Académique Documents
Professionnel Documents
Culture Documents
Standard de la Sécurité de
information
Type d’examen
Questions à choix multiples sur ordinateur
Exercices pratiques
Non applicable
Durée de l’examen
60 minutes
L’information
Kaizen Skills 3
Gouvernance des SI
Kaizen Skills 4
Importance des SI
CLIENTS EN
INTERNE
Citoyens Utilisateurs
Systèmes
d’informations
Organismes Fournisseurs
Kaizen Skills 5
Le Concept de Gouvernance
Kaizen Skills 6
Gouvernance SI
Aujourd’hui, la gouvernance informatique telle que définie par l’ITGI et l’ISACA se résume
aux 5 problématiques suivantes :
La gouvernance des Systèmes d’Information est définie comme la structure des relations
et des processus visant à diriger et contrôler l’entreprise pour qu’elle atteigne ses objectifs
en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les
avantages des TI et de leurs processus.
(Source : ITGI)
Kaizen Skills 7
Alignement stratégique
La question fondamentale est de savoir dans quelle mesure les investissements informatiques
d’une entreprise sont en phase avec ses objectifs stratégiques et ainsi de construire les
solutions qui fourniront la valeur attendue.
Stratégie de
l’entreprise
Fonctionnement
des IT
Kaizen Skills 8
Alignement stratégique
Cas Pratique
Kaizen Skills 9
Création de la valeur
Kaizen Skills 10
Création de la valeur
Cas Pratique
Secteur Financier de
• Gains financiers Management de
l’entreprise
l'entreprise
Kaizen Skills 11
Gestion des risques informatiques
La gestion des risques informatiques permet de :
S’assurer que le système de contrôle interne mis en place pour gérer les risques a
souvent la capacité de générer de la rentabilité,
S’assurer qu’une approche transparente et proactive de la gestion du risque peut
créer un avantage concurrentiel exploitable,
S’assurer que le fait de gérer les risques doit faire partie du fonctionnement de
l’entreprise.
Kaizen Skills 12
Gestion des risques informatiques
Cas Pratique
Kaizen Skills 13
Mesure de performance
Les TDB comportent des informations de gestion apportées par les parties
concernées, informations rendues efficaces par un bon système de Reporting.
Cas Pratique
Kaizen Skills 14
La Gestion des Ressources Informatiques
La plus part des entreprises échoue dans l’optimisation de leurs actifs informatiques.
Kaizen Skills 15
La Gestion des Ressources Informatiques
Cas Pratique
• Les méthodes et les compétences pour gérer les projets et systèmes informatiques
sont présentes,
Kaizen Skills 16
Enjeux de la sécurité
Kaizen Skills 17
Les critères de la sécurité de l’information
Kaizen Skills 18
Les menaces existent…
Humaine
Matérielle Naturelle
Kaizen Skills 19
…et les menaces évoluent
Kaizen Skills 20
Cybercriminalité
Une activité profitable
► Plusieurs milliards de dollars de « chiffre d’affaires ».
– Selon les sources, équivalent aux revenus de la drogue.
► Janvier 2007 : 800.000 euros détournés d’une banque suédoise par des pirates russes.
► Février 2007 : 4,74 millions de dollars détournés par des pirates brésiliens.
► Une activité peu risquée
Kaizen Skills 21
Cybercriminalité
Motivations
Tarifs
Cheval de Troie ou virus : 1.000 / 5.000 $ en fonction de la complexité
Numéro de carte de crédit avec code PIN : 500 $
Compte PayPal valide avec son mot de passe : 7 $
Vulnérabilité dans Yahoo! Messenger : 2.000 $
Attaque DDoS : 500 $ / 1.500 $ par jour
Sources : Finjan, TrendMicro, WebSense, MacAfee, Symantec
Maroc ?
Kaizen Skills 22
Les techniques
Fuite de données: La fuite d'information a partir de l'ordinateur. la fuite de données laisse la copie
originale afin de ne pas être détectée.
