Management Si2

PROGRAMME MASTER MGP - MCA
Faculté des Sciences Économiques et Administratives

MANAGEMENT DES SYSTEMES
D’INFORMATION
GES 605
MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

ARCHITECTURE DE CONFIANCE
GESTION DE LA SECURITE
La sécurité des systèmes d’information couvre la sécurité informatique (sécurité logique)
mais aussi la sécurité physique et organisationnelle du système. Elle doit garantir un
niveau convenable de :
 Confidentialité : l’information ne doit être accessible qu’aux personnes
habilitées à la lire ou à la mettre à jour ;
 Intégrité : l’information doit être exempte d’erreurs et de falsification ;
 Disponibilité : les informations doivent être mises à disposition des
Fonctions utilisateurs
de base en temps voulu.
▲Le critère CID permet de mesurer la sensibilité des informations.
Authentification
Assurance de l’identité d’une personne ou plus généralement d'un objet, (un serveur, une
application).
La carte nationale d’identité et la signature manuelle permettent d’authentifier une personne.
L'identifiant et le mot de passe permettent d'authentifier un utilisateur sur un système d'exploitation.
Intégrité
Garantie qu’un objet (document, fichier, message …) n’a pas été modifié par une autre
personne que son auteur.
Sur un document papier, une modification se voit (rature, gommage, blanc..). Sur un document
électronique
MANEGEMENT (courrierDES
électronique,
SYSTEMES fichier texte, …) non sécurisé, cette détection
D’INFORMATION-UNIVERSITE est impossible.
QUISQUEYA
.
Fonctions de base
Sur les documents électroniques, la signature électronique est le mécanisme qui permet
d’assurer
l’authentification de l’émetteur et l’intégrité de l’objet transmis.
Confidentialité
Assurance qu’un document ne sera pas lu par un tiers qui n’en a pas le droit.
Les documents papiers qui doivent rester secrets sont généralement stockés dans des coffres et sont
transportés sous plis cachetés.
Sur les documents électroniques, le chiffrement permet d’assurer la confidentialité.
Non répudiation
L’émetteur d’un message ne doit pas pouvoir nier l’avoir envoyé et le récepteur l’avoir
reçu.
Les transactions commerciales utilisent abondamment cette fonction.
Le reçu signé au livreur, la lettre recommandée sont des mécanismes de non répudiation.
Les certificats permettent d’assurer ce service.
MBA –UNDH -HAITI

DIFFERENCES ENTRE
SECURITE ET SURETE
« Sûreté » et « Sécurité » ont des significations différentes en fonction du contexte.
L’interprétation de ces expressions peuvent varier en fonction de la sensibilité de chacun
Sûreté
Sécurité
Protection contre les
Protection contre les actions malveillantes
dysfonctionnements et accidents
volontaires
involontaires
Exemple de risque : blocage d’un service,
Exemple de risque : saturation d’un
modification d’informations, vol d’information
point d’accès, panne d’un disque, erreur
Non quantifiable statistiquement, mais il est
d’exécution, etc.
possible d’évaluer en amont le niveau du
Quantifiable statistiquement (ex. : la
risque et les impacts
durée de vie moyenne d’un disque est de
Parades : contrôle d’accès, veille sécurité,
X milliers d’heures)
correctifs, configuration renforcée, filtrage…*
Parades : sauvegarde, dimensionnement,
redondance des équipements…
DIFFERENCES ENTRE
SECURITE ET SURETE
Sûreté :
ensemble de mécanismes mis en place pour assurer la continuité de
fonctionnement du système dans les conditions requises.
Sécurité :
ensemble de mécanismes destinés à protéger l'information des utilisateurs ou
processus n'ayant pas l'autorisation de la manipuler et d’assurer les accès
autorisés.
Le périmètre de chacune des 2 notions n’est pas si clairement délimité dans la
réalité : dans le cas de la voiture connectée on cherchera la sécurité et la sûreté
On constate sur le schéma que la notion de sécurité diffère selon le contexte :
Sécurité ► innocuité
Sécurité ► immunité

NOTIONS DE VULNERABILTE, MENACE, ATTAQUES
Vulnérabilité:
Faiblesse au niveau d’un bien (au niveau de la conception, de la réalisation, de
l’installation, de la configuration ou de l’utilisation du bien).
Menace:
Cause potentielle d’un incident, qui pourrait entrainer des dommages sur un bien si
cette menace se concrétisait

