Securité

Question 1

Les enjeux de la sécurité SI

Answer 1

réduire les risques ,limiter leurs impacts

Question 2

Les 4 critères fondamentaux de la sécurité de l’information

Answer 2

Confidentialité :
La confidentialité est cette caractéristique d’une information de n’être accessible qu’à ceux qui sont autorisés.
Intégrité :
L’intégrité est la caractéristique d’une information de n’être modifiée que par des personnes autorisées et selon un
procédé défini.
Disponibilité
La disponibilité est la caractéristique d’une information d’être accessible et utilisable par son destinataire autorisé à
l’endroit et à l’heure prévue.
Traçabilité
La traçabilité est la caractéristique qui conserve les traces de l’état et des mouvements de l’information. Sans
elle, on n’a aucune chance d’avoir l’assurance que les trois autres critères sont respectés

Question 3

La sécurité du S.I. consiste a quoi

Answer 3

La sécurité du S.I. consiste donc à assurer
la sécurité de l’ensemble de ces biens: actifs primordiaux(processus métiers
et informations)
actifs supports(site personne matériel réseau logiciel organisation)

Question 4

Concepts clé de la sécurité SI :

Answer 4

Vulnérabilité Menace Risque

Question 5

Vulnérabilité

Answer 5

Faiblesse au niveau d’un actif et Faille permettant à une menace de porter atteinte à la sécurité d’un actif
Exemple;
• Détection /extinction d’incendie insuffisante
• Test insuffisant de logiciel
• Personnel insuffisamment formé
• Antivirus non à jour
• Architecture de système fragile
• Copie de sauvegarde absentes ou non testées
• Plan de reprise d’activité absent ou non testé

Question 6

Menace

Answer 6

Cause potentielle d’un incident, qui pourrait affecter la sécurité d’un actif et entrainer des
dommages sur un bien si cette menace se concrétisait.
Caractéristique :

Question 7

origine et impact du menace

Answer 7

Origine : -Naturelle : incendie , inondation
- Humaine : Accidentelle (erreur , bugs) /Délibérée ( fraude , virus, intrusion )
• Impact sur le système d’information et sur l’organisation

Question 8

Risque

Answer 8

Probabilité qu’une menace exploite une vulnérabilité du SI pour affecter l’actif de
l’information

Question 9

impact et probabilité du risque

Answer 9

Caractéristique :
• Impact
o Sur les actifs :Confidentialité , intégrité , disponibilité
o Sur l’organisation :Pertes financières
• Probabilité : Risque = menace x vulnerabilité x actif

Question 10

La famille ISO 27000

Answer 10

Ensemble de normes internationales de sécurité de l’information, destinées à protéger
l’information. Elles découlent d’une recherche de consensus commun sur le domaine.
• Néanmoins la conformité à une norme ne garantit pas formellement un niveau de sécurité.
Les normes ne prennent pas en compte l’état de l’art récent et les exigences réglementaires

Question 11

• Quelques unes des principales normes inclues dans la série 27000.

Answer 11

27001 27002 27004 27005 27035 27037

Question 12

ISO 27001 :Exigences pour la mise en place d’un SMSI

Answer 12

Une démarche calquée sur ISO 9000 (Plan / Do / Check / Act).
Phase Plan : Fixer des objectifs et des plans d’actions :
• Identification des actifs ou des biens ;
• Analyse de risques ;

Question 13

ISO 270002:Une démarche d’audit SSI

IMPORTANT PAGE 14

Answer 13

La norme ISO 270002 donne des lignes directrices en matière
de normes organisationnelles relatives à la sécurité de
l’information et des bonnes pratiques de management de la
sécurité de l’information, incluant la sélection, la mise en oeuvre
et la gestion de mesures de sécurité prenant en compte le ou
les environnement(s) de risques de sécurité de l’information de
l’organisation

Question 14

Audit de la sécurité SI

Answer 14

examen methodique d’une situation liée a la securité de l info en vue de verifier sa conformité a des objectifs , a des regles ou a des normes

Question 15

objectif de Politique de sécurité SI

Answer 15

Exprimer formellement la stratégie de sécurité de la société

• Communiquer clairement son appui à sa mise en œuvre.