Ecoute électronique : Implique l'écoute électronique de l'information transmise sur les lignes de
télécommunication
Chevaux de Troie (Trojan): Les chevaux de Troie sont des imposteurs, ils se présentent sous la forme de
fichiers prétendument utiles qui s'avèrent en réalité être malveillants. Il est crucial de bien distinguer
les virus des chevaux de Troie, qui ne se répliquent pas. Les chevaux de Troie contiennent du code qui,
lorsqu'il est déclenché, provoque la perte ou le vol des données. Pour propager un
cheval de Troie, vous devez l'inviter sur l'ordinateur, en ouvrant par exemple une pièce jointe au
courrier électronique ou en téléchargeant et en exécutant un fichier sur Internet.
Vers: Un ver est un programme qui peut s'auto reproduire (contrairement au cheval de Troie qui lui
n’a pas cette fonction…) et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans
avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier ...)
pour se propager; un ver est donc un virus réseau. (espionner l'ordinateur où il se trouve, offrir une
porte dérobée à des pirates informatiques, détruire des données sur l'ordinateur où il se trouve ou y
faire d'autres dégâts, envoyer de multiples requêtes vers un serveur Internet dans le but de le saturer
(déni de service).
Kaizen Skills 23
Les techniques
Logiciels espions : Logiciels malveillants combines a des virus, comme des enregistreurs de touches
et des programmes d'analyse de systèmes, qui collectent de l'information potentiellement
sensible, comme des numéros de carte de crédit, de l’information bancaire, etc., et transmettent
l’information a l'auteur lorsqu'une connexion en ligne est détectée.
Piratage Wi-Fi: Implique la réception de données sans fil d'un ordinateur portable (idéalement en
conduisant) et craquer les contrôles de chiffrement pour obtenir l'accès ou simplement écouter
électroniquement l’information qui est transférée sur les liaisons de communication sans fil.
Talonnage: L'action de suivre une personne autorisée en franchissant une porte sécurisée ou de
s'attacher électroniquement à une liaison de télécommunication autorisée pour intercepter et
possiblement altérer les transmissions.
Kaizen Skills 24
Les techniques
Arrondir vers le bas : Implique de retirer des petits montants d'argent (la fraction
d'arrondissement) d'une transaction informatique ou d'un compte et rediriger ce montant dans le
compte de l'auteur du crime. Puisque les montants sont petits, ils sont rarement remarques, même
si ce serait facile de détecter les irrégularités en additionnant les fractions
d'arrondissement.
Technique Salami : Implique de couper de petits montants d'argent d'une transaction informatique
ou d'un compte. Cette technique est semblable a la technique d'arrondissement. La différence
entre la technique d'arrondissement et le saucissonnage est que dans arrondissement, le
programme arrondit à partir de la plus petite fraction. Par exemple, dans la technique
d'arrondissement, une transaction de 1 235 954,41 US serait arrondie à 1 235 954,35 US. D'un
autre coté, le saucissonnage tronque les dernières décimales du montant de la transaction, donc
1 235 954,41 US devient 1 235 954,30 US ou 1 235 954,00 US selon algorithme/la formule incorpore
dans le programme. En fait, les autres variations de la même technique sont appliquées aux taux et
pourcentages
Kaizen Skills 25
Les techniques
►
Ingénierie sociale: Le facteur humain est considéré comme le maillon le plus faible de la chaine de
sécurité de l’information. L'ingénierie sociale et l'aspect humain dans l'entrée par effraction dans
un système informatique.
Elle s'appuie sur les relations interpersonnelles et la tromperie. Les entreprises qui possèdent des
mesures préventives de sécurité techniques telles que les processus d'authentification, et le
chiffrement peuvent quand même ne pas réussir à protéger leurs systèmes d'information.
Cela peut se produire si un employé donne, sans le savoir, de l’information confidentielle (par ex.
des mots de passe et des adresses IP répondant à des questions au téléphone avec quelqu'un qu'il
ne connait pas ou en répondant à un courriel provenant d'une personne inconnue.
