REPUBLIQUE DU CAMEROUN REPUBLIC OF CAMEROON

********* *********
Paix-Travail-Patrie Peace-Work-Fatherland
********* *********
MINISTERE DES ENSEIGNEMENTS SUPERIEURS
********* MINISTRY OF HIGHER EDUCATION
UNIVERSITE DE NGAOUNDERE *****************
********* UNIVERSITY OF NGAOUNDERE
FACULTE DES SCIENCES *********
********* FACULTY OF SCIENCES
Département de Mathématiques et *********
Informatique Department of Mathematics and Computer
Science

TPE DE L’UE : SECURITE DES SYSTEMES

ACTIVITE 1

NOMS Et Prénoms Matricule

1- AL-MINE ORO KONDI 17A219FS

2-DJONYANG WANLING FREDERIC 20A175FS
3-IDRISS DOUNIA DJAMOUSS 19A385FS
4-MBAIGOLMEM DANG-DANG THIERY 20A179FS
5-NEDAOUKA JOACHIM 19A047FS
6- SOUBOURA DJAFSIA EBENEZER 19A069FS
7- WANDO YIMLEDA SYLVANEL 20A075FS

Sous la supervision de :

Pr Dr-Ing TCHAKOUNTE Franklin

Année académique 2023/2024

 SOMMAIRE

THEME 1 : DESCRIPTION DU STANDARD ISO/IEC 27001:2022 ................................ 3

1- Définition ........................................................................................................................ 3
2- Application dans une entreprise .................................................................................. 3
a- Sauvegarde des données dans le cadre de la norme ISO/IEC 27001:2022 ........... 4
b. L’intervention du cloud Computing dans le service de cybersécurité ..................... 6
Responsabilité partagée en matière de sécurité du cloud ................................................. 6
Importance de choisir un fournisseur de services cloud fiable......................................... 6
Mise en place de mesures de sécurité adéquates ................................................................ 7
CONCLUSION ......................................................................................................................... 8
THEME 2 : Description de la Norme NIST .......................................................................... 9
1- Définition et présentation de la Norme NIST ............................................................. 9
2- Application de NIST dans les Entreprises................................................................. 10
CONCLUSION ....................................................................................................................... 12
REFERENCES ....................................................................................................................... 13

2
Année académique 2023/2024
THEME 1 : DESCRIPTION DU STANDARD ISO/IEC
27001:2022

1- Définition

ISO/IEC 27001:2022 est une norme internationale qui définit les exigences pour un système de
management de la sécurité de l'information (SMSI). Elle s'applique à tous les types d'organisations,
quelle que soit leur taille ou leur secteur d'activité.

Objectifs de la norme :
• Protéger la confidentialité, l'intégrité et la disponibilité des informations
• Gérer les risques de sécurité de l'information
• Améliorer la confiance des clients et des partenaires
• Démontrer l'engagement de l'organisation envers la sécurité de l'information

2- Application dans une entreprise

Mise en place d'un SMSI :

• Définir la politique de sécurité de l'information : La politique de sécurité de l'information est

un document qui définit les objectifs et les principes de la sécurité de l'information au sein de
l'entreprise. Elle doit être élaborée par la direction et portée à la connaissance de tous les
employés.
• Identifier les risques et les contrôles : Il est important d'identifier les risques qui menacent la
sécurité de l'information de l'entreprise. Cela peut se faire par une analyse des menaces et des
vulnérabilités. Une fois les risques identifiés, il est possible de mettre en place des contrôles
pour les minimiser.
• Mettre en œuvre les contrôles : Les contrôles peuvent être techniques, organisationnels ou
humains. Il est important de choisir les contrôles les plus adaptés aux risques identifiés et de les
mettre en œuvre de manière efficace.
• Surveiller et mesurer l'efficacité du SMSI : Il est important de surveiller et de mesurer
l'efficacité du SMSI. Cela permet de s'assurer que les contrôles mis en place sont efficaces et de
les améliorer si nécessaire.
• Réviser et améliorer le SMSI en continu : Le SMSI doit être révisé et amélioré en continu.
Cela permet de prendre en compte les changements de l'environnement de l'entreprise et les
nouvelles menaces qui peuvent surgir.

3
Année académique 2023/2024
 a- Sauvegarde des données dans le cadre de la norme ISO/IEC 27001:2022

Son objectif principal est de protéger les données contre les pertes et les corruptions. Pour cela, la norme
ISO/IEC 27001:2022 peut effectuer plusieurs types de sauvegardes.

