IUC_elearning_2024

Introduction

Aujourd’hui, la gestion du système d’information d’un organisme est devenue

un élément essentiel pour le fonctionnement de celui-ci. Grâce aux nouvelles
technologies, les entreprises produisent et exploitent de plus en plus de données,
l’information est de plus en plus rapide mais aussi de plus en plus menacée. Au
cours des dernières années, le nombre de cyberattaques n’a cessé d’augmenter,
entrainant des pertes financières importantes et un temps remise en sécurité
assez long pour les organismes.

Dans le but de standardiser et de sécuriser le système d’information des

organismes, l’organisation internationale de normalisation a mis en place la
norme ISO/CEI 27001. Celle-ci a été rédigée afin de sensibiliser les organismes
à manager la sécurité de leurs informations et protéger leurs intérêts dans un
environnement de plus en plus concurrentiel.

Figure 1: Famille de la norme ISO/CEI 270XX

IUC_elearning_2024

Certification ISO 27001 : une norme

internationale dédiée à la Sécurité des Systèmes
d’Information (SMSI) des entreprises et
organisations
La mise en place d’un Système de Management de la Sécurité des Systèmes
d’Information permet à l’entreprise de s’assurer de la bonne appréciation
des risques de sécurité de l’information dans son environnement propre et
en fonction de la criticité des données qu’elle traite de ses parties prenantes
(clients, fournisseurs, employés, partenaires…).

Le SMSI ou Le Système de Management de la Sécurité de l’Information

regroupe alors les systèmes d’informations, les processus et les personnes
qui sont concernées par les mesures de protection

Bref, D’un point de vue d’un SMSI basé sur l’ISO il suffirait de déployer
des mesures de nature organisationnelle, de piloter le tout de manière
responsable pour en tirer de bons résultats.

Autrement dit, Un Système de Management de la Sécurité de l’Information

(dit également SMSI) représente un ensemble de règles et de mesures ayant
pour objet la gestion de la sécurité de l’information

C’est un mode d’organisation que l’entreprise doit mettre en place pour

préserver la confidentialité, l’intégrité et la disponibilité de l’information.
Ce système prend en compte à la fois des facteurs techniques et humains.
Le SMSI permet de gérer les risques relatifs à l’information au moyen de
processus, et définit les différentes responsabilités

Un SMSI certifie que :

 Les actifs informationnels ou les biens essentiels de votre

entreprise sont bien définis et sécurisés
 Les risques liées à la sécurité sont bien gérés et atténuées
 Des politiques et des procédures sont en place
 Les mesures de sécurités sont respectées et vérifiées régulièrement
IUC_elearning_2024

Voici une courte liste d’ avantages apportés par un SMSI :

 Renforcer l’assurance d’une organisation dans la maîtrise de risques

identifiés

 Adopter une attitude d’amélioration continue

 Apporter la confiance attendue aux parties prenantes

 Se démarquer de la concurrence

 Remplir ses obligations légales et garantir sa conformité

réglementaire sur les sujets de la sécurité

 Structurer la démarche sécurité d’une organisation

 Mobiliser et responsabiliser le management à tous les niveaux de

l’organisation

 Valoriser l’être humain et les compétences autour d’objectif(s)

commun(s)

 Donner du sens à chaque collaborateur qui, en retour, participe à

l’amélioration continue

Pourquoi ISO/IEC 27001 est-elle essentielle ?

Face à l’essor de la cybercriminalité et à l’émergence constante de nouvelles
menaces, il peut paraître difficile, voire impossible, de gérer les cyber-
risques. ISO/IEC 27001 aide les organisations à prendre conscience des
risques et à identifier et traiter de manière proactive les lacunes.

Un outil à l’appui de la gestion des risques, de la cyber-résilience et de

l’excellence opérationnelle.

ISO/IEC 27001 est la norme la plus connue au monde en matière

de systèmes de management de la sécurité de l’information (SMSI). Elle définit
les exigences auxquelles un SMSI doit répondre.
IUC_elearning_2024

La norme ISO/IEC 27001 fournit aux entreprises de toutes tailles, quel que
soit leur secteur d’activité, des lignes directrices pour l’établissement, la
mise en œuvre, la tenue à jour et l’amélioration continue d’un système de
management de la sécurité de l’information.

