Principes de Base de la Scurit des Systmes d'Information

Isabelle WAS

Qu'est-ce qu'un systme d'information ?

Isabelle WAS

Qu'est-ce qu'un systme d'information ?

Command e Fournisseu r Command e Entrep t Bon de livraiso n

Logistiqu e Command e Magasin Commande locale

Isabelle WAS

Centrale d'achat Bon de livraiso n Bon de livraiso n

Exemple d'une chane de liaison : la boucle de rapprovisionnement

L'infrastructure du systme d'information, c'est ceci...

Magasin
L.S.

Sige social

Socit X
Mail DNS

Rseau Public

Web

F.A.I Serveurs publics Particulier Partenaire

Filiale Nomade

Isabelle WAS

 mais galement cela

Isabelle WAS

Dfinition

Le systme d'information Le systme d'information est constitu de l'ensemble des moyens matriels, logiciels, organisationnels et humains qui agissent entre b eux afin de traiter, conserver ou communiquer de l'information.

Composition - Tlphone, messagerie, - Fax, - Imprimantes, photocopieuses, - PC, logiciels, cls USB, disque externe, CD-ROM, - internet, intranet, extranet, - Documents, dossiers, notes, comptes rendus, - Runions, - Hommes et femmes, - etc

Isabelle WAS

Les sinistres

Isabelle WAS

Les risques
Il existe trois classes de risque : les accidents, les erreurs et la malveillance. les accidents

incendie, explosion, implosion pannes matrielles et logicielles : ensemble des causes d'origine ou de rvlation interne entranant l'indisponibilit ou le dysfonctionnement total ou partiel du systme. vnements naturels : vnements naturels d'origine externe au systme : inondation, tempte, cyclone, ouragan, vent,... perte de services essentiels : lectricit, tlcommunication, eau,... autres risques accidentels tels que les chocs, collisions, chutes, bris de machine accidentels, pollution par rayonnement , effets lectrostatiques...
Isabelle WAS

Les risques
les erreurs
erreurs d'utilisation erreurs de saisie et de transmission des donnes quel qu'en soit le moyen, erreurs d'exploitation du systme.

erreurs de conception et de ralisation des logiciels et des procdures d'application.

Isabelle WAS

Les risques
la malveillance
Le vol de matriel principaux ou accessoires la fraude : utilisation non autorise des ressources du systme d'information, conduisant un prjudice valuable de faon montaire pour la victime, essentiellement par le dtournement de biens au profit du criminel : - dtournement de fonds, - dtournement de bien ou de services (matriels ou immatriels) le sabotage immatriel : action malveillante conduisant un sinistre matriel l'attaque logique : utilisation non autorise des ressources du systme d'information conduisant un prjudice au moins qualitatif pour la victime la divulgation : utilisation non autorise des ressources du systme d'information entranant la divulgation des tiers d'informations confidentielles. les risques humains - perte ou indisponibilit de personnel, - contrefaon de progiciels.

Isabelle WAS

Les menaces

LES TYPES DE MENACE

Ludique : sans profit

Cupide : pouvoir, argent

Terroriste : idologique

Stratgique : conomique

Isabelle WAS

La scurit du systme d'information

Isabelle WAS

Pourquoi la scurit du systme d information ?

Rsultat de l'entreprise
Pour garantir la continuit de lactivit de lentreprise Pour protger linformation, patrimoine de lentreprise
contre la perte de donnes contre la divulgation

contre laltration

Pour respecter les lois

Pour prserver l'image de marque de lentreprise

Isabelle WAS

Notions de base
La scurit n'est pas une affaire de spcialistes, mais relve de la responsabilit de chaque collaborateur, de chaque service et chaque direction. Chacun manipule et utilise des informations et des ressources qui constituent le patrimoine de l'entreprise et, ce titre, doit garantir leur protection. Axes d'expression de la scurit :
Disponibilit Intgrit Confidentialit Preuve
imputabilit, traabilit, auditabilit, non-rpudiation.

Isabelle WAS

Disponibilit
Tout systme doit apporter les fonctions attendues, dans les dlais prvus, conformment au contrat de service dfini avec les utilisateurs.
La continuit de service doit tre assure quelles que soient les circonstances :
charge importante du systme, panne d'un composant, dfaillance d'un fournisseur (lectricit, tlcoms, etc.), sinistre endommageant ou dtruisant le systme.

Techniques de base lies la disponibilit :

Systmes de haute disponibilit, tolrance de panne Plan de Sauvegarde Plan de Reprise d'Activit (PRA) Gestion de la Crise

Isabelle WAS

Intgrit
Les systmes et les informations ne peuvent tre altrs l'insu de leurs propritaires
L'altration est une modification non autorise prservant la vraisemblance des donnes ou le bon fonctionnement apparent des systmes. L'altration peut provenir :
d'une erreur, d'une infection par un virus, d'un acte de malveillance.

Les techniques de scurit gnralement employes ont davantage pour effet de dtecter l'altration que de l'interdire.
Isabelle WAS

Confidentialit
L'information est protge contre la divulgation des tiers non autoriss
L'information doit tre protge tout moment :
lors de son stockage (bases de donnes, disquettes), lors de son transfert (rseaux), lors de sa matrialisation (documents papier).

Isabelle WAS

Preuve
Le systme doit permettre, chaque fois que ncessaire, d'enregistrer de manire incontestable toute action sur tout objet par tout auteur.
Il doit permettre d'imputer toute opration son auteur (imputabilit). Il doit permettre de reconstituer toutes les tapes permettant de passer d'une situation une autre (traabilit). Il doit permettre de vrifier la bonne application des procdures prvues (auditabilit). Il doit permettre de garantir l'identit des parties une transaction (non-rpudiation).
Isabelle WAS

Scurit logique
Les techniques de scurit logique permettent de rpondre aux besoins de :
Confidentialit, Intgrit, Preuve.

Elles comprennent essentiellement :

La cryptographie :
chiffrement de donnes, contrle d'intgrit,

L'identification et l'authentification, Le contrle d'accs et l'habilitation, La journalisation des vnements et des oprations.

Isabelle WAS

Analyse de risques et mesures de scurit

Analyse de risques :
Faisabilit, Impact financier, Impact sur image de marque.

Mesures de scurit :
Prvention, Dtection, Protection (ou raction).

Faisabilit

Sinistr e

Impac t

Prventio n

Dtectio n

Protectio n

Comment agir ?
Au niveau de l'Etat : les lois. Au niveau de l'Entreprise : le contrle interne (politique de scurit, organisation, moyens techniques). Au niveau de l'Individu : la responsabilisation.

Isabelle WAS

Lois et rglements

Responsabilit civile Loi "Informatique et liberts"

Code de la proprit intellectuelle Loi sur la fraude informatique

Isabelle WAS

Contrle interne
Politique de scurit Plan de continuit dactivit Lutte anti-virus

Sensibilisation la scurit des systmes dinformation Architecture de scurit

Guide de scurit Protection des donnes

Isabelle WAS

Le rle stratgique de l'individu

L'individu joue le rle central dans la scurit de l'entreprise :
il manipule quotidiennement les actifs sensibles, il applique les procdures dfinies, il met en uvre les moyens de scurit, il identifie les situations anormales, il dtecte les incidents, il ragit mme si aucune procdure n'adresse le cas rencontr.

Un personnel responsable et vigilant est la cl d'une scurit efficace.

Messages diffuser : "Respectez les consignes de scurit" "Signalez tout incident, toute anomalie"
Isabelle WAS