SlideShare une entreprise Scribd logo

cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf

U
UbaldKouokam

Le document traite de la sécurité des systèmes d'information, en détaillant les objectifs d'acquisition d'une vision globale, d'analyse des risques et de mise en œuvre de mesures de sécurité. Il aborde la typologie des risques, notamment humains et matériels, et présente des méthodes pour gérer ces risques à travers l'étude, l'imposition de règles de sécurité et la formation des utilisateurs. Enfin, il souligne l'importance d'une analyse de risques cohérente avec une politique de sécurité adaptée aux besoins de l'entreprise.

Ingénierie
1  sur  21
Télécharger pour lire hors ligne
1
2
3
4
5
6
Plus lue
7
8
9
10
11
12
Plus lue
13
Plus lue
14
15
16
17
18
19
20
21
Cours 2 : Sécurité des systèmes d’informations DR. KAMENI ÉRIC DÉSIRE 1
1- OBJECTIFS  Acquérir une vision globale de la sécurité d'un système d'information.  Comprendre les enjeux actuels en matière de sécurité et analyser les risques, la sécurité des systèmes informatiques (postes et serveurs).  Apprendre les méthodes et moyens de sécuriser le système d'information d'un réseau informatique . 2
3 CHAPITRE 2 : ETUDES DES RISQUES LIES A LA SECURITE DES SI
PLAN  INTRODUCTION  TYPOLOGIE DES RISQUES EN SI  GESTION DES RISQUES EN SI 4
INTRODUCTION  Les coûts d’un SI peuvent être élevés et ceux de la sécurité  Nécessité de réaliser une analyse de risque en prenant soin d'identifier les problèmes potentiels avec les solutions avec les coûts associés  Organiser l'ensemble des solutions retenues sous forme d'une politique de sécurité cohérente en fonction du niveau de tolérance au risque.  Obtenir la liste de ce qui doit être protéger 5
INTRODUCTION  les principaux risques restent : câble arraché, coupure secteur, crash disque, mauvais profil utilisateur …  Eléments pouvant servir de base à une étude de risque :  Quelle est la valeur des équipements, des logiciels et surtout des informations ?  Quel est le coût et le délai de remplacement ?  Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau (programmes d'analyse des paquets, logs…).  Quel serait limpact sur la clientèle d'une information publique concernant des intrusions sur les ordinateurs de la société ? 6
INTRODUCTION  la sécurité est un compromis entre coûts, risques et contraintes  On comprendra mieux le poids d’un risque en se fiant à la formule suivante :  Risque : C'est la probabilité qu’une menace exploite une vulnérabilité. Autrement dit, c’est une possibilité qu’un fait dommageable se produise.  Vulnérabilité : C'est une faiblesse inhérente à un système (software ou hardware). Appelée parfois faille ou brèche, elle représente le niveau d'exposition face à la menace dans un contexte particulier.  Menace : c'est le danger (interne ou externe) tel qu’un hacker, un virus, etc.  Contre-mesure : c'est un moyen permettant de réduire le risque dans une organisation. 7
INTRODUCTION  Conséquences de la formule:  Le risque est d’autant plus réduit que les contre-mesures sont nombreuses ;  Le risque est plus important si les vulnérabilités sont nombreuses. 8
INTRODUCTION  L’utilisation de l’outil informatique est susceptible d’exposer à plusieurs risques dont les effets peuvent avoir des conséquences négligeables ou catastrophiques :  Le traitement informatique en cours échoue : il suffit de le relancer, éventuellement par une autre méthode si on craint que la cause ne réapparaisse ;  L’incident est bloquant et on doit procéder à une réparation ou une correction avant de poursuivre le travail entrepris. 9
INTRODUCTION  Ces mêmes incidents peuvent avoir des conséquences beaucoup plus fâcheuses :  Données irrémédiablement perdues ou altérées, ce qui les rend inexploitables par la suite ;  Données ou traitements durablement indisponibles, pouvant entrainer l’arrêt D’une production ou d’un service ;  Divulgation d’informations confidentielles ou erronées pouvant profiter à des sociétés concurrentes ou nuire à l’image de marque de l’entreprise ;  Déclenchement d’actions pouvant provoquer des accidents physiques ou induire des humains. 10
TYPOLOGIE DES RISQUES EN SI RISQUES HUMAINS  RISQUES MATERIELS 11
TYPOLOGIE DES RISQUES EN SI RISQUES HUMAINS  La maladresse – commettre des erreurs ou exécuter de traitement non souhaité, ou effacer involontairement des données ou des programmes,  L’inconscience et l’ignorance – introduire des programmes malveillants sans le savoir  La malveillance – ces dernières années, il est impossible d’ignorer les différents problèmes de virus et des vers.  L’ingénierie sociale  L’espionnage – surtout industriel, emploie les même moyens, ainsi que bien d’autres, pour obtenir des informations sur des activités concurrentes 12