Kaizen Skills 26
« Deux choses sont infinies :
L’Univers et la bêtise humaine»
Albert Einstein
Napoléon Bonaparte
27
REFERENTIELS
Kaizen Skills 28
Introduction aux référentiels SI
Kaizen Skills 30
Périmètre et composants de la bibliothèque ITIL
Objectifs et buts
• Aligner la gestion de la sécurité sur les besoins de sécurité métiers et s’assurer
que la sécurité des données est effective pour tous les services produits et dans
toutes les tâches de management.
Concepts
• Confidentialité: propriété d’une information d’être protégée contre une
publication ou une interception non autorisées
• Intégrité: propriété d’une information dont l’exactitude et la complétude sont
garanties
• Disponibilité: propriété d’une information d’être disponible quand on en a
besoin
• Incident « sécurité de l’information »: toute atteinte délibérée ou accidentelle à
la confidentialité, l’intégrité ou la disponibilité de l’information ou de son
traitement
• Intimité (privacy): confidentialité + intégrité d’information appartenant à une
personne particulière (Nouvelle Loi Marocaine)
Principes
• Une politique de sécurité identifiée, définie et formalisée qui prend en compte la
stratégie, le contrôle et la régulation
• Un système d’information de la gestion de la sécurité qui contient les documents, les
guides et les procédures qui sont applicables
• Une stratégie de sécurité qui tient compte des exigences métiers
• Une structure qui gère le processus
• Une surveillance qui vérifie le respect des obligations de sécurité
• Une stratégie de communication et un plan de sécurité
• Une mise en œuvre effective de l’information et de la formation aux consignes de
sécurité et aux procédures
Kaizen Skills 36
Domaines CobiT
4. Surveillance
La sécurité informatique doit être gérée telle sorte que les mesures de sécurité soient en ligne avec les besoins
de l'entreprise. Ceci inclut :
la traduction de l'évaluation du risque en plan de sécurité informatique
la mise en place du plan de sécurité informatique
la mise à jour du plan de sécurité informatique en fonction des évolution des configurations
l'évaluation de l'impact des demandes de changements sur la sécurité informatique
le pilotage de la mise en place du plan de sécurité informatique
la mise en phase des procédures de sécurité informatique avec les autres politiques et procédures.
5. 2 Identification, authentification et accès
L'accès logique aux ressources des TI et à leur utilisation doit être limité par la mise en œuvre de
mécanismes d'identification, d'authentification et d'autorisation adéquats, assortis de règles d'accès.
De tels mécanismes doivent d'une part empêcher l'accès aux ressources informatiques par le
personnel non habilité, les connexions par le réseau commuté et les autres voies d'entrée sur le
système (réseau), d'autre part minimiser pour les utilisateurs habilités la nécessité d'employer une
multitude d'identifiants. Des procédures doivent également être mises en place afin de préserver
l'efficacité des mécanismes d'authentification et d'accès (par ex. des changements réguliers de mots
de passe).
Dans un environnement technologique d'accès en ligne à l'information, le management des TI doit mettre
en œuvre des procédures cohérentes avec la politique de sécurité permettant un contrôle des accès
basé sur le besoin, décrit de façon individuelle, de visualiser, d'ajouter, de modifier ou d'annuler une
donnée.
5. 7 Surveillance de la sécurité
L'administration de la sécurité des TI doit s'assurer que toute activité relative à la sécurité est tracée et
que toute tentative de violation est transmise immédiatement aux personnes concernées, en interne ou à
l'extérieur, de façon automatique, et qu'une suite y est donnée dans les temps.