NOTIONS DE VULNERABILTE, MENACE, ATTAQUES
ATTAQUE:
Action malveillante destinée à porter atteinte à la sécurité d’un bien. Une attaque
représente la concrétisation d’une menace, et nécessite l’exploitation d’une
vulnérabilité. .
Une attaque ne peut donc

avoir lieu (et réussir) que si le
bien est affecté par une
vulnérabilité.
Ainsi, tout le travail des experts sécurité consiste à s’assurer que le S.I. ne possède
aucune vulnérabilité.
Dans la réalité, l’objectif est en fait d’être en mesure de maitriser ces vulnérabilités plutôt
que de viser un objectif 0 inatteignable.
LES MENACE
Les menaces non intentionnelles
Ce type de menace peut être d'origine humaine ou matérielle Les personnes mal ou peu
formées aux outils qu'elles utilisent, la catastrophes naturelles

LES MENACES
Les menaces intentionnelles
▲Les menaces intentionnelles ont toujours une origine humaine. Elles peuvent provenir
de l'intérieur ou de l'extérieur de l'organisation
Les codes malicieux

LES MENACES
▲Les menaces intentionnelles ont toujours une origine humaine. Elles peuvent provenir
de l'intérieur ou de l'extérieur de l'organisation
Les codes malicieux

LES MENACES
Attaque par courrier
électronique
• Réception d’un mail utilisant le logo et les couleurs de

l’entreprise
• Demande pour effectuer une opération comme la mise-à-
jour des données personnelles ou la confirmation du mot
de passe
• Connexion à un faux-site identique à celui de l’entreprise
et contrôlé par l’attaquant
• MANEGEMENT
Récupération DES SYSTEMES
par l’attaquant D’INFORMATION-UNIVERSITE
des identifiants/mots de passe QUISQUEYA
LES MENACES
Attaque de site Web
Menaces physiques

LES MENACES
Les menaces intentionnelles : HARPONNAGE ou TROU D’EAU

Les cyber délinquants
Les cyber-délinquants sont des personnes qui attaquent illégalement un site informatique
déterminé , ou qui commettent un délit à l’aide d’un outil informatique.
▲On les nomme vulgairement « Pirates »
 Les hackers ou « chapeaux blancs » se contentent d’enfreindre la sécurité des systèmes pour en
souligner les failles. Ils sont hautement qualifiés et compétents.
 Les crackers ou « chapeaux noirs », pénètrent les systèmes informatiques avec l’intention de nuire.
 Les scripts-kiddies forment le bas-de-gamme du piratage informatique. Ils lancent leurs attaques de
manière totalement aléatoire en utilisant des logiciels « prêt à l’emploi », ne maîtrisant ni leur
fonctionnement, ni les conséquences de l’action illégale entreprise.
 Les employés
 Connaissant les procédures de l'entreprise, ils sont les mieux placés pour en utiliser les failles.
 les pirates sociaux
 Ils utilisent la force de persuasion et l'exploitation de la naïveté des utilisateurs en se faisant passer
pour une personne de la maison, un technicien, un administrateur, etc.afin de contourner les
dispositifs de sécurité. La technique associée prend le nom d'« ingénierie sociale » (en anglais «
social engineering »)DES
MANEGEMENT . SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA
Les cyber délinquants
Motivation.
Les motivations des cyber délinquants peuvent être classées de la façon suivante :

Le Chiffrement
Chiffrer un texte consiste à en modifier sa forme en utilisant un secret, appelé la clé.
Vous recevez le texte suivant : « ylkglro »
Ce texte ne vous parle pas. Il s'agit d'une suite de lettres formant un mot totalement
incompréhensible. Mais si on vous donne la clé, si vous connaissez le secret, vous allez en
trouver
Le secretlatient
signification . de correspondance entre les lettres de l'alphabet.
dans une table
« ylkglro » suite de lettres lues dans la deuxième ligne et remplacées par les lettre de
la première ligne devient « bonjour ».
Pour assurer la confidentialité d’un document électronique, on chiffre le texte du
document en lui appliquant un traitement (algorithme) mathématique. Ce traitement
utilise une clé de chiffrement. Une fois chiffré, le texte devient illisible.
Pour obtenir la version lisible, il faut le déchiffrer, c’est à dire appliquer un autre
traitement mathématique utilisant une clé de déchiffrement.
Le Chiffrement
Clé symétrique
La même clé est utilisée par l'émetteur et le destinataire du message. Pour que le secret
soit effectif, il faut que les deux protagonistes se mettent d'accord sur le contenu de la
clé qu'ils doivent s'échanger en utilisant un autre moyen de communication.
La clé peut être transmise par lettre ou par voie orale, de vive voix ou par téléphone.
Jacques et Florence se sont mis d'accord par téléphone sur une clé. Lorsque jacques
envoie un message à Florence, il le chiffre avec la clé convenue et envoie le courriel.
Lorsque florence ouvre sa messagerie, elle y trouve un message illisible, qu'elle va
MANEGEMENT
pouvoir DES SYSTEMES
déchiffrer avec D’INFORMATION-UNIVERSITE QUISQUEYA
la clé commune
Le Chiffrement
Cette méthode présente deux inconvénients :