TYPOLOGIE DES RISQUES EN SI RISQUES MATERIELS  Les incidents liés au matériel – défauts de fabrication.  Les incidents liés au logiciel – ce sont les plus fréquents. Les systèmes d’exploitation et les programmes sont de plus en plus complexes car ils font de plus en plus de choses.  Les incidents liés à l’environnement –variations de températures ou de l’humidité ainsi qu’aux champs électromagnétiques. 13
GESTION DES RISQUES DES SI  La gestion des risques consiste en trois actions majeures : Etudier les risques potentiels (identifier/mettre au jour ces risques) ; Imposer des règles de sécurité adéquates pour réduire ces risques ; Formation des utilisateurs. 14
GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Définition de l’environnement - Définition des acteurs et leurs intérêts ; Importance de la sécurité dans la stratégie de l‟entreprise ; Type de données impliquées ; Visibilité extérieure de la sécurité (importance pour la clientèle, le public).  Etude des menaces - Identifier la nature de la menace: accidentelles (désastre, bugs…) ou intentionnelles (attaques, vols…) ; S'enquérir des sources de la menace: personnel non autorisé, intrus, logiciel ; Localiser la menace : procédures manuelles, informatique (software, réseau, stockage, hardware), infrastructure (concrète et abstraite). 15
GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Etude des vulnérabilités - Etudes des faiblesses engendrées par l’exécution d’une menace.  Etude des risques - Probabilité d’occurrence de ces menaces conduisant à une vulnérabilité.  Estimation du risque et du plan stratégique - Risque (Coût des pertes à court, moyen et long terme engendrées, Coût de la mise en place de la contre-mesure tant au niveau logique que logistique, Comparer la perte potentielle au coût de la contre-mesure) ; Plan stratégique (Planning de l’implémentation avec prise en compte des besoins futurs en termes de sécurité ou non, Planning du suivi de l’implémentation). 16
GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Mise en place du plan de sécurité- la mise en œuvre s'effectue en quatre phases: Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ; Elaborer des règles et des procédures à mettre en œuvre dans les différents services de l'organisation pour les risques identifiés ;  Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés ; Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace. 17
GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Audit de sécurité - L'audit de sécurité consiste à s'appuyer sur un tiers de confiance (de préférence une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre, au regard de la politique de sécurité. 18
GESTION DES RISQUES DES SI 2- IMPOSER DES RÈGLES DE SÉCURITÉ ADÉQUATES Des règles administratives - Suivre des standards de sécurité (normes ISO) ; Suivre les lois. Des règles physiques - Gardes, caméras, alarmes, verrous et Accès aux locaux sécurisés par biométrie. Des règles techniques - Déterminer des niveaux de classification des données ; Définir des niveaux d’accès à ces données ; Utiliser la cryptographie pour le traitement et le stockage de l’information ; Mettre en place un firewall matériel et/ou logiciel, ... 19
GESTION DES RISQUES DES SI 3- FORMATION DES UTILISATEURS  L’utilisateur ne connait pas les risques engendrés par la conservation de la liste des mots de passe utilisés à coté de l’ordinateur ; Il est souvent plus simple de s’introduire dans l’ordinateur de l’utilisateur afin de retrouver le texte en clair (hacking, vol, . . . ) ;  Il est possible de l’espionner, le pousser à la délation, pratiquer le shoulder-surfing ou tout autre technique dite de “social engineering”, ... 20
GESTION DES RISQUES DES SI 3- FORMATION DES UTILISATEURS  Il y a également plusieurs manières de réagir à un risque, des plus « sûres » aux plus inconscientes : Transférer les risques à une compagnie d’assurances ; Réduire les risques en implémentant des contre-mesures qui peuvent être :  Dissuasives : empêcher une attaque ;  Préventives : faire échouer une attaque ;  Correctrices : réduire les dommages causés par une attaque ;  Ignorer/Négliger les risques ;  Accepter les risques si les contre-mesures sont trop onéreuses 21