Question 16

Organisation de la sécurité

Answer 16

Responsable de Sécurité SI

Comité de Sécurité SI

Question 17

Organisation de la sécurité ,Exemple de mesures :

Answer 17

Exemple de mesures :
• Toutes les responsabilités en matière de sécurité de l’information doivent être définies et
attribuées
• Séparation de tâches : Les tâches et les domaines de responsabilité incompatibles doivent
être cloisonnés pour limiter les possibilités de modification ou de mauvais usage, non
autorisé(e) ou involontaire, des actifs de l’organisation
• La sécurité de l’information doit être considérée dans la gestion de projet, quel que soit le
type de projet concerné.
• Une politique et des mesures de sécurité complémentaires doivent être adoptées pour gérer
les risques découlant de l’utilisation des appareils mobiles
• Une politique et des mesures de sécurité complémentaires doivent être mises en oeuvre
pour protéger les informations consultées, traitées ou stockées sur des sites de télétravail.

Question 18

Sécurité liée aux ressources humaines

Answer 18

La sécurité des ressources humaines consiste à s’assurer que les collaborateurs
comprennent leurs responsabilités en matière de sécurité de l’information, qu’ils en sont
conscients et qu’ils les assument. Les intérêts de l’organisation demeurent protégés dans le
cadre du processus de modification, de rupture ou de terme d’un contrat de travail.

Question 19

Sécurité liée aux ressources humaines , exemples:

Answer 19

Avant embauche :
o Sélection des candidats :Des vérifications doivent être effectuées sur tous les candidats à
l’embauche conformément aux lois, aux règlements et à l’éthique.
o Termes et conditions d’embauche : préciser leurs responsabilités et celles de l’organisation
en matière de sécurité de l’information
• Pendant l’embauche :
o Sensibilisation aux politiques et procédures internes de l’organisation ;
o Sensibilisation régulière à la sécurité adaptée aux fonctions ;
o Processus disciplinaire en cas de non respect.
• Au terme du contrat de travail :
o Retrait des accès et restitution du matériel fourni (badge, matériel, …).

Question 20

Gestion des actifs

Answer 20

La gestion des actifs informationnels est primordiale. L’organisation doit identifier ses actifs et
définir les responsabilités afin de s’assurer qu’ils bénéficient d’un niveau de protection adéquat
conforme à son importance pour l’activité. La divulgation, la modification, la destruction non
autorisée d’information stockée sur tout support doivent être empêchées.

Question 21

exemples d actifs

Answer 21

Ces actifs peuvent être :
• Des biens physiques (serveurs, réseau, imprimantes, baies de stockage, poste de travail, des
matériels non IT)
• Des informations (database, fichiers, archives)
• Des logiciels (application ou dispositif)
• Des services
• De la documentation (politiques, procédures, plans)

Question 22

Gestion des actifs : Classification de l’information

Page 24

Answer 22

La classification selon la confidentialité des informations aide à définir des mesures de
protection appropriées pour chaque type d’information..

Question 23

– Les informations de niveau « Confidentiel »

Answer 23

doivent être :
• Envoyées par mail de manière chiffrée et le mot de passe communiqué par SMS aux
destinataires ;
• Stockées localement dans des conteneurs chiffrés

Question 24

Les informations de niveau « Diffusion limitée »

Answer 24

doivent être échangées au travers au travers
d’un système documentaire collaboratif ayant des accès nominatifs contrôlés, par exemple MS
SharePoint

Question 25

GESTION des actifs Exemple de mesures :

Answer 25

Inventaire des actifs /Proprietés des actifs /Restitution des actifs
• Classification des information /Marquage des informations
• Gestion des supports amoviles
• Mise en rebut des supports
• Transfet physique des supports

Question 26

Contrôle d’accès

Answer 26

Le contrôle d’accès limite l’accès à l’information et aux moyens de traitement de
l’information, maîtrise l’accès utilisateur par le biais d’autorisations et empêche les accès non
autorisés aux systèmes, aux applications et aux services d’information. Les utilisateurs sont
responsables de la protection de leurs informations d’authentification

Question 27

Contrôle d’accès exemples d mesures

Answer 27

La politique de contrôle doit être établie ,elle comprend notamment:
• L’enregistrement unique de chaque utilisateur,
• Une procédure écrite de délivrance d’un processus d’authentification
• Des services de déconnexion automatique en cas d’inactivité,
• Une politique de révision des mots de passe qui garantie la qualité des mots de passe
• L’accès au réseaux et aux services réseaux sur autorisation
• Les accès à privilèges doivent être restreints et contrôlés
• L’accès au code source des programme doit être restreint

Question 28

Cryptographie

Answer 28

La cryptographie permet de protéger la confidentialité, l’authenticité et/ou l’intégrité de
l’information mais il faut obtenir la garantie de son utilisation correcte et efficace

Question 29

Cryptographie , Exemple de mesures

Answer 29

• Une politique d’utilisation des mesures cryptographiques en vue de protéger
l’information doit être élaborée et mise en oeuvre.
• Gestion des clés : Une politique sur l’utilisation, la protection et la durée de vie des clés
cryptographiques doit être élaborée et mise en oeuvre tout au long de leur cycle de vie.

