Vous êtes sur la page 1sur 14

CYBER SECURITY

CEST QUOI LA CYBER SCURIT?


La cyber scurit est l'organisme des technologies, des
processus et des pratiques visant protger les rseaux, les
ordinateurs, les programmes et les donnes de lattaque, les
dommages ou accs non autoris.
Aujourdhui, la scurit est un enjeu majeur pour les entreprises
ainsi que pour lensemble des acteurs qui lentourent. Elle n'est
plus confine uniquement au rle de linformaticien. Sa finalit
sur le long terme est de maintenir la confiance des utilisateurs et
des clients. Sur le court terme, lobjectif est que chacun ait accs
aux informations dont il a besoin. La norme traitant des SMSI est
lISO 27001 qui insiste sur Disponibilit Intgrit Confidentialit.

PROBLEMES

Un des lments les plus problmatiques du cyber scurit est


lvolution rapide et constante de la nature des risques de
scurit. Lapproche traditionnelle a t de concentrer le plus
des ressources sur les composants du systme les plus
cruciaux et de protger contre les plus grands menaces
connues, ce qui a ncessit quitter certains composants du
systme moins importants indfendus et certains risques
moins dangereux non protgs contre ceux-ci.

Assurer la cyber scurit ncessite des efforts coordonns


travers un systme dinformation. Les lments de cyber scurit
comprennent :

Scurit dapplication

Scurit dinformation

Scurit du rseau

Reprise aprs sinistre / plan de continuit

Education de lutilisateur final.

OBJECTIFS
La disponibilit:
Le systme doit fonctionner sans faille durant les plages
d'utilisation prvues et garantir l'accs aux services et
ressources
installes avec le temps de rponse attendu.

Lintgrit:
Les lments considrs doivent tre exacts et complets.
La confidentialit:
Tout accs indsirable doit tre empch.

OBJECTIFS
D'autres aspects peuvent aussi tre considrs comme des objectifs de la scurit
des systmes l'information, tels que:

La traabilit:

garantie que les accs et tentatives d'accs aux lments considrs sont
tracs et que ces traces sont conserves et exploitables.

Lauthentification:

L'identification des utilisateurs est fondamentale pour grer les accs aux
espaces de travail pertinents et maintenir la confiance dans les relations
d'change.

La non-rpudiation et limputation:
Aucun utilisateur ne doit pouvoir contester les oprations qu'il a ralises dans le
cadre de ses actions autorises

DMARCHE GNRALE POUR SCURISER


LES SYSTMES DINFORMATION

valuer les risques et leur criticit : quels risques et quelles


menaces, sur quelles donnes et quelles activits, avec
quelles consquences ?
rechercher et slectionner les parades : que va-t-on scuriser,
quand et comment ?
mettre en uvre les protections, et vrifier leur efficacit.

MTHODE D'ANALYSE DES


RISQUES

Diffrentes mthodes d'analyse des risques sur le systme


d'information existent. Voici les mthodes dapprciation des
risques les plus courantes:

En France, la premire mthode dveloppe a tMARION.


Aujourdhui elle a t remplace, mme si certaines
entreprises ont conserv ce modle initial, par la mthode
MEHARI(Mthode harmonise d'analyse des risques)
dveloppe par leCLUSIF, et par la mthodeEBIOS(Expression
des besoins et identification des objectifs de scurit)
dveloppe par l'Agence nationale de la scurit des systmes
d'information (ANSSI).

MTHODE D'ANALYSE DES


RISQUES

En Angleterre,CRAMMest une mthode d'analyse des risques


dveloppe par l'organisation du gouvernement britannique ACTC
(Agence centrale de communication et des tlcommunications). Cest la
mthode d'analyse des risques prfre par le gouvernement
britannique, mais elle est galement utilise par beaucoup dautre pays.

Les tats-Unis utilisentOCTAVE(Operationally Critical Threat, Asset, and


Vulnerability Evaluation), dveloppe par l'Universit de Carnegie Mellon.

l'international, on utiliseISO 27005, qui est une mthode


internationale rpondant point par point aux exigences de lISO 27001.
Cest la norme la plus rcente, de plus elle est facilement applicable car
pragmatique.

MTHODE D'ANALYSE DES RISQUES


autres mthodes les plus utilises
l'international:
Mthode

Auteur

Platinum
Risk Assessme
squared
nt
Afhankelijkheid Ministre
s
nerlandais

Pays
Royaume-Uni
Pays-Bas

ISAMM

Evosec

Belgique

IT-Grundschutz

BSI

Allemagne

SP 800-30

NIST

USA

ISO 17799

ISO

International

ISO 13335

ISO

International

ISO 14408

ISO

International

QUELQUES FAITS DE
CYBERDFENSE CONSIDRER

Bas sur une tude rcente mene par Symantec, Internet


Threat Security Report 2014, un pourcentage significatif de
violations de donnes sont prcipits l'intrieur. Voici la
rpartition:

QUELQUES FAITS DE
CYBERDFENSE CONSIDRER