Contenu connexe

PPTX
Généralités sur les systèmes informatiques
aboulaylamce
 
PDF
La metrologie
Issam Tounsi
 
PDF
EXPOSE SUR L’ALGORITHME DU TRI À BULLES (BUBBLE SORT).
vangogue
 
PDF
L'imagerie De Trés Bien Classé 2021.pdf
ChokriBesbes
 
PPT
7-AMDEC.ppt
TMisSaM
 
PPTX
medecine travail.pptx
SOCIETEISOVEILLE
 
PDF
Netclu09 27005
michaeldean
 
PPTX
Exploiter un poste informatique1
fangaucatic
 
Généralités sur les systèmes informatiques
aboulaylamce
 
La metrologie
Issam Tounsi
 
EXPOSE SUR L’ALGORITHME DU TRI À BULLES (BUBBLE SORT).
vangogue
 
L'imagerie De Trés Bien Classé 2021.pdf
ChokriBesbes
 
7-AMDEC.ppt
TMisSaM
 
medecine travail.pptx
SOCIETEISOVEILLE
 
Netclu09 27005
michaeldean
 
Exploiter un poste informatique1
fangaucatic
 

Tendances (20)

PPTX
La régulation du cycle cellulaire
Asmae LGUENSAT
 
PDF
Presentation these
Hicham Elasri
 
PPT
Surdiagnostic des Cancers du Sein
DES Daughter
 
DOC
Plab (bilharziose)
Mehdi Razzok
 
PPTX
Application de la théorie de graphe au problème de flot maximum
chagra bassem
 
PPTX
Technique de l’avulsion dentaire [Autosaved] .pptx
DouniaMira
 
PDF
Cadre législatif et réglementaire HSE
hammani bachir
 
PDF
Travaux Dirigés : Algorithmique et Structure de Données
Anass41
 
PDF
Document unique BTP
NetPME
 
PPT
l'Intelligence Artificielle Jean-Antoine Moreau
Jean-Antoine Moreau
 
PDF
Anesthésie en odonto_stomatologie (HELA)
HELA med_dentaire
 
PPTX
Accueil Sécurité SARL MERCI
sarlmerci
 
PDF
Equipements d'interconnexion
Ines Kechiche
 
PPSX
Cour ales anti inflammatoires odontostomatologie
debla roumaissa
 
PDF
Introduction_Reseau.pdf
MohamedElbrak2
 
PDF
Projet de communication numérique Réalisation d'une chaîne de transmission nu...
Yassine Nasser
 