 il faut échanger le secret par un autre moyen que la voie électronique.
 Il faut autant de secrets que de personnes avec lesquelles on doit échanger.

Le Chiffrement
Clé Asymétrique
La clé de chiffrement est différente de la clé de
déchiffrement
Les 2 clés (une pour chiffrer, l’autre pour déchiffrer) sont indissociables l’une
de l’autre, mais il est impossible avec une des clés de découvrir l’autre. Les 2
clés sont créées en même temps par un programme mathématique. Le couple
de clé est appelé « Trousseau »
Tout texte chiffré avec une des clés (de chiffrement ou de déchiffrement) peut
être déchiffré avec l’autre clé (de déchiffrement ou de chiffrement) et
uniquement avec celle-ci. Florence génère grâce à un programme son
trousseau de clé. Elle obtient une clé privée et une clé publique. Elle met à
disposition
MANEGEMENTde quiconque sa clé publique
DES SYSTEMES sur un serveur.
D’INFORMATION-UNIVERSITE QUISQUEYA
Le Chiffrement
Clé Asymétrique
Jacques qui désire lui envoyer un texte confidentiel, récupère sa clé publique sur le
serveur de clés. Il chiffre son message avec cette clé et l'envoie à Florence par courriel.
Florence déchiffre le message avec sa clé privée.

Le Chiffrement
Signature électronique
La signature électronique permet d’assurer les fonctions d’authentification et
d’intégrité. On veut être sûr que le contenu du message n'a pas été modifié et qu'il a
été envoyé par la bonne personne.
Le principe est le suivant. On commence par faire une « empreinte du texte » : il

existe pour cela une fonction mathématique de « Hashage ». On peut dire qu'il s'agit
d'un résumé du texte et que si on applique plusieurs fois la fonction de hashage sur le
même texte, on obtiendra toujours le même résumé.
Donc si le destinataire, après avoir passé la fonction de hashage sur le texte reçu,
trouve la même empreinte (résumé), c'est que le texte d'origine n' a pas été modifié.
Le contrôle de l'empreinte d'un texte permet de s'assurer de l'intégrité de son
contenu.
LeMANEGEMENT
texte n'a pas besoin d'être chiffré.
DES SYSTEMES Seule l'empreinte le sera avec QUISQUEYA
D’INFORMATION-UNIVERSITE la clé privée de
l'expéditeur, car n'oublions pas que la signature a pour but d'authentifier le signataire
Le Chiffrement
Le déchiffrement de l'empreinte pourra être effectué avec la clé publique de l'émetteur.
Si le déchiffrement est possible, c'est que le message aura bien été chiffré avec la clé
privée de l'émetteur.
Un message déchiffré avec une clé publique prouve qu'il a été chiffré avec la clé
privée correspondante.
Jacques envoie un texte signé à Florence. L'opération nécessite 7 étapes :
1. jacques passe la fonction de hashage sur le texte pour obtenir une empreinte.
2. Il chiffre l'empreinte obtenue avec sa clé privée.
3. Il envoie le texte et l'empreinte par communication électronique.
4. Florence reçoit un message chiffré dont l'expéditeur est Jacques. Elle téléchérge la
clé publique de Jacques en se connectant au serveur de clé.
5. Elle déchiffre l'empreinte avec la clé publique de Jacques pour obtenir l' « empreinte
reçue ». Si elle arrive a obtenir une empreinte « en clair », le message a bien été
chiffré par Jacques, sinon il l'a été par une autre personne.
6.MANEGEMENT
Elle passe le texte
DESreçu à la fonction
SYSTEMES de haschage pour obtenir, l'« QUISQUEYA
D’INFORMATION-UNIVERSITE empreinte calculée
».
Le Chiffrement