Question 30

Sécurité physique et environnementale

Answer 30

La sécurité physique et environnementale prévient tout accès physique non autorisé, tout
dommage ou intrusion portant sur l’information et les moyens de traitement de
l’information de l’organisation. Elle vise à empêcher la perte, l’endommagement, le vol ou la
compromission des actifs et l’interruption des activités de l’organisation

Question 31

Exemple de mesures Sécurité physique et environnementale

Answer 31

Contrôle d’accès physique :
• Protéger les zones sécurisées par des contrôles adéquats à l’entrée par exemple un système
d’authentification à deux facteurs,tels qu’une carte d’accès et un code PIN secret;
• Conserver de manière sécurisée et de contrôler régulièrement un journal physique ou un
système de traçabilité électronique de tous les accès;
• Protection contre les menaces extérieures et environnementales
• Concevoir et appliquer des mesures de protection physique contre les désastres naturels, les
attaques malveillantes ou les accidents.
• Surveiller les conditions ambiantes, telles que la température et l’humidité, qui pourraient nuire au
fonctionnement des moyens de traitement de l’information
Exemple de mesures
• Gestion du matériel
• Déterminer l’emplacement du matériel et de le protéger de manière à réduire les
risques liés à des menaces et dangers environnementaux et les possibilités d’accès non
autorisé
• Sécuriser les moyens de stockage contre tout accès non autorisé
• protéger le matériel des coupures de courant
• Maintenir le matériel
• Gérer la sortie des actifs de l’organisation
• Politique du bureau propre et de l’écran verrouillé

Question 32

Sécurité de l’exploitation

Answer 32

La sécurité de l’exploitation permet de s’assurer que l’information et les moyens de
traitement de l’information sont protégés contre les logiciels malveillants. Elle garantit
l’intégrité des systèmes en exploitation et empêche toute exploitation des vulnérabilités
techniques

Question 33

Sécurité de l’exploitation exemples de mesures

Answer 33

Exemple de mesures
• Procédures d’exploitation documentées
• Gestion des changements :contrôler les changements apportés à l’organisation, aux
processus métier, aux systèmes et moyens de traitement de l’information qui influent sur la
sécurité de l’information
• Séparation des environnements de développement, de test et d’exploitation
• Installation et configuration de logiciels doivent encadrés
• Protection contre les logiciels malveillants
• Sauvegardes doivent êtres régulièrement effectuées et testées
• Journalisation et surveillance
• Journalisation des événements +Activités des administrateurs

Question 34

Sécurité des communications

Answer 34

• La sécurité des communications protège l’information qui transite via les réseaux et à
travers les infrastructures informatiques utilisées pour assurer cette sécurité. Elle
maintient la sécurité de l’information circulant à l’intérieur et à l’extérieur de
l’organisation.

Question 35

Sécurité des communications Exemple de mesures

Answer 35

Exemple de mesures
• Sécurité des réseaux :
• Contrôle des réseaux :Gestion des équipements réseau ,journalisation , authentification
• Sécurité des services réseaux
• Cloisonnement des réseaux : Les domaines peuvent être choisis à partir des niveaux de
sécurisation (domaine d’accès public, domaine poste de travail, domaine serveur), par service
administratif (ressources humaines, financier, marketing) ou par combinaison. Le cloisonnement
peut être réalisé en utilisant des réseaux physiques différents ou des réseaux logiques
différents (par exemple réseau privé virtuel).
• Transfert de l’information :
• Protéger de manière appropriée l’information transitant par la messagerie électronique.
• revoir régulièrement et de documenter les exigences en matière d’engagements de
confidentialité ou de non-divulgation

Question 36

Acquisition, développement et maintenance des systèmes

d’information

Answer 36

• Pour que la sécurité de l’information soit mise en œuvre efficacement, les exigences
de sécurité à satisfaire lors de l’acquisition, du développement, de la mise en place et
de la maintenance d’un actif informationnel doivent être déterminées. Les exigences
de sécurité doivent tenir compte de l’évolution des technologies et des nouveaux
enjeux

Question 37

L’objectif de Acquisition, développement et maintenance des systèmes
d’information

Answer 37

• Assurer que la sécurité est incluse dès la phase de conception.
• Prévenir la perte, la modification ou la mauvaise utilisation des informations dans les
systèmes.
• Protéger la confidentialité, l’intégrité et la disponibilité des informations.
• Assurer que les projets et les activités de maintenance sont conduits de manière sûre
• Maintenir la sécurité des systèmes d’application, tant pour le logiciel que pour les
données.