PDF
Généralités sur le routeur
Stany Mwamba
 
PPT
LE COURS DE SECOURISME POUR DEBUTANTS.ppt
ABDERRAHMANEAKKOUCHE3
 
PDF
Chapitre Introductif
Ibtissam medarhri
 
PPT
neuro chirurgieSoins infirmiers en_neurochirurgie
Patou Conrath
 
La régulation du cycle cellulaire
Asmae LGUENSAT
 
Presentation these
Hicham Elasri
 
Surdiagnostic des Cancers du Sein
DES Daughter
 
Plab (bilharziose)
Mehdi Razzok
 
Application de la théorie de graphe au problème de flot maximum
chagra bassem
 
Technique de l’avulsion dentaire [Autosaved] .pptx
DouniaMira
 
Cadre législatif et réglementaire HSE
hammani bachir
 
Travaux Dirigés : Algorithmique et Structure de Données
Anass41
 
Document unique BTP
NetPME
 
l'Intelligence Artificielle Jean-Antoine Moreau
Jean-Antoine Moreau
 
Anesthésie en odonto_stomatologie (HELA)
HELA med_dentaire
 
Accueil Sécurité SARL MERCI
sarlmerci
 
Equipements d'interconnexion
Ines Kechiche
 
Cour ales anti inflammatoires odontostomatologie
debla roumaissa
 
Introduction_Reseau.pdf
MohamedElbrak2
 
Projet de communication numérique Réalisation d'une chaîne de transmission nu...
Yassine Nasser
 
Généralités sur le routeur
Stany Mwamba
 
LE COURS DE SECOURISME POUR DEBUTANTS.ppt
ABDERRAHMANEAKKOUCHE3
 
Chapitre Introductif
Ibtissam medarhri
 
neuro chirurgieSoins infirmiers en_neurochirurgie
Patou Conrath
 
Publicité

Similaire à cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf (20)

PDF
Cours SécuritéiDOSR et vpn point to point et generic routing protocol.pdf
gamesand4
 
DOC
La sécurité des systèmes d’information
lara houda
 
POTX
Sécurité Informatique_Licence 2 Rx UKV.potx
BernardKabuatila
 
PDF
Cnil guide securite_personnelle
Dominique Gayraud
 
PDF
CNIL - Guide de la sécurité des données personnelles
Christophe Elut
 
PPTX
Gestion des risques de l'environnement réseaux des entreprises et des réseaux
viperkingspoof
 
PPTX
unité 2.pptx
Bahaty1
 
PDF
Sã©curitã© des systã¨mes d'information
Dany Rabe
 
PDF
Baudoin karle-ids-ips
Yassmina AGHIL
 
PPSX
IBM Security Intelligence Juin-2016
Serge Richard
 
PPT
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
PDF
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
PDF
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
PDF
1 securite-des-reseaux.2 p
Jean AMANI
 
PDF
Principes fondamentaux de la sécurité du réseau.
DjibyMbaye1
 
PDF
1 securite-des-reseaux.2 p
AAMOUMHicham
 
PDF
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
 
PPTX
Présentation1.pptx
ZokomElie
 
PDF
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
 
PDF
resume-theorique-m108-3005-6298a1255e18a.pdf
FootballLovers9
 
Cours SécuritéiDOSR et vpn point to point et generic routing protocol.pdf
gamesand4
 
La sécurité des systèmes d’information
lara houda
 
Sécurité Informatique_Licence 2 Rx UKV.potx
BernardKabuatila
 
Cnil guide securite_personnelle
Dominique Gayraud
 
CNIL - Guide de la sécurité des données personnelles
Christophe Elut
 
Gestion des risques de l'environnement réseaux des entreprises et des réseaux
viperkingspoof
 
unité 2.pptx
Bahaty1
 
Sã©curitã© des systã¨mes d'information
Dany Rabe
 
Baudoin karle-ids-ips
Yassmina AGHIL
 
IBM Security Intelligence Juin-2016
Serge Richard
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
Jean AMANI
 
Principes fondamentaux de la sécurité du réseau.
DjibyMbaye1
 
1 securite-des-reseaux.2 p
AAMOUMHicham
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
 
Présentation1.pptx
ZokomElie
 
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
 
resume-theorique-m108-3005-6298a1255e18a.pdf
FootballLovers9
 
Publicité

Dernier (16)