Le Chiffrement
Certificat
Dans le cas précédent lorsque Florence récupère sur le serveur de clés, la clé publique
de Jacques, qui lui certifie que cette clé est bien celle de Jacques?
Personne! Une clé se traduit pratiquement par un fichier au nom du créateur de la clé,
mais un petit malin (Kevin) peut très bien remplacer la clé publique de jacques par sa
propre clé et renommer ce fichier avec le nom de Jacques.
Cette opération de piratage est connue sous le terme de « mascarade »

Kevin peut alors lire les informations confidentielles destinées à Jacques et signer
en se faisant passer pour Jacques.

Le Chiffrement
Certificat
Un certificat est un mécanisme qui permet d'assurer la validité de la clé publique.
Un certificat est l’équivalent d’une carte d’identité ou d’un passeport.
Un passeport contient des informations concernant son propriétaire (nom, prénom,

adresse, …), la signature manuscrite, la date de validité, ainsi qu’un tampon et une
présentation (forme, couleur,papier) qui permettent de reconnaître que ce passeport
n’est pas un faux, qu’il a été délivré par une autorité bien connue.
Un certificat électronique contient des informations équivalentes qui sont délivrées

par un « tiers de confiance ».
Ce tiers doit être au dessus de tout soupçon. Dans le cas d'un passeport, c'est la
préfecture. Dans le cas d'un certificat électronique, c'est un organisme habilité.

Le Chiffrement
Certificat
Un certificat est un mécanisme qui permet d'assurer la validité de la clé publique.
Un certificat est l’équivalent d’une carte d’identité ou d’un passeport.
Un passeport contient des informations concernant son propriétaire (nom, prénom,

adresse, …), la signature manuscrite, la date de validité, ainsi qu’un tampon et une
présentation (forme, couleur,papier) qui permettent de reconnaître que ce passeport
n’est pas un faux, qu’il a été délivré par une autorité bien connue.
Un certificat électronique contient des informations équivalentes qui sont délivrées

par un « tiers de confiance ».
Ce tiers doit être au dessus de tout soupçon. Dans le cas d'un passeport, c'est la
préfecture. Dans le cas d'un certificat électronique, c'est un organisme habilité.

Analyse du risque
 Evaluer les ressources critiques de l'organisation.

On définit les ressources critiques comme les éléments essentiels à
l’organisation, sans lesquels la valeur de l’organisation serait moindre, voire
inexistante.
En voici quelques exemples :
 les informations,
 les ressources matérielles (équipements divers, machines, etc.) et logicielles,
 le personnel (ressource la plus importante et la plus critique),
 l’image de marque.
 Déterminer et Classer les menaces qui pèsent sur les ressources.
On définit la probabilité qu'une menace apparaisse et quel serait son impact sur
l'organisation

Politique de Sécurité
A partir de l'analyse des risques, il faut

définir le niveau d'exigence acceptable pour
l'entreprise.
Pour réduire les risques, on agit sur les
vulnérabilités, ou on essaie de réduire
l’impact qu’aurait l’exploitation d’une de ces
vulnérabilités par une menace.
Pour réduire l’impact il faut mettre en place
des mesures préventives et les coordonner Politique de sécurité
Conception
dans le cadre d'une politique de sécurité.
L'étape de démarrage consiste à :
 S'assurer que le périmètre et le contexte du futur système sont correctement
définis.
 Identifier, évaluer les risques et développer un plan permettant de les gérer.
 Rédiger un manuel de sécurité
 Désigner uneDES
MANEGEMENT personne chargée
SYSTEMES de définir la politique de sécurité
Réalisation
L’étape de réalisation consiste principalement à appliquer les politiques définies dans le
manuel de sécurité en :
 Implantant les mesures techniques préventives
 En sensibilisant direction et employé
Évaluation et Contrôle
Les systèmes d’évaluation doivent avoir été décrits dans le manuel de sécurité.
L’objectif consiste à
s’assurer que les procédures mises en place fonctionnent comme prévu.
Ces évaluations peuvent être de plusieurs types :
 Vérifications régulières faites dans le cadre des activités quotidiennes ;
 Contrôles automatiques réalisés avec des outils logiciels permettant de créer
des rapports ;
 Comparaison avec les autres organisations ;
 Réalisation d’audits formels planifiés (risk assessment) ;
 Révision par la direction.
Si les évaluations et DES
MANEGEMENT les contrôles
SYSTEMES révèlent que certaines procédures sontQUISQUEYA
D’INFORMATION-UNIVERSITE inadéquates, il
faut entreprendre des actions correctives.
Amélioration
Les actions qui auront été décidées à l’étape précédente devront être mises en œuvre
soit
 au niveau du système de sécurité proprement dit, comme par exemple en