Question 38

exemples de mesures Acquisition, développement et maintenance des systèmes
d’information

page 40

Answer 38

Exemple de mesures
• Prise en charge et analyse des exigences de sécurité de l’information
• Gestion des autorisations et de l’authentification
• Protection des transactions applicatives
• Chiffrement des canaux de communication
• Utilisations de protocoles sécurisés;
• Tests de la sécurité pendant le développement.
• Tests de la conformité pendant le développement.
• Protection des données de test

Question 39

Sécurité liées aux fournisseurs

Answer 39

La sécurité liée aux relations avec les fournisseurs vise à garantir la protection des actifs de
l’organisation accessibles aux fournisseurs. Elle assure également le maintien du niveau
convenu de sécurité de l’information et de prestation de services, conformément aux
accords conclus avec les fournisseurs.

Question 40

Exemple de mesures Sécurité liées aux fournisseurs

Answer 40

• Convenir avec le fournisseur les exigences de sécurité de l’information pour limiter les
risques résultant de l’accès du fournisseur aux actifs de l’organisation et de les documenter
• Surveillance et revue des services des fournisseurs
• Gestion des changements apportés dans les services des fournisseurs

Question 41

Gestion des incidents liées à la sécurité

Answer 41

• La gestion des incidents de sécurité de l’information doit garantir une méthode cohérente et
efficace de gestion des incidents liés à la sécurité de l’information, incluant la communication
des événements et des failles liés à la sécurité
• Assurer que les incidents de sécurité sont enregistrés, résolus et qu’un reporting adéquat est
mis en place (ITIL).

Question 42

Exemple de mesures Gestion des incidents liées à la sécurité

Answer 42

xemple de mesures
• Signalement des événements liés à la sécurité de l’information
• Signalement des failles liées à la sécurité de l’information

Question 43

Gestion de la continuité de l’activité

Answer 43

La continuité de la sécurité de l’information doit faire partie intégrante des systèmes
de gestion de la continuité de l’activité. Elle vise à garantir la disponibilité des moyens
informatiques

Question 44

Exemple de mesures Gestion de la continuité de l’activité

Answer 44

Mise en place de plans documentés, des procédures de réponse et de récupération
approuvés, détaillant la manière dont l’organisation gère un événement perturbant et
maintient la sécurité des informations approuvés par la direction
• Mise en place de la redondance des composants et tests périodiques de basculement

Question 45

Conformité

Answer 45

La conformité a pour but d’éviter toute violation des exigences et obligations légales,
statutaires, réglementaires ou contractuelles relatives à la sécurité de l’information. Elle doit
garantir une sécurité mise en œuvre et appliquée conformément aux politiques et
procédures organisationnelles.

Question 46

• La conformité se décline en trois volets :

Answer 46

• Le respect des lois et réglementations: licences logiciels, propriété intellectuelle, règles
de manipulation des fichiers contenant des informations touchant la confidentialité des
personnes,
• La conformité des procédures en place au regard de la politique de sécurité de
l’organisation, c’est à dire quels dispositifs ont été mis en place pour assurer les objectifs
décrits par la Direction Générale
• L’efficacité des dispositifs de traçabilité et de suivi des procédures en place, notamment
les journaux d’activités, les pistes d’audit, les enregistrements de transaction

Question 47

Directive Nationale de la sécurité des systèmes d’information
DNSSI

Answer 47

La DNSSI décrit les mesures de sécurité organisationnelles et techniques qui doivent
être appliquées par les administrations et organismes publics ainsi que les
infrastructures d’importance vitale.
• Pour arrêter les règles de la DNSSI, la DGSSI s’est inspirée de la norme marocaine
NM ISO/CEI27002:2009 et s’est basée sur les résultats de l’enquête menée au mois
de juillet 2013 auprès d’un échantillon représentatif d’administrations et organismes
publics et d’opérateurs d’importance vitale