Sig Chapitre 13

PARTIE 3 - SÉCURITÉ ET FIABILITÉ DES SYSTÈMES
D’INFORMATION À L’ÈRE DE LA
COMMUNICATION NUMÉRIQUE
Chapitre 13: Sécurité du système
d’information
Extraits du référentiel:
Sens et portée de l’étude
• Les données constituent une ressource vitale pour les
organisations, tant au plan opérationnel pour la gestion de ses
processus, qu’au niveau stratégique pour la prise de décision. Dans
ce contexte, la sécurisation du système d’information est un enjeu
de premier plan.
• Chaque acteur au sein du SI doit connaître et mettre en œuvre les
règles de bases de la sécurité informatique (physique et logique),
notamment les accès aux réseaux et l’utilisation d’internet…
Il s’agit d’identifier l’ensemble des risques externes ou internes qui
menacent une organisation, de savoir comment le facteur humain est
déterminant en matière de sécurité informatique, comment et par qui
cette politique de sécurité est mise en œuvre.
Compétences attendues
- Identifier et hiérarchiser les principaux risques liés à la sécurité
du SI.
- Identifier et choisir les mesures de protection à mettre en
place.
- Appliquer les procédures de sécurité.
- Analyser la fiabilité des procédures et des traitements
- Prendre en compte la dimension humaine dans la gestion des
risques
Norme internationale ISO/CEI 27001 et préconisations de l’ANSSI (Agence
Nationale de la Sécurité des Systèmes d’Information) en France
https://www.ssi.gouv.fr/
I. Les critères de la sécurité du SI
4 objectifs principaux
Confidentialité
Disponibilité
Accessible seulement aux personnes
Accessible sans interruption
habilitées
Intégrité/inaltérabilité Non répudiation

Données non altérées durant stockage Preuve émetteur est auteur de
ou transport données en combinant
- Authentification
- Imputabilité
- Traçabilité
II. Vulnérabilités, menaces et risques
A. Précisions sémantiques
Menace
Danger lié à des causes
Vulnérabilité externes ou internes
qu'elles soient
Matériels, logiciels,
physiques
réseaux, humains
(catastrophes natures)
ou humaines
(volontaire ou non)
Risque
Probabilité qu'une
menace exploite
une vulnérabilité
Problématique: arbitrage entre limitation du risque et liberté

(exemple: confinement ou sécurité attentats)
DCG ~ UE8 ~JL ECHEVILLER
B. Les différents risques et leurs conséquences
Les risques liés au SI peuvent avoir des conséquences économiques et/ou
juridiques (par exemple liés au RGPD).
Le CLUSIF (Club de la Sécurité́ de l’Information Français) réalise régulièrement une
enquête intitulée « Menaces informatiques et pratiques de sécurité́ en France » qui
porte sur les entreprises de plus de 100 salariés.
1) Risques humains
a) Involontaires
• Fausse manipulation
• Négligence (absence sauvegarde, mot de passe simple)
• Perte d’information: vol machine, incendie, inondation,
panne matérielle…
b) Volontaires
• Attaques de déni de services (Dos): concernent le plus
souvent des serveurs saturés pour les rendre indisponibles.
• Intrusions: pénétration du système par une personne
étrangère à l’organisation. Ce peut être un hacker ou un cheval
de Troie qui peut permettre le contrôle à distance.
• Vol d’information à aide clé USB par ex
• Phishing ou hameonnage (Faux sites) Par ex: banques Espoir
de gain financier
• Spoofing (Usurpation identité ) récupère les droits d’accès ou
vol de l'adresse IP pour récupérer données confidentielles.
DCG ~JL ECHEVILLER

2) Les logiciels malveillants
» Virus: Programme informatique qui se diffuse par mail (pièce
jointe), par clé usb, Macro-commande dans fichier téléchargé ou
publicité cliquée en ligne. Il s’implante au sein d’un programme
en le parasitant. Il produit des effets dommageables quand il est
exécuté ou quand survient un évènement déclencheur.
» Ver: c’est un programme indépendant capable de de répliquer à
travers le réseau. Il est conçu pour saturer les ressources
disponibles, allonger la durée de traitement, transférer des
informations, ou détruire des données.
» Espiongiciels (spywares): logiciels chargés de récolter des
informations sur les manipulations des utilisateurs. (les cookies
ou témoin de connexion ne sont pas des logiciels malveillants
même s’ils s’installent à votre insu). Les keyloggers mémorisent
les frappes au clavier.
» Rançongiciels (ransomware): chiffrent les données ou bloquent
l’accès à la machine en demandant de l’argent contre une clé
pour déchiffrer ou débloquer.
DCG ~JL ECHEVILLER
3) Les messages indésirables
» SPAM ou Pouriels: Courriels non sollicités qui encombrent le
réseau (Boites mail saturées, gène et paralyse les serveurs)
» Arnaques -canulars (hoax): informations semblant réelles pour
déclencher des rumeurs ou escroqueries déguisées.
III. Le responsable de la sécurité du SI

