Vous êtes sur la page 1sur 23

Principes de Base de la Sécurité des Systèmes d'Information

Principes de Base de la Sécurité des Systèmes d'Information Isabelle WAS

Isabelle WAS

Qu'est-ce qu'un système d'information ?

Qu'est-ce qu'un système d'information ? Isabelle WAS

Isabelle WAS

Qu'est-ce qu'un système d'information ?

Qu'est-ce qu'un système d'information ? Isabelle WAS Command e Fournisseu r Bon de Command livraiso e

Isabelle WAS

Command e Fournisseu r Bon de Command livraiso e n Entrepô t Centrale d'achat Logistiqu
Command
e
Fournisseu
r
Bon de
Command
livraiso
e
n
Entrepô
t
Centrale
d'achat
Logistiqu
e
Bon de
Command
livraiso
e
n
Magasin
Bon de
Exemple d'une
chaîne de liaison : la
boucle de
réapprovisionnement
livraiso
Commande locale
n

L'infrastructure du système d'information, c'est ceci

du système d'information, c'est ceci Isabelle WAS Magasin Siège L.S. social Société X

Isabelle WAS

Magasin Siège L.S. social Société X Mail DNS Réseau Public Web Filiale Serveurs publics Nomade
Magasin
Siège
L.S.
social
Société X
Mail
DNS
Réseau
Public
Web
Filiale
Serveurs
publics
Nomade

F.A.I

Particulier

Partenaire

… mais également cela

… mais également cela Isabelle WAS
… mais également cela Isabelle WAS
… mais également cela Isabelle WAS
… mais également cela Isabelle WAS

Isabelle WAS

Le système d'information

Définition

Le système d'information est constitué de l'ensemble des moyens matériels, logiciels, organisationnels et
Le système d'information est constitué de l'ensemble des moyens
matériels, logiciels, organisationnels et humains qui agissent entre
b
eux afin de traiter, conserver ou communiquer de l'information.

Composition

- Téléphone, messagerie,

- Fax,

- Imprimantes, photocopieuses,

- PC, logiciels, clés USB, disque externe, CD-ROM,

- internet, intranet, extranet,

- Documents, dossiers, notes, comptes rendus,

- Réunions,

- Hommes et femmes,

- etc…

intranet, extranet, - Documents, dossiers, notes, comptes rendus, - Réunions, - Hommes et femmes, - etc…

Isabelle WAS

Isabelle WAS Les sinistres

Isabelle WAS

Les sinistres

Les risques

Il existe trois classes de risque : les accidents, les erreurs et la malveillance.

de risque : les accidents, les erreurs et la malveillance. les accidents ● incendie, explosion, implosion

les accidents

● incendie, explosion, implosion

● pannes matérielles et logicielles : ensemble des causes d'origine ou de révélation interne entraînant l'indisponibilité ou le dysfonctionnement total ou partiel du système.

● événements naturels : événements naturels d'origine externe au système :

inondation, tempête, cyclone, ouragan, vent,

● perte de services essentiels : électricité, télécommunication, eau,

● autres risques accidentels tels que les chocs, collisions, chutes, bris de machine accidentels, pollution par rayonnement , effets électrostatiques

chocs, collisions, chutes, bris de machine accidentels, pollution par rayonnement , effets électrostatiques Isabelle WAS

Isabelle WAS

les erreurs

Les risques

● erreurs d'utilisation erreurs de saisie et de transmission des données quel qu'en soit le moyen, erreurs d'exploitation du système.

● erreurs de conception et de réalisation des logiciels et des procédures d'application.

système. ● erreurs de conception et de réalisation des logiciels et des procédures d'application. Isabelle WAS

Isabelle WAS

système. ● erreurs de conception et de réalisation des logiciels et des procédures d'application. Isabelle WAS
●

la malveillance

Le vol de matériel principaux ou accessoires

Les risques

● la fraude : utilisation non autorisée des ressources du système d'information, conduisant à un préjudice évaluable de façon monétaire pour la victime, essentiellement par le détournement de biens au profit du criminel :

- détournement de fonds,

- détournement de bien ou de services (matériels ou immatériels)

● le sabotage immatériel : action malveillante conduisant à un sinistre matériel

● l'attaque logique : utilisation non autorisée des ressources du système d'information conduisant à un préjudice au moins qualitatif pour la victime

● la divulgation : utilisation non autorisée des ressources du système d'information entraînant la divulgation à des tiers d'informations confidentielles.