PPTX
Introduction aux Systèmes temps réel.pptx
Tchoumifagna
 
PPTX
FormationFormation e pFormationour HC .pptx
brahimelghaz8
 
PPTX
UMAPON Cours de traitement des minerais 2.pptx
christianmurhula
 
PPTX
Lirrigation-et-le-drainage-en-agriculture-Principes-et-Pratiques.pptx
salaheldinmuhammed04
 
PPTX
mon_expose_de_geophysique_disposotif_de_wener.pptx
liosthevemboungou09
 
PDF
Visite de chantier – Projet de Polyclinique à Laghouat
Maroua Brichi
 
PDF
TP L’analyse granulométrique par tamisage
Maroua Brichi
 
PPTX
Logique séquentielle : les fondamentaux
Tchoumifagna
 
PDF
FAQ_FORAGE_EAU_SUNRISE_ENGINEERING_GROUP_SARL2025.pdf
ngueleruphin
 
PDF
TP de La Masse Volumique apparente et absolue
Maroua Brichi
 
PPTX
A Recurrent Neural Network (RNN)s a type of artificial neural network
MOHAMMEDBOURZIK1
 
PDF
Arouna Toure - Senior Ingénieur Logiciel Et Chef De Produit
Arouna Toure
 
PPTX
COURS DE PROSPECTION MINIERE UTMSIRI - Copie.pptx
christianmurhula
 
PPTX
CH1-RMELLOULI-Données des problèmes d'ordonnancement de la production.pptx
RacemMellouli1
 
PDF
Expansion du Réseau de Gazoducs de Gaz Naturel au Brésil _ Analyse Technique ...
Vitor Pereira Xavier
 
PDF
CHAPITRE 3 Typologie des réseaux [Enregistrement automatique] 4.pdf
boykara096
 
Introduction aux Systèmes temps réel.pptx
Tchoumifagna
 
FormationFormation e pFormationour HC .pptx
brahimelghaz8
 
UMAPON Cours de traitement des minerais 2.pptx
christianmurhula
 
Lirrigation-et-le-drainage-en-agriculture-Principes-et-Pratiques.pptx
salaheldinmuhammed04
 
mon_expose_de_geophysique_disposotif_de_wener.pptx
liosthevemboungou09
 
Visite de chantier – Projet de Polyclinique à Laghouat
Maroua Brichi
 
TP L’analyse granulométrique par tamisage
Maroua Brichi
 
Logique séquentielle : les fondamentaux
Tchoumifagna
 
FAQ_FORAGE_EAU_SUNRISE_ENGINEERING_GROUP_SARL2025.pdf
ngueleruphin
 
TP de La Masse Volumique apparente et absolue
Maroua Brichi
 
A Recurrent Neural Network (RNN)s a type of artificial neural network
MOHAMMEDBOURZIK1
 
Arouna Toure - Senior Ingénieur Logiciel Et Chef De Produit
Arouna Toure
 
COURS DE PROSPECTION MINIERE UTMSIRI - Copie.pptx
christianmurhula
 
CH1-RMELLOULI-Données des problèmes d'ordonnancement de la production.pptx
RacemMellouli1
 
Expansion du Réseau de Gazoducs de Gaz Naturel au Brésil _ Analyse Technique ...
Vitor Pereira Xavier
 