Types de sauvegarde :

❖ Sauvegarde complète : Copie de l'ensemble des données à un instant donné

❖ Sauvegarde incrémentielle : Copie uniquement des données modifiées depuis la dernière
sauvegarde complète
❖ Sauvegarde différentielle : Copie de toutes les données qui ont été modifiées ou créées depuis
la dernière sauvegarde complète

Règle 3-2-1 de la sauvegarde :

▪ 3 copies de la sauvegarde : Avoir au minimum trois copies de la sauvegarde permet de se

prémunir contre la perte de deux copies.
▪ 2 supports différents : Stocker les sauvegardes sur deux supports différents (par exemple,
un disque dur interne et un disque dur externe) permet de se prémunir contre la perte d'un
support.
▪ 1 site distant : Stocker une copie de la sauvegarde sur un site distant(cloud computing)
permet de se prémunir contre la perte des deux autres copies en cas de sinistre (par exemple,
incendie, inondation).

Méthodes de sauvegarde :

❖ Sauvegarde locale : Sauvegarde des données sur un support de stockage local, tel qu'un disque
dur interne ou externe
❖ Sauvegarde en ligne : Sauvegarde des données vers un serveur distant via Internet
❖ Sauvegarde sur bande : Sauvegarde des données sur des bandes magnétiques

Choix de la méthode de sauvegarde :

✓ Taille et type de données à sauvegarder

✓ Budget
✓ Ressources informatiques disponibles
✓ Objectifs de temps de restauration (RTO) et d'objectifs de point de récupération (RPO)

4
Année académique 2023/2024
NB : - RTO (Recovery Time Objective): Délai maximal acceptable pour restaurer les systèmes et les
données après un sinistre.

- RPO (Recovery Point Objective): Quantité maximale de données que l'organisation peut se
permettre de perdre en cas de sinistre.

Planification de la sauvegarde :

▪ Définir les objectifs de la sauvegarde : Avant de mettre en place un plan de sauvegarde, il est
important de définir les objectifs de la sauvegarde. Il peut s'agir de :
✓ Protéger les données contre les pertes et les corruptions
✓ Assurer la continuité d'activité en cas de sinistre
✓ Respecter les exigences réglementaires
▪ Identifier les données à sauvegarder : Pour identifier les données à sauvegarder, il est
important de se poser les questions suivantes :
✓ Quelles sont les données critiques pour l'entreprise ?
✓ Quelles sont les données sensibles ?
✓ Quelles sont les données dont la perte aurait un impact important sur l'activité de
l'entreprise ?
Il est également important de prendre en compte les exigences réglementaires applicables à
votre secteur d'activité.

▪ Choisir la méthode de sauvegarde : Le choix de la méthode de sauvegarde dépend de plusieurs

facteurs, tels que : Le volume de données à sauvegarder, le budget ;les exigences de
performance, les besoins en matière de sécurité
▪ Définir la fréquence des sauvegardes
▪ Tester et documenter le plan de sauvegarde : Il est important de tester le plan de sauvegarde
régulièrement pour s'assurer qu'il fonctionne correctement. Il est également important de
documenter le plan de sauvegarde afin qu'il puisse être facilement compris et suivi par tous les
utilisateurs.

Sécurité des sauvegardes :

• Chiffrement des données

• Contrôle d'accès aux sauvegardes
• Protection contre les ransomwares

5
Année académique 2023/2024
b. L’intervention du cloud Computing dans le service de cybersécurité

Quelques rappels sur la notion du Cloud Computing

Le Cloud computing est un modèle de prestation de services informatiques via Internet

Types de services cloud :

• Infrastructure as a Service (IaaS)

• Platform as a Service (PaaS)
• Software as a Service (SaaS)

Sécurité du cloud :
Responsabilité partagée en matière de sécurité du cloud

Le modèle de responsabilité partagée est un concept fondamental de la sécurité du cloud. Il

stipule que la responsabilité de la sécurité est partagée entre le client et le fournisseur de
services cloud (FaaS).
Le FaaS est responsable de la sécurité de l'infrastructure cloud, y compris les serveurs, le
réseau et les logiciels de base. Il s'engage à mettre en place des mesures de sécurité physiques,
techniques et organisationnelles pour protéger les données des clients.
Le client est responsable de la sécurité des données qu'il stocke dans le cloud, ainsi que des
applications qu'il y développe et exploite. Il doit notamment :
• Définir et mettre en œuvre des politiques de sécurité pour ses données et ses applications.
• Gérer les accès aux données et aux applications et s'assurer que seuls les utilisateurs
autorisés y ont accès.
• Chiffrer ses données sensibles avant de les stocker dans le cloud.
• Surveiller l'activité de ses applications et détecter les anomalies.
Il est important de bien comprendre le modèle de responsabilité partagée pour s'assurer
que les données sont correctement protégées dans le cloud.

