Académique Documents
Professionnel Documents
Culture Documents
Chaine de valeur vue par M. Porter
Chaine de valeur vue par l’ISO 9001
Approche processus
Management par Approche Système
Système d’information (SI)
Les technologies de l’information et de communication (TIC)
TIC et SI
Typologie de l’information
Qualité de l’information
1 2
Plan Plan
3 4
1
14/05/2023
Plan Plan
5 6
Chaine de valeur vue par M. Porter Chaine de valeur vue par l’ISO 9001
Leadership S
a
t
i
Clients et Planification s
Clients et
E f
Parties X a
Parties
I c
Intéressées G Evaluation des t Intéressées
Support
pertinentes E
N
performances i
o pertinentes
C n
E
S Réalisation des
activités Produit
Entrée opérationnelles
Sortie
Source : M. Porter, L’Avantage concurrentiel, Inter Editions, 1986
7 8
2
14/05/2023
Identifier, analyser et
EFFICACITE DU
PROCESSUS maîtriser les
R R
CONTROLES Constat que les activités et interactions des I
résultats planifiés sont
atteints processus comme un I Processus O I Processus
O
système de A
R
B
R
PROCESSUS I
“ensemble d’activités management I
corrélées C C
Éléments
d’entrée ou interactives qui
Éléments de
sortie PRODUIT contribue à atteindre I Processus Processus O
C D
transforme de manière efficiente O I
des éléments d’entrée
en éléments de sortie » les objectifs définis I
EFFICIENCE DU C C
PROCESSUS
RESSOURCES Rapport entre le résultat I = (INPUT) Données d’Entrée
obtenu et les ressources O = (OUTPUT) Données de Sortie
utilisées R = RESSOURCES
C = CONTROLES
9 10
11 12
3
14/05/2023
TIC TIC et SI
Les technologies de l’information et de Les entreprises utilisent les TIC et SI pour effectuer leur
communication (TIC) et les systèmes travail avec plus d’efficacité:
d’information (SI) sont en train de transformer les Collecter les informations
principales activités des entreprises:
Traiter les informations
le service à la clientèle,
Accomplir des tâches
les plans de développement des produits, et
A titre d’exemple les banques n’existeraient pas sans les
les stratégies de marketing ainsi que la TIC et les SI
distribution.
De plus en plus leur stratégie dépend du TIC et SI
De nos jours les TIC/SI font partie intégrante de permettant un avantage compétitif.
la vie des entreprises.
13 14
TIC et SI
15 16
4
14/05/2023
Information de fonctionnement
Intégrité
C’est l’ensemble des informations qui sont indispensables au fonctionnement
mécanique et quotidien d’une entreprise Disponibilité
Information d’influence Pertinence
C’est l’ensemble des informations dont la finalité est d’influer sur le comportement des Utilité
acteurs pertinents pour l’entreprise qu’ils soient internes ou externes. Présentation
Information d’anticipation Fiabilité
C’est l’ensemble des informations qui permettent à l’entreprise de voir venir à l’avance
certains changements de son environnement socio-économique dans le but d’en tirer
un avantage ou bien d’en éviter un risque.
17 18
19 20
5
14/05/2023
Groupe de composantes inter-reliées et qui travaillent ensemble à la Alter (1996) : « un système d’information est un système qui utilise des
technologies de l’information pour saisir, transmettre, stocker, retrouver,
réalisation d’un objectif commun en acceptant des intrants et en manipuler ou afficher de l’information utilisée dans un ou plusieurs processus
produisant des extrants dans le cadre d’un processus de transformation de gestion ».
organisé. Robert Reix (2000) : « un système d’information est un ensemble organisé de
ressources : matériel, logiciel, personnel, données, procédures permettant
RETROACTION d’acquérir, de traiter, stocker, communiquer des informations (sous forme de
données, textes, images, sons, etc.) dans les organisations ».