CHAPITRE 3 Typologie des réseaux [Enregistrement automatique] 4.pdf
boykara096
 

cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf

  • 1. Cours 2 : Sécurité des systèmes d’informations DR. KAMENI ÉRIC DÉSIRE 1
  • 2. 1- OBJECTIFS  Acquérir une vision globale de la sécurité d'un système d'information.  Comprendre les enjeux actuels en matière de sécurité et analyser les risques, la sécurité des systèmes informatiques (postes et serveurs).  Apprendre les méthodes et moyens de sécuriser le système d'information d'un réseau informatique . 2
  • 3. 3 CHAPITRE 2 : ETUDES DES RISQUES LIES A LA SECURITE DES SI
  • 4. PLAN  INTRODUCTION  TYPOLOGIE DES RISQUES EN SI  GESTION DES RISQUES EN SI 4
  • 5. INTRODUCTION  Les coûts d’un SI peuvent être élevés et ceux de la sécurité  Nécessité de réaliser une analyse de risque en prenant soin d'identifier les problèmes potentiels avec les solutions avec les coûts associés  Organiser l'ensemble des solutions retenues sous forme d'une politique de sécurité cohérente en fonction du niveau de tolérance au risque.  Obtenir la liste de ce qui doit être protéger 5
  • 6. INTRODUCTION  les principaux risques restent : câble arraché, coupure secteur, crash disque, mauvais profil utilisateur …  Eléments pouvant servir de base à une étude de risque :  Quelle est la valeur des équipements, des logiciels et surtout des informations ?  Quel est le coût et le délai de remplacement ?  Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau (programmes d'analyse des paquets, logs…).  Quel serait limpact sur la clientèle d'une information publique concernant des intrusions sur les ordinateurs de la société ? 6
  • 7. INTRODUCTION  la sécurité est un compromis entre coûts, risques et contraintes  On comprendra mieux le poids d’un risque en se fiant à la formule suivante :  Risque : C'est la probabilité qu’une menace exploite une vulnérabilité. Autrement dit, c’est une possibilité qu’un fait dommageable se produise.  Vulnérabilité : C'est une faiblesse inhérente à un système (software ou hardware). Appelée parfois faille ou brèche, elle représente le niveau d'exposition face à la menace dans un contexte particulier.  Menace : c'est le danger (interne ou externe) tel qu’un hacker, un virus, etc.  Contre-mesure : c'est un moyen permettant de réduire le risque dans une organisation. 7
  • 8. INTRODUCTION  Conséquences de la formule:  Le risque est d’autant plus réduit que les contre-mesures sont nombreuses ;  Le risque est plus important si les vulnérabilités sont nombreuses. 8
  • 9. INTRODUCTION  L’utilisation de l’outil informatique est susceptible d’exposer à plusieurs risques dont les effets peuvent avoir des conséquences négligeables ou catastrophiques :  Le traitement informatique en cours échoue : il suffit de le relancer, éventuellement par une autre méthode si on craint que la cause ne réapparaisse ;  L’incident est bloquant et on doit procéder à une réparation ou une correction avant de poursuivre le travail entrepris. 9
  • 10. INTRODUCTION  Ces mêmes incidents peuvent avoir des conséquences beaucoup plus fâcheuses :  Données irrémédiablement perdues ou altérées, ce qui les rend inexploitables par la suite ;  Données ou traitements durablement indisponibles, pouvant entrainer l’arrêt D’une production ou d’un service ;  Divulgation d’informations confidentielles ou erronées pouvant profiter à des sociétés concurrentes ou nuire à l’image de marque de l’entreprise ;  Déclenchement d’actions pouvant provoquer des accidents physiques ou induire des humains. 10
  • 11. TYPOLOGIE DES RISQUES EN SI RISQUES HUMAINS  RISQUES MATERIELS 11
  • 12. TYPOLOGIE DES RISQUES EN SI RISQUES HUMAINS  La maladresse – commettre des erreurs ou exécuter de traitement non souhaité, ou effacer involontairement des données ou des programmes,  L’inconscience et l’ignorance – introduire des programmes malveillants sans le savoir  La malveillance – ces dernières années, il est impossible d’ignorer les différents problèmes de virus et des vers.  L’ingénierie sociale  L’espionnage – surtout industriel, emploie les même moyens, ainsi que bien d’autres, pour obtenir des informations sur des activités concurrentes 12