A. La politique de sécurité
Stratégique
Politique de sécurité
Tactique
Guide d'accompagnement et directives
Opérationnel
Procédures de mise en oeuvre
Les trois niveaux d’une politique de

sécurité du SI
DCG~JL ECHEVILLER
A. La politique de sécurité
Les quatre étapes du processus de réalisation d’une politique de sécurité du SI :
Evaluation et
Identification Rédaction des
Surveillance des Mise en oeuvre
des besoins de règles et
vulnérabilités d'une politique
sécurité procédures
de changement
B. Les rôles du responsable de la sécurité du SI (RSSI)

Définir la gouvernance
Assurer une de la sécurité du SI et Piloter le dispositif de
veille son évolution sécurité, gérer les accès,
technologique les profils utilisateurs et
et réglementaire les mises à jour
RSSI
Sensibiliser et former Identifier les risques

les utilisateurs et mettre en œuvre
Assurer la continuité les mesures de
de service (Plan de protection
Continuité ou de
Reprise d'Activité)
DCG~JL ECHEVILLER
IV. Le rôle du facteur humain dans la sécurité du
système d’information.
A. Sensibilisation des salariés
Formaliser et partager les bonnes pratiques: la charte informatique

IV. Le rôle du facteur humain dans la sécurité du
système d’information.
B. Formation des salariés
Acquérir
culture
générale
Mesurer sa
Acquérir bonnes
responsabilité
pratiques
engagée
Former
Sécuriser
Identifier
ses
une menace
applications
Protéger ses
données

V. Outils et procédures de protection, de sauvegarde et
de restauration de données.
A. Les outils de protection
1) Moyens logiciels:
anti-
anti-virus anti spam Pare-feu (Firewall)
spywares
Filtre les flux entrants
ou sortants
Paramétrage des mises à jour
Chiffrement ou cryptage des données
2) Moyens matériels Serveur proxy

Intermédiaire qui relie
Onduleur Systèmes RAID le réseau local à
Protection électrique Disques miroir internet, masque ce
des serveurs synchronisés réseau de l'extérieur et
dispose d'une fonction
cache.
DCG~JL ECHEVILLER
A. Les outils de protection
3) Les architectures réseau
a) Le VPN ou RPV (réseau privé virtuel)
Interconnexion de sites distants en utilisant un tunnel VPN pour garantir la
confidentialité des données (authentification et cryptage) sur internet.
b) Les VLAN (réseaux locaux virtuels)

Découpe un réseau physique en plusieurs sous-réseaux virtuels étanches.
3) Les architectures réseau
c) La DMZ (zone démilitarisée).
Une DMZ est une zone tampon , une zone intermédiaire entre une zone privée (le
LAN) et une zone publique (internet). Cette zone, protégée derrière des pare-feu,
héberge les serveurs communiquant avec l’extérieur (serveur Web,
messagerie…).
B. Les procédures de sauvegarde et de restauration
1) Où sauvegarder ?
Supports amovibles Sur serveur local ou distant
2) Comment sauvegarder ?
• Sauvegarde complète: + sûr mais long (exemple 1 fois par mois)
• Sauvegarde incrémentale: seuls fichiers modifiés sauvegardés; c’est
rapide mais on abouti à une multitude de fichiers qu’il faut regrouper
ou supprimer après nouvelle sauvegarde complète. (exemple: semaine
1, semaine 2, semaine 3…)
• Sauvegarde différentielle: seuls fichiers modifiés depuis dernière
sauvegarde complète sont copiés; permet de ne garder qu’un seul
fichier avec les mises à jour (exemple: semaine 1 puis l’écrase pour
enregistrer semaines 1+2, puis une semaine après les 3 semaines).
B. Les procédures de sauvegarde et de restauration
3) Comment restaurer ses données ?
L'objectif est de pouvoir récupérer les données perdues.
La technologie RAID permet d'avoir une copie des données sur
plusieurs disques ce qui évite la perte des données sauf si celles-ci
sont corrompues ou infectées (un ransomware peut rendre illisible
toutes les données).
Sinon, il faut espérer que la dernière sauvegarde n'était pas trop
ancienne…
Il faut mettre en place:
- Un plan de continuité d'activité (PCA) pour assurer la
disponibilité des activités critiques et des ressources
indispensables (fonctionnement dégradé mais minimum).
- Un plan de reprise d'activité (PRA) pour définir les étapes de
redémarrage après un sinistre majeur.

Sig Chapitre 13

Transféré par

Droits d'auteur :

Formats disponibles

Sig Chapitre 13

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Sig Chapitre 13

Transféré par

Droits d'auteur :

Formats disponibles

PARTIE 3 - SÉCURITÉ ET FIABILITÉ DES SYSTÈMES

Intégrité/inaltérabilité Non répudiation

Problématique: arbitrage entre limitation du risque et liberté

DCG ~JL ECHEVILLER

III. Le responsable de la sécurité du SI

Les trois niveaux d’une politique de

B. Les rôles du responsable de la sécurité du SI (RSSI)

Sensibiliser et former Identifier les risques

DCG ~ UE8 ~JL ECHEVILLER

DCG ~ UE8 ~JL ECHEVILLER

Chiffrement ou cryptage des données

2) Moyens matériels Serveur proxy

b) Les VLAN (réseaux locaux virtuels)

Vous aimerez peut-être aussi