Importance de choisir un fournisseur de services cloud fiable

Le choix d'un FaaS fiable est crucial pour la sécurité du cloud. Il est important de s'assurer
que le FaaS a une bonne réputation en matière de sécurité et qu'il met en place des mesures de
sécurité adéquates.

6
Année académique 2023/2024
Voici quelques critères à prendre en compte lors du choix d'un FaaS :
• Les certifications de sécurité du FaaS, telles que ISO/IEC 27001 ou SOC 2.
• Les mesures de sécurité physiques mises en place par le FaaS, telles que la surveillance des
accès aux centres de données et la protection contre les intrusions.
• Les mesures de sécurité techniques mises en place par le FaaS, telles que le chiffrement des
données et le contrôle des accès.
• Les mesures de sécurité organisationnelles mises en place par le FaaS, telles que la
formation du personnel à la sécurité et la gestion des incidents de sécurité.
Il est également important de lire attentivement les conditions générales du contrat de
service cloud pour s'assurer que les niveaux de sécurité proposés par le FaaS correspondent
aux besoins du client.

Mise en place de mesures de sécurité adéquates

En plus de choisir un FaaS fiable, il est important que le client mette en place des mesures de
sécurité adéquates pour protéger ses données dans le cloud.

Voici quelques exemples de mesures de sécurité que le client peut mettre en place :
• Définir et mettre en œuvre des politiques de sécurité pour ses données et ses applications.
• Gérer les accès aux données et aux applications et s'assurer que seuls les utilisateurs
autorisés y ont accès.
• Chiffrer ses données sensibles avant de les stocker dans le cloud.
• Surveiller l'activité de ses applications et détecter les anomalies.
• Mettre en place un plan de réponse aux incidents pour gérer les incidents de sécurité.

7
Année académique 2023/2024
 CONCLUSION
La sécurité informatique est un domaine complexe et crucial pour les entreprises. Il est
essentiel de mettre en place un ensemble de mesures de sécurité pour protéger les données et
les systèmes informatiques, garantir la continuité de l'activité et minimiser les risques de
cyberattaques. Ce panel de mesures inclut la mise en place d'un Système de Management de
la Sécurité de l'Information (SMSI), la planification rigoureuse de la sauvegarde des données
critiques, le contrôle strict des accès aux systèmes et aux données, la protection contre les
malwares et la sensibilisation des utilisateurs aux risques et bonnes pratiques de sécurité.
Choisir les mesures adéquates et les mettre en œuvre efficacement est un investissement
crucial pour les entreprises, leur permettant de préserver leurs actifs numériques, d'assurer
leur pérennité et de renforcer la confiance de leurs clients et partenaires.

8
Année académique 2023/2024
THEME 2 : Description de la Norme NIST

1- Définition et présentation de la Norme NIST

La Norme NIST, élaborée par le National Institute of Standards and Technology, est une série
de lignes directrices, de cadres et de bonnes pratiques visant à promouvoir la sécurité de
l'information et la protection des systèmes informatiques contre les menaces. Ces normes sont
largement reconnues et utilisées dans le monde entier pour aider les organisations à établir des
politiques de sécurité efficaces et à renforcer leur posture de sécurité globale.

La Norme NIST fournit des recommandations détaillées sur divers aspects de la sécurité de
l'information, y compris la gestion des risques, la protection des données, la gestion des identités
et des accès, la détection des incidents et la réponse aux incidents, entre autres. Elle offre un
ensemble de cadres et de publications, tels que le NIST Cybersecurity Framework (CSF) et les
NIST Special Publications (SP), qui fournissent des directives spécifiques pour mettre en œuvre
des mesures de sécurité adaptées aux besoins de chaque organisation.

Importance du NIST CSF en cybersécurité

Le NIST CSF gagne en importance dans le paysage de la cybersécurité car les organisations
reconnaissent la nécessité d’une approche structurée pour gérer les risques cyber. En adoptant
le NIST CSF, les organisations peuvent bénéficier de plusieurs manières :

Gestion améliorée des risques : Le NIST CSF offre aux organisations une approche
systématique et basée sur le risque pour la cybersécurité. En identifiant et en hiérarchisant les
actifs critiques, les organisations peuvent allouer efficacement leurs ressources et atténuer en
premier lieu les risques les plus importants.

