SECURITE DES SYSTEMES D’INFORMATION MBA 1- GROUPE2-2010/2011 INTRODUCTION PRO

SECURITE DES SYSTEMES D’INFORMATION MBA 1- GROUPE2-2010/2011 INTRODUCTION PROBLEMATIQUE ET ENJEUX DE LA SECURITE DES SYSTEMES D’INFORMATION EVALUATION DES RISQUES MOYENS DE LA SECURISATION DES SYSTEMES D’INFORMATION CONCLUSION QUESTIONS ET REPONSES PLAN Un Système d’Information (SI) désigne ici tout système destiné à élaborer, traiter, stocker, acheminer ou présenter de l'information. Les systèmes d’information font désormais partie intégrante du fonctionnement des administrations publiques, de l’activité des entreprises et du mode de vie des citoyens. Les services qu’ils assurent nous sont tous aussi indispensables que l’approvisionnement en eau ou en électricité. La communication, qui occupe une place de choix dans nos sociétés contemporaines à la recherche d’une productivité sans cesse croissante, nécessite la maitrise de l’information économique, sociale et culturelle. L’explosion mondiale d’Internet a considérablement modifié la donne et conféré aux systèmes d’information une dimension incontournable au développement même de l’économie et de la société. La sécurité des systèmes d’information (SSI) est un enjeu à l’échelle de la nation toute entière. L’ouverture des réseaux et leur complexité croissante associant les acteurs aux multiples profils, ont renforcé la vulnérabilité des systèmes d’information. Détruire, altérer, accéder à des données sensibles dans le but de les modifier ou de nuire au bon fonctionnement des réseaux : les motivations sont diverses et fonction de la nature des informations recherchées et de l’organisme visé. La sécurité des systèmes d’information (SSI) est donc l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaire et mis en place pour conserver, rétablir et garantir la sécurité du système d’information. INTRODUCTION An Information system (IS) indicates here any system intended to elaborate, to deal, to store, to forward or to present of the information. Information systems are henceforth an integral part of the functioning of the public administrations, the activity of companies and lifestyle of the citizens. The services which they insure are so indispensable to us all as the water supply or electricity. The communication, which occupies a place of choice in our contemporary companies in search of a ceaselessly increasing productivity, requires the mastery of the economic, social and cultural information. The world explosion of Internet considerably modified gives it and conferred on information systems a major dimension in the development of the economy and the society. The information system security ( ISS) is a stake on the scale of the whole nation. The opening of networks and their increasing complexity associating the actors with the multiple profiles, strengthened the vulnerability of information systems. Destroy, distort, reach sensitive data with the aim of modifying them or damaging the smooth running of networks: the motivations are diverse and function(office) of the nature of the popular information and the aimed body. The information system security ( ISS) is thus all the technical, organizational, legal and human means necessary and set up to keep, restore and guarantee the security of the information system. INTRODUCTION (ENGLISH) PROBLEMATIQUE ENJEUX PROBLEMATIQUE ET ENJEUX DE LA SECURITE DES SYSTEMES D’INFORMATION les SI jouent un rôle de tout premier plan: Ils produisent notamment les informations nécessaires à la Direction Générale pour mesurer l’efficacité du système de gestion des risques et communiquer sur la gouvernance de l’Entreprise ; Ils contribuent à la croissance de la société en permettant le développement de nouveaux services visant à accentuer la relation de proximité avec les clients et les partenaires ; Ils permettent aux collaborateurs, tout en les protégeant, d’exercer leurs responsabilités en fournissant les informations nécessaires au pilotage et au contrôle des activités. A cet effet, les SI contiennent et traitent de multiples données sensibles relatives à la stratégie des sociétés ou des Etats, à leur développement commercial ou leurs engagements. Ils contiennent également des informations nominatives relatives aux personnes. Ces SI doivent donc être protégés de manière appropriée contre toute menace identifiée susceptible de porter atteinte à ces données et aux intérêts des sociétés ou des Etats. PROBLEMATIQUE ◦Les enjeux personnels Des bris de sécurité informatique peuvent causer du tort à la vie privée d'une personne en diffusant des informations confidentielles sur elle (entre autres ses coordonnées postales ou bancaires. Certaines menaces peuvent nuire à l'image même du propriétaire du système d'information. ◦Les en jeux politiques Un enjeu de souveraineté nationale : l’Etat doit s’assurer de la continuité et de l’intégrité des données des systèmes d’information de l’Etat, des infrastructures vitales, et des entreprises sensibles. ◦Les enjeux économiques L’intelligence économique: La conception de l’information et de la communication du point de vue stratégique pour l’Entreprise (ou le territoire). L’espionnage d’Etat ou industriel visant à intercepter des informations d’adversaires ou de concurrents constitue une autre pratique. Le vol des secrets commerciaux est lui aussi en constante augmentation. Certaines menaces tels que les vols des numéros de cartes de crédit, les accès non autorisés à des comptes bancaires faites au système d’information peuvent causer d’importants dommages financiers. ENJEUX DE LA SECURITE DES SYSTEMES Se protéger contre les risques pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite. Les informations sensibles (Informations qui doivent demeurer confidentielles, celles qui doivent absolument être disponibles ou celles qui peuvent représenter un attrait pour une tierce partie) de l'entreprise, qui peuvent être des données, ou plus généralement des actifs représentés par des données.  