Mélissa Saadoun (2002) :« Le système d’information est un système constitué
par les divers éléments de collecte et de traitement de l’information. La raison
d’être d’un système d’information est l’accès, au bon moment, à la bonne
Éléments Éléments de information pour prendre la bonne décision. La communication en temps
d’entrée TRAITEMENT sortie voulu et la précision des flux d’information sont des données essentielles pour la
dynamique d’un système d'information ».
RESSOURCES
21 22
23 24
6
14/05/2023
25 26
Pourquoi le SI
Pour l’entreprise le SI doit répondre
Pour répondre aux Pour répondre aux Pour mieux gérer Pour améliorer la
besoins fonctionnels attentes du comité l’entreprise performance de
de l’entreprise de direction •Vérifier que les objectifs l’entreprise
•Intégrer des « business •Création de valeur sont atteints •Perte de business
model » •Maximisation du ROI •Contrôler que la valeur
est fournie au business
•Perte de réputation La vision du management
• Intégrer des processus •Production tout en •Absence d’innovation
• Gérer les risques •Contrôler que les risques
associés au réseaux
•maîtrisant les coûts,
•respectant les délais,
sont maîtrisés
•Non respect des
engagements La stratégie définie
étendus •dates
•assurant la qualité
•Assurer la continuité de •budgets La tactique à mettre en œuvre
service
•-bénéfices
• Soutenir la croissance
de l’entreprise Aux objectifs à atteindre
• Promouvoir l’image de
l’entreprise
27 28
7
14/05/2023
Stratégie et
Traitement Rapports de Support à Commerce
utilisateur
des données gestion la décision électronique
final
29 30
Contraintes
Système
Flux de décision ERP
de pilotage Les systèmes d’information marketing
Système Flux d’information
Les systèmes d’information de fabrication
Les systèmes d’information Ressources Humaines
d’information Les systèmes d’information comptable
Système opérationnel où:
•Les MP sont transformées Les systèmes d’information financière
•Les PF sont fabriqués Système opérant Flux physique
Les progiciels de gestion intégrés
31 32
8
14/05/2023
•Gestion de caisse
Traitement des commandes
•Contrôle des stocks
•Gestion des
Finances
Comptabilité •Grand livre
investissements
•Budgétisation
33 34
Gestion
Commerciale Vous fabriquez en
Vous êtes
Série
Vous produisez à Sous-Traitant
Achats Stocks Production l’Unité
BACK
OFFICE
Gestion Compta Gestion
Fournisseurs Générale Clients
Analytique et
Trésorerie Paye Gestion MRP II Gestion à la
Budgétaire
Gestion par Affaire commande
35 36
9
14/05/2023
37 38
39 40
10
14/05/2023
Cybercriminalité Cybercriminalité
41 42
Système de management de la
Introduction à la norme ISO 27000
sécurité de l’information- Objectifs
Planification
1. Comprendre à quoi sert un système de management de la sécurité de Actions liées aux risques et opportunités
Fonctionnement
l’information. Appréciation des risques de sécurité de
Planification et contrôle
l’information
2. Comprendre l’évolution historique de l’approche d’un système de opérationnels
Traitement des risques de sécurité de
management de la sécurité de l’information. Appréciation des risques de
l’information
sécurité de l’information
3. Comprendre les concepts de base et le vocabulaire associé. Objectifs de sécurité de l’information et
Traitement des risques de
plans pour les atteindre
4. Comprendre et savoir expliquer quels sont les avantages à mettre en sécurité de l’information
place un système de management de la sécurité de l’information
conforme à l’ISO 27001 V2013 Amélioration Évaluation des performances
Non-conformité et actions Surveillance, mesures, analyse et
correctives évaluation
Amélioration continue Audit interne
Support Revue de direction
Ressources, Compétence, Sensibilisation, Communication, Informations documentées
43 44
11
14/05/2023
sécurité de l'information
Vous avez la
Termes et définitions ISO 27000 V 2013 définition
“officielle”, … d’après
MAIS… vous... Que veut
dire Sécurité ?
