Master comptabilité Cours MSI

CHAPITRE 7 : LA SECURITE DES SYSTEMES INFORMATIQUES

Section 1 : Principes généraux :

La vulnérabilité des systèmes informatiques et abus associés :

Auparavant, les données sur les personnes ou sur les organisations étaient conservées et
protégées sous la forme de dossiers papiers répartis sur des unités et des sites distincts.
Avec les SI, les données sont concentrées dans des fichiers informatiques auxquels peuvent
accéder un grand nombre de personnes et de groupes aussi bien internes et externes à
l’entreprise.

La vulnérabilité des systèmes informatiques vient de la possibilité de partager, de dupliquer

et de véhiculer une très grande quantité de données qui auparavant étaient stockées sur des
fichiers et dans des dossiers en papier et qui sont grâce à la technologie portées des fichiers
électroniques.

De plus, la connexion de SI différents à travers les réseaux de communication, augmente à la

vulnérabilité des SI puisque les risques d’accès non autorisé deviennent plus nombreux et les
risques d’usages abusifs et de fraudes deviennent de plus en plus dispersés.

La vulnérabilité des SI vient de leur nature systémique même puisque un système n’est pas
réductible à ses composantes mais fonctionne grâce aux interactions qui ont lieu entre ses
composantes et aux relations que le système entretient avec son environnement. Les
composantes d’un SI sont différentes (matériels, logiciels, organisationnels, humaines, …) et
elles sont de provenances différentes (entreprise, fournisseurs de matériels, éditeurs de
logiciels, prestataires de service, opérateur de télécommunications, etc.) et en plus elles
évoluent fréquemment. Ces évolutions fréquentes portent des changements aux points
d’équilibre et de robustesse du système.

La vulnérabilité peut être endogène au SI comme elle peut provenir aussi d’acteurs
malveillants internes et externes à l’entreprise, de phénomènes naturels comme de failles
techniques.

Section 2 : Vulnérabilité des systèmes informatiques et abus associés :

Risque d’accès aux données qui circulent sur les réseaux.

Risque de vol des données précieuses en cours de transmission.

Risque d’altérer les fichiers ou les messages sans y être autorisé.

Risque d’attaque par déni de service qui consiste à inonder un serveur de réseau ou serveur
web de fausses demandes ou requêtes pour des services afin de provoquer une panne de
réseau et pour empêcher les requêtes légitimes d’être traitées.

1
 Master comptabilité Cours MSI

Risque d’introduction de logiciels malveillants pour pirater le contenu ou pour arrêter le

fonctionnement des sites web.

Risque d’introduction de programmes qui endommagent les données ou les fichiers (virus,
ver, cheval de troie, …).

Risque d’utilisation de logiciel espion (qui s’installe par eux-mêmes pour espionner la
navigation sur le web, pour avoir des informations sur les habitudes d’achat du
consommateur ou pour diffuser la publicité).

Risque de piratage informatique et de cyber vandalisme : Le piratage consiste à chercher à

obtenir un accès non autorisé à un système informatique (certains accès peuvent avoir une
intention criminelle).

Risque de cybercriminalité qui consiste à faire des délits ou des crimes informatiques grâce à
la possibilité d’accès frauduleux aux systèmes informatiques. Les intrus peuvent être soit des
employés de l’entreprise soit des personnes qui accèdent via Internet et commettent des
actions délictueuses.

Risque de mystification et sniffing :

La mystification : c’est l’utilisation de fausses adresses de courriers électroniques ou
imitation des adresses légitimes, c’est aussi le fait de dérouter un lien web vers une adresse
différente de celle de départ et d'utiliser le nouveau site faussement comme la véritable
destination.

Risque de vol d’identité qui consiste à obtenir des informations sur l’identité personnelle
(numéro de carte bancaire, numéro de permis de conduire, numéro d’assurance sociale) et
de se faire passer pour une autre personne.

Section 3 : Outils et technologies pour la sécurisation et le contrôle des systèmes

d’information :

Authentification et contrôle d’accès :

Ces procédures comprennent toutes les politiques et les procédures utilisés par une
entreprise pour bloquer l’accès à ses systèmes aux personnes non autorisés en interne et en
externe. Pour bénéficier d’un accès, un utilisateur doit être authentifié. L’authentification est
la capacité de vérifier si la personne est bien celle qu’elle prétend être. Elle peut se faire par
l’utilisation de mots de passe pour ouvrir une session ou pour accéder à des transactions ou
à des fichiers spécifiques. L’authentification peut être aussi biométrique (empreintes
digitales, visage, image rétinienne) mais elle reste dans ce cas coûteuse et controversée.

Pare feu (firewalls): c’est une combinaison de matériel et de logiciel qui contrôlent le flux
de trafic qui entre et sort d’un réseau (surtout lorsque le réseau de l’entreprise est exposé
au trafic Internet). Ils sont généralement placés entre le réseau d’une entreprise et les

2
 Master comptabilité Cours MSI

réseaux externes non sécurisés comme Internet. Ils peuvent aussi être utilisés pour protéger
une partie du réseau d’entreprise des autres parties du réseau.
Le para feu se comporte comme un gardien qui vérifie les noms, les adresses du protocole
IP, les applications et les caractéristiques du trafic entrant. Il bloque toute communication
non désirée qui chercherait à entrer ou à sortir du réseau.

