuxnet

 Cyberattaque contre TV monde en Avril 2015

 CONSEILS

 A l’échelle nationale et internationale

 Renforcer le cadre législatif national, et combler les vides juridiques liés

à la sécurité de l’information, qui est un handicap dans la plupart des

pays africains.

 Développer des groupement inter-états (exemple : Interpol, etc.) pour

renforcer la chaîne de sécurité de système d’information.

 A l’échelle de l’entreprise

 Mettre en place et promouvoir un Système de Management de Système

d’Information (SMSI).

 Définir une Politique de Sécurité du Système d’Information qui adresse

la matrice des risques de sécurité de l’entreprise.

 Faire une revue périodique des architectures techniques pour s’assurer

de leur conformité en contre-mesure aux menaces courantes.

 A l’échelle de l’individu

 Sensibiliser et former les personnes sur les bonnes pratiques.

DONNEES PRIVEES

Une donnée à caractère personnel (couramment « données personnelles ») correspond à

toute information relative à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro d'identification ou à un ou
plusieurs éléments qui lui sont propres.

-Personne physique : Personne individuelle

-Personne morale : Regroupement de connaissance

La Gestion des Identités et des Accès est l’ensemble des processus mis en œuvre par une
entité pour la gestion des habilitations de ses utilisateurs à son système d’information ou à
ses applications. Il s’agit donc de gérer qui a accès à quelle information à travers le temps.
Cela implique ainsi d’administrer la création, la modification, et les droits d’accès de
chaque identité numérique interagissant avec les ressources de l’entité.

GESTION DU S.I

La sécurité du système d’information est un ensemble d’exigences pour assurer la

disponibilité, la confidentialité et l’intégrité du système d’information.

L’anonymisation est un ancien concept devenu encore plus d’actualité avec le renforcement
de la législation sur la protection des données à caractère personnel.

 Origine

 Mauvaise manipulation des données personnelles

 Vente d’informations confidentielles sur les personnes

 Vide / Flou juridique sur la gestion des données

 Actions correctives

 Définition d’un cadre juridique par les Etats et les institutions

internationales comme l’Union Européenne contraignant les entreprises

et les institutions à une gestion rigoureuse des données à caractère

personnel avec pour points principaux :

• Le consentement « explicite » et « positif » des personnes ;

• Le droit à l’effacement ;

• Le droit à la portabilité des données personnelles ;

• Les notifications en cas de fuite de données ;

• Etc.

 Pénalités

 Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du

chiffres d’affaires annuel mondial pour manquement notamment aux

droits des personnes (droits d’accès, de rectification, d’opposition, de

suppression, droit à l’oubli, etc.).

 Anonymisation

Des données sont considérées comme anonymes lorsque la personne concernée

n’est plus identifiable, de manière irréversible et par quelque moyen que ce soit,

c’est-à-dire qu’aucune donnée ou ensemble de données ne permet de remonter à

son identité. Ce ne sont alors plus des données à caractère personnel

Anonymiser des données, au sens du RGPD, a la même efficacité que les effacer.

 Pseudonymisation

Technique qui consiste à scinder de manière réversible les données identifiantes des autres,
en utilisant comme pivot des pseudonymes non explicites (par exemple des chaînes de
caractères aléatoires) pour faire la correspondance. Cela permet de limiter l’exposition à
des données non identifiantes ou quasi-identifiantes.

 Désanonymisation
Fait de ne plus rendre anonyme, remettre les noms en clair.

Techniques d’anonymisation

 La généralisation

Permet de confondre chaque individu avec k-1 autres individus du même

ensemble.

 La suppression

Génère une table anonyme où toutes les micro-données de l’ensemble source

d’un risque de ré-identification sont retirées.

Elle est souvent utilisée avec la généralisation.

 La micro-aggrégation

Pour satisfaire la confidentialité des données, les valeurs originales sont

remplacées par une mesure centrale (généralement la moyenne ou la médiane) du

micro-agrégat auquel elles appartiennent.

 Cryptologie

Etymologiquement, c’est la science du secret. Art ancien, mais science moderne

s’appuyant sur d’autres disciplines telles que l'arithmétique modulaire, l'algèbre, la

théorie de la complexité, la théorie de l'information, etc.

 Cryptographie

La cryptographie est une des disciplines de la cryptologie s'attachant à protéger

des messages (assurant confidentialité, authenticité et intégrité) en s'aidant

souvent de secrets ou clés.

 Chiffrement

C’est la transformation à l'aide d'une clé d'un message en clair (dit texte clair) en

un message incompréhensible (dit texte chiffré) pour celui qui ne dispose pas de

la clé de déchiffrement (en anglais encryption key ou private key pour la

cryptographie asymétrique).

 Chiffre

C’est un ensemble de règles permettant d'écrire et de lire dans un langage secret.

 Cryptogramme

C’est le résultat final après le chiffrement. Il s’agit du message chiffré.

 Cryptosystème

C’est l’algorithme de chiffrement.

 Décrypter

Il s’agit de l’action qui consiste à retrouver le message clair correspondant à un

message chiffré sans posséder la clé de déchiffrement.

 Cryptanalyse

C’est la science analysant les cryptogrammes en vue de les décrypter.

 Cryptologie

C’est la science regroupant la cryptographie et la cryptanalyse.

 Cryptolecte

Il s’agit du jargon réservé à un groupe restreint de personnes désirant

dissimuler leur communication.