Sécurité Des SI

 Sécu  Sécuri rité té des des SI Plan I.

ENJEUX de la sécurité des systèmes d’information (SSI)

II.  SENSIBILITE de l’entreprise : Actifs à protéger  III.

MENACES : Les Risques

IV.

PARADES : Architecture de confiance

1. Physiques 2. Logiques •

•

V.

 Authentification : Mot de passe, passe, serveurs, ... Redondance, cryptographie, filtrage, procédures

MANAGEMENT de la Sécurité  1. Une politique de sécurité 2. La SSI à toutes les phases: Projets de SI, SI en exploitation 3. Gouvernance de la SSI 4.  Solutions juridiques 5. Budget, organisation, acteurs et métiers SSI

VI. VII.

CONTEXTE : Normes et organismes CONCLUSION

I.

ENJEUX de la sécurité des systèmes d’information (SSI)



Les principaux systèmes d’information de l’entreprise  : SI RH, SI financier, SI logistique, SI

commercial, SI achats, Si décisionnel, Si contrôle de gestion. Définition :

La sécurité des systèmes d’information (SSI) est l’ensemble des  moyens techniques, organisationnels, Juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information. 3 raisons majeures pour la sécurité informatique, il s’agit de l’évolution de : 

La sensibilité de l’information, des risques et des réglementations.

Définition du risque

Augmentation de l'exposition des systèmes

Augmentation de la vulnérabilité des systèmes

Mise en réseau

Incidents involontaires et erreurs humaines

Nombre d'utilisateurs

Concentration es fonctions vitales dans les logiciels

Ouverture sur l'externe

Attaques motivées par le gain

Risque = Eventualité (Fréquence) x Gravité ( conséquences) Matrice : cartographie des risques Gravité

Peu grave

Très grave

Probabilité

Prioritaire

Peu probable Très probable

Non prioritaire

L’évaluation du risque passe par  :

La gestion du paradoxe nécessité d’ouverture du SI/protection du SI  La quantification des pertes potentielles (Par les managers avant la DSI ) L’analyse des risques et menaces Exemples de menaces potentielles et origines du risque : o

Les attaques physiques sur le matériel

o

Les pannes amenant à des pertes de données

o

Les utilisateurs maladroits

o

Les crackers & script-kiddies

o

Les professionnels

o

Les concepteurs/ développeurs

La typologie des risques : Matrice à deux dimensions (Intentionnel/fortuit ; Risque humain/ Risque Physique)

II.

 SENSIBILITE de l’entre prise : Actifs à  protéger



3concpts à distinguer : Sécurité : Robustesse aux agressions externes Sureté : Robustesse aux agressions internes Qualité : Ensemble des propriétés et caractéristiques d'un produit ou d’un service qui lui confèrent l'aptitude à satisfaire des besoins exprimés ou implicites

Les critères de sensibilité ( DICT)

Disponibilité

•Qui peut modifier l'information avec quelle motivation? •Garantie que l'information es exacte et complète

Intégrité

Confidentialité

Traçabilité

III.

•Quelles conséquences quand l'information est indisponible? •Garantie qu'une infrmation est disponible quand on en aura besoin

•Qui peut convoiter l'information et à quelles fins? •Garantie que seules les personnes autorisées ont le droit d'accès à l'information

•Quelles conséquences quand on ne sait plus qui a fait quoi? •Garantie que les accès et tentatives d'accès aux élements considérés snt tracés et que ces traces sont conservées et exploitables

MENACES : Les Risques

Typologie de risques -

risques matériels : Panne, sinistres

-

Risques immatériels : Intrusion, Malware, Deni de service

-

Risques réseaux

Typologies de menaces :

-

Menaces passives : Ecoute de lignes, analyse de trafic

-

Menaces actives : Panne, contamination, trojans, spam, fishing…

IV.

PARADES : Architecture de confiance

-

La démarche sécurité

Exprimer les besoins

Contrôler et tenir à  jour la politique de sécurité

V.

Concevoir une architecture sécurisée

Réaliser des systèmes sécurisés

Sensibiliser/ former les utilisateurs à la sécurité

Exploiter de façon sécurisée les systèmes

MANAGEMENT de la Sécurité

Rôles du responsable SSI (Si possible indépendant du service informatique)

-

Définition de la politique de sécurité

-

Analyse des risques, étude des moyens et préconisations

-

Sensibilisation et formation aux enjeux de sécurité

-

Audit, contrôle et veille technologique

-

Conseil et assistance

Acteurs de la SSI

-

L’organisation ( utilisateurs)

-

Le service informatique

-

Sous traitants

-

a. Une politique de sécurité b. La SSI à toutes les phases: Projets de SI, SI en exploitation c. Gouvernance de la SSI d.  Solutions juridiques e. Budget, organisation, acteurs et métiers SSI

VI. 

CONCLUSION

CONTEXTE : Normes et organismes