Introduction L’univers des systèmes d’information composé de réseaux et de syst

Introduction L’univers des systèmes d’information composé de réseaux et de systèmes informatiques prend un rôle et une place chaque jour plus important dans les entreprises. Cependant, l’actualité présentée par les médias nous démontre que le système d’information est vulnérable et qu’il peut subir des piratages, des attaques (virus, hackers…), des pertes de données, des sinistres. Il est donc indispensable pour les entreprises de savoir définir et de garantir la sécurité de ses ressources informatiques. La sécurité des systèmes définie dans cet ouvrage doit constituer le moyen de protéger dans un sens large le système d’information ou de minimiser les risques encourus par l’entreprise dans l’usage de l’outil informatique. Les nécessités de sécuriser son système d’information Certains facteurs peuvent apparaître de l’ordre de l’évidence comme la nécessité de protéger une partie opérationnelle de l’entreprise. Toutefois, l’ensemble des menaces n’est pourtant pas toujours bien identifié. Par contre, d’autres sont souvent méconnues comme les obligations et responsabilités légales des dirigeants d’entreprise dans l’exploitation et la maîtrise de leur système d’information. Ces exigences impliquent la mise en place d’une protection des systèmes sous la forme d’une politique de sécurité avec : G l’élaboration de règles et procédures, G la définition des actions à entreprendre et des personnes responsables, G la détermination du périmètre concerné. Ce périmètre comprend à la fois les données aussi bien sous forme électronique que papier (fichiers, messages…), les transactions dans les réseaux, les applications logicielles et bases de données. Il ne faut pas oublier l’aspect continuité des services du traitement de l’information et les plans de reprise d’activité après sinistre. Les principes de base et objectifs principaux, la mise en œuvre La sécurité des données couvre quatre objectifs principaux, et est représentée sous forme d’acronymes (C.I.D.P) : G La disponibilité est l’assurance que les personnes autorisées ont accès à l’information quand elles le demandent ou dans les temps requis pour son traitement. G L’intégrité est la certitude de la présence non modifiée ou non altérée d’une information et de la complétude des processus de traitement. Pour les messages échangés, il concerne la protection contre l’altération accidentelle ou volontaire d’un message transmis. G La confidentialité est l’assurance que l’information n’est accessible qu’aux personnes autorisées, qu’elle ne sera pas divulguée en dehors d’un environnement spécifié. Elle traite de la protection contre la consultation de données stockées ou échangées. Cela est réalisable par un mécanisme de chiffrement pour le transfert ou le stockage des données. G La preuve consiste à garantir que l’émetteur d’une information soit bien identifié et qu’il a les droits et les accès logiques, que le récepteur identifié est bien autorisé à accéder à l’information. D’autres principes de sécurité peuvent être établis, il s’agit de : G La non­répudiation, considérée comme le cinquième principe, a été introduite dans la norme ISO 7498­2 comme un service de sécurité pouvant être rendu par un mécanisme comme la signature numérique, l’intégrité des données ou la notarisation. L’élément de la preuve de non­répudiation doit permettre l’identification de celui qu’il représente, il doit être positionné dans le temps (horodatage), il doit présenter l’état du contexte dans lequel il a été élaboré (certificats). G L’authentification est le moyen qui permet d’établir la validité de la requête émise pour accéder à un système. L’authenticité est la combinaison d’une authentification et de l’intégrité. G Les mécanismes de chiffrement procèdent du principe que l’émetteur et le récepteur conviennent d’un mot de passe connu d’eux seuls. L’émetteur utilise ce mot de passe comme clé de chiffrement pour le message à transmettre, seul le récepteur qui connaît ce mot de passe peut l’utiliser comme clé pour déchiffrer le message - 1 - © ENI Editions - All rigths reserved - Jonifar lina 4 et y accéder. Les objectifs de base peuvent être traités sous la forme de solutions de sécurité sous la forme de matériels, de logiciels, de procédures, de support opérationnel pour : G l’intégrité des données et la confidentialité : gestion des accès physiques et logiques, sécurité des réseaux, G la disponibilité : redondance des systèmes et du stockage des données, sauvegarde et archivage des données. Les propositions d’amélioration de la sécurité, associées aux bonnes pratiques à mettre en place dans l’environnement d’une entreprise sont traitées dans cet ouvrage. - 2 - © ENI Editions - All rigths reserved - Jonifar lina 5 Les domaines et normes associés La mise en œuvre de solutions de protection et de sécurité requiert de prendre des références par rapport à des normes ou des préconisations. 