nommant un(nouveau) responsable pour tout ou partie du système
 au niveau des procédures opérationnelles qui en auront été déduites, comme par
exemple par la mise en œuvre d’une procédure de sauvegarde de données
différentes (et évidemment plus adaptée)
 au niveau des outils, comme par exemple par l’achat d’un outil anti-virus

Les dispositifs techniques de protection
La protection du poste de travail

Contrôle d'accès
L'authentification demeure indispensable pour effectuer un contrôle d'accès fiable
portant sur l'identité des usagers des services. Le mécanisme le plus couramment
employé consiste à associer un mot de passe à l'identifiant d'une personne.
Qualités d'un mot de passe
1. longueur comprise entre 6 et 8 caractères ;
2. mot n'appartenant pas à un dictionnaire ;
3. mélange de chiffres, de lettres (minuscules et majuscules)et de caractères
spéciaux
« gilles » est un mauvais mot de passe.
« G1i*l;e! » est un mot de passe sécuritaire
Un mot de passe doit être changé fréquemment
Pour vérifier l'identité de l'utilisateur, on aura de plus en plus recours à la biométrie
( empreinte digitale, reconnaissance du visage, reconnaissance de l'iris, ADN)
SSO : Single Sign On
Les services numériques accessibles par le web (intranet, courrier électronique, forums,
agendas, applications spécifiques) se sont multipliés en quelques années. Chacun de ces
services nécessitent une authentification.
L'utilisation de techniques de synchronisation entre domaines d'authentification
hétérogènes, permet la mise en oeuvre d'un compte unique (login / mot de passe) pour
chaque utilisateur. La sécurisation de l'authentification devient donc primordiale. Il est
également fortement souhaitable que les applications n'aient pas connaissance du mot de
passe.
Les mécanismes de SSO permettent l'authentification unique, utilisent des techniques assez
semblables, à savoir :
 Une centralisation de l'authentification sur un serveur qui est le seul à recueillir les
mots de passe des utilisateurs, à travers un canal chiffré
 Des redirections HTTP transparentes du navigateur client, depuis les applications
vers le serveur d’authentification, puis du serveur vers les applications.
MANEGEMENT
 Le passage DES SYSTEMES
d’informations D’INFORMATION-UNIVERSITE
entre QUISQUEYA
le serveur d’authentification et les applications à
l’aide de cookies et/ou de paramètres cgi de requêtes http (get ou post)

SSO : Single Sign On Si l’utilisateur n'est pas déjà authentifié auprès du
serveur CAS avant d'accéder à une ressource, son
Implantation d'un serveur CAS (Central Authentication Service)
navigateur est redirigé vers le serveur CAS, qui lui
propose un formulaire
d'authentification. Lors de la soumission du
formulaire par le navigateur au serveur CAS,
siles informations fournies sont correctes, le
serveur CAS délivre un « Ticket » au client, qui
lui permettra ultérieurement de ne pas avoir àse
ré-authentifier
Le « Ticket » est le passeport de l’utilisateur

auprès d'un client CAS. Il est non re-jouable (ne
peut être présenté qu'une seule fois au serveur
CAS), limité à un seul client CAS et sa durée de
vie est très limitée dans le temps (quelques
secondes)