Le management doit mettre en œuvre des procédures pour s'assurer que toutes les données sont classifiées selon
leur sensibilité, ceci par une décision formelle et explicite du propriétaire des données selon le schéma de
classification des données. Même les données ne nécessitant aucune protection doivent faire l'objet d'une décision
formalisée pour être désignées comme telles. Les propriétaires doivent déterminer les modalités de mise à
disposition et de partage des données, et également décider si les programmes et les fichiers doivent être mis à
jour, archivés ou supprimés, et quand. La preuve de l'accord du propriétaire et de la mise à disposition des
données doit être tenue à jour. Des politiques doivent être définies pour permettre la reclassification des
informations, en fonction de l'évolution de leur niveau de confidentialité. Le schéma de classification doit
comprendre des critères de gestion des échanges d'informations entre entreprises, et concerner à la fois la sécurité
et le respect de la legislation à appliquer.
Des contrôles doivent être mis en place pour s'assurer que les identifiants et les droits d'accès des
utilisateurs, au même titre que l'identité du propriétaire du système et des données, sont établis et gérés
d'une manière unique et centralisée pour obtenir une cohérence et une efficience du contrôle global des
accès.
Le management doit mettre en place un système de gestion informatisé des incidents capable d'identifier
les incidents de sécurité en créant une plate-forme centralisée avec l'expertise suffisante et équipée de
moyens de communication rapides et sécurisés. Des responsables et des procédures de gestion des
incidents doivent être mis en place pour assurer une réponse appropriée, efficace et organisée aux
incidents de sécurité.
5. 12 Procédure de revalidation
Le management doit s'assurer qu'une revalidation des sécurités (par ex. via des équipes d'inspecteurs)
est périodiquement réalisée afin d'actualiser le niveau de sécurité officiellement approuvé et le risque
résiduel accepté.
5. 15 Non-repudiation
Les règles de l'entreprise doivent garantir que, lorsque cela est nécessaire, les transactions ne peuvent
pas être rejetées par l'autre partie, et que des contrôles sont mis en place pour assurer la non-répudiation
de l'émetteur et du récepteur, la preuve de la soumission et de la réception des transactions. Cela peut
être réalisé à l'aide de signatures électroniques, d'un horodatage ou d'un tiers de confiance, au moyen de
politiques appropriées qui prennent en compte les exigences réglementaires concernées.
5. 16 Chemin sécurisé
Les règles de l'entreprise doivent garantir que des transactions contenant des données sensibles sont
échangées uniquement en empruntant des chemins sécurisés. Les données sensibles incluent les
informations de gestion de la sécurité, les transactions de données sensibles, les mots de passes et clés
de chiffrement. A cette fin, il peut être nécessaire d'établir des canaux sécurisés utilisant le chiffrement
entre utilisateurs, entre utilisateurs et systèmes, et entre systèmes.
Tous les matériels et logiciels utilisés pour la sécurité doivent en permanence être protégés contre la
falsification pour maintenir leur intégrité et contre la divulgation des clés secrètes. De plus, l'entreprise
doit rester discrète sur ses dispositifs de sécurité, mais ne doit pas fonder sa sécurité sur le fait que ce
dispositif est secret.
Le management doit définir et mettre en œuvre des procédures et protocoles à utiliser pour la génération,
la modification, la révocation, la destruction, la distribution, la certification, le stockage, l'entrée,
l'utilisation et l'archivage de clés de chiffrement afin de garantir leur protection contre toute modification
ou divulgation non autorisée. Si une clé est divulguée ou découverte, le management doit s'assurer que
cette information est diffusée à toutes les parties concernées via une Liste de Révocation Certifiée ou
une procédure équivalente.
Face aux logiciels malins, tels que les virus ou les Chevaux de Troie, le management doit mettre en place
un dispositif adéquat de contrôle pour assurer prévention, détection et correction, ainsi qu'un
enregistrement des incidents et des mesures prises dans chaque cas. La direction générale et le
management des TI doivent s'assurer que des procédures existent dans l'entreprise pour protéger les
systèmes d'information des virus informatiques. Les procédures doivent inclure des moyens de détecter
les virus, de s'en protéger, et de conserver un historique des incidents et des mesures prises.