Systèmes de détection d’intrusion : En plus des pare-feu, les fournisseurs de services de

sécurité offrent des outils de détection d’intrusion pour protéger les systèmes du trafic
réseau suspect et des tentatives d’accès aux fichiers et aux bases de données. Le système est
muni de logiciels de balayage qui détectent les comportements annonciateurs d’une attaque
(mots de passe erronés, fichiers importants prélevés ou modifiés) et déclenche une alerte en
temps réel en cas d’évènements suspects (avertissement de vandalisme, erreur
d’administration du système).

Logiciel antivirus : qui vérifie les disques et les systèmes pour détecter la présence
éventuelle de virus informatiques. Le logiciel peut également nettoyer la zone infectée. Il
doit être continuellement mis à jour pour être efficace.

L’amélioration de la fiabilité des logiciels au moment de leur conception : c’est-à-dire au

moment où la correction des erreurs est encore possible. En effet, des tests approfondis
permettent de réduire le nombre d’erreurs dans un logiciel. On procède généralement par
un test général de révision structurée qui permet de réviser la spécification par un groupe de
personnes soigneusement choisis. Une fois la programmation commencée, le code est testé
selon des procédés informatiques et dès qu’une erreur est localisée, elle est éliminée au
moyen d’un processus appelé « débogage ».

Section 4 : Politique de sécurité des SI (PSSI) :

La politique de sécurité des systèmes d'information (PSSI) est un plan d'actions définies
pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique (une
stratégie de sécurité des SI) de la direction de l'entreprise en matière de sécurité des
systèmes d'information (SSI).
La politique de sécurité est en général organisée autour de trois axes majeurs :
- la sécurité physique des installations,
-la sécurité logique du système d’information,
-la sensibilisation des utilisateurs aux contraintes de sécurité.

Plusieurs méthodes ou normes d’analyse du risque existent dont les plus populaires :

La méthode EBIOS (Extension des Besoins et Identification des objectifs de sécurité) qui
est un outil de gestion des risques SSI (Sécurité des systèmes d’information). Cette
méthode est découpé en cinq étapes : étude du contexte, expression des besoins de
sécurité, étude des menaces, identification des objectifs de sécurité, détermination des
exigences de sécurité.

3
 Master comptabilité Cours MSI

La méthode MEHARI (Méthode harmonisée d’analyse de Risques) proposé par le CLUSIF ;

cette méthode repose sur quelques fondamentaux comme la sécurité de l’information
(systèmes informatisés mais aussi l’information sous toutes ses formes, numériques,
analogiques, écrites). Le principe étant de ne jamais sous évaluer un risque qualitatif et
quantitatif, l’appel des bases de connaissances et l’utilisation d’outils et d’automatismes
pour la gestion des risques.

Les normes 27002 (qui donne des lignes directrices en matière de normes
organisationnelles relatives à la sécurité de l’information et des bonnes pratiques de
management de la sécurité de l’information).

Les normes 27005 (qui donne des lignes directrices relatives à la gestion des risques en
sécurité de l’information).

Section 5: Missions du RSSI

Le RSSI (responsable sécurité des systèmes d’information) doit exercer les missions
suivantes :

-définir les politiques de sécurité des SI et de l’information et de veiller à son application.

-assurer le rôle de conseil, d’assistance, d’information, de formation et d’alerte en particulier
auprès des directeurs métiers, DG, ….

-préconiser toute décision d’intervention sur les systèmes d’information

-garantir que le système d’information continue à assurer ses rôles de disponibilité,

confidentialité, intégrité et non répudiation (La non-répudiation est le fait de s'assurer qu'un
contrat, notamment un contrat signé via internet, ne peut être remis en cause par l'une des
parties)

-analyser les risques et définir la politique de sécurité à mettre en œuvre et sensibiliser

l’ensemble du personnel et les cadres dirigeants aux enjeux de la sécurité.

La difficulté pour le RSSI est de trouver sa place entre la DG et la DSI ; cela dépendant de la
maturité de l’entreprise à la sécurité de l’information mais en général, c’est un poste qui doit
évoluer davantage vers le Risk management

Le RSSI doit avoir une vision globale des risques encourus et pour cela, doit mener une veille
technologique, légale et prospective efficace. Il doit donc étudier les moyens d’action à
mettre en place, élaborer des règles de sécurité et définir des normes et standard à
appliquer.

Le RSSI doit pouvoir traiter les incidents lorsqu’ils se produisent et élaborer puis mettre en
place différents plans pour prévenir tout type de risque remettant en cause les grands
objectifs de sécurité.

4
 Master comptabilité Cours MSI

La fonction RSSI peut être assuré en interne mais quelques fois elle est externalisée pour
des raisons budgétaires ou par manque de compétences internes. Il est cependant
préférable de maintenir cette fonction en interne car elle hautement stratégique.