La conformité à ISO/IEC 27001 signifie qu’une organisation ou une

entreprise a mis en place un système pour gérer les risques liés à la sécurité
de ses données ou des données qu’elle est amenée à traiter, et que ce
système est conforme aux bonnes pratiques et principes énoncés dans cette
Norme internationale.

La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un
Système de Management de la Sécurité de l'Information (SMSI). Le SMSI
est destiné à choisir les mesures de sécurité afin d'assurer la protection des
biens sensibles d'une entreprise sur un périmètre défini

La norme ISO 27001 pose les bases du système de management de la

sécurité de l’information.
Adoptant une approche par processus, la norme met en lumière les
meilleures pratiques de sécurité et surtout les organise dans le temps.
la norme ISO 27001 décrit les exigences nécessaires à la mise en œuvre du
Système de Management de la Sécurité de l’Information (SMSI).

Le SMSI est défini par l’ensemble des ressources mises en place pour
organiser et gérer au quotidien la sécurité de l’information.
Il constitue donc un dispositif global de gouvernance de la sécurité de
l’information. Il englobe l’ensemble des documents définissant les règles et
processus de sécurité, l’organisation associée ainsi que les infrastructures
techniques de sécurité.
Le corps de la norme ISO 27001 est consacré à la création et au maintien du
SMSI.

La norme ISO 27001 propose d’intégrer ces éléments comme des fondements
incontournables de la démarche sécurité:
1) Des processus de sécurité bien identifiés et formalisés (analyse de
risques, gestion des incidents, sensibilisation, ….
2) Le contrôle systématique des éléments mis en œuvre via le SMSI.
3) La gestion efficiente de la documentation (création et mises à jour).
4) La gestion stricte des enregistrements pour permettre le contrôle des
mesures de sécurité mises en place (traces de tous les accès à un local
sécurisé).
IUC_elearning_2024

Des organisations collectent, traitent, stockent et transmettent des informations

reconnaissent que ces informations et les processus associés, les systèmes,
les réseaux et les gens sont des actifs importants pour la réalisation des objectifs
de l'organisation. Toutes les informations détenues et traitées alors sont exposées
à des menaces d'attaque, d'erreur, d'événement naturel (inondation ou incendie),
et sont
Exposées à des vulnérabilités inhérentes à leur utilisation. Ces menaces sont
appelées risques

Donc, L’ISO 27001 propose des principes pertinents qui amènent un plus réel
aux démarches d’amélioration de la sécurité.
• Une meilleure maîtrise des risques qui pèsent réellement sur les activités de
l’entreprise.
• La garantie de mieux dimensionner le budget sécurité et surtout de
l’affecter aux mesures les plus pertinentes.
• Une association plus systématique des acteurs métiers et du management
aux décisions, et
• Donc une meilleure acceptation des contraintes amenées par les mesures
de sécurité.
• Un pilotage plus efficace du traitement des risques.
• La facilitation d’autres démarches liées à la sécurité de l’information,

La norme ISO 27001 impose la conduite d’une…

1) analyse de risques puis

2) la définition d’un plan de traitement de ces risques dont l’application

est strictement contrôlée.

I- Quels sont les 4 critères de sécurité de la norme ISO

27001 ?

 La confidentialité : les informations doivent être

accessibles uniquement aux personnes autorisées.

 L’intégrité : les informations doivent être exactes et

complètes.

 La disponibilité : les informations doivent être accessibles

lorsque cela est nécessaire.
IUC_elearning_2024

 La traçabilité : les activités liées aux informations doivent

être enregistrées et tracées.

Pour respecter ces 4 critères de sécurité, la norme ISO 27001

propose une méthodologie précise pour permettre aux
organisations publiques et aux entreprises privées de sécuriser leurs
données et celles de leurs clients en conformité aux législations.
La norme ISO 27001 définit un ensemble de mesures de sécurité.
Ces mesures peuvent être techniques, organisationnelles ou
administratives. Parmi ces mesures :

 L’authentification : les utilisateurs doivent être

systématiquement authentifiés avant d’accéder aux
informations.