S'il existe des connexions au réseau Internet ou à d'autres réseaux publics, des pare-feu (firewall)
doivent être mis en place pour se protéger contre tout déni de service et tout accès non autorisé aux
ressources internes, pour contrôler tous les flux applicatifs et tous les flux de gestion de l'infrastructure
dans chaque sens, et pour se protéger contre les attaques de déni de service.
Le management doit protéger l'intégrité permanente des cartes ou des appareils physiques similaires
utilisés pour authentifier ou stocker des données financières ou des données sensibles. Ceci doit prendre
en compte les installations, les dispositifs, les employés et les méthodes de validation utilisés dans ce
contexte.
Management de la sécurité des SI Kaizen Skills 51
MENACES ET RISQUES
Kaizen Skills 52
Le risque de sécurité de l’information
1. Les actifs
2. Les vulnérabilités
3. Les menaces
Actifs primordiaux
Processus et Activité
Information
Actifs en supports
Matériel
Logiciel, OS
Réseau
Communication
Energies
Origine
Motivation (humaine)
Ciblent le CIA
Pour déterminer l’équilibre entre les coûts de l’incidents et les coûts d’une
mesure de
sécurité.
Kaizen Skills 59
Analyse quantitative des risques
Les valeurs peuvent être composé des coûts des mesures de sécurité, ainsi que la
valeur de la propriété elle-même, y compris des éléments tels que les bâtiments, le
sécurité et le risque qu’une vulnérabilité sera exploité sont aussi des éléments à
prendre en considération
Kaizen Skills 60
Analyse quantitative des risques (suite)
Basée sur des scénarios et des mises en situation.
La probabilité qu’une menace devienne réalité sont examinées sur la base des intuitions.
L’ analyse porte sur le processus opérationnel auquel se rapporte la menace et les mesures
Le meilleur résultat es t obtenu en effectuant l’analyse dans le cadre d’une session de groupe,
ce qui conduit à une discussion qui évite le pont de vue d’une seule personne ou d’un service
Les analyses de risques quantitatifs et qualitatifs ont chacun leurs avantages et leurs inconvénients.
Kaizen Skills 61
Types de mesures de sécurité
Les mesures préventives visent à prévenir les incidents.
Les mesures d’Assurance- il est également possible d’acheter une assurance contre certains
incidents parce que, par exemple, la mise en œuvre des mesures peut être trop cher.
Acceptation-lorsque toutes les mesures sont connues, il peut être décidé de ne pas procéder à
certaines mesures de sécurité tel que les couts qui ne sont pas en proportion avec la recette ou
parce qu’il n’y a pas de mesures appropriées possibles qui peuvent résister aux risques.
Kaizen Skills 62
Les relations entre menaces et risques
Par exemple :
– Actif: caissier
– Menace: virus de la grippe aviaire
– Vulnérabilité: n’a pas pris le vaccin
– Probabilité: haute?
• Risque
– Absent du travail pendant plusieurs jours
– Seul avec la clé pour entrer au magasin
Mesures :
– Ne fais rien
– Faire le double de la clé et le donner à un autre employé afin que le
magasin puisse ouvrir.
Kaizen Skills 63
Les relations entre menaces et risques
Contre-mesures
Kaizen Skills 64
Les dégâts potentiels
• Dégâts juridiques
– A quel point serait la responsabilité juridique si l’attaque réussit?
• Dégâts de la productivité
– A quel point les dégâts toucheraient la productivité des utilisateurs?
Kaizen Skills 65
Probabilité d’une menace
• Détectabilité
• Exploitabilité
• Furtivité
• Répétitivité
– A quel point serait il facile de répéter l’attaque avec succès après que le personnel de
sécurité ait appris à la détecter?