45 46
47 48
12
14/05/2023
NOTE En outre, d'autres propriétés, comme l'authenticité (2.6), l'imputabilité (2.2), la non-
répudiation (2.27) et la fiabilité (2.33), peuvent également être concernées.
49 50
51 52
13
14/05/2023
53 54
Termes
Termes et et définitions
définitions ISO 27000
ISO 27000
Systèmes de management de la
2.44 déclaration d'applicabilité
déclaration documentée décrivant les objectifs de sécurité (2.11), ainsi que les
mesures de sécurité (2.10) pertinentes et applicables au SMSI (2.23) d'un
sécurité de l'information
organisme
2.45 menace
cause potentielle d'un incident indésirable, qui peut nuire à un système ou à un
organisme ►Pourquoi pensez-vous
2.46 vulnérabilité
faille dans un actif (2.3) ou dans une mesure de sécurité (2.10) qui peut être que nous ayons besoin
d’un Système de
exploitée par une
menace (2.45)
Management de la
Sécurité de l’Information?
55 56
14
14/05/2023
57 58
Systèmes de management de la
sécurité de l'information Systèmes de management de la
sécurité de l'information
59 60
15
14/05/2023
Planification
Actions liées aux risques et opportunités
Appréciation des risques de sécurité de
Fonctionnement Les exigences
Planification et contrôle
l’information • 4 Contexte de l’organisation
opérationnels Les éléments généraux
Traitement des risques de sécurité de
Appréciation des risques de Avant-propos • 5 Leadership
l’information
sécurité de l’information 0 Introduction • 6 Planification
Objectifs de sécurité de l’information et
Traitement des risques de
plans pour les atteindre
sécurité de l’information
1 Domaine d’application • 7 Support
2 Références normatives • 8 Fonctionnement
3 Termes et définitions • 9 Évaluation des performances
Amélioration Évaluation des performances
Non-conformité et actions Surveillance, mesures, analyse et • 10 Amélioration
correctives évaluation • Annexe A: Objectifs et mesures de
Amélioration continue Audit interne référence
Support Revue de direction
Ressources, Compétence, Sensibilisation, Communication, Informations documentées
61 62
Avant-propos
0 Introduction
L’ISO (Organisation internationale de normalisation) et la CEI (Commission
électrotechnique internationale) forment le système spécialisé de la normalisation
mondiale.
Les éléments généraux Dans le domaine des technologies de l’information, l’ISO et la CEI ont créé un comité
Avant-propos technique mixte, l’ISO/CEI JTC 1.
0 Introduction
1 Domaine d’application Les Normes internationales sont rédigées conformément aux règles données dans les
Directives ISO/CEI, Partie 2.
2 Références normatives
3 Termes et définitions L’ISO/CEI 27001 a été élaborée par le comité technique mixte ISO/CEI JTC 1,
Technologies de l’information, sous-comité SC 27, Techniques de sécurité des
technologies de l’information.
63 64
16
14/05/2023
65 66
1.1 Généralités
La présente Norme internationale spécifie les exigences relatives à:
• l’établissement, à la mise en œuvre, à la mise à jour et à l’amélioration continue 4.1 Compréhension de l’organisation et de son
d’un système de management de la sécurité de l’information dans le contexte contexte
Les exigences fixées dans la présente Norme internationale sont génériques et prévues pour
s’appliquer à toute organisation, quels que soient son type, sa taille et sa nature.
67 68
17
14/05/2023
Enjeux les
exigences
internes de ces
Enjeux les parties
parties
intéressées
externes intéressées
NOTE Déterminer ces enjeux revient à établir le contexte NOTE Les exigences des parties intéressées peuvent inclure
Clarification externe et interne de l’organisation étudié dans le Clarification des exigences légales et réglementaires et des obligations
paragraphe 5.3 de l’ISO 31000:2009.[5] contractuelles.