● les risques humains

- perte ou indisponibilité de personnel,

- contrefaçon de progiciels.

● les risques humains - perte ou indisponibilité de personnel, - contrefaçon de progiciels. Isabelle WAS

Isabelle WAS

LES TYPES DE MENACE

LES TYPES DE MENACE Isabelle WAS ● Ludique : sans profit ● Cupide : pouvoir, argent

Isabelle WAS

● Ludique : sans profit

● Cupide : pouvoir, argent

● Terroriste : idéologique

● Stratégique : économique

Les menaces

La sécurité du système d'information

La sécurité du système d'information Isabelle WAS

Isabelle WAS

Pourquoi la sécurité du système d’ information ?

Pourquoi la sécurité du système d’ information ? Isabelle WAS Résultat de l'entreprise Pour garantir la

Isabelle WAS

Résultat de l'entreprise Pour garantir la continuité de l’activité de l’entreprise Pour protéger
Résultat de
l'entreprise
Pour garantir la
continuité de l’activité
de l’entreprise
Pour protéger l’information,
patrimoine de l’entreprise
contre la divulgation
contre la perte de données
contre l’altération
Pour respecter
les lois
Pour préserver
l'image de marque
de l’entreprise

Notions de base

● La sécurité n'est pas une affaire de spécialistes, mais relève de la responsabilité de chaque collaborateur, de chaque service et chaque direction.

● Chacun manipule et utilise des informations et des ressources qui constituent le patrimoine de l'entreprise et, à ce titre, doit garantir leur protection.

● Axes d'expression de la sécurité :

protection. ● Axes d'expression de la sécurité : Isabelle WAS ○ Disponibilité ○ Intégrité ○

Isabelle WAS

○ Disponibilité

○ Intégrité

○ Confidentialité

○ Preuve

■ imputabilité,

■ traçabilité,

■ auditabilité,

■ non-répudiation.

Intégrité ○ Confidentialité ○ Preuve ■ imputabilité, ■ traçabilité, ■ auditabilité, ■ non-répudiation.

Disponibilité

Tout système doit apporter les fonctions attendues, dans les délais prévus, conformément au contrat de
Tout système doit apporter
les fonctions attendues, dans les délais prévus,
conformément au contrat de service défini avec les
utilisateurs.

● La continuité de service doit être assurée quelles que soient les circonstances :

○ charge importante du système,

○ panne d'un composant,

○ défaillance d'un fournisseur (électricité, télécoms, etc.),

○ sinistre endommageant ou détruisant le système.

● Techniques de base liées à la disponibilité :

○ Systèmes de haute disponibilité, à tolérance de panne

○ Plan de Sauvegarde

○ Plan de Reprise d'Activité (PRA)

○ Gestion de la Crise

tolérance de panne ○ Plan de Sauvegarde ○ Plan de Reprise d'Activité (PRA) ○ Gestion de

Isabelle WAS

Intégrité

Les systèmes et les informations ne peuvent être altérés à l'insu de leurs propriétaires
Les systèmes et les informations
ne peuvent être altérés
à l'insu de leurs propriétaires

● L'altération est une modification non autorisée préservant la vraisemblance des données ou le bon fonctionnement apparent des systèmes.

● L'altération peut provenir :

○ d'une erreur,

○ d'une infection par un virus,

○ d'un acte de malveillance.

● Les techniques de sécurité généralement employées ont davantage pour effet de détecter l'altération que de l'interdire.

généralement employées ont davantage pour effet de détecter l'altération que de l'interdire. Isabelle WAS

Isabelle WAS

Confidentialité

L'information est protégée contre la divulgation à des tiers non autorisés
L'information est protégée
contre la
divulgation à des tiers non autorisés

● L'information doit être protégée à tout moment :

○ lors de son stockage (bases de données, disquettes),

○ lors de son transfert (réseaux),

○ lors de sa matérialisation (documents papier).

disquettes), ○ lors de son transfert (réseaux), ○ lors de sa matérialisation (documents papier). Isabelle WAS

Isabelle WAS

disquettes), ○ lors de son transfert (réseaux), ○ lors de sa matérialisation (documents papier). Isabelle WAS

Preuve

Le système doit permettre, chaque fois que nécessaire, d'enregistrer de manière incontestable toute action sur
Le système doit permettre, chaque fois que
nécessaire, d'enregistrer de manière incontestable
toute action sur tout objet par tout auteur.