1. Les bonnes pratiques ITIL (Information Technology Infrastructure Library) ITIL se compose d’un ensemble de livres qui liste, condense et présente les meilleures pratiques à utiliser dans le cadre de l’ensemble des services informatiques dédiés à une entreprise. Elle se décline en plusieurs versions depuis ses origines. La plus récente est la version N°3. La méthodologie décrite en version 2 est composée des processus suivants : Service Support ­ Support des Services, il s’agit de la gestion opérationnelle des services. Il comprend les thèmes suivants : G Centre de Services (Service Desk) G Gestion des Incidents (Incident Management) G Gestion des Problèmes (Problem Management) G Gestion des Configurations (Configuration Management) G Gestion des Changements (Change Management) G Gestion des Mises en Production (Release Management) Service Delivery ­ Fourniture des Services, cet ensemble de processus concerne les aspects contractuels et l’amélioration des services à long terme : G Gestion des Niveaux de Service (Service Level Management) G Gestion des Capacités (Capacity Management) G Gestion Financière des Services de l’Information (Financial Management for IT Services) G Gestion de la Disponibilité (Availability Management) G Gestion de la Continuité des Services de l’Information (IT Service Continuity Management) La version 3 s’inscrit dans un domaine plus large et comprend les processus suivants : Stratégie des Services (Service Strategy) G Définition Stratégique (Strategy Generation) G Gestion financière des services (Financial Management) G Gestion de la demande (Demand Management) G Gestion du portefeuille des services (Service Portfolio Management) Conception de Service (Service Design) G Gestion du catalogue des services (Service Catalogue Management) G Gestion des niveaux de service (Service Level Management) - 1 - © ENI Editions - All rigths reserved - Jonifar lina 6 G Gestion des fournisseurs (Supplier Management) G Gestion de capacité (Capacity Management) G Gestion de la disponibilité (Availability Management) G Gestion de la continuité de service (IT Service Continuity Management) G Gestion de la sécurité (Information Security Management) Transition des Services (Service Transition) G Transition Planning and Support G Gestion des Changements (Change Management) G Gestion des Actifs et des Configurations (Service Asset and Configuration Management) G Gestion des Mises en Production et Déploiements (Release and Deployment Management) G Gestion des tests et validation (Validation and Testing Management) G Évaluation G Gestion de Connaissance (Knowledge Management) Exploitation des Services (Service Operation) G Gestion des événements (Event Management) G Gestion des incidents (Incident Management) G Gestion des problèmes (Problem Management) G Exécution des requêtes (Request Fulfilment) G Gestion des accès (Access Management) Amélioration continue de Service (Continual Service Improvement) Il s’appuie sur les processus suivants : G Évaluation de la qualité de service G Évaluation des processus mis en place G Développement des initiatives d’amélioration des services et des processus G Surveillance des initiatives d’amélioration, mesures de correction Dans l’optique de cet ouvrage, les processus suivants en lien avec la sécurité informatique peuvent être utilisés dans le cadre de la gestion de systèmes dans une PME : G La gestion des configurations. G La gestion de la disponibilité. - 2 - © ENI Editions - All rigths reserved - Jonifar lina 7 G La gestion des applications ­ Elle traite du cycle de développement de ces applications. G La gestion de la sécurité ­ Elle comporte les aspects de sécurité, de manière transversale, avec les autres processus. La CMDB (Configuration Management DataBase) est une base de données, pierre angulaire de la gestion des configurations. Elle présente une vue complète des composants de l’infrastructure informatique et des services rendus dans l’environnement d’une entreprise. Elle doit comporter, a minima, les informations sur : G le matériel et les logiciels des composants des serveurs, des unités de stockage et de sauvegarde, du réseau, G les systèmes d’exploitation avec leurs versions et les outils associés, G les applications du marché avec leurs versions (SGBD : Système de Gestion de Base de Données, ERP : Enterprise Resource Planning, Applicatifs client­serveur), G les outils de sauvegarde, de protection antivirale, de gestion des unités de stockage, d’administration et de supervision des systèmes, G les applications métiers développées en interne, G les licences pour les logiciels du marché et leurs dates de validité, G les informations sur les utilisateurs (accès logique et physique…), G les références sur les fournisseurs (matériels et logiciels) : contacts et contrats de maintenance, G les descriptifs d’installation et de configuration des serveurs et des applications, la documentation associée, G les documents relatifs aux incidents, problèmes survenus, les changements d’infrastructure effectués. Elle précise comment optimiser l’utilisation du système d’information, de l’organisation de support pour délivrer un niveau suffisant de services permettant aux activités métiers uploads/Management/ mesure.pdf

Documents similaires

Master Management Audit et Contrôle Contrôle de gestion de projets Etude de cas 0 0

IESMD TECHNOLOGY IT SCHOOL MASTER 1 JUIN 2020 EPREUVE MSSI I COMPREHENSION DU C 0 0

République Islamique de Mauritanie Honneur - Fraternité – Justice O0O Ministère 0 0

e-GRH Eric KOUAM Consultant/Formateur en Système d’Information erickouam@gmail. 0 0

La liste des étudiants et leurs thème de fiche de lecture MCL 1ere année master 0 0

-------------------------------------------------- Programme M1 e-miage 10/2007 0 0

REPUBLIQUE DEMONCRATIQUE DU CONGO MINISTERE DE L’ENSEIGNEMENT SUPERIEUR & UNIVE 0 0

5 RAISONS POUR CHOISIR ESCA ECOLE DE MANAGEMENT Pour développer des compétences 0 0

Accueillir pour analyser la demande des personnes en démarche d'insertion et ét 0 0

Tel : 64748113 / 65748080 / 68313598 / 68595328 Email : mayebatrainingconsultin 0 0

• Détails
• Publié le Sep 03, 2021
• Catégorie Management
• Langue French
• Taille du fichier 0.3733MB