 Le cryptage : les informations sensibles doivent être

cryptées pour les protéger contre les accès non autorisés.

 Le contrôle d’accès : les utilisateurs doivent n’avoir accès

qu’aux informations dont ils ont besoin pour effectuer leur
travail.

 La sauvegarde des données : les données doivent être

sauvegardées régulièrement pour les protéger en cas de
perte ou de destruction.

 La gestion des incidents : les organisations doivent avoir

un plan pour gérer les incidents de sécurité.

Quel doit être le périmètre du Système de

Management du Système d’Information selon l’ISO
27001 ?
IUC_elearning_2024

Le Système de Management de Sécurité de l’Information doit couvrir à la fois

les risques liés à la gestion des infrastructures que ceux liés à la gestion des
applicatifs. Il doit également s’attacher réduire l’impact des menaces extérieures
et celles des malveillances ou inattentions internes. Ainsi le SMSI doit couvrir
sans s’y limiter les aspects suivants :

- L’organisation interne : fonctions et responsabilités liées à la sécurité de

l’information, séparation des tâches, relations avec les autorités, la sécurité de
l’information dans la gestion des projets lancés dans l’entreprise,
- Appareils mobiles et télétravail : Politique en matière d’appareils mobiles,
télétravail : accès et partage des informations hors de l’entreprise,
- Sécurité des ressources humaines avant l’embauche (sélection des
candidats, termes et conditions d’embauche), pendant la durée du contrat
(responsabilité de la direction, Sensibilisation, apprentissage et formation à la
sécurité de l’information, Processus disciplinaire), Rupture, terme ou
modification du contrat de travail (Achèvement ou modification des
responsabilités associées au contrat de travail),
- Gestion et responsabilité des actifs : inventaire, propriété, utilisation
correcte, restitution des actifs,
- Classification et marquage de l’information
- Manipulation des supports : gestion des supports amovibles, mise au rebut
des supports, transfert physique des supports,
- Contrôle des accès : politique de contrôle d’accès, accès au réseau et aux
services réseau,
- Gestion des accès utilisateurs : enregistrement et désinscription des
utilisateurs, distribution des accès aux utilisateurs, gestion des droits d’accès à
privilèges, gestion des informations secrètes d’authentification des utilisateurs,
revue des droits d’accès utilisateurs, suppression ou adaptation des droits
d’accès,
- Responsabilité et contrôle d’accès des utilisateurs : Utilisation
d’informations secrètes d’authentification, Restriction d’accès à l’information,
Sécuriser les procédures de connexion, Système de gestion des mots de passe,
Utilisation de programmes utilitaires à privilèges, Contrôle d’accès au code
source des programmes,
- Mesures cryptographiques : Politique d’utilisation des mesures
cryptographiques, gestion des clefs,
IUC_elearning_2024

- Sécurité physique et environnementale : Périmètre de sécurité physique,

Contrôle d’accès physique, Sécurisation des bureaux, des salles et des
équipements, Protection contre les menaces extérieures et Environnementales,
Travail dans les zones sécurisées, Zones de livraison et de chargement, sécurité
des matériels,
- Sécurité liée à l’exploitation : protection contre les logiciels malveillant,
sauvegarde, journalisation et surveillance, maîtrise des logiciels en exploitation,
gestion des vulnérabilité techniques, audit du système d’information,
- Sécurité des communications : gestion de la sécurité des réseaux, transfert de
l’information, acquisition, développement et maintenance des systèmes
d’information, Sécurité des processus de développement et d’assistance
technique,
- Sécurité dans les relations avec les fournisseurs : gestion de la prestation
de service, chaîne d’approvisionnement des produits et des services
informatiques,
- Gestion des incidents liés à la sécurité de l’information et
améliorations : responsabilités et procédures, signalement des événements liés
à la sécurité de l’information, signalement des failles liées à la sécurité de
l’information, réponse aux incidents liés à la sécurité de l’information, collecte
de preuves,
- Aspects de la sécurité de l’information dans la gestion de la continuité de
l’activité : continuité de la sécurité de l’information, redondances,
- Continuité de l’activité. L’entreprise doit faire preuve de résilience et l’activité,
si elle est interrompue, doit reprendre au plus vite