69 70
les interfaces et
4.4 Système de management de la
les exigences
les sécurité de l’information
dépendances
de ces parties
intéressées Améliorer
les parties continuellement
intéressées
Tenir à jour
Enjeux
internes
Mettre en œuvre
Enjeux
externes
Etablir
71 72
18
14/05/2023
5 Leadership 5 Leadership
a) est adaptée à la mission de
La direction doit faire preuve de leadership et affirmer son engagement en faveur du système de
management de la sécurité de l’information.
73 74
75 76
19
14/05/2023
6 Planification 6 Planification
77 78
6 Planification 6 Planification
- Etablir et tenir à
jour les critères de
risque
Appréciation - Identifier les Appréciation - Etablir et tenir à
des risques risques des risques jour les critères de
SSI SSI risque.
- Analyser les 1) les critères d’acceptation des
risques risques;
2) les critères de réalisation des
- Evaluer les risques appréciations des risques SSI
79 80
20
14/05/2023
6 Planification 6 Planification
Appréciation Appréciation
- Identifier les - Analyser les
des risques des risques
risques. risques
SSI SSI
1) appliquer le processus 1) apprécier les conséquences
d’appréciation des risques de SSI pour potentielles dans le cas où les risques
identifier les risques liés à la perte de identifiés se concrétisaient;
confidentialité, d’intégrité et de 2) procéder à une évaluation réaliste
disponibilité des informations entrant de la vraisemblance d’apparition des
dans le domaine d’application du risques.
SMSI 3) déterminer les niveaux des risques;
2) identifier les propriétaires des
risques;
81 82
6 Planification 6 Planification
- choisir les options de
traitement des risques
appropriées
- déterminer toutes les
Appréciation Traitement mesures nécessaires à la
mise en œuvre
des risques - Evaluer les risques des risques - comparer les mesures
SSI SSI avec celles de l’Annexe
1) comparer les résultats d’analyse A et vérifier qu’aucune
des risques avec les critères de mesure nécessaire n’a
risque déterminés été omise;
2) prioriser les risques analysés pour
Clarification le traitement des risques.
83 84
21
14/05/2023
6 Planification 6 Planification
-produire une
déclaration
d’applicabilité
contenant les mesures
nécessaires et la obtenir des propriétaires
Traitement justification de leur
insertion, le fait qu’elles
Traitement des risques l’approbation
du plan de traitement
des risques soient mises en œuvre ou des risques des risques et
non, et la justification de
SSI l’exclusion de mesures SSI l’acceptation des risques
résiduels
de l’Annexe A;
- élaborer un plan de
traitement des risques
Clarification
85 86
87 88
22
14/05/2023
La logique du modèle de PDCA L’organisation doit conserver des informations documentées dans une mesure suffisante
pour avoir l’assurance que les processus ont été suivis comme prévu.
89 90
L’organisation doit évaluer les performances de sécurité de l’information, ainsi que l’efficacité du
système de management de la sécurité de l’information.
L’organisation doit déterminer:
a) ce qu’il est nécessaire de surveiller et de mesurer,
Évaluation des b) les méthodes de surveillance, de mesurage, d’analyse et d’évaluation,
performances
c) quand la surveillance et les mesures doivent être effectuées;
Surveillance, mesures,
analyse et évaluation d) qui doit effectuer la surveillance et les mesures;
Audit interne e) quand les résultats de la surveillance et des mesures doivent être analysés et évalués; et
Revue de direction f) qui doit analyser et évaluer ces résultats.
La logique du modèle de PDCA Clarification L’organisation doit conserver les informations documentées
appropriées comme preuves des résultats de la surveillance et
des mesures.
91 92
23
14/05/2023
93 94
Clarification L’organisation doit conserver des informations documentées comme La logique du modèle de PDCA
preuves des conclusions des revues de direction.
