Le document aborde les concepts de sécurité, sûreté de fonctionnement et résilience des systèmes ou services, en mettant l'accent sur la gestion des risques et la continuité d'activité. Il traite également de la protection des données, des mécanismes d'accès, et des procédures de maintenance. Enfin, il évoque les plans de continuité et de reprise d'activité pour garantir la pérennité des opérations en cas de sinistre.

1. Avril 2013
Franck Franchin
1

2. Master Droit - Franck Franchin - © 2013
 Sécurité d’un système ou d’un service :
 La sécurité d’un système ou d’un service est l'état d'une
situation présentant le minimum de risques, à l'abri des
dangers, des menaces. La mise en sécurité consiste à
garantir la pérennité de cet état de sécurité par le
recours à des moyens permettant soit de supprimer
certains risques (mitigation) soit de les réduire à un
niveau acceptable (risque résiduel).
 Les anglo-saxons parlent de security (sécurité contre les
actes malveillants) ou de safety (sécurité contre les
risques accidentels).
2

3. Master Droit - Franck Franchin - © 2013
 Sûreté de fonctionnement d’un système
ou d’un service :
 La sûreté de fonctionnement d’un système ou d’un
service est son aptitude d’une part à disposer de ses
performances fonctionnelles et opérationnelles (fiabilité,
maintenabilité, disponibilité) et d’autre part, à ne pas
présenter de risques majeurs (humains,
environnementaux, financiers).
 Exemple : Sûreté d’une centre nucléaire
 Les anglo-saxons parlent de dependability.
3

4. Master Droit - Franck Franchin - © 2013
 Résilience d’un système ou d’un
service :
 La résilience est la capacité d’un système ou d’un service
à résister à une panne ou à une cyber-attaque et à
continuer de fonctionner en garantissant un certain
niveau de service (mode complet ou mode dégradé) puis
à revenir à son état initial après l’incident.
 Exemple : Résilience d’un système de commandement
des secours/SAMU
4

5. Master Droit - Franck Franchin - © 2013
 Actifs matériels/tangibles
◦ Destruction de matériels ou de supports
◦ Vol de matériels
 Actifs immatériels/intangibles
◦ Marque
◦ Goodwill
◦ Propriété intellectuelle (IP)
 Dommages directs ou indirects
 Prévention / Détection
 C.I.A. : Confidentiality Integrity Availability
5

6. Master Droit - Franck Franchin - © 2013
 Seules les personnes ou les programmes
autorisés (politique de sécurité) ont accès aux
informations qui leur sont destinées
 Méthodes d’authentification et de contrôle d’accès
 Notion de protection des données personnelles -
Data privacy
6

7. Master Droit - Franck Franchin - © 2013
 Processus de délivrance de droits d’accès à des personnes, à des
programmes ou à des ordinateurs dûment autorisés à accéder, en
lecture et/ou en écriture, à des ressources informatiques.
 Par extension sémantique, mécanisme destiné à limiter l’utilisation
de ressources spécifiques à des utilisateurs autorisés
 Pare-feu (firewall) : règles par protocole, origine, destination
 Constitue la première ligne d’une Défense en profondeur (defense
in depth)
 Besoin d’en connaître (need to know)
 Horodatage, Non-répudation, Imputabilité (Accountability)
7

8. Master Droit - Franck Franchin - © 2013
 Les données ne doivent pas pouvoir être altérées
et/ou modifiées de manière volontaire ou fortuite
 L’origine ou la source des données doit aussi être
clairement identifiée (personne ou organisation)
afin d’éviter toute imposture
 L’information doit aussi être transmise sans
aucune corruption
8

9. Master Droit - Franck Franchin - © 2013
 Les ressources et les services doivent être garantis
en performance (temps de réponse) et en
fonctionnement (% de disponibilité)
 La disponibilité d’un système informatique peut être
affectée :
◦ par des soucis techniques (dysfonctionnement d’un
ordinateur ou d’un équipement de télécommunication)
◦ Par des phénomènes naturels (inondation)
◦ Par des causes humaines (accidentelles ou délibérées)
 Exemple : Disponibilité de 99.99 % : 2h d’interruption
de service par an
9

10. Master Droit - Franck Franchin - © 2013
 Capacité d’un système à fonctionner correctement
sous certaines conditions connues pendant une
période de temps définie
 Peut-être définie comme la probabilité d’une
défaillance (panne) ou par leurs fréquences
probabiliste.
 MTBF : Mean Time Between Failure
10

11. Master Droit - Franck Franchin - © 2013
 Capacité d’un système informatique à revenir à
une état normal de fonctionnement après une
défaillance (panne) lorsque les opérations de
maintenance correctives ont été appliquées selon
des procédures prédéfinies
 MTTR (Mean Time To Repair)
 Compromis et optimisation entre la fiabilité et la
maintenabilité
11

12. Master Droit - Franck Franchin - © 2013
 Garantie que les accès aux programmes et aux
données sont tracés dans un journal
d’événements conservé, horodaté et exploitable.
 Exemple : Historique de navigation effacé mais
Journal des événements système intact
12

13. Master Droit - Franck Franchin - © 2013
 Capacité d’un système à pouvoir être auditer pour
s’assurer de la validité et de la fiabilité de ses
informations et pour évaluer l’application des
diverses procédures d’exploitation et processus
de gestion et de contrôle
 Exemple : horodatage et imputabilité des actions
effectuées par un salarié sur son poste de travail
(carte à puce ou token + PKI + chiffrement du
disque)
13

14. Master Droit - Franck Franchin - © 2013
 Plan de Continuité - BCP (Business Continuity Planning)
◦ Le BCP permet à une entreprise de détailler comment elle peut
poursuivre son activité en cas de sinistre, éventuellement en
mode dégradé
◦ Cadre réglementaire : Bâle 2, Sarbanes Oxley, etc.
 Plan de reprise d’activité - DRP (Disaster Recovery
Planning)
◦ Le RDP permet d'assurer, en cas de crise majeure ou importante,
la reconstruction et la remise en route des applications
supportant l'activité d'une entreprise.
◦ Les besoins sont exprimés par une durée maximale d'interruption
admissible (Recovery Time Objective, RTO) et une perte de
données maximale admissible (Recovery Point Objective, RPO),
avec ou sans mode dégradé.
14