I- Définition du risque
Un risque est un danger éventuel, plus ou moins prévisible, inhérent à une
situation ou à une activité. Le risque est défini comme l’éventualité d'un
événement futur, incertain, ne dépendant pas exclusivement de la volonté des
parties et pouvant
Causer la perte d'un objet ou tout autre dommage

Risques humains
Les risques humains concernent les utilisateurs
• La maladresse…des erreurs.
• L'inconscience et l'ignorance……de nombreux utilisateurs d'outils
IUC_elearning_2024

informatiques sont encore inconscients ou ignorants des risques

qu'ils encourent aux systèmes qu'ils utilisent.
• La malveillance : virus et de vers.
• L’ingénierie sociale est une méthode pour obtenir d'une personne des
informations confidentielles, que l'on n'est pas normalement autorisé à
obtenir, en vue de les exploiter à d'autres fins.
• L’espionnage et le détournement de mot de passe:

Risques techniques
Les risques techniques sont tout simplement ceux liés
aux défauts et pannes inévitables que connaissent tous les
systèmes matériels et logiciels.
• Incidents liés au matériel….
• Incidents liés au logiciel…ils sont de très loin les plus fréquents
• Incidents liés à l'environnement…dus aux variations de
Température ou d'humidité

Risques juridiques
L'ouverture des applications informatiques par le web et la multiplication des
messages électroniques augmentent les risques juridiques liés à l'usage des
technologies de l’information.
On peut citer notamment :

• Le non-respect de la législation relative à la signature numérique

• Les risques concernant la protection du patrimoine informationnel;
• Le non-respect de la législation relative à la vie privée et au droit de la
preuve

Gestion des risques

La gestion des risques vise à:

• Identifier et anticiper les évènements, actions ou inactions

Susceptibles d’impacter la mise en œuvre de la stratégie dans un horizon

donné,

• Définir les options de traitements et s’assurer qu’une option optimale

est choisie, mettre en œuvre cette option et

• Contrôler l’efficacité de la solution retenue par rapport aux attentes.

IUC_elearning_2024

III-Programmes malveillants

Un logiciel malveillant (malware en anglais) est un logiciel développé dans le

but de nuire à un système informatique. Voici les principaux types de
programmes malveillants :

• Le virus : programme se dupliquant sur d'autres ordinateurs ;

• Le ver (worm en anglais) : exploite les ressources d'un ordinateur afin

d'assurer sa reproduction ;

• Le wabbit : programme qui se réplique par lui-même (mais qui n'est ni un

virus, ni un ver) ;

• Le cheval de Troie (trojan en anglais) : programme à apparence légitime

(voulue) qui exécute des routines nuisibles sans l'autorisation de
l'utilisateur ;

• La porte dérobée (backdoor en anglais) : ouvreur d'un accès frauduleux

sur un système informatique, à distance ;

• Le logiciel espion (spyware en anglais) : collecteur d'informations

personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et en
envoyant celles-ci à un organisme tiers ;

• L'enregistreur de frappe (keylogger en anglais) : programme

généralement invisible installé sur le poste d'un utilisateur et chargé
d'enregistrer à son insu ses frappes clavier ;

• Le rootkit : ensemble de logiciels permettant généralement d'obtenir les

droits d'administrateur sur une machine, d'installer une porte dérobée, de
truquer les informations susceptibles de révéler la compromission, et
d'effacer les traces laissées par l'opération dans les journaux système

Techniques d'attaque par messagerie

En dehors des nombreux programmes malveillants qui se propagent par la

messagerie électronique, il existe des attaques spécifiques à celle-ci :

• Le pourriel (spam en anglais) : un courrier électronique non sollicité, la

plupart du temps de la publicité. Ils encombrent le réseau, et font perdre du
temps à leurs destinataires

• L'hameçonnage (phishing en anglais) : un courrier électronique dont

l'expéditeur se fait généralement passer pour un organisme financier et
demandant au destinataire de fournir des informations confidentielles
IUC_elearning_2024

• Le canular informatique (hoax en anglais) : un courrier électronique

incitant généralement le destinataire à retransmettre le message à ses contacts
sous divers prétextes. Ils encombrent le réseau, et font perdre du temps à
leurs destinataires. Dans certains cas, ils incitent l'utilisateur à effectuer des
manipulations dangereuses sur son poste (suppression d'un fichier
prétendument lié à un virus par exemple).