Kaizen Skills 66
Exemple de menaces de sécurité de l’information
Kaizen Skills 67
Les dégâts
Dégâts directs:
Dégâts directs sur le business
Dégâts indirects:
L’atteinte à la réputation de l’entreprise s’il y a une longue indisponibilité
Kaizen Skills 68
L’Espérance de perte
• Espérance de Perte Annuelle(Annual Loss Expectancy-ALE)
– La quantité de dégâts-exprimée en termes monétaires –qui peuvent résulter
– Cela pourrait être dû aux coûts des mesures de sécurité qui dépassent les dommages
possibles ou ne rien faire mêmes si les couts ne sont pas plus élevés que les dommages
possibles.
• Neutralisation du risque
– Les mesures de sécurité sont prises de façon à ce que les menaces ne se manifestent
• Evitement du risque
– Les mesures sont prises de telle sorte que la menace est neutralisée à un degré où la
Kaizen Skills 71
La famille ISO 27000
Kaizen Skills 72
La démarche d’implémentation d’ISO 27002
Kaizen Skills 73
Les systèmes de management
Mesures
Organisationnelles
Kaizen Skills 74
Les systèmes de management
Standard Domaines
ISO9001 Qualité
ISO14001 Environnement
Kaizen Skills 75
Les systèmes de management
Le modèle PDCA
Les SI fonctionnentselon un modèle en 4 temps (PDCA)
Phase Plan
Exprimer ce que l’on va faire dans un domaine particulier (qualité, environnement,
sécurité,…)
Phase Do
Faire ce que l’on a exprimé dans le domaine
Phase Check
Vérifier qu’il n’y a pas d’écart entre ce que l’on a dit et ce que l’on a fait.
Phase Act
Entreprendre les actions correctives pour régler tout écart qui aurait été constaté
précédemment
Kaizen Skills 76
La norme ISO 27001
L’ISO 27001 est imposée comme référence en matière de Systèmes de Management de la
Sécurité de l’Information (SMSI)
Les organismes visés par la norme sont de tout type (administration, entreprise commerciale,
organisation non gouvernementale)
L’objectif général est de spécifier les exigences pour mettre en place, exploiter et améliorer un
SMSI documenté.
La norme spécifie les exigences pour la mise en place de mesures adaptées aux besoins de
l’organisation (chaque cas est particulier)
La norme fait en sorte que les mesures de sécurités soient déployées en fonction du contexte (ni
trop sévère, ni trop laxiste)
La norme insiste sur le fait que la mise en place d’un SMSI et le déploiement de mesures de
sécurité appropriées doivent permettre de protéger les actifs de l’information (bien, patrimoine
informationnel, bien sensible…)
Kaizen Skills 77
Kaizen
Kaizen Skills
Skills 7079
Nombre d’entreprises certifiées ISO 27001- (Novembre 2013)
Kaizen Skills 80
Nombre d’entreprises certifiées ISO 27001- (Avril 2012)
Kaizen Skills 81
Statistique des enterprises certifiées ISO 27001- (November 2013)
Overview
Year 2006 2007 2008 2009 2010 2011 2012 2013
TOTAL 5797 7732 9246 12935 15626 17355 19620 22293
Africa 6 10 16 47 46 40 64 99
Central / South
America 18 38 72 100 117 150 203 272
Kaizen Skills 82
La norme ISO 27001
Le noyau dur de la norme (chapitre 4) est articulé autour du modèle Plan, Do,
Check, Act.
PLAN
Kaizen Skills 83
La norme ISO 27001
Le noyau dur de la norme (chapitre 4) est articulé autour du modèle Plan, Do,
Check,Act.
Phase Do du SMSI
Une fois les objectifs du SMSI fixés (dans la phase Plan), il faut les mettre en œuvre.
Plusieurs actions sont à entreprendre:
Kaizen Skills 84
La norme ISO 27001 (Phase Check du SMSI)
Kaizen Skills 85
La norme ISO 27001 (Phase Act du SMSI)
Le noyau dur de la norme (chapitre 4) est articulé autour du modèle Plan, Do,
Check, Act.
Kaizen Skills 86
La norme ISO 27001 (Phase Act du SMSI)
Phase Act du SMSI : Les actions;
Actions correctives
Elles sont entreprises lorsqu’un incident ou un écart a été constaté. Le but est d’agir d’abord
sur les effets pour corriger l’écart, puis sur les causes pour éviter que l’écart ne se reproduise
à nouveau.
