Académique Documents
Professionnel Documents
Culture Documents
I.1. INTRODUCTION
La quête de la sécurité informatique absolue demeure une illusion. Quels que soient
les moyens déployés pour protéger un Système d'Information (SI), l'existence
même de risques persiste, prêts à se manifester sous diverses formes de menaces.
C'est pourquoi il est essentiel de reconnaître que le risque est un compagnon
constant du SI, intrinsèquement lié à son fonctionnement. Cette section s'attache à
établir les fondements de la gestion des risques, tout en explorant les domaines
connexes qui façonnent le paysage de la sécurité informatique. Nous examinerons
les objectifs de la sécurité de l'information, nous plongerons dans la compréhension
des menaces courantes et nous décortiquerons les motivations qui animent les
attaquants. En comprenant ces éléments fondamentaux, nous pourrons mieux
appréhender la complexité de la sécurité informatique et nous préparer à y faire
face de manière proactive.
I.2. Gouvernance de la Sécurité de l’Information
Il est communément admis que la sécurité de l'information dépasse largement la
simple mise en place de mesures technologiques telles que les pares-feux, les
algorithmes de chiffrement ou les logiciels antivirus. Ces éléments, bien que
cruciaux, sont inefficaces si la sécurité n'est pas envisagée dès les premières phases
de la conception, puis intégrée de manière stratégique dans l'ensemble de
l'organisation. C'est précisément là que réside l'importance de la gouvernance de la
sécurité de l'information. En déployant une approche globale, cette gouvernance
élabore des stratégies visant à gérer les risques et à garantir la réalisation des
objectifs de sécurité à tous les niveaux de l'entreprise.
1. Elaboration des politiques de sécurité
Les politiques de sécurité constituent les éléments fondamentaux de la gouvernance
de la sécurité. Elles définissent les objectifs à atteindre en termes de sécurité,
énoncent les procédures à suivre pour les réaliser, ainsi que les contrôles
nécessaires pour garantir un niveau de risque minimal. Une politique de sécurité
doit être validée par la haute direction et diffusée à l'ensemble du personnel, car au
sein d'une entreprise, elle revêt un caractère impératif similaire à celui de la loi. La
mise en place d'une politique de sécurité est un processus critique qui doit prendre
en compte toutes les parties prenantes de l'entreprise. En effet, l'atteinte des
objectifs de sécurité ne doit en aucun cas entraver les objectifs commerciaux de
l'entreprise. Ainsi, elle est le fruit de plusieurs étapes, notamment :
1. Identification des besoins et des objectifs : Cette étape implique une évaluation
approfondie des besoins en matière de sécurité, en tenant compte des actifs
critiques de l'entreprise, des menaces potentielles et des exigences réglementaires.
2. Consultation des parties prenantes : Il est crucial d'impliquer toutes les parties
prenantes, y compris la direction, les responsables informatiques, les employés et
les départements clés, pour garantir que les politiques de sécurité répondent aux
besoins et aux réalités de l'entreprise.
3. Formulation des objectifs et des principes directeurs : À cette étape, les
objectifs spécifiques de la politique de sécurité sont définis, ainsi que les principes
directeurs qui guideront sa mise en œuvre. Il peut s'agir de garantir la
confidentialité des données, d'assurer l'intégrité des systèmes, ou encore de
promouvoir une culture de la sécurité au sein de l'entreprise.
4. Rédaction et validation : Les politiques de sécurité sont rédigées de manière
claire et concise, en veillant à ce qu'elles soient compréhensibles par tous les
membres de l'organisation. Elles doivent ensuite être examinées et validées par la
haute direction avant leur diffusion.
5. Diffusion et sensibilisation : Une fois approuvées, les politiques de sécurité
doivent être largement diffusées à l'ensemble du personnel. Des sessions de
sensibilisation peuvent également être organisées pour expliquer les principes et les
exigences de la politique de sécurité.
2. Procédures de sécurité
Les procédures de sécurité sont des dérivés directs des politiques de sécurité. Une
procédure se caractérise souvent par son aspect pas-à-pas, c'est-à-dire qu'elle doit
décrire précisément les étapes à suivre pour mener à bien une activité de sécurité
donnée, telles que le changement d'un mot de passe ou l'ajout d'un nouvel
utilisateur. Une procédure correctement documentée doit être attribuée à des
individus spécifiques qui auront des responsabilités et des rôles définis dans leur
mise en œuvre. De plus les éléments suivants doivent être prise en compte :
1. Révision et mise à jour : Les procédures de sécurité doivent être régulièrement
révisées et mises à jour pour refléter les changements dans l'environnement
informatique de l'entreprise, tels que l'ajout de nouvelles technologies ou
l'évolution des menaces.