La gestion des tiers dans le SMSI

La mise en place d’un SMSI efficace ne peut se faire sans une gestion des tiers
rigoureuse et systématique. Les fournisseurs, les partenaires et les sous-traitants
peuvent en effet avoir accès à des informations sensibles et présentent donc un
risque pour la sécurité de l’information, surtout dans un contexte d’intégration
informatique via des outils collaboratifs.

Chaque interaction avec ces tiers peut introduire des risques potentiels pour la
sécurité de l’information, la confidentialité et la continuité de l’activité. Il est
donc essentiel que ces risques soient identifiés, évalués et gérés de manière
appropriée dans le cadre du SMSI.

 Les fournisseurs peuvent avoir accès à des informations sensibles ou aux

systèmes d’information de l’organisation que ce soit pour fournir du
matériel, des logiciels ou des services. Ils doivent donc respecter les
mêmes normes de sécurité que l’organisation elle-même ;

 Les sous-traitants peuvent exécuter des tâches au nom et pour le compte

de l’organisation. Ils peuvent à ce titre avoir accès à des données
sensibles, à des systèmes d’information ou à des locaux physiques, et
doivent donc respecter des exigences de sécurité rigoureuses. Rappelons
que les cyberattaques par rebond, qui consistent à attaquer une
organisation de petite taille (TPE, PME, indépendant…) pour atteindre
une grande structure, sont en nette augmentation ;
IUC_elearning_2024

 Les clients peuvent également poser des risques en termes de sécurité de

l’information, notamment s’ils ont accès à des systèmes d’information ou
à des Cloud sécurisés. De plus, les clients peuvent fournir des
informations personnelles ou sensibles qui doivent être protégées
conformément aux lois sur la protection des données et à la politique de
l’organisation en matière de confidentialité.

La gestion des tiers dans le cadre du SMSI se concentre sur trois familles de
risques :

 Sécurité de l’information : la sécurité des données et des systèmes

d’information peut être compromise lors de l’interaction avec les tiers. Par
exemple, un sous-traitant pourrait être chargé de la maintenance d’un
système d’information crucial. Si ce sous-traitant ne respecte pas les
meilleures pratiques de sécurité, par exemple en utilisant des mots de
passe faibles ou en négligeant la mise à jour des logiciels, il pourrait
rendre le système vulnérable à des attaques et provoquer une violation de
données ;

 Confidentialité : la confidentialité des informations peut être menacée

lorsque les tiers ont accès à des données sensibles. Prenons l’exemple
d’un fournisseur de service Cloud qui stocke des données client pour une
entreprise. Si ce fournisseur ne chiffre pas correctement ces données ou si
son personnel peut y accéder sans contrôles adéquats, cela pourrait
entraîner une divulgation non autorisée d’informations confidentielles, ce
qui pourrait avoir des implications juridiques et réputationnelles graves ;

 Continuité d’activité : les tiers, en particulier ceux qui ont un accès

direct ou indirect aux systèmes d’information de l’entreprise, peuvent
influencer significativement la continuité des opérations. En effet, une
faille de sécurité ou une indisponibilité chez un tiers peut avoir des
répercussions directes sur l’entreprise. Prenons l’exemple d’une
organisation qui confie son infrastructure informatique à un fournisseur de
services cloud. Si ce fournisseur est victime d’une cyberattaque qui
entraîne une panne de service prolongée, l’entreprise se retrouve
IUC_elearning_2024

paralysée, incapable de fournir ses services à ses clients, ce qui peut

impacter négativement son chiffre d’affaires et sa réputation.