Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Page 1 sur 17 Faculté des sciences de l'administration Plan de cours Départemen

Page 1 sur 17 Faculté des sciences de l'administration Plan de cours Département des systèmes d’information organisationnels A2004 Université Laval SIO-21925 Sécurité, contrôle et gestion du risque 1- Objectif général Dans un contexte où la sécurité informatique prend une place importante au sein des organisations, ce cours a pour objectif général de permettre à l’étudiant d’avoir une vision globale des actions à réaliser pour assurer la sécurité des systèmes d’information dans une organisation. 2- Objectifs spécifiques Le cours « Sécurité, contrôle et gestion du risque » vise les objectifs spécifiques suivants: • comprendre les concepts de base de la sécurité informatique et prendre connaissance des enjeux futurs • connaître les facteurs clés et les expertises requises pour assurer la sécurité • comprendre les besoins des organisations en matière de sécurité • comprendre l’importance de la gestion des risques • prendre connaissances des méthodologies existantes pour l’analyse de risque • connaître des stratégies pour diminuer le risque et connaître l’importance d’une politique de la sécurité • savoir les grandes étapes reliées à l’implantation d’un plan de la continuité • connaître l’importance des ressources humaines pour gérer la sécurité • prendre connaissance de l’utilité de la gestion de la sécurité lors du développement d’un système d’information • prendre connaissance du rôle des fonctions comptabilité et marketing dans le contexte de la sécurité • connaître les concepts de sécurité reliés à la dimension technologie • comprendre l’importance de la sécurité physique Page 2 sur 17 3- Le déroulement du cours 3.1 Introduction à la sécurité Dans cette séance, vous devriez en premier lieu faire les lectures de votre livre obligatoire. On y aborde d'abord l'histoire de la sécurité. Par la suite, on définit les concepts de sécurité et de sécurité de l'information. Enfin on vous propose des caractéristiques fondamentales de l'information. Parmi ces dernières, il en existe trois qui reviennent constamment dans le discours des professionnels en sécurité: la disponibilité, l'intégrité et la confidentialité. La disponibilité concerne l'atteinte à l'information lorsque l'on désire y accéder. Si notre portable est brisé, nous ne pouvons pas accéder à l'information contenue dans ce dernier; par conséquent, l'accès à l'information n'est pas disponible. Quant à l'intégrité, les informations ne doivent pas être modifiées par méfait ou malveillance. Enfin, on ne doit pas donner accès aux informations à tous afin de respecter la confidentialité des données. Les auteurs parlent du triangle C.I.A. i.e. Confidendiality, Integrity et Availability; pour nous, dans la langue française, on nomme ce triangle le D.I.C. i.e. la Disponibilité, l'Intégrité et la Confidentialité. Cependant, en plus de ces trois caractéristiques, il y en a deux autres soit l'authentification et la non- répudiation. Ainsi on forme le sigle D.I.C.A.N. En lisant le document intitulé "Les principales caractéristiques de la sécurité", on peut avoir une définition pour chacune d'elles. Après avoir terminé le lecture du livre obligatoire, lisez l'article de la revue Sécurité. C'est un exemple qui reflète les enjeux de plusieurs organisations. Visionnez la vidéo de la firme Nortel. Elle reflète les enjeux de la sécurité pour le monde de demain. C'est un discours futuriste auquel vous serez confronté dans un futur pas très lointain et qui fait suite à l'évolution de la sécurité que vous avez lue dans le livre obligatoire. Un des concepts importants de cette vidéo concerne la sécurité à plusieurs niveaux. Comme vous pourrez le constater, on ne peut pas sécuriser à 100% les actifs physiques ou informationnels et il ne faut pas tout sécuriser. Il faut sécuriser ce qui a de la valeur. Prenons l'exemple de votre maison et supposons que vous avez des bijoux pour une valeur de trois millions de dollars dans votre chambre à coucher. Barrer les portes qui donnent accès à l'intérieur de la maison est le premier niveau de sécurité. Cependant, la valeur à protéger est tellement importante que vous mettez un deuxième niveau de sécurité pour rendre la vie plus dure à un potentiel voleur; vous posez une serrure à la porte de votre chambre. De plus, vous estimez tant de valeur à vos bijoux que vous décidez d'acheter un coffre-fort que vous installez dans votre chambre. Ainsi, vous avez un troisième niveau de sécurité. Plus vous mettez des niveaux de sécurité, plus c'est difficile pour le voleur et plus vous êtes en sécurité. Enfin, au cours de son discours M. Denoncourt utilise le terme WEP; c'est un protocole pour encrypter les données. Pour terminer, consultez le site de