Résilience améliorée en matière de cybersécurité : Le NIST CSF permet aux organisations de

développer et d’améliorer leur résilience en matière de cybersécurité en mettant en place des
protections adéquates, en surveillant continuellement les menaces et en répondant efficacement
aux incidents.

Conformité aux exigences réglementaires : Le NIST CSF est largement reconnu et adopté par
les organismes de réglementation et les organisations normatives de l’industrie. La mise en
œuvre du cadre peut aider les organisations à répondre aux exigences réglementaires et à
démontrer leur engagement en matière de cybersécurité.

9
Année académique 2023/2024
 Objectif

L'objectif principal de la Norme NIST est de fournir aux organisations des directives claires et
concrètes pour établir et maintenir des programmes de sécurité de l'information robustes. Cela
inclut l'identification des actifs critiques, l'évaluation des risques, la mise en œuvre de contrôles
de sécurité appropriés, la surveillance des menaces et des vulnérabilités, ainsi que la réponse
efficace aux incidents de sécurité.

2- Application de NIST dans les Entreprises

Dans une entreprise, l'application de la Norme NIST implique plusieurs étapes clés :

o Évaluation des Besoins : Identifier les besoins spécifiques en matière de

sécurité de l'information et les exigences réglementaires applicables à
l'entreprise.
o Cadre de cybersécurité du NIST (CSF) : Sélectionner les cadres et les
publications NIST pertinents en fonction des besoins et des objectifs de sécurité
de l'entreprise, tels que le NIST CSF ou les SP 800 Series.
o Mise en Œuvre des Contrôles de Sécurité: Mettre en place des contrôles de
sécurité appropriés, tels que la gestion des identités et des accès, la surveillance
des événements de sécurité, la protection des données et la sensibilisation à la
sécurité.
o Identification : Cette fonction aide à développer une compréhension
organisationnelle permettant de gérer le risque en matière de cybersécurité des
systèmes, des personnes, des actifs, des données et des capacités. La
compréhension du contexte commercial, des ressources qui soutiennent les
fonctions critiques et des risques associés à la cybersécurité permettent à une
organisation de concentrer et de prioriser ses efforts conformément à sa stratégie
de gestion des risques et à ses besoins commerciaux.
o Protection : Cette fonction décrit les mesures de sécurité appropriées permettant
de garantir que les infrastructures critiques puissent assurer la prestation de leurs
services. Cette fonction envisage la possibilité de limiter ou de contenir l’impact
d’une menace potentielle en matière de cybersécurité.
o Détection : Il s’agit ici de définir les activités nécessaires d’identification de
survenue d’un incident de cybersécurité pour permettre ainsi la détection à temps
de ceux-ci.

10
Année académique 2023/2024
 o Réponse : Cette fonction regroupe toutes les activités nécessaires visant à
prendre des mesures à l’égard d’un incident de cybersécurité ayant été détecté.
Elle permet de développer la capacité à pouvoir contenir l’impact d’un incident
potentiel.
o Reprise : Il s’agit d’identifier les activités nécessaires pour maintenir les
programmes de résilience et pour rétablir toute compétence ou service ayant été
détérioré en raison d’un incident de cybersécurité. Cette fonction permet la
reprise rapide des opérations normales afin de réduire l’impact d’un incident de
cybersécurité.

Tout comme le CSF, le MCSS laisse à chacun la liberté de mettre en œuvre les directives de
façon différentes. En effet, l’on comprend qu’il est presque impossible de définir une approche
unique en matière de cybersécurité pour différentes industries, plateformes et situations. En
revanche, les entreprises sont encouragées à interpréter la norme de manière indépendante et à
adapter leurs propres processus de sécurité pour assurer la conformité.

11
Année académique 2023/2024
 CONCLUSION
la Norme NIST est un outil essentiel pour aider les entreprises à protéger leurs actifs
numériques et à maintenir la sécurité de l'information dans un paysage technologique en
constante évolution. En suivant ses recommandations et en mettant en œuvre ses directives, les
organisations peuvent renforcer leur posture de sécurité et réduire les risques de cyberattaques
et de violations de données.

12
Année académique 2023/2024
REFERENCES

• [https://www.iso.org/standard/27001] (https://www.iso.org/standard/27001)
• [https://cyber.gouv.fr/en] (https://cyber.gouv.fr/en)
• [https://cloudsecurityalliance.org/] (https://cloudsecurityalliance.org/)
• Guide de l'ANSSI sur la sécurité du cloud ([URL non valide supprimée])
• Site web du Cloud Security Alliance (https://www.csa1.com/)
• Blog de l'éditeur OVHcloud sur la sécurité du cloud

13
Année académique 2023/2024