● Il doit permettre d'imputer toute opération à son auteur (imputabilité).

● Il doit permettre de reconstituer toutes les étapes permettant de passer d'une situation à une autre (traçabilité).

● Il doit permettre de vérifier la bonne application des procédures prévues (auditabilité).

application des procédures prévues ( auditabilité ). Isabelle WAS ● Il doit permettre de garantir

Isabelle WAS

● Il doit permettre de garantir l'identité des parties à une transaction (non-répudiation).

Sécurité logique

● Les techniques de sécurité logique permettent de répondre aux besoins de :

sécurité logique permettent de répondre aux besoins de : Isabelle WAS ○ Confidentialité, ○ Intégrité, ○

Isabelle WAS

○ Confidentialité,

○ Intégrité,

○ Preuve.

WAS ○ Confidentialité, ○ Intégrité, ○ Preuve. ● Elles comprennent essentiellement : ○ La cryptographie

● Elles comprennent essentiellement :

○ La cryptographie :

■ chiffrement de données,

■ contrôle d'intégrité,

○ L'identification et l'authentification,

○ Le contrôle d'accès et l'habilitation,

○ La journalisation des événements et des opérations.

Analyse de risques et mesures de sécurité

● Analyse de risques :

○ Faisabilité,

○ Impact financier,

○ Impact sur image de marque.

Faisabilit

Sinistr

● Mesures de sécurité :

○ Prévention,

○ Détection,

○ Protection (ou réaction).

Impac

é e t
é
e
t

Préventio

Détectio

Protectio

n

n

n

● Comment agir ?

○ Au niveau de l'Etat : les lois.

○ Au niveau de l'Entreprise : le contrôle interne (politique de sécurité, organisation, moyens techniques).

○ Au niveau de l'Individu : la responsabilisation.

de sécurité, organisation, moyens techniques). ○ Au niveau de l'Individu : la responsabilisation. Isabelle WAS

Isabelle WAS

Isabelle WAS Lois et règlements ● Responsabilité civile ● Loi "Informatique et libertés" ● Loi

Isabelle WAS

Lois et règlements

Isabelle WAS Lois et règlements ● Responsabilité civile ● Loi "Informatique et libertés" ● Loi sur

● Responsabilité civile

Isabelle WAS Lois et règlements ● Responsabilité civile ● Loi "Informatique et libertés" ● Loi sur

● Loi "Informatique et libertés"

civile ● Loi "Informatique et libertés" ● Loi sur la fraude informatique ● Code de la

● Loi sur la fraude informatique

● Code de la propriété intellectuelle

Isabelle WAS Contrôle interne Politique de sécurité Plan de continuité d’activité Lutte anti-virus

Isabelle WAS

Contrôle interne

Politique de sécurité Plan de continuité d’activité Lutte anti-virus Sensibilisation à la sécurité des
Politique de sécurité
Plan de continuité d’activité
Lutte anti-virus
Sensibilisation
à la sécurité des
systèmes d’information
Architecture de sécurité
Guide de sécurité
Protection des données

Le rôle stratégique de l'individu

● L'individu joue le rôle central dans la sécurité de l'entreprise :

○ il manipule quotidiennement les actifs sensibles,

○ il applique les procédures définies,

○ il met en œuvre les moyens de sécurité,

○ il identifie les situations anormales,

○ il détecte les incidents,

○ il réagit même si aucune procédure n'adresse le cas rencontré.

Un personnel responsable et vigilant est la clé d'une sécurité efficace.

Messages à diffuser : "Respectez les consignes de sécurité" "Signalez tout incident, toute anomalie"
Messages à diffuser :
"Respectez les consignes de sécurité"
"Signalez tout incident, toute anomalie"
diffuser : "Respectez les consignes de sécurité" "Signalez tout incident, toute anomalie" Isabelle WAS

Isabelle WAS