Anti-Virus
Un logiciel antivirus fonctionne selon 2 modes :
 le mode statique : l'antivirus n'est actif que lorsque l'utilisateur le déclenche.
 Le mode dynamique : l'antivirus est « résident » et surveille en permanence
l'activité du système d'exploitation, du réseau et de l'utilisateur.
Quel que soit son mode de fonctionnement, l'antivirus peut utiliser deux techniques :
 Recherche de signatures : un virus est caractérisé par une suite de bits
(signature) consignés
dans des bases de données.
o Avantage : très efficace sur des virus connus ;
o
 AnalyseInconvénient : nécessite une mise à jour très fréquente de la base des
heuristique : consiste à étudier des règles, des stratégies en vue
signature
d'étudier le comportement d'un programme.
o Avantage : peut détecter des virus encore inconnus
o Inconvénient : génère de nombreuses fausses alertes.
Protection du réseau local
Pour isoler un réseau local de l'extérieur il faut mettre en oeuvre un garde Barrière
qui conjugue la combinaison de 2 applications logicielles, un serveur
mandataire(proxy) d'une part et un pare-feu (firewall) d'autre part.
Serveur mandataire
Un serveur mandataire est une application qui sert d'intermédiaire entre un client et
un serveur. Le client envoie sa requête au mandataire, qui la réémet en direction du
serveur concerné. De même, la réponse du serveur est reçue par le mandataire qui la
retransmet au client. Un proxy peut être configuré pour filtrer les requêtes. Un serveur
mandataire assure les fonctions suivantes :
 Mémoriser les dernières pages consultées sur le Net ;
 Garder une trace des requêtes ;
 Analyser le contenu des documents pour détecter d'éventuels virus ;
 Restreindre les accès de l'intérieur (du LAN vers Internet) : autoriser ou
interdire l'accès à certains services d'internet pour certains utilisateurs.
 Interdire l'accès à certains sites Web selon certains critères (adresse IP, mots
clès...) Interdire à tous les employés de consulter les sites contenant le mot clé
« sexe ».
Système Pare-feu ou Firewall
Un pare feu est un équipement conçu pour empêcher des individus extérieurs
d’accéder au Réseau Local.
Un système pare-feu fait office de point d’entrée sur un site, évalue les demandes de
connexion à mesure qu’il les reçoit. Il traite seulement celles qui proviennent de
machines autorisées et supprime les requêtes en provenance des autres
Autoriser les ordinateurs extérieurs
(quelle que soit leur adresse IP) à
accéder au serveur Web de la zone
démilitarisée.
o Autoriser les ordinateurs du
réseau local à accéder aux
serveurs web extérieurs
o Autoriser les ordinateurs du

réseau local à accéder aux
services de messagerie
électroniques
DMZ - Zone démilitarisée

La « zone démilitarisée » (DMZ) est un réseau intermédiaire tampon dans laquelle
peuvent être installés les ordinateurs et applications devant pouvoir être accessibles
à partir d'Internet (les serveurs de services FTP et de pages WWW, par exemple).
Cette technique permet de différencier les données confidentielles et sensibles, présentes
sur le réseau local, des données « publiques » de l'entreprise.

Réseau Privé Virtuel (RPV)
Le Réseau Privé Virtuel (en anglais on parle de Virtual Private Network (VPN) est
une solution technique qui assure l'authentification et la confidentialité des données
échangées entre sites distants utilisant internet comme moyen de transmission.
Dans le schéma suivant l'entreprise A possède un établissement distant avec lequel elle
communique en utilisant Internet. Un commercial itinérant est doté d'un ordinateur
portable et via Internet doit pouvoir accéder à la base de données du siège social.
Cette entreprise A veut échanger des données (devis, factures...) avec une entreprise
partenaire (entreprise B).

Réseau Privé Virtuel (RPV)
Comme les données circulant sur Internet
sont transmises en clair, les
administrateurs réseau de l'entreprise A,
vont paramétrer la fonction VPN sur les
systèmes d'exploitation des serveurs et
des
postes de travail concernés. Si les postes
sont utilisés par les salariés de l'entreprise
A, on parlera d'Intranet.
Une coopération technique sera
nécessaire pour paramétrer le VPN entre
l'entreprise A et l'entreprise B. Cette
liaison sécurisée (chiffrement des
données transmises sur le réseau) sera
désigné sous le terme d'Extranet.
Lorsqu'on MANEGEMENT DESsécurisée
établit une liaison SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA
entre 2 machines distances en passant
Normes et Méthodes pour sécuriser un SI
La démarche de sécurisation du système d'information doit passer par 4 étapes de
définition :
 Périmètre à protéger (liste des biens sensibles) ;
 Nature des menaces ;
 Impact sur le système d'information ;
 Mesures de protection à mettre en place.
Norme ISO 2700x
La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de
l'information, publiée en 2005 par l'ISO, dont le titre en français est Code de bonnes
pratiques pour la gestion de la sécurité de l'information .
L'ISO/CEI 27002 est un ensemble de 133 mesures dites « best practices » (bonnes
pratiques en français), répartis en 11 domaines ; destinées à être utilisées par tous ceux
qui sont responsables de la mise en place ou du maintien d'un Système de Management
de la Sécurité de l'Information (SMSI). La sécurité de l'information est définie au sein
de la norme comme la « préservation de la confidentialité, de l'intégrité et de la
disponibilité de l'information ».
Principe de l'amélioration continue : modèle PDCA
Pour garantir que la sécurité reste optimale au fil du temps, la norme BS 7799 utilise le
principe de l'amélioration continue suivant le modèle PDCA qui se définit en 4 étapes
récurrentes
Plan : planifier,
Do : mettre en œuvre,
Check : vérifier,
Act : améliorer.
Après la définition des objectifs, des actions sont
entreprises pour les atteindre. Ensuite, on vérifie la
bonne qualité des résultats, puis on se fixe de
nouveaux objectifs pour être toujours totalement
efficace.