Chaque élément pourra avoir une sensibilité différente. Il faut évaluer les menaces et déterminer les vulnérabilités pour ces éléments sensibles. EVALUATION DES RISQUES Les critères de sécurité ◦Disponibilité ◦Intégrité ◦Confidentialité ◦Traçabilité (ou « Preuve ») ◦la gravité des impacts au cas où les risques se réaliseraient, ◦La vraisemblance des risques (ou leur potentialité, ou encore leur probabilité d'occurrence). EVALUATION DES RISQUES Les Menaces ◦Un utilisateur du système ◦Une personne malveillante ◦Un programme malveillant EVALUATION DES RISQUES Un sinistre (vol, incendie, dégât des eaux) • Une intrusion Les Attaques Physiques Electroniques Logicielles Humaines Organisationnelles : EVALUATION DES RISQUES Pourcentage des types de risques que peut subir un SI EVALUATION DES RISQUES: Les objectifs de la Sécurité ◦L’identification et l’authentification des entités, ◦Le contrôle d’accès, ◦La traçabilité des sujets et des opérations, ◦L’audit des systèmes, la protection des contenus ◦La gestion de la sécurité. EVALUATION DES RISQUES: EXEMPLE Conception globale Politique de sécurité Responsable de la sécurité des systèmes d’information Plan de continuité d’activité Moyens Techniques MOYENS DE LA SECURISATION DES SYSTEMES D’INFORMATION la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de conscience »; la sécurité de l'information ; la sécurité des données, liée aux questions d'interopérabilité, et aux besoins de cohérence des données en univers réparti ; la sécurité des réseaux ; la sécurité des systèmes d'exploitation ; la sécurité des télécommunications ; la sécurité des applications (débordement de tampon), cela passe par exemple par la programmation sécurisée ;  la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la « stratégie de reprise »). Les aspects juridiques et règlementaires CONCEPTION GLOBALE Elaborer des règles et des procédures, installer des outils techniques dans les différents services de l'organisation (autour de l'informatique) ; Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ; Sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations ; Préciser les rôles et responsabilités. La politique de sécurité est l'ensemble des orientations suivies par une entité en termes de sécurité. POLITIQUE DE SÉCURITÉ Responsable de la sécurité des systèmes d'inf ormation : Définir les droits d'accès des utilisateurs Le rôle de l'administrateur informatique: ◦Faire en sorte que les ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. ◦Faire remonter les informations concernant la sécurité à sa direction, ◦Conseiller sur les stratégies à mettre en œuvre, ◦ Être le point d'entrée concernant la communication aux utilisateurs des problèmes et recommandations en termes de sécurité. RESPONSABLE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION Plan de continuité d’activité ◦Le Plan de reprise d’Activité (PRA) aussi appelé reprise à «froid » qui permet un redémarrage « rapide » de l’activité après un sinistre, avec une restauration d’un système en secours avec les données de la dernière sauvegarde Plan de continuité d’activité Le Plan de continuité d’Activité (PCA) également appelé reprise à « chaud » qui, par une redondance d’infrastructure et une réplication inter sites permanente des données, permet de maintenir l’activité en cas de sinistres majeur de l’un des sites. Exemple Plan de continuité d’activité Moyens Techniques • Le contrôle des accès au système d'information  La surveillance du réseau : sniffer, système de détection d'intrusion Moyens Techniques La sécurité applicative : ◦séparation des privilèges, ◦audit de code, ◦rétro-ingénierie ((anglais: reverse engineering), activité qui consiste à étudier un objet pour en déterminer le fonctionnement interne ou sa méthode de fabrication) ; MOYENS TECHNIQUES Cryptographie : authentification forte, infrastructure à clés publiques, chiffrement MOYENS TECHNIQUES pare-feu MOYENS TECHNIQUES Anti-logiciels malveillants: antivirus MOYENS TECHNIQUES Anti-logiciels malveillants : antipourriel (SPAM: Courrier électronique indésirable généralement à caracteres commercial envoyé à un grand nombre d’adresses), MOYENS TECHNIQUES Anti-logiciels malveillants : antiespiogiciel ( spyware) MOYENS TECHNIQUES MOYENS TECHNIQUES Tous les types de délits perpétrés à travers ou à l’aide d’Internet ou uploads/Management/ securite-des-systemes-d-x27-information.pdf

Documents similaires

See discussions, stats, and author profiles for this publication at: https://ww 0 0

BAHLOUL Bilal Ingénieur D’etat en Hygiène et Sécurité Industrielle PROFILE EXPE 0 0

Cette section passe en revue la commande adaptative traitée dans la littérature 0 0

CYBERSÉCURITÉ ITIL SUPERVISION MANAGEMENT DU SI CONTENEURS CYBERSÉCURITÉ BASES 0 0

Le risque de défaillance technique Introduction générale La notion de risque es 0 0

Résumé de Théorie et Guide de travaux pratique TECHNIQUES DE PATRONAGE DE QUELQ 0 0

Chapitre 1 Il faut avoir à l’esprit l’avenir et le passé dans les actes. Talley 0 0

[Analyse préliminaire de risques (APR)] 200/2021 ISETGabes Thouraya Saddi Somma 0 0

Moroccan Journal of Entrepreneurship, Innovation and Management (MJEIM) ISSN: 2 0 0

DN MADE Diplôme National des Métiers d’Art et du Design GRAPHISME ANNÉE 1 CATAL 0 0

• Détails
• Publié le Jan 07, 2023
• Catégorie Management
• Langue French
• Taille du fichier 1.1100MB