Actions préventives
Elles sont lancer lorsqu’on détecte une situation qui risque d’entraîner un écart ou un
incident si rien n’est fait. Les actions préventives consistent à agir sur les causes avant que
l’écart ne se produise.
Actions amélioration
Leur but n’est pas de corriger ni d’éviter un écart, mais d’améliorer la performance d’un
processus du SMSI
Kaizen Skills 87
Le code des bonne pratique ISO 27002
Kaizen Skills 88
La norme ISO 27002
11 CHAPITRES 14 CHAPITRES
39 OBJECTIFS 35 OBJECTIFS
Kaizen Skills 89
La norme ISO 27002
Kaizen Skills 90
Kaizen Skills 91
14 domaines de sécurité
Kaizen Skills 92
Les 35 catégories de sécurité
Kaizen Skills 93 91
Les 114 mesures
Kaizen Skills 94
5 - Politique de sécurité
RSSI
CSSI
sécurité
Il existe un responsable chargé d'évaluer l'acquisition et les changements de SI
Il existe des programmes de formation en sécurité pour les employés, clients et tiers
Mesure: L’ensemble des salariés d’un organisme et, le cas échant, les contractants et
utilisateurs tiers doivent suivre une formation adaptée sur la sensibilisation et doivent
3. Processus disciplinaire
Mesure: Un processus disciplinaire formel doit être élaboré pour les salariés ayant enfreint
Services généraux
Mesure : Le matériel doit être protégé des coupures de courant et autres perturbations
dues à une défaillance des services généraux.
Sécurité du câblage
Mesure: Les câbles électriques ou de télécommunications transportant des données
doivent être protégés contre toute interception d’information ou dommage.
Maintenance du matériel
Mesure: Le matériel doit être entretenu correctement pour garantir sa disponibilité
permanente et son intégrité.
Il existe des contrôles d'entrée pour être protégés face à l'accès de personnel non autorisé
Dans les secteurs sûrs il existe des contrôles additionnels au personnel propre et étranger
La situation des équipements est d'une telle manière pour diminuer des accès inutiles.
Il existe une sécurité dans le câblage face à des dommages et à des interceptions
Il existe un certain type de sécurité pour les équipements éloignés ou situés extérieurement
l’organisme.
Séparation des équipements de développement, d'essai et d’exploitation
Mesure: Les équipements de développement, d'essai et d’exploitation doivent être séparés
pour réduire les risques d’accès ou de changements non autorisés da ns le système
d’information en exploitation
Kaizen Skills 129
12 - Sécurité liée à l'exploitation
12.2 Protection contre les logiciels malveillants
Objectif : Protéger l’intégrité des logiciels et de l’information.
Mesures contre les codes malveillants
Mesure: Des mesures de détection, de prévention et de recouvrement pour se protéger des
codes malveillants ainsique des procédures appropriéesde sensibilisation des utilisateurs
doivent être mises en œuvre.
traitement de l’information.
Mesure: Des copies de sauvegarde des informationset logiciels doivent être réalisées et
Journaux d’audit
Mesure: Les journaux d’audit, qui enregistrent les activités des utilisateurs, les exceptions et
les événements liés à la sécurité doivent être produits et conservés pendant une période
préalablement définie afin de faciliter les investigations ultérieures et la surveillance du
contrôle d’accès.
Rapports d’anomalies
Mesure: Les éventuels défauts doivent être journalisés et analysés et les mesures
appropriées doivent être prises.
Rapports d’anomalies
Mesure: Les éventuels défauts doivent être journalisés et analysés et les mesures
appropriées doivent être prises.
Prestation de service
Mesure: Il doit être assuré que les mesures de sécurité, les définitions du service et les
niveaux de prestation prévus dans l’accord de prestation de service tiers sont mis en
œuvre, appliqués et tenus à jour par le tiers.