Méthode EBIOS
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une
méthode établie par la DCSSI (Direction Centrale de la Sécurité des Systèmes
d'Information) pour identifier les besoins de sécurité d'un système d'information. La
DCSSI la présente comme un outil d'arbitrage au sein des directions générales.
Elle s'organise en 4 étapes principales :
 Étude du contexte
 Expression des besoins
 Étude des risques
 Identification des objectifs de sécurité
Méthode MEHARI
La méthode MEHARI ( MEthode Harmonisée d'Analyse de RIsques) est proposée par
le CLUSIF
(Club de la Sécurité des Systèmes d'Information Français).
Méthode MEHARI
La méthode MEHARI ( MEthode Harmonisée d'Analyse de RIsques) est proposée par
le CLUSIF
(Club de la Sécurité des Systèmes d'Information Français).

Méthode MEHARI
Elle est destinée à permettre l'évaluation des risques mais également le contrôle et la
gestion de la sécurité de l'Entreprise sur court, moyen et long terme quelle que
soit la répartition géographique du système d'information.
La méthode MEHARI s'articule sur 3 types de plans :
 Le PSS (plan stratégique de sécurité) qui fixe les objectifs de sécurité et les
métriques et qualifie le niveau de gravité des risques encourus,
 Les POS (plans opérationnels de sécurité) qui déterminent, par site ou entité
géographique, les mesures de sécurité à mettre en place, tout en assurant la
cohérence des actions choisies.
 Le POE (plan opérationnel d'entreprise) qui permet le pilotage de la sécurité

au niveau stratégique par la mise en place d'indicateurs et la remontée
d'informations
MANEGEMENT DESsur les scénarios
SYSTEMES les plus critiques.
LES 5 ÉTAPES DE SENSIBILISATION À LA SÉCURITÉ DE
L’INFORMATION
Le cycle de la sensibilisation pour réduire le risque humain
Pour changer les comportements, vous avez besoin de connaissances et vous devez
collecter des informations à chaque étape: avant, pendant et après le déploiement de
votre programme de sensibilisation à la sécurité.
La démarche de sensibilisation à la sécurité en cinq étapes fournit des instructions

détaillées et maintient votre programme aligné sur vos objectifs. Utilisez une
structure claire, des listes de vérification et les meilleures pratiques de l’industrie
pour vous aider à bien faire les choses dès le premier coup.

LES 5 ÉTAPES DE SENSIBILISATION À LA SÉCURITÉ DE
L’INFORMATION
Étape 1 : Analysez les besoins et les objectifs de votre
organisation afin de développer un programme de
sensibilisation à la cybersécurité qui génère des
résultats concrets.

Étape 2 : Planifiez votre programme pour rester sur la
bonne voie et engager votre personnel ainsi que la
haute direction et les partenaires.

Étape 3 : Déployez un programme de formation
efficace et observez le changement de comportement
en temps réel.

Étape 4 : Mesurez la performance de votre
programme par rapport à vos objectifs et démontrez
les progrès à la haute direction.

