Module 2: Politique de sécurité

conformément à la norme ISO 27002

Chapitre I: Introduction à la sécurité de

l’information

SONIA SELMANI
Plan du cour

1. Généralités
2. Introduction à la sécurité d’information
3. Appréciation des risques
4. Structure: Objectif de sécurité et mesure de sécurité ,
Recommandation d ’élaboration
1. Généralités

L’ISO (Organisation
internationale de
normalisation) et la CEI
(Commission
électrotechnique
internationale) forment le
système spécialisé de la
normalisation mondiale.

Dans le domaine des

technologies de
l’information, l’ISO et la
CEI ont créé un comité
technique mixte, l’ISO/CEI
JTC 1.
2. Introduction à la sécurité d’information

L'ISO 27002:2013 donne des lignes directrices en matière de normes organisationnelles

relatives à la sécurité de l'information et des bonnes pratiques de management de la
sécurité de l'information, incluant la sélection, la mise en œuvre et la gestion de
mesures de sécurité prenant en Compte le ou les environnement(s) de risques de
sécurité de l'information de l'organisation.

L'ISO 27002:2013 est élaborée à l'intention des organisations désireuses de

sélectionner les mesures nécessaires dans le cadre du processus de mise en œuvre
d'un système de management de la sécurité de l'information (SMSI) selon l'ISO/CEI
27001; de mettre en œuvre des mesures de sécurité de l'information largement
reconnues, et d'élaborer leurs propres lignes directrices de management de la sécurité
de l'information.
 2. Introduction à la sécurité d’information
Systèmes d’information
Un système d'information est généralement
défini par l'ensemble des données et des
ressources matérielles et logicielles de
l'entreprise permettant de les stocker ou de
les faire circuler.

Organisation des activités consistant à

acquérir, stocker, transformer, diffuser,
exploiter, gérer... les informations.
2. Introduction à la sécurité d’information

Qu'est-ce que la
sécurité

La sécurité d’information
c’est l’ensemble des
moyens mis en œuvre pour
réduire la vulnérabilité
d’un système contre les
menaces accidentelles ou
intentionnelles.
 2. Introduction à la sécurité d’information
Les menaces
Le système d’information doit être sécurisé par rapport à des menaces potentielles ou
avérées.
Exemple de menaces: L’intrusion

La mise hors
Le vol
service de
d’informations
ressources

La destruction La falsification
d’informations d’informations
 2. Introduction à la sécurité d’information
Les attaques
Une attaque correspond à la réalisation d’une menace. Une attaque est réalisée par un ou des
agresseurs.
Une attaque se définit par :
 son origine (qui ou quoi)
 son commanditaire
 sa cible (qui ou quoi)
 son objectif (pourquoi)
 ses moyens (techniques, humains, organisationnels,
financiers, temporels)
son type (attaque par IP spoofing, par ingénierie
sociale…)
son mobile ou sa motivation (pourquoi)
sa justification (politique, économique, philosophique,
culturelle, religieuse, etc.)
 3. Appréciation des risques

L’appréciation du risque permet d’identifier les menaces pesant sur les actifs, d’analyser les
vulnérabilités, de mesurer la vraisemblance des attaques et d’en évaluer l’impact potentiel;
l’appréciation du risque propre à l’organisation, prenant en compte sa stratégie et ses objectifs
généraux.
 Il est nécessaire de réaliser une analyse de risque
en prenant soin d'identifier les problèmes
potentiels avec les solutions avec les coûts
associés.
 L'ensemble des solutions retenues doit être
organisé sous forme d'une politique de sécurité
cohérente, fonction du niveau de tolérance au
risque.
 On obtient ainsi la liste de ce qui doit être protégé.
 3. Appréciation des risques
Evolution des risques

– Croissance de l'Internet

– Croissance des attaques

– Failles des technologies

– Failles des configurations

– Failles des politiques de sécurité

– Changement de profil des pirates

3. Appréciation des risques
 Quelle est la valeur des équipements,
des logiciels et surtout des
informations?
 Quel est le coût et le délai de  Inventaire des éléments du
remplacement ? système à protéger
 Faire une analyse de vulnérabilité des  Inventaire des menaces
informations contenues sur les possibles sur ces éléments
ordinateurs en réseau  Estimation de la probabilité
 Quel serait l’impact sur la clientèle que ces menaces se
d'une information publique concernant réalisent
des intrusions sur les ordinateurs de la
société?
 4. Structure: Objectif de sécurité et mesure de
sécurité, Recommandations d ’élaboration

Les objectifs de la sécurité de l’information

Les principaux objectifs à

garantir:
– intégrité
– confidentialité
– disponibilité
 4. Structure: Objectif de sécurité et mesure de
sécurité, Recommandations d ’élaboration

1. Confidentialité
Seuls les utilisateurs habilités (autorisés) ont accès à
l’information
qui peut "voir" quoi?
4. Structure: Objectif de sécurité et mesure de
sécurité, Recommandations d ’élaboration

2. Intégrité

Une information n’est modifiée que dans des conditions prédéfinies (selon des contraintes
précises).

Les contraintes d’intégrité : l’ensemble des règles (des assertions) qui définissent la
cohérence d’un système d’information. Ex: toute règle de cohérence d’une base de
données.
L’intégrité veut dire : exactitude, précision, modifications autorisées seulement, cohérence.
 4. Structure: Objectif de sécurité et mesure de
sécurité, Recommandations d ’élaboration

3. Disponibilité et fiabilité (pérennité)

Terminologie du milieu de la sécurité pour caractériser le bon fonctionnement d’un système informatique.

Un système informatique doit être disponible à ses utilisateurs autorisés selon les conditions prédéfinies.

Présence sous forme utilisable (besoins et spécifications) satisfaisant des contraintes de temps, performance et qualité

La fiabilité est l’aptitude d’un système informatique à fonctionner d’une manière continue pendant une période donnée
(sa durée de vie). Un système informatique ne doit pas avoir de bugs liés à des problèmes techniques de conception ou
de programmation.
 4. Structure: Objectif de sécurité et mesure de
sécurité, Recommandations d ’élaboration
Les mesures
La sélection des mesures dépend des décisions prises par l’organisation en fonction de:
ses critères d’acceptation du risque;
de ses options de traitement du risque ;
 de son approche de la gestion générale du risque.

Il convient également de prendre en considération les lois et règlements nationaux et

internationaux concernés.
La sélection des mesures de sécurité dépend également de la manière dont les mesures
interagissent pour assurer une défense en profondeur.
 4. Structure: Objectif de sécurité et mesure de
sécurité, Recommandations d ’élaboration
Recommandations d ’élaboration

L’ensemble des recommandations d’élaboration pour la

gestion de la sécurité de l'information sont donnés par la
1. La politique de sécurité;
norme ISO 27002 (anciennement appelé ISO 17799) «
Code de bonnes pratiques pour la gestion de la sécurité 2. L'organisation de la sécurité;
de l'information », il couvre autant les aspects 3. La classification et le contrôle de biens;
techniques, administratifs que juridiques et peut être
4. La sécurité du personnel 
utilisé par n'importe quel organisme quelque soit son
activité et sa dimension. Ces aspects sont regroupés au 5. La sécurité physique 
travers de dix grandes thématiques : 6. La gestion des opérations et des communications
7. Le contrôle des accès
8. Le développement et la maintenance des des systèmes
9. La gestion de la continuité d'activité
10. La conformité a la réglementation interne et externe