Securité Flashcards
(47 cards)
Les enjeux de la sécurité SI
réduire les risques ,limiter leurs impacts
Les 4 critères fondamentaux de la sécurité de l’information
Confidentialité :
La confidentialité est cette caractéristique d’une information de n’être accessible qu’à ceux qui sont autorisés.
Intégrité :
L’intégrité est la caractéristique d’une information de n’être modifiée que par des personnes autorisées et selon un
procédé défini.
Disponibilité
La disponibilité est la caractéristique d’une information d’être accessible et utilisable par son destinataire autorisé à
l’endroit et à l’heure prévue.
Traçabilité
La traçabilité est la caractéristique qui conserve les traces de l’état et des mouvements de l’information. Sans
elle, on n’a aucune chance d’avoir l’assurance que les trois autres critères sont respectés
La sécurité du S.I. consiste a quoi
La sécurité du S.I. consiste donc à assurer
la sécurité de l’ensemble de ces biens: actifs primordiaux(processus métiers
et informations)
actifs supports(site personne matériel réseau logiciel organisation)
Concepts clé de la sécurité SI :
Vulnérabilité Menace Risque
Vulnérabilité
Faiblesse au niveau d’un actif et Faille permettant à une menace de porter atteinte à la sécurité d’un actif
Exemple;
• Détection /extinction d’incendie insuffisante
• Test insuffisant de logiciel
• Personnel insuffisamment formé
• Antivirus non à jour
• Architecture de système fragile
• Copie de sauvegarde absentes ou non testées
• Plan de reprise d’activité absent ou non testé
Menace
Cause potentielle d’un incident, qui pourrait affecter la sécurité d’un actif et entrainer des
dommages sur un bien si cette menace se concrétisait.
Caractéristique :
origine et impact du menace
Origine : -Naturelle : incendie , inondation
- Humaine : Accidentelle (erreur , bugs) /Délibérée ( fraude , virus, intrusion )
• Impact sur le système d’information et sur l’organisation
Risque
Probabilité qu’une menace exploite une vulnérabilité du SI pour affecter l’actif de
l’information
impact et probabilité du risque
Caractéristique :
• Impact
o Sur les actifs :Confidentialité , intégrité , disponibilité
o Sur l’organisation :Pertes financières
• Probabilité : Risque = menace x vulnerabilité x actif
La famille ISO 27000
Ensemble de normes internationales de sécurité de l’information, destinées à protéger
l’information. Elles découlent d’une recherche de consensus commun sur le domaine.
• Néanmoins la conformité à une norme ne garantit pas formellement un niveau de sécurité.
Les normes ne prennent pas en compte l’état de l’art récent et les exigences réglementaires
• Quelques unes des principales normes inclues dans la série 27000.
27001 27002 27004 27005 27035 27037
ISO 27001 :Exigences pour la mise en place d’un SMSI
Une démarche calquée sur ISO 9000 (Plan / Do / Check / Act).
Phase Plan : Fixer des objectifs et des plans d’actions :
• Identification des actifs ou des biens ;
• Analyse de risques ;
ISO 270002:Une démarche d’audit SSI
IMPORTANT PAGE 14
La norme ISO 270002 donne des lignes directrices en matière
de normes organisationnelles relatives à la sécurité de
l’information et des bonnes pratiques de management de la
sécurité de l’information, incluant la sélection, la mise en oeuvre
et la gestion de mesures de sécurité prenant en compte le ou
les environnement(s) de risques de sécurité de l’information de
l’organisation
Audit de la sécurité SI
examen methodique d’une situation liée a la securité de l info en vue de verifier sa conformité a des objectifs , a des regles ou a des normes
objectif de Politique de sécurité SI
Exprimer formellement la stratégie de sécurité de la société
• Communiquer clairement son appui à sa mise en œuvre.
Organisation de la sécurité
Responsable de Sécurité SI
Comité de Sécurité SI
Organisation de la sécurité ,Exemple de mesures :
Exemple de mesures :
• Toutes les responsabilités en matière de sécurité de l’information doivent être définies et
attribuées
• Séparation de tâches : Les tâches et les domaines de responsabilité incompatibles doivent
être cloisonnés pour limiter les possibilités de modification ou de mauvais usage, non
autorisé(e) ou involontaire, des actifs de l’organisation
• La sécurité de l’information doit être considérée dans la gestion de projet, quel que soit le
type de projet concerné.
• Une politique et des mesures de sécurité complémentaires doivent être adoptées pour gérer
les risques découlant de l’utilisation des appareils mobiles
• Une politique et des mesures de sécurité complémentaires doivent être mises en oeuvre
pour protéger les informations consultées, traitées ou stockées sur des sites de télétravail.
Sécurité liée aux ressources humaines
La sécurité des ressources humaines consiste à s’assurer que les collaborateurs
comprennent leurs responsabilités en matière de sécurité de l’information, qu’ils en sont
conscients et qu’ils les assument. Les intérêts de l’organisation demeurent protégés dans le
cadre du processus de modification, de rupture ou de terme d’un contrat de travail.
Sécurité liée aux ressources humaines , exemples:
Avant embauche :
o Sélection des candidats :Des vérifications doivent être effectuées sur tous les candidats à
l’embauche conformément aux lois, aux règlements et à l’éthique.
o Termes et conditions d’embauche : préciser leurs responsabilités et celles de l’organisation
en matière de sécurité de l’information
• Pendant l’embauche :
o Sensibilisation aux politiques et procédures internes de l’organisation ;
o Sensibilisation régulière à la sécurité adaptée aux fonctions ;
o Processus disciplinaire en cas de non respect.
• Au terme du contrat de travail :
o Retrait des accès et restitution du matériel fourni (badge, matériel, …).
Gestion des actifs
La gestion des actifs informationnels est primordiale. L’organisation doit identifier ses actifs et
définir les responsabilités afin de s’assurer qu’ils bénéficient d’un niveau de protection adéquat
conforme à son importance pour l’activité. La divulgation, la modification, la destruction non
autorisée d’information stockée sur tout support doivent être empêchées.
exemples d actifs
Ces actifs peuvent être :
• Des biens physiques (serveurs, réseau, imprimantes, baies de stockage, poste de travail, des
matériels non IT)
• Des informations (database, fichiers, archives)
• Des logiciels (application ou dispositif)
• Des services
• De la documentation (politiques, procédures, plans)
Gestion des actifs : Classification de l’information
Page 24
La classification selon la confidentialité des informations aide à définir des mesures de
protection appropriées pour chaque type d’information..
– Les informations de niveau « Confidentiel »
doivent être :
• Envoyées par mail de manière chiffrée et le mot de passe communiqué par SMS aux
destinataires ;
• Stockées localement dans des conteneurs chiffrés
Les informations de niveau « Diffusion limitée »
doivent être échangées au travers au travers
d’un système documentaire collaboratif ayant des accès nominatifs contrôlés, par exemple MS
SharePoint