Étape 5 : Optimisez vos campagnes
MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE et mettez à jour
QUISQUEYA
votre programme en intégrant les informations
Plans d'Activités

Plans d'Activités
PCA – PCS : Plan de Continuité d'activité ou de service
assure la bonne marche d'un ou plusieurs processus vitaux de l'entreprise
Avantages
 Pallier les dysfonctionnements d'une application ou d'un défaillance matérielle
 Limiter la perte de données au minimum acceptable par l'entreprise
 Offre mature et diversifiée pour les serveurs en grappe et les serveurs haute disponibilité
 Repose sur une architecture réservée au données faisant appel au SAN
 Storage Area Network
 Accès bas niveau aux disques
 mutualisation des ressources de stockage
Inconvénients
 Coût pour atteindre la continuité de service est élevé
 Ne protège pas contre un sinistre majeur (incendie, explosion...)
Etapes clés
 Nomination d'un chef de projet indépendant de la DSI
 Audit des activités critiques de l'entreprise
 Réalisation d'un document de synthèse
 Validation des niveaux d'exigence,
Plans d'Activités
PCA – PCS : Plan de Continuité d'activité ou de service
Etapes clés
 Validation des niveaux d'exigence,
 Elaboration d'un cahier des charges,
 Choix d'un prestataire
 Formalisation du plan,
 Phase de test et maintenance.
PCO : Plan de continuité organisationnel

 Garantir la survie de l'entreprise
PCI – PS I : Plan de Continuité (Secours) Informatique
 Vise à garantir le service minimum requis pour les SI
PRA : Plan de Reprise d'Activité
 Doit assurer le démarrage des applications et des processus clés de
l'entreprise
 Indicateur
 Doit assurer le démarrageMBAdes applications
–UNDH -HAITIet des processus clés de
l'entreprise
Plans d'Activités
RTO : Recovery Time Objective

 Durée maximale d'interruption admissible
 Délai nécessaire entre l'arrêt de l'activité et la remise à disposition de
l'informatique aux utilisateurs
RPO : Recovery Point Objective
 Durée maximum d'enregistrement des données qu'il est acceptable de perdre lors
d'une panne
 Degré de fraicheur des données
Avantages
 Limitation dans le temps de l'indisponibilité des applications et de la perte de
données
 Prévention des risques majeurs en assurant le basculement de tout ou partie du
système informatique sur un site distant
Inconvénients
MANEGEMENT
 Demande unDES suiviSYSTEMES
régulier deD’INFORMATION-UNIVERSITE
processus QUISQUEYA
 Matériel et logiciel du site de secours évoluent avec le SI
Plans d'Activités
 Doit assurer le démarrage des applications et des processus clés de l'entreprise
 Indicateurs

LES BONNES RESOLUTIONS EN MATIERE DE SECURITE
POUR VOUS
Vos clefs restent-elles sur la porte ?

POUR VOUS
Votre vigilance est-elle suffisante ?

POUR VOUS
Vos informations sont-elles à la vue de tous ?





Management Si2

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Management Si2

Transféré par

Droits d'auteur :

Formats disponibles

PROGRAMME MASTER MGP - MCA

Faculté des Sciences Économiques et Administratives

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MBA –UNDH -HAITI

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

Une attaque ne peut donc

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

• Réception d’un mail utilisant le logo et les couleurs de

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

Cette méthode présente deux inconvénients :

 Il faut autant de secrets que de personnes avec lesquelles on doit échanger.

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

Le principe est le suivant. On commence par faire une « empreinte du texte » : il

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

Cette opération de piratage est connue sous le terme de « mascarade »

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

Un passeport contient des informations concernant son propriétaire (nom, prénom,

Un certificat électronique contient des informations équivalentes qui sont délivrées

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

Un passeport contient des informations concernant son propriétaire (nom, prénom,

Un certificat électronique contient des informations équivalentes qui sont délivrées

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

 Evaluer les ressources critiques de l'organisation.

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

A partir de l'analyse des risques, il faut

 au niveau du système de sécurité proprement dit, comme par exemple en

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

La protection du poste de travail

La protection du poste de travail

Le « Ticket » est le passeport de l’utilisateur

La protection du poste de travail

o Autoriser les ordinateurs du

DMZ - Zone démilitarisée

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

 Le POE (plan opérationnel d'entreprise) qui permet le pilotage de la sécurité

Le cycle de la sensibilisation pour réduire le risque humain

La démarche de sensibilisation à la sécurité en cinq étapes fournit des instructions

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

PCO : Plan de continuité organisationnel

RTO : Recovery Time Objective

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

MANEGEMENT DES SYSTEMES D’INFORMATION-UNIVERSITE QUISQUEYA

Vous aimerez peut-être aussi