la ville de Toronto montrant tous les endroits du centre-ville où l'information se propage dans l'air sans y être protégée. Une fois sur la page d'accueil, choisissez le lien "Toronto, the naked city" et cliquez sur le bouton intitulé "Agree". Page 3 sur 17 3.2 La sécurité et l’organisation Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 1 de votre livre obligatoire. On y aborde d'abord le modèle NSTISSC. Grâce à ce modèle, vous pouvez trouver les domaines où l'on doit sécuriser les systèmes d'information d'aujourd'hui. Prenons l'exemple de l'un des 27 domaines: la technologie du sans-fil, la transmission des données et la confidentialité. Cette cellule concerne donc la transmission des données à l'aide du sans-fil où il faut protéger la confidentialité des données transmises. Par la suite, on fait l'inventaire des actifs à protéger, on propose deux approches d'implantation, on décrit le cycle de développement d'un système et d'un système de sécurité et on définit des termes spécifiques au jargon de la sécurité. Enfin, on décrit les rôles de plusieurs professionnels en sécurité. Ainsi, on s'aperçoit qu'une équipe de sécurité est multidisciplinaire. Par conséquent, on a besoin de personnes comme vous qui ont des connaissances en gestion. Par contre, vous aurez besoin de personnes qui connaissent à fond les technologies pour pouvoir les implanter. Une des leçons de ce cours est que la sécurité n'est pas un problème de technologie, mais un problème de gestion. À vous d'en profiter. Enfin, on propose le concept de "Data Ownership". C'est un concept très important en sécurité. Qui est responsable de la sécurité? Est-ce le Chief Information Security Officer (CISO)? Non, ce sont les propriétaires des actifs physiques ou informationnels. Par exemple, on voit sur l'acétate du MRN qui sont les détenteurs d'information. Après avoir terminé vos lectures du chapitre 1, lisez les lectures du chapitre 6. On vous parle de programme de formation et de sensibilisation. Selon Pipkin, l'erreur humaine est de loin la menace la plus répandue contre les ressources de l'entreprise. L'erreur humaine est causée par des individus autorisés à utiliser un système informatique et elle peut être réduite par une formation. Par exemple, un firewall mal configuré laisse la porte ouverte à des malfaiteurs. La technologie change rapidement et il faut former régulièrement notre personnel qui s'occupe de l'installation. Enfin, le personnel doit bien comprendre l'implication de la sécurité dans l'exécution de son travail. La sensibilisation est donc de mise pour tous les niveaux du personnel. De plus, elle doit être continue, sinon on oublie. Par exemple, il faut sensibiliser le personnel à garder confidentiel son mot de passe et à le changer régulièrement. Après avoir terminé les lectures du livre obligatoire, lisez les deux articles qui mettent l'emphase sur un principe important soit le retour sur l'investissement pour convaincre la direction. Lors d'un rencontre organisée par Oracle, on me disait l'importance de tenir un discours sur le ROI (Return Of Investment) pour convaincre la direction. Il faut être capable de trouver les mots pour libérer les fonds. Par exemple, on parlera de perte de revenus (site non disponible, personne qui ne travaille pas suite à la perte de la disponibilité, vol, nombre de transactions perdues, avantage concurrentiel), de perte d'image ou d'impact sur la réputation si on nous vole des informations confidentielles. Si on parle avec des mots de la technologie comme IDS ou Firewall, on passe à côté des préoccupations de la direction. Page 4 sur 17 Après avoir lu les articles de cette séance, consultez les acétates du Ministère des Ressources Naturelles. Elles concrétisent les concepts présentés précédemment (appui haute direction, sensibilisation et langage non technique) dans un ministère du Québec. Pour terminer, visionnez la vidéo de M. Lino Cerantola. Elle reflète une organisation où la sécurité est bien gérée. Cela vous donnera une bonne idée comment la sécurité se concrétise dans notre contexte universitaire. On y parle de culture i.e. un endroit où la formation et la sensibilisation prennent une importance capitale pour assurer la sécurité. De plus, on vous parle de sécurité logique qui fait appel à des logiciels et de la sécurité physique qui fait appel au matériel. Enfin, on parle de l'importance d'une méthodologie pour implanter la sécurité. Dans le contexte de gestion de la sécurité, il est très important d'en choisir une. D'ailleurs, on vous en présentera quelques-unes un peu plus tard dans la session. 3.3 Les besoins de l’organisation en matière de sécurité Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 2 de votre livre obligatoire. On y aborde d'abord les fonctions réalisées par la uploads/Management/ sio21925-637-pdf.pdf