2. Approbation et validation : Avant d'être mises en œuvre, les procédures de
sécurité doivent être approuvées par les parties prenantes appropriées, telles que la
direction, les responsables informatiques et les responsables des opérations.
3. Formation et sensibilisation : Il est essentiel de fournir une formation adéquate
aux personnes chargées de mettre en œuvre les procédures de sécurité, ainsi qu'à
l'ensemble du personnel pour s'assurer de leur compréhension et de leur conformité.
4. Documentation et archivage : Les procédures de sécurité doivent être
soigneusement documentées et archivées dans un emplacement sécurisé et
accessible pour référence future et pour des raisons de conformité réglementaire.
5. Évaluation de l'efficacité : Il est important d'évaluer régulièrement l'efficacité
des procédures de sécurité pour identifier les lacunes et les possibilités
d'amélioration continue.
3. Rôles et responsabilité
Dans le cadre de la gouvernance de la sécurité de l'information, il est impératif de
définir clairement les rôles et les responsabilités associés. Cela garantit une
répartition efficace des tâches et une supervision adéquate des activités liées à la
sécurité.
Tout d'abord, le Directeur des Systèmes d'Information (DSI) joue un rôle central
dans la gouvernance de la sécurité de l'information. Sa responsabilité principale est
de superviser l'ensemble des systèmes d'information de l'entreprise, y compris leur
sécurité. Le DSI est chargé de définir la stratégie globale de sécurité informatique,
en alignant les objectifs de sécurité sur les objectifs commerciaux de l'entreprise. Il
veille également à ce que les ressources nécessaires soient allouées à la mise en
œuvre des mesures de sécurité appropriées.
Ensuite, le Responsable de la Sécurité des Systèmes d'Information (RSSI)
occupe une place cruciale dans l'organigramme de la sécurité informatique. Bien
que dans certaines structures organisationnelles, le RSSI puisse être placé sous la
supervision du DSI, il est généralement recommandé qu'il exerce ses fonctions de
manière indépendante. Le rôle du RSSI consiste à élaborer et à mettre en œuvre des
politiques et des procédures de sécurité, à évaluer les risques potentiels, à
superviser les activités de détection et de réponse aux incidents, ainsi qu'à assurer la
sensibilisation et la formation du personnel en matière de sécurité.
En plus de ces rôles clés, d'autres parties prenantes peuvent être impliquées dans la
gouvernance de la sécurité de l'information, telles que les responsables des
départements opérationnels, les responsables de la conformité réglementaire et les
auditeurs internes ou externes. La collaboration entre ces différentes parties est
essentielle pour garantir une approche holistique et efficace de la sécurité de
l'information.
3. Traitement du risque
Il existe 4 méthodes de traitement du risque :
• L’acceptation ; qui consiste à ne rien faire bien qu’étant pleinement conscient
du risque encouru ;
• L’évitement ou arrêt de l’activité, qui préconise l’extinction de la raison du
risque ;
• Le transfert ou partage. Ici l’entité, par le mécanisme contractuel, s’assure de
l’intervention d’un tiers pour l’aider le moment échéant à faire face à
l’impact ;
• La réduction ou mitigation. Elle se matérialise par le déploiement de contre-
mesure ou l’amélioration de mécanisme de contrôle déjà en place pour agir
soit sur la vulnérabilité, soit sur la menace, ou encore sur l’impact ou une
combinaison des trois.
- Respect des délais : Il est essentiel de respecter les délais convenus dans le cadre
des engagements professionnels. Cela démontre le professionnalisme et le sérieux
dans l'exécution des tâches.
- Les attaquants externes peuvent inclure des pirates informatiques motivés par
diverses raisons telles que l'appât du gain financier, des motivations politiques ou
idéologiques, ou encore le désir de notoriété. Ils peuvent également être des acteurs
mandatés par des concurrents commerciaux ou des agences gouvernementales
engagées dans des opérations de cyberespionnage ou de sabotage.
- Les attaquants internes, quant à eux, englobent une gamme d'individus allant
des employés malveillants cherchant à nuire à leur employeur pour diverses raisons
personnelles ou financières, aux employés mécontents ou cherchant à se venger en
exploitant leur accès privilégié aux systèmes et données de l'entreprise.
Il est important de reconnaître que les ressources humaines représentent une grande
menace pour la sécurité informatique, car elles peuvent souvent contourner les
mesures de sécurité technologiques en place. Par conséquent, la sécurité doit être
intégrée dans l'ensemble du processus, depuis le recrutement et l'intégration des
employés dans l'entreprise jusqu'à leur départ, qu'il s'agisse d'une démission ou d'un
licenciement, afin de minimiser les risques potentiels associés aux attaquants
internes.
I.9. Evaluation des acquis
I.10. TP
Présentation en groupe de 3 sur les différentes lois suscitées