  • 13. TYPOLOGIE DES RISQUES EN SI RISQUES MATERIELS  Les incidents liés au matériel – défauts de fabrication.  Les incidents liés au logiciel – ce sont les plus fréquents. Les systèmes d’exploitation et les programmes sont de plus en plus complexes car ils font de plus en plus de choses.  Les incidents liés à l’environnement –variations de températures ou de l’humidité ainsi qu’aux champs électromagnétiques. 13
  • 14. GESTION DES RISQUES DES SI  La gestion des risques consiste en trois actions majeures : Etudier les risques potentiels (identifier/mettre au jour ces risques) ; Imposer des règles de sécurité adéquates pour réduire ces risques ; Formation des utilisateurs. 14
  • 15. GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Définition de l’environnement - Définition des acteurs et leurs intérêts ; Importance de la sécurité dans la stratégie de l‟entreprise ; Type de données impliquées ; Visibilité extérieure de la sécurité (importance pour la clientèle, le public).  Etude des menaces - Identifier la nature de la menace: accidentelles (désastre, bugs…) ou intentionnelles (attaques, vols…) ; S'enquérir des sources de la menace: personnel non autorisé, intrus, logiciel ; Localiser la menace : procédures manuelles, informatique (software, réseau, stockage, hardware), infrastructure (concrète et abstraite). 15
  • 16. GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Etude des vulnérabilités - Etudes des faiblesses engendrées par l’exécution d’une menace.  Etude des risques - Probabilité d’occurrence de ces menaces conduisant à une vulnérabilité.  Estimation du risque et du plan stratégique - Risque (Coût des pertes à court, moyen et long terme engendrées, Coût de la mise en place de la contre-mesure tant au niveau logique que logistique, Comparer la perte potentielle au coût de la contre-mesure) ; Plan stratégique (Planning de l’implémentation avec prise en compte des besoins futurs en termes de sécurité ou non, Planning du suivi de l’implémentation). 16
  • 17. GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Mise en place du plan de sécurité- la mise en œuvre s'effectue en quatre phases: Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ; Elaborer des règles et des procédures à mettre en œuvre dans les différents services de l'organisation pour les risques identifiés ;  Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés ; Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace. 17
  • 18. GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Audit de sécurité - L'audit de sécurité consiste à s'appuyer sur un tiers de confiance (de préférence une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre, au regard de la politique de sécurité. 18
  • 19. GESTION DES RISQUES DES SI 2- IMPOSER DES RÈGLES DE SÉCURITÉ ADÉQUATES Des règles administratives - Suivre des standards de sécurité (normes ISO) ; Suivre les lois. Des règles physiques - Gardes, caméras, alarmes, verrous et Accès aux locaux sécurisés par biométrie. Des règles techniques - Déterminer des niveaux de classification des données ; Définir des niveaux d’accès à ces données ; Utiliser la cryptographie pour le traitement et le stockage de l’information ; Mettre en place un firewall matériel et/ou logiciel, ... 19
  • 20. GESTION DES RISQUES DES SI 3- FORMATION DES UTILISATEURS  L’utilisateur ne connait pas les risques engendrés par la conservation de la liste des mots de passe utilisés à coté de l’ordinateur ; Il est souvent plus simple de s’introduire dans l’ordinateur de l’utilisateur afin de retrouver le texte en clair (hacking, vol, . . . ) ;  Il est possible de l’espionner, le pousser à la délation, pratiquer le shoulder-surfing ou tout autre technique dite de “social engineering”, ... 20
  • 21. GESTION DES RISQUES DES SI 3- FORMATION DES UTILISATEURS  Il y a également plusieurs manières de réagir à un risque, des plus « sûres » aux plus inconscientes : Transférer les risques à une compagnie d’assurances ; Réduire les risques en implémentant des contre-mesures qui peuvent être :  Dissuasives : empêcher une attaque ;  Préventives : faire échouer une attaque ;  Correctrices : réduire les dommages causés par une attaque ;  Ignorer/Négliger les risques ;  Accepter les risques si les contre-mesures sont trop onéreuses 21