Objectif : Veiller à ce que la sécurité fasse partie intégrante des systèmes d’information.
Exigences en matière de contrôle de sécurité doivent être analysés et précisés, y compris les
applications Web et les transactions
Analyse et spécification des exigences de sécurité
Mesure: Les exigences métier relatives aux nouveaux systèmes d’information ou les
améliorations apportées aux systèmes d’information existants doivent spécifier les exigences de
sécurité.
Objectif : Garantir la mise en place d’une approche cohérente et efficace pour la gestion des
incidents liés à la sécurité de l’information.
Responsabilités et procédures
Mesure: Des responsabilités et des procédures doivent être établies,permettant de garantir une
réponse rapide, efficace et pertinente en cas d’incident lié à la sécurité de l’information.
Objectif : Empêcher les interruptions des activités de l’organisme, protéger les processus
métier cruciaux des effets causés par les défaillances majeures des systèmes
d’information ou par des sinistres et garantir une reprise de ces processus dans les
meilleurs délais.
La loi n° 09-08 sur la protection des personnes physiques à l'égard du traitement des données à
caractère personnel est une loi qui introduit, pour la première fois, dans le paysage juridique
marocain, un ensemble de dispositions légales dont l'interprétation ne peut se faire que par rapport à
un principe énoncé dans son article premier selon lequel : " L'informatique est au service du
citoyen et évolue dans le cadre de la coopération internationale. Elle ne doit pas porter
atteinte à l'identité, aux droits et aux libertés collectives ou individuelles de
l'Homme. Elle ne doit pas constituer un moyen de divulguer des secrets de la vie privée des
citoyens. ".
C'est dire que ce qui est visé par cette nouvelle législation c'est la protection de l'identité, des
droits et des libertés individuelles et collectives ainsi que de la vie privée, contre toutes les
atteintes susceptibles de les affecter par l'usage de l'informatique.
La loi 07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement
automatisé des données a été publiée au BO n° 5184 du 5 février 2004.
Désormais, il y a dans le code pénal un chapitre qui traite de l’atteinte aux systèmes de traitement
automatisé des données et qui définit certaines infractions notamment :
Le fait d’accéder, frauduleusement, dans tout ou partie d’un système de traitement automatisé de
données ;
Le fait d’entraver ou de fausser intentionnellement le fonctionnement d’un système de traitement
automatisé de données ;
Le fait d’introduire frauduleusement des données dans un système de traitement automatisé des
données ou de détériorer ou de supprimer ou de modifier frauduleusement les données qu’il contient;
Le faux ou la falsification de documents informatisés quelle que soit leur forme, de nature à causer un
préjudice à autrui ;
Participation à une association formée ou à une entente établie en vue de la préparation, concrétisée
par un ou plusieurs faits matériels ;
Le fait, pour toute personne, de fabriquer, d’acquérir, de détenir, de céder, d’offrir ou de mettre à
disposition des équipements, instruments, programmes informatiques ou toutes données, conçus
ou spécialement adaptés pour commettre les dites infractions.
La loi 53-05 tend à fixer le régime juridique applicable à l’échange de données par voie électronique, à
l’équivalence des documents établis sur papier et sur support électronique, à la signature électronique et à
la cryptographie, s’est attachée à modifier et/ou à compléter certaines dispositions du droit existant et à
prévoir de nouvelles dispositions quand la matière est nouvelle.
Le but escompté est de favoriser ce qui suit:
Accueillir le contrat électronique parmi les autres contrats par correspondance» ou contrats conclus à
distance
Introduire la preuve de l’existence de l’obligation
Préciser dans quelles conditions la signature électronique peut être sécurisée pour attester de l’identité
du signataire
Sécuriser le contenu de l’acte signé
Se conformer aux exigences prévues par les recommandations des organismes internationaux et aux
directives européennes qui prévoient la signature électronique sécurisée
L’intégrité et la confidentialité des données sont assurées par l’utilisation des moyens de cryptographie