95 96
24
14/05/2023
10 Amélioration
10.2 Amélioration continue
Non-conformité et Lorsqu’une non- Lorsque il est
actions correctives conformité se nécessaire de mener
•Lorsqu’une non- produit, des actions.
conformité se produit, l’organisation doit: •c) mettre en œuvre
l’organisation doit: toutes les actions
•a) réagir à la non-
conformité, requises;
•b) évaluer s’il est •d) réviser l’efficacité de
nécessaire de mener une toute action corrective
action pour éliminer les mise en oeuvre; et
causes de la non- •e) modifier, si nécessaire,
conformité le système de
management de
Clarification sécurité de l’information.
97 98
Domaines
Mesures A.9 Contrôle
d’accès
A.7 Sécurité des
ressources
humaines
99 100
25
14/05/2023
A.5.1.1 Politiques de
sécurité de
l’information
A.17 Aspects de la
sécurité de
l’information dans la A.13 Sécurité des
gestion de la communications
continuité de A.5.1 Orientations de la
l’activité Objectif: Apporter à la sécurité de direction en matière de
sécurité de
l’information une orientation et un soutien de l’information
101 102
103 104
26
14/05/2023
105 106
107 108
27
14/05/2023
109 110
A.12.7 A.12.2
A.12.6 Gestion
Considérations A.12.5 Maîtrise A.12.4 Protection
des A.12.3
A.12.7 A.12.2 A.12.1 sur l’audit des des logiciels en Journalisation contre les
A.12.6 Gestion vulnérabilités Sauvegarde
Considérations A.12.5 Maîtrise A.12.4 Protection Procédures et systèmes exploitation et surveillance logiciels
des A.12.3 techniques
sur l’audit des des logiciels en Journalisation contre les responsabilités d’information malveillants
vulnérabilités Sauvegarde
systèmes exploitation et surveillance logiciels liées à
techniques
d’information malveillants l’exploitation
111 112
28
14/05/2023
A.12.2
Protection
A.12.2.1 Mesures contre les
contre les logiciels malveillants
logiciels
malveillants
A.12.3
Sauvegarde A.12.3.1 Sauvegarde des informations
113 114
Objectif: Enregistrer les événements et Objectif: Garantir l’intégrité des systèmes en exploitation.
générer des preuves.
115 116
29
14/05/2023
A.12.6 Gestion
A.12.6.1 Gestion des vulnérabilités techniques A.12.7 A.12.7.1 Mesures relatives à l’audit des ystèmes
des
vulnérabilités
A.12.6.2 Restrictions liées à l’installation de logiciels Considérations
sur l’audit des
d’information
techniques systèmes
d’information
Objectif: Empêcher toute exploitation des vulnérabilités Objectif: Réduire au minimum l’impact des activités d’audit sur les
techniques. systèmes en exploitation.
117 118
sécurité des réseaux A.13.2.4 Engagements de confidentialité ou de d’application sur les réseaux publics
non-divulgation A.14.1.3 Protection des transactions liées
Objectif: Garantir la protection de Objectif: Veiller à ce que la sécurité de A.14.1 Exigences de
sécurité applicables aux services d’application
aux systèmes
l’information sur les réseaux et des l’information fasse partie intégrante des d’information
moyens de traitement de ’information A.13.1.1 Contrôle des réseaux systèmes d’information tout au long de
sur lesquels elle s’appuie. A.13.1.2 Sécurité des services de réseau leur cycle de vie. Cela inclut également
A.13.1.3 Cloisonnement des réseaux des exigences pour les systèmes
A.13 Sécurité des d’information fournissant des A.14 Acquisition,
communications développement et
services sur les réseaux publics.. maintenance des
systèmes d’information
119 120
30
14/05/2023
A.14 Acquisition, développement et maintenance des systèmes d’information A.14 Acquisition, développement et maintenance des systèmes d’information
121 122
123 124
31
14/05/2023
125 126
127
32