Le document traite du management de la sécurité des systèmes d'information, abordant des concepts clés tels que l'authentification, le chiffrement et l'analyse des risques. Il souligne l'importance de la conception et de la mise en œuvre d'une politique de sécurité pour protéger les ressources critiques d'une organisation. Les techniques de chiffrement, y compris les clés symétriques et asymétriques, ainsi que l'utilisation des certificats électroniques pour l'authentification, sont également expliquées.

1. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
Table des matières
CARTE HEURISTIQUE...................................................................................................................2
SÉCURITÉ DU SYSTÈME D'INFORMATION...........................................................................................3
Fonctions de base.............................................................................................................................................3
Chiffrement........................................................................................................................................................3
L'ANALYSE DES RISQUES..............................................................................................................7
POLITIQUE DE SÉCURITÉ.............................................................................................................8
Conception........................................................................................................................................................8
Réalisation.........................................................................................................................................................8
Évaluation et Contrôle.......................................................................................................................................8
Amélioration......................................................................................................................................................8
LES DISPOSITIFS DE PROTECTION....................................................................................................8
La protection du poste de travail......................................................................................................................8
Protection du réseau local..............................................................................................................................10
NORMES ET MÉTHODES............................................................................................................11
Normes ISO 27001, BS 7799-2......................................................................................................................11
Normes BS 7799, ISO 17799 et ISO 27002...................................................................................................12
Sécurité des systèmes d'information..............................................................................................................12
Norme ISO 13335 ..........................................................................................................................................13
Principe de l'amélioration continue : modèle PDCA.......................................................................................13
Formalisation sous BS 7799...........................................................................................................................13
Méthode EBIOS..............................................................................................................................................14
Méthode MEHARI...........................................................................................................................................15
Référentiel COBIT...........................................................................................................................................15
PLANS D'ACTIVITÉS..................................................................................................................16
PRA.................................................................................................................................................................16
RTO.................................................................................................................................................................16
RPO.................................................................................................................................................................16
PCA - PCS......................................................................................................................................................16
PCO.................................................................................................................................................................17
PCI - PSI.........................................................................................................................................................17
ARTICLES..............................................................................................................................18
Panorama des méthodes d'audit de sécurité ................................................................................................18
Optimiser et tester l'efficacité d'un plan de continuité d'activité.....................................................................19
Plan de continuité d'activité : les pièges à éviter............................................................................................20
1/21

2. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
Carte heuristique
2/21

3. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
Sécurité du Système d'Information
Fonctions de baseFonctions de base
Authentification
Assurance de l’identité d’une personne ou plus généralement d'un objet, (un serveur, une application).
La carte nationale d’identité et la signature manuelle permettent d’authentifier une personne. L'identifiant et le mot de
passe permettent d'authentifier un utilisateur sur un système d'exploitation.
Intégrité
Garantie qu’un objet (document, fichier, message …) n’a pas été modifié par une autre personne que
son auteur.
Sur un document papier, une modification se voit (rature, gommage, blanc..). Sur un document électronique (courrier
électronique, fichier texte, …) non sécurisé, cette détection est impossible.
Sur les documents électroniques, la signature électronique est le mécanisme qui permet d’assurer
l’authentification de l’émetteur et l’intégrité de l’objet transmis.
Confidentialité
Assurance qu’un document ne sera pas lu par un tiers qui n’en a pas le droit.
Les documents papiers qui doivent rester secrets sont généralement stockés dans des coffres et sont transportés sous plis
cachetés.
Sur les documents électroniques, le chiffrement permet d’assurer la confidentialité.
Non répudiation
L’émetteur d’un message ne doit pas pouvoir nier l’avoir envoyé et le récepteur l’avoir reçu. Les
transactions commerciales utilisent abondamment cette fonction.
Le reçu signé au livreur, la lettre recommandée sont des mécanismes de non répudiation.
Les certificats permettent d’assurer ce service.
ChiffrementChiffrement
Chiffrer un texte consiste à en modifier sa forme en utilisant un secret, appelé la clé.
Vous recevez le texte suivant : « ylkglro »
Ce texte ne vous parle pas. Il s'agit d'une suite de lettres formant un mot totalement
incompréhensible. Mais si on vous donne la clé, si vous connaissez le secret, vous allez en trouver la
signification .
Le secret tient dans une table de correspondance entre les lettres de l'alphabet.
a b c d e f g h i j k l m n o p q r s t u v w x y z
w y z a b c d e f g h i j k l m n o p q r s t u v w
« ylkglro » suite de lettres lues dans la deuxième ligne et remplacées par la lettre de la première ligne
devient « bonjour ».
Pour assurer la confidentialité d’un document électronique, on chiffre le texte du document en lui
appliquant un traitement (algorithme) mathématique. Ce traitement utilise une clé de chiffrement.
Une fois chiffré, le texte devient illisible.
Pour obtenir la version lisible, il faut le déchiffrer, c’est à dire appliquer un autre traitement
mathématique utilisant une clé de déchiffrement.
3/21

4. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
Clé symétrique
La même clé est utilisée par l'émetteur et le destinataire du message.
Pour que le secret soit effectif, il faut que les deux protagonistes se mettent d'accord sur le contenu
de la clé qu'ils doivent s'échanger en utilisant un autre moyen de communication.
La clé peut être transmise par lettre ou par voie orale, de vive voix ou par téléphone.
Jacques et Florence se sont mis d'accord par téléphone sur une clé. Lorsque jacques envoie un
message à Florence, il le chiffre avec la clé convenue et envoie le courriel. Lorsque florence ouvre sa
messagerie, elle y trouve un message illisible, qu'elle va pouvoir déchiffrer avec la clé commune.
Cette méthode présente deux inconvénients :
• il faut échanger le secret par un autre moyen que la voie électronique.
• Il faut autant de secrets que de personnes avec lesquelles on doit échanger.
Le carré de VignèreLe carré de Vignère
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
A A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
B B C D E F G H I J K L M N O P Q R S T U V W X Y Z A
C C D E F G H I J K L M N O P Q R S T U V W X Y Z A B
D D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
E E F G H I J K L M N O P Q R S T U V W X Y Z A B C D
F F G H I J K L M N O P Q R S T U V W X Y Z A B C D E
G G H I J K L M N O P Q R S T U V W X Y Z A B C D E F
H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G
I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H
J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I
K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J
L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K
M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L
N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M
O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N
P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O
Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P
R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q
S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R
T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S
U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T
V V W X Y Z A B C D E F G H I J K L M N O P Q R S T U
W W X Y Z A B C D E F G H I J K L M N O P Q R S T U V
X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W
Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X
Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y
4/21

5. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
Clé Asymétrique
• La clé de chiffrement est différente de la clé de déchiffrement
• Les 2 clés (une pour chiffrer, l’autre pour déchiffrer) sont indissociables l’une de l’autre, mais il
est impossible avec une des clés de découvrir l’autre. Les 2 clés sont créées en même temps
par un programme mathématique.
Le couple de clé est appelé « Trousseau »
• Tout texte chiffré avec une des clés (de chiffrement ou de déchiffrement) peut être déchiffré
avec l’autre clé (de déchiffrement ou de chiffrement) et uniquement avec celle-ci.
Florence génère grâce à un programme son trousseau de clé. Elle obtient une clé privée et une clé
publique. Elle met à disposition de quiconque sa clé publique sur un serveur.
Jacques qui désire lui envoyer un texte confidentiel, récupère sa clé publique sur le serveur de clés. Il
chiffre son message avec cette clé et l'envoie à Florence par courriel. Florence déchiffre le message
avec sa clé privée.
Signature électronique
La signature électronique permet d’assurer les fonctions d’authentification et d’intégrité. On veut
être sûr que le contenu du message n'a pas été modifié et qu'il a été envoyé par la bonne personne.
Le principe est le suivant. On commence par faire une « empreinte du texte » : il existe pour cela une
fonction mathématique de « Hashage ». On peut dire qu'il s'agit d'un résumé du texte et que si on
applique plusieurs fois la fonction de hashage sur le même texte, on obtiendra toujours le même
résumé.
Donc si le destinataire, après avoir passé la fonction de hashage sur le texte reçu, trouve la même
empreinte (résumé), c'est que le texte d'origine n' a pas été modifié.
Le contrôle de l'empreinte d'un texte permet de s'assurer de l'intégrité de son
contenu.
Le texte n'a pas besoin d'être chiffré. Seule l'empreinte le sera avec la clé privée de l'expéditeur, car
n'oublions pas que la signature a pour but d'authentifier le signataire du texte qui est connu, alors que
le destinataire peut être n'importe qui.
Le déchiffrement de l'empreinte pourra être effectué avec la clé publique de l'émetteur. Si le
déchiffrement est possible, c'est que le message aura bien été chiffré avec la clé privée de l'émetteur.
Un message déchiffré avec une clé publique prouve qu'il a été chiffré avec la clé
privée correspondante.
Jacques envoie un texte signé à Florence. L'opération nécessite 7 étapes :
• jacques passe la fonction de hashage sur le texte pour obtenir une empreinte.
• Il chiffre l'empreinte obtenue avec sa clé privée.
• Il envoie le texte et l'empreinte par communication éléectronique.
• Florence reçoit un message chiffré dont l'expéditeur est Jacques. Elle téléchérge la clé
publique de Jacques en se connectant au serveur de clé.
5/21

6. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
• Elle déchiffre l'empreinte avec la clé publique de Jacques pour obtenir l' « empreinte reçue
». Si elle arrive a obtenir une empreinte « en clair », le message a bien été chiffré par
Jacques, sinon il l'a été par une autre personne.
• Elle passe le texte reçu à la fonction de haschage pour obtenir, l'« empreinte calculée ».
• Si l'empreinte calculée est identique à l'empreinte reçue, le texte associé n'a pas été
modifié.
Certificat
Dans le cas précédent lorsque Florence récupère sur le serveur de clés, la clé publique de Jacques,
qui lui certifie que cette clé est bien celle de Jacques?
Personne! Une clé se traduit pratiquement par un fichier au nom du créateur de la clé, mais un petit
malin (Kevin) peut très bien remplacer la clé publique de jacques par sa propre clé et renommer ce
fichier avec le nom de Jacques.
Fichier d'origine Fichier après substitution
Nom fichier Jacques.cle
Contenu fichier : clé publique Klf54thtgh247trhj
⇨
Jacques.cle
fg5y56jyue7t52h
Cette opération de piratage est connue sous le terme de « mascarade »
Kevin peut alors lire les informations confidentielles destinées à Jacques et signer en se faisant
passer pour Jacques.
Un certificat est un mécanisme qui permet d'assurer la validité de la clé publique.
Un certificat est l’équivalent d’une carte d’identité ou d’un passeport.
Un passeport contient des informations concernant son propriétaire (nom, prénom, adresse, …), la
signature manuscrite, la date de validité, ainsi qu’un tampon et une présentation (forme, couleur,
papier) qui permettent de reconnaître que ce passeport n’est pas un faux, qu’il a été délivré par une
autorité bien connue.
6/21

7. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
Un certificat électronique contient des informations équivalentes qui sont délivrées par un « tiers de
confiance ».
Ce tiers doit être au dessus de tout soupson. Dans le cas d'un passeport, c'est la préfecture. Dans le
cas d'un certificat électronique, c'est un organisme habilité.
Pour faire un déclaration d'impôts par le biais d'internet, la DGI délivre un certificat à tout contribuable qui veut utiliser ce
mode de déclaration.
Le navigateur de Microsoft « Internet
Explorer » donne la liste des Autorités
de certifications américaines.
Que contient un certificat?
 Le nom de l’autorité (de certification) qui a créé le certificat
 Le nom et le prénom de la personne
 informations sur la personne (adresse, dresse électronique..)
 Clé publique de la personne
 Les dates de validité du certificat
 Une signature électronique
La signature est l’empreinte des informations contenues dans le certificat, chiffrée avec la clé privée
de l’autorité de certification qui a délivré ce certificat.
Pour que Jacques envoie un message chiffrée à Florence, Il s'adresse à l'autorité de certification pour
récupérer le certificat de Florence. Il en extrait la clé publique de Florence, après s'être assuré de la
validité de la signature du certificat. Il chiffre son message avec la clé publique de Florence, qui seule
pourra le déchiffrer.
L'analyse des risques
 Evaluer les ressources critiques de l'organisation.
On définit les ressources critiques comme les éléments essentiels à l’organisation, sans
lesquels la valeur de l’organisation serait moindre, voire inexistante. En voici quelques
exemples :
• les informations,
• les ressources matérielles (équipements divers, machines, etc.) et logicielles,
• le personnel (ressource la plus importante et la plus critique),
• l’image de marque.
 Déterminer et Classer les menaces qui pèsent sur les ressources.
7/21

8. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
On définit la probabilité qu'une menace apparaisse et quel serait son impact sur l'organisation
Politique de Sécurité
A partir de l'analyse des risques, il faut
définir le niveau d'exigence acceptable
pour l'entreprise.
Pour réduire les risques, on agit sur les
vulnérabilités, ou on essaie de réduire
l’impact qu’aurait l’exploitation d’une de
ces vulnérabilités par une menace.
Pour réduire l’impact il faut mettre en place
des mesures préventives et les coordonner
dans le cadre d'une politique de sécurité.
Politique de sécurité
ConceptionConception
L'étape de démarrage consiste à :
• s'assurer que le périmètre et le contexte du futur système sont correctement définis.
• identifier, évaluer les risques et développer un plan permettant de les gérer.
• rédiger un manuel de sécurité
• désigner une personne chargée de définir la politique de sécurité
RéalisationRéalisation
L’étape de réalisation consiste principalement à appliquer les politiques définies dans le manuel de
sécurité en :
• implantant les mesures techniques préventives
• en sensibilisant Direction et Employés
Évaluation et ContrôleÉvaluation et Contrôle
Les systèmes d’évaluation doivent avoir été décrits dans le manuel de sécurité. L’objectif consiste à
s’assurer que les procédures mises en place fonctionnent comme prévu.
Ces évaluations peuvent être de plusieurs types :
• vérifications régulières faites dans le cadre des activités quotidiennes ;
• contrôles automatiques réalisés avec des outils logiciels permettant de créer des
rapports ;
• comparaison avec les autres organisations ;
• réalisation d’audits formels planifiés (risk assessment) ;
• révision par la direction.
Si les évaluations et les contrôles révèlent que certaines procédures sont inadéquates, il faut
entreprendre des actions correctives.
AméliorationAmélioration
Les actions qui auront été décidées à l’étape précédente devront être mises en œuvre soit :
• au niveau du système de sécurité proprement dit, comme par exemple en nommant
un(nouveau) responsable pour tout ou partie du système;
• au niveau des procédures opérationnelles qui en auront été déduites, comme par
exemple par la mise en œuvre d’une procédure de sauvegarde de données
différentes (et évidemment plus adaptée);
• au niveau des outils, comme par exemple par l’achat d’un outil anti-virus.
Les dispositifs de protection
La protection du poste de travailLa protection du poste de travail
Contrôle d'accès
L'authentification demeure indispensable pour effectuer un contrôle d'accès fiable portant sur
l'identité des usagers des services. Le mécanisme le plus couramment employé consiste à associer
un mot de passe à l'identifiant d'une personne.
Qualités d'un mot de passe
8/21

9. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
1. longueur comprise entre 6 et 8 caractères ;
2. mot n'appartenant pas à un dictionnaire ;
3. mélange de chiffres, de lettres (minuscules et majuscules)et de caractères
spéciaux
« gilles » est un mauvais mot de passe.
« G1i*l;e! » est un mot de passe sécuritaire
Un mot de passe doit être changé fréquemment
Pour vérifier l'identité de l'utilisateur, on aura de plus en plus recours à la biométrie ( empreinte
digitale, reconnaissance du visage, reconnaissance de l'iris, ADN)
SSO : Single Sign On
Les services numériques accessibles par le web (intranet, courrier électronique, forums, agendas,
applications spécifiques) se sont multipliés en quelques années. Chacun de ces services nécessitent
une authentification.
L'utilisation de techniques de synchronisation entre domaines d'authentification hétérogènes, permet
la mise en oeuvre d'un compte unique (login / mot de passe) pour chaque utilisateur. La sécurisation
de l'authentification devient donc primordiale. Il est également fortement souhaitable que les
applications n'aient pas connaissance du mot de passe.
Les mécanismes de SSO permettent l'authentification unique, utilisent des techniques assez
semblables, à savoir :
• une centralisation de l'authentification sur un serveur qui est le seul à recueillir les mots de
passe des utilisateurs, à travers un canal chiffré ;
• des redirections HTTP transparentes du navigateur client, depuis les applications vers le
serveur d’authentification, puis du serveur vers les applications.
• le passage d’informations entre le serveur d’authentification et les applications à l’aide de
cookies et/ou de paramètres CGI de requêtes HTTP (GET ou POST)
Si l’utilisateur n'est pas déjà authentifié auprès
du serveur CAS avant d'accéder à une
ressource, son navigateur est redirigé vers le
serveur CAS, qui lui propose un formulaire
d'authentification. Lors de la soumission du
formulaire par le navigateur au serveur CAS, si
les informations fournies sont correctes, le
serveur CAS délivre un « Ticket » au client, qui
lui permettra ultérieurement de ne pas avoir à se
réauthentifier ;
Le « Ticket » est le passeport de l’utilisateur
auprès d'un client CAS. Il est non rejouable (ne
peut être présenté qu'une seule fois au serveur
CAS), limité à un seul client CAS et sa durée de
vie est très limitée dans le temps (quelques
secondes)
Anti-Virus
Un logiciel antivirus fonctionne selon 2 modes :
• le mode statique : l'antivirus n'est actif que lorsque l'utilisateur le déclenche.
• Le mode dynamique : l'antivirus est « résident » et surveille en permanence l'activité du
système d'exploitation, du réseau et de l'utilisateur.
Quel que soit son mode de fonctionnement, l'antivirus peut utiliser deux techniques :
• Recherche de signatures : un virus est caractérisé par une suite de bits (signature) consignés
dans des bases de données.
Avantage : très efficace sur des virus connus ;
Inconvénient : nécessite une mise à jour très fréquente de la base des signatures
9/21

10. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
• Analyse heuristique : consiste à étudier des règles, des stratégies en vue d'étudier le
comportement d'un programme.
Avantage : peut détecter des virus encore inconnus
Inconvénient : génère de nombreuses fausses alertes.
Protection du réseau localProtection du réseau local
Pour isoler un réseau local de l'extérieur il faut mettre en oeuvre un garde Barrière qui conjugue la
combinaison de 2 applications logicielles, un serveur mandataire(proxy) d'une part et un pare-feu
(firewall) d'autre part.
Serveur mandataire
Un serveur mandataire est une application qui sert d'intermédiaire entre un client et un serveur. Le
client envoie sa requête au mandataire, qui la réémet en direction du serveur concerné. De même, la
réponse du serveur est reçue par le mandataire qui la retransmet au client. Un proxy peut être
configuré pour filtrer les requêtes.
Un serveur mandataire assure les fonctions suivantes :
• Mémoriser les dernières pages consultées sur le Net ;
• Garder une trace des requêtes ;
• Analyser le contenu des documents pour détecter d'éventuels virus ;
• Restreindre les accès de l'intérieur (du LAN vers Internet) : autoriser ou interdire l'accès à certains
services d'internet pour certains utilisateurs.
• Interdire l'accès à certains sites Web selon certains critères (adresse IP, mots clès...)
Interdire à tous les employés de consulter les sites contenant le mot clé « sexe ».
Système Pare-feu ou Firewall
Un pare feu est un équipement conçu pour empêcher des individus extérieurs d’accéder au Réseau
Local.
Un système pare-feu fait office de point d’entrée sur un site, évalue les demandes de connexion à
mesure qu’il les reçoit. Il traite seulement celles qui proviennent de machines autorisées et supprime
les requêtes en provenance des autres.
La majorité des système pare-feu procèdent par filtrage de l’adresse de source.
• Autoriser les ordinateurs extérieurs (quelle que soit leur adresse IP) à accéder au serveur Web de la zone
démilitarisée.
• Autoriser les ordinateurs du réseau local à accéder aux serveurs web extérieurs
• Autoriser les ordinateurs du réseau local à accéder aux services de messagerie électroniques
• Interdire tous les autres services d'internet.
DMZ - Zone démilitarisée
La « zone démilitarisée » (DMZ) est un réseau intermédiaire tampon dans laquelle peuvent être
installés les ordinateurs et applications devant pouvoir être accessibles à partir d'Internet (les serveurs
de services FTP et de pages WWW, par exemple).
Cette technique permet de différencier les données confidentielles et sensibles, présentes sur le
réseau local, des données « publiques » de l'entreprise.
10/21

11. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
Réseau Privé Virtuel (RPV)
Le Réseau Privé Virtuel (en anglais on parle de Virtual Private Network (VPN) est une solution
technique qui assure l'authentification et la confidentialité des données échangées entre sites distants
utilisant internet comme moyen de transmission.
Dans le schéma suivant l'entreprise A possède un établissement distant avec lequel elle communique
en utilisant Internet. Un commercial itinérant est doté d'un ordinateur portable et via Internet doit
pouvoir accéder à la base de données du siège social.
Cette entreprise A veut échanger des données (devis, factures...) avec une entreprise partenaire
(entreprise B).
Comme les données circulant sur Internet sont transmises en clair, les administrateurs réseau de
l'entreprise A, vont paramétrer la fonction VPN sur les systèmes d'exploitation des serveurs et des
postes de travail concernés. Si les postes sont utilisés par les salariés de l'entreprise A, on parlera
d'Intranet.
Une coopération technique sera nécessaire pour paramétrer le VPN entre l'entreprise A et l'entreprise
B. Cette liaison sécurisée (chiffrement des données transmises sur le réseau) sera désigné sous le
terme d'Extranet.
Lorsqu'on établit une liaison sécurisée entre 2 machines distances en passant par
Internet, on parle de tunnel VPN.
Normes et Méthodes
Plusieurs normes, méthodes et référentiels de bonnes pratiques en matière de sécurité des systèmes
d’information sont disponibles. Elles constituent des guides méthodologiques ainsi que le moyen de
fournir l'assurance d'une démarche de sécurité cohérente.
L’ISO a entrepris un vaste effort de rationalisation des travaux existants donnant naissance à la série
des ISO 27000.
Normes ISO 27001, BS 7799-2Normes ISO 27001, BS 7799-2
La norme ISO 27001, publiée en Novembre 2005, définit la Politique du Management de la Sécurité des
SI au sein d'une entreprise. Elle est issue de la BS 7799-2:1999 Specification for information security
management systems qui définit les exigences à respecter pour créer un ISMS (Information Security
Management System). Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la
mise en oeuvre est obligatoire.
La norme ISO 27001 comprend 6 domaines de processus :
• 1. Définir une politique de la sécurité des informations,
• 2. Définir le périmètre du Système de Management de la sécurité de l'information,
• 3. Réaliser une évaluation des risques liés à la sécurité,
11/21

12. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
• 4. Gérer les risques identifiés,
• 5. Choisir et mettre en oeuvre les contrôles,
• 6. Préparer un SoA ( "statement of applicability").
Comme ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur
existence, et la mise en place d’une boucle d’amélioration (PDCA).
Normes BS 7799, ISO 17799 et ISO 27002Normes BS 7799, ISO 17799 et ISO 27002
La norme ISO 17799 (2005), prochainement renommée 27002, est directement tirée de la BS 7799-1
(créée par le BSI British Standard Institute).
Elle correspond à un niveau de détail plus fin que la 27001 et spécifie une Poltique de la Sécurité des
Systèmes d'Information. C'est une liste détaillée et commentée de mesures de sécurité. Cette norme
est un guide de Bonnes Pratiques (Best Practices) pour maîtriser la sécurité d'un système
d'information. Plusieurs versions de la BS 7799 ont été élaborées depuis le début des années 1990 et
la dernière est devenue la norme ISO/IEC 17799.
Sécurité des systèmes d'informationSécurité des systèmes d'information
Schématiquement, la démarche de sécurisation du système d'information doit passer par 4 étapes de
définition :
• 1. périmètre à protéger (liste des biens sensibles),
• 2. nature des menaces,
• 3. impact sur le système d'information,
• 4. mesures de protection à mettre en place.
L’ ISO 17799 donne des exemples et des indications sur les niveaux 1 à 3, mais ne traite vraiment que
le niveau 4 (et en partie seulement), en listant ce qui est nécessaire de mettre en place, sans toutefois
préciser en détail comment.
La norme ISO 17799 comporte 39 catégories de contrôle et 133 points de vérification répartis en 11
domaines :
• 1. Politique de sécurité
• 2. Organisation de la sécurité :
• organisation humaine, implication hiérarchique,
• notion de propriétaire d’une information et mode de classification,
• évaluation des nouvelles informations,
• mode d’accès aux informations par une tierce partie,
• cas de l’externalisation des informations.
• 3. Classification et contrôle des biens
• 4. Sécurité du personnel
• 5. Sécurité physique
- organisation des locaux et des accès,
- protection contre les risques physiques (incendies, inondations...)
- systèmes de surveillance et d’alerte,
- sécurité des locaux ouverts et des documents circulant.
• 6. Communication et exploitation:
- prise en compte de la sécurité dans les procédures de l’entreprise,
- mise en oeuvre des systèmes de sécurisation (anti-virus, alarmes..),
• 7. Contrôle d'accès:
12/21

13. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
- définition des niveaux d’utilisateurs et de leur droit d’accès,
- gestion dans le temps des droits,
• 8. Acquisition, développement et maintenance des systèmes
• 9. Gestion des incidents
• 10. Management de la continuité de service
• 11. Conformité:
- dispositions réglementaires
- dispositions légales
- dispositions internes (Politique)
Essentiellement pragmatique, la norme n'impose pas d'autre formalisme que la mise en place d'une
organisation qui garantit un bon niveau de sécurité au fil du temps.
Elle est orientée processus et déborde de ce fait des simples aspects de technique informatique. Elle
s'intéresse à l'organisation du personnel ainsi qu'aux problèmes de sécurité physique (accès,
locaux...).
Norme ISO 13335Norme ISO 13335
"Guidelines for the management of IT Security" (Directives pour la gestion de la sécurité des
Technologies d'information) est référencée dans la 27001 pour l'analyse des risques.
Elle y décrit en particulier une analyse de risque, au même niveau que les méthodes EBIOS ou
MEHARI.
Principe de l'amélioration continue : modèle PDCAPrincipe de l'amélioration continue : modèle PDCA
Pour garantir que la sécurité reste optimale au fil du temps, la norme BS 7799 utilise le principe de
l'amélioration continue suivant le modèle PDCA qui se définit en 4 étapes récurrentes :
• Plan : planifier,
• Do : mettre en œuvre,
• Check : vérifier,
• Act : améliorer.
Après la définition des objectifs, des actions sont entreprises pour
les atteindre. Ensuite, on vérifie la bonne qualité des résultats, puis
on se fixe de nouveaux objectifs pour être toujours totalement
efficace.
Formalisation sous BS 7799Formalisation sous BS 7799
Essentiellement pragmatique, la BS 7799 n'impose pas d'autre formalisme que la mise en place d'une
organisation qui garantit un bon niveau de sécurité au fil du temps.
Elle est orientée processus et déborde de ce fait des simples aspects de technique informatique. Elle
s'intéresse à l'organisation du personnel ainsi qu'aux problèmes de sécurité physique (accès,
locaux...).
Comme ISO 9000, BS 7799 ne porte pas sur l’efficacité des dispositions mises en place, mais sur leur
existence.
Enfin, la certification peut être resserrée sur un périmètre précis.
Schématiquement, les étapes à franchir sont les suivantes :
• préparation (définition du périmètre, analyse des risques, définition des protections à mettre
en place,
• mise en place et contrôle des mesures prises,
• audit du dispositif par un auditeur accrédité par l'organisme de certification.
La certification est délivrée pour une période de 3 ans, mais un nouvel audit doit être effectué tous les
ans.
13/21

14. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
Méthode EBIOSMéthode EBIOS
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode établie
par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) pour identifier les
besoins de sécurité d'un système d'information. La DCSSI la présente comme un outil d'arbitrage au
sein des directions générales.
Elle s'organise en 4 étapes principales :
• étude du contexte
• expression des besoins
• étude des risques
• identification des objectifs de sécurité
Elle se présente sous la forme d'une brochure téléchargeable et d'un logiciel dont l'obtention est
gratuite.
EBIOS s'intéresse à tous les types de risques :
• incendie, dégâts des eaux
• pollution
• accidents majeurs
• phénomène climatique, sismique, volcanique, météorologique, crue
• défaillance de la climatisation
• perte d'alimentation énergétique, des moyens de télécommunications
• rayonnements électromagnétiques, thermiques
• impulsions électromagnétiques (iem)
• interception de signaux parasites compromettants
• espionnage à distance, écoute passive
• vol de supports ou de documents, vol de matériels
• divulgation interne, divulgation externe
• panne matérielle, dysfonctionnement matériel, saturation du matériel
• dysfonctionnement logiciel
• destruction de matériels
• atteinte à la maintenabilité du système d'information
• informations sans garantie de l'origine
• piégeage du matériel
• utilisation illicite des matériels
• altération du logiciel, piégeage du logiciel
• copie frauduleuse de logiciels, utilisation de logiciels contrefaits ou copiés
• altération des données
• abus de droit, usurpation de droit
• reniement d'actions
• fraude
• atteinte à la disponibilité du personnel
14/21

15. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
Méthode MEHARIMéthode MEHARI
La méthode MEHARI (MEthode Harmonisée d'Analyse de RIsques) est proposée par le CLUSIF
(Club de la Sécurité des Systèmes d'Information Français).
Elle est destinée à permettre l'évaluation des risques mais également le contrôle et la gestion de la
sécurité de l'Entreprise sur court, moyen et long terme, quelle que soit la répartition géographique du
système d'information.
La méthode MEHARI s'articule sur 3 types de plans :
• le PSS (Plan Stratégique de Sécurité) qui fixe les objectifs de sécurité et les métriques et
qualifie le niveau de gravité des risques encourus,
• les POS (Plans Opérationnels de Sécurité) qui déterminent, par site ou entité géographique,
les mesures de sécurité à mettre en place, tout en assurant la cohérence des actions
choisies.
• le POE (Plan Opérationnel d'Entreprise) qui permet le pilotage de la sécurité au niveau
stratégique par la mise en place d'indicateurs et la remontée d'informations sur les scénarios
les plus critiques.
Proposant des méthodologies opérationnelles, MEHARI est une méthode parallèle à la BS 7799, avec
laquelle elle offre toutefois d'évidentes compatibilités.
MEHARI remplace MARION, qui n'est plus développée.
Référentiel COBITRéférentiel COBIT
Le référentiel de gouvernance des systèmes d'information COBIT couvre une bonne partie des
domaines de l'ISO 17799. COBIT étant à vocation plus large, il gère l'information au travers un grand
nombre de "critères" :
Efficacité, Efficience, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité.
15/21

16. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
Plans d'Activités
PRAPRA
○ Plan de Reprise d'Activité
○ doit assurer le démarrage des applications et des processus clés de l'entreprise
○ Indicateurs
RTORTO
● Recovery Time Objective
● durée maximale d'interruption admissible
● Délai nécessaire entre l'arrêt de l'activité et la remise à disposition de
l'informatique aux utilisateurs
RPORPO
● Recovery Point Objective
● durée maximum d'enregistrement des données qu'il est acceptable de perdre lors
d'une panne
● degré de fraicheur des données
○ Avantages
■ Limitation dans le temps de l'indisponibilité des applications et de la perte de données
■ Prévention des risques majeurs en assurant le basculement de tout ou partie du
système informatique sur un site distant
○ Inconvénients
■ Demande un suivi régulier de processus
■ Matériel et logiciel du site de secours évoluent avec le SI
■ Système synchronisé limite la distance à 200 kms
PCA - PCSPCA - PCS
○ Plan de Continuité d'activité ou de service
○ assure la bonne marche d'un ou plusieurs processus vitaux de l'entreprise
○ Avantages
■ pallier les dysfonctionnements d'une application ou d'un défaillance matérielle
■ limiter la perte de données au minimum acceptable par l'entreprise
■ Offre mature et diversifiée pour les serveurs en grappe et les serveurs haute
disponibilité
■ Repose sur une architecture réservée au données faisant appel au SAN
● Storage Area Network
● Accès bas niveau aux disques
● mutualisation des ressources de stockage
○ Inconvénients
■ Coût pour atteindre la continuité de service est élevé
■ Ne protège pas contre un sinistre majeur (incendie, explosion...)
16/21

17. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
○ Etapes clés
■ Nomination d'un chef de projet indépendant de la DSI
■ Audit des activités critiques de l'entreprise
■ Réalisation d'un document de synthèse
■ Validation des niveaux d'exigence
■ Elaboration d'un cahier des charges
■ Choix d'un prestataire
■ Formalisation du plan
■ Phase de test et maintenance
PCOPCO
■ Plan de continuité organisationnel
● garantir la survie de l'entreprise
PCI - PSIPCI - PSI
■ Plan de Continuité (Secours) Informatique
vise à garantir le service minimum requis pour les SI
Disponibilité
Technologie Cluster
17/21

18. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
Articles
Panorama des méthodes d'audit de sécuritéPanorama des méthodes d'audit de sécurité
La plupart des entreprises de moyenne et grande taille déploient, à leur manière, une politique de
sécurité. Quelle soit minimaliste ou omniprésente, cette dernière se doit d'être périodiquement
auditée, pour plus de performance et d'efficacité.
Pour procéder à ces contrôles réguliers, un certain nombre de méthodes existent, parfois similaires,
parfois opposées, mais toujours complémentaires dans leur approche. Le tableau ci-dessous présente
un aperçu des principales.
La plus ancienne de ces méthodes s'appelle MARION (Méthodologie d'Analyse de Risques
Informatiques Orientée par Niveaux). Elaborée par le CLUSIF (Club de la Sécurité des Systèmes
d'Information Français), elle a surtout été appliquée dans les années 1980 et 1990. L'entreprise
auditée se soumet à un certain nombre de questionnaires débouchant sur différentes notes de 0 à 4
(en tout, 27 indicateurs répartis en 6 catégories) évaluant sa performance à la fois par rapport à un
standard - jugé satisfaisant - mais aussi par rapport aux autres entreprises ayant procédé à l'audit.
La méthode fonctionne en 3 phases. Elle réalise tout d'abord un audit des vulnérabilités, aboutissant -
via des rosaces ou diagrammes - à l'identification des points faibles de la politique de sécurité. En
découle une analyse des risques (disctinction entre risques majeurs et simples) et une mise en avant
des menaces pontielles. Partant de là (3e phase), des plans d'action sont définis.
Le CLUSIF, anticipant les incontournables évolutions que la méthode MARION allait connaître
(ouverture des réseaux et travail coopératif entre partenaires, clients et fournisseurs), a publié la
méthode MEHARI (Méthode Harmonisée d'Analyse de Risques). MEHARI permet ainsi d'apprécier
les risques au regard des objectifs fixés par la direction générale, et non plus seulement par rapport à
des niveaux de vulnérabilité donnés.
Les principales méthodes d'audit de sécurité
Nom Signification Origine Caractéristiques
Cobit
Control objectives for
information and technology
ISACA
Méthode accessible à tous, dans un langage simple. Les outils fournis
permettent la mesure des performances mais la méthode est aujourd'hui
davantage assimilée à une méthode de gouvernance des SI.
Ebios
Expression des Besoins et
Identification des Objectifs de
Sécurité
DCSSI
Notamment déployée au sein de l'administration française, cette
méthode comprend une base de connaissances et un recuiel de bonnes
pratiques. Elle est téléchargeable sur le site de la DCSSI et
s'accompagne d'un logiciel.
Feros
Fiche d'Expression Rationnelle
des Objectifs de Sécurité
SCSSI
Pas une méthode à proprement parler mais un document permettant à
une autorité donnée (secteur secret défense notamment) de définir le
niveau d'engagement de sa responsabilité dans l'application d'une
politique de sécurité.
Marion
Méthodologie d'Analyse de
Risques Informatiques Orientée
par Niveaux
CLUSIF
Fonctionne par questionnaires débouchant sur 27 indicateurs répartis en
6 catégories. 2 phases (audit des vulnérabilités et analyse des risques)
permettent la définition et la mise en oeuvre de plans d'actions
personnalisés.
Mehari
Méthode Harmonisée d'Analyse
de Risques
CLUSIF
Succède à la méthode Marion. S'articule autour de 3 plans. Permet
désormais d'apprécier les risques au regard des objectifs "business" de
l'entreprise.
MEHARI s'articule autour de 3 plans : le Plan Stratégique de Sécurité, qui fixe les objectifs de sécurité
et les indicateurs de mesure et détermine le niveau de gravité des risques encourus. Les Plans
Opérationnels de Sécurité, qui définissent, par site, les mesures de sécurité à prendre. Et le Plan
Opérationnel d'Entreprise, axé sur le pilotage stratégique et le suivi d'indicateurs clés.
La méthode EBIOS (Expression du Besoin et Identification des Objectifs de Sécurité) a été élaborée
par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) qui est rattachée au
SGDN (Secrétariat Général de la Défense Nationale), lui-même placé sous l'autorité des services du
Premier Ministre.
Elle est particulièrement déployée au sein de l'administration française. Elle comprend une base de
connaissances qui décrit les types d'entités, les méthodes d'attaques, les vulnérabilités, les objectifs
de sécurité et les exigences de sécurité. Elle propose également un recueil des meilleures pratiques
sur l'élaboration de schémas directeurs SSI, la rédaction de profils de protection, de cibles de sécurité
et de SSRS (System-specific Security Requirement Statement) qui proviennent de l'OTAN.
La méthode se veut un outil de gestion des risques SSI mais aussi de sensibilisation, de négociation
et d'arbitrage. Elle est téléchargeable sur le site de la DCSSI et s'accompagne d'un logiciel
d'assistance, distribué sous licence libre.
18/21

19. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
Les résultats de la méthode EBIOS peuvent être exploités dans le cadre d'une FEROS (Fiche
d'Expression Rationnelle des Objectifs de Sécurité), document créé par la DCSSI (Direction centrale
de la sécurité des systèmes d'information) qui dépend, elle aussi, des services du Premier Ministre.
Ce document est obligatoire pour les systèmes traitant d'informations classées "défense".
Il présente l'ensemble des objectifs de sécurité du système étudié et les risques résiduels, mais aussi
la démarche et l'argumentation qui a permis de les identifier. Ainsi, après avoir extrait certaines
données (système étudié, besoins de sécurité, menaces, risques...) en provenance d'une étude
EBIOS, la fiche FEROS permet de réorganiser et de classer les objectifs de sécurité et de définir les
responsabilités qui doivent - ou ne doivent pas - être engagées.
Enfin, la méthode COBIT (Control objectives for information and technology) vient, quant à elle, de
l'ISACA (Information Systems Audit and Control Association). Elle est diffusée en France par la
branche française de cette association : l'AFAI (Association Française de l'Audit et du Conseil
Informatique).
Actuellement dans sa 3e édition, COBIT se veut accessible à tous, dans un langage simple. Les outils
fournis permettent la mesure des performances, une liste de facteurs clés de succès et de bonnes
pratiques pour les non techniciens. Cela en fait aujourd'hui plus une méthode de gouvernance des SI
que d'audit des politiques de sécurité.
Optimiser et tester l'efficacité d'un plan de continuité d'activitéOptimiser et tester l'efficacité d'un plan de continuité d'activité
Soumis aux mutations de l'entreprise, le PCA suit un processus d'amélioration continue. Son
maintien en condition opérationnelle suppose une adaptation. Les points à contrôler.
L'élaboration d'un plan de continuité d'activité (PCA), ou d'un plan de reprise d'activité (PRA), selon la
terminologie employée et/ou le secteur où il est appliqué, représente un investissement important
pour l'entreprise. Un investissement qui toutefois ne prend pas fin à l'étape d'implémentation du PCA
et de la formation des acteurs. Il n'est en effet jamais figé et doit calquer son cycle de vie sur celui de
l'entreprise.
En effet, une fois conçu, encore doit-il être maintenu en condition opérationnelle. "Le MCO, ou
maintien en condition opérationnelle, permet de s'assurer que le plan est effectivement opérant, mais
aussi à jour en termes de procédures, de gestion de crise, de rôles et d'attributions, dans l'ensemble
des entités impliquées dans le PCA", précise Bruno Hamon, directeur général adjoint du cabinet
d'audit Exedis.
Les composantes essentielles du MCO
L'efficacité d'un PRA suppose le respect d'une première condition : "il faut mettre en place une
organisation assurant la prise en compte de toutes les évolutions dans l'entreprise, sans quoi le
caractère opérationnel du plan en cas de sinistre ne sera plus garanti", avertit Julien Bizjak, consultant
sécurité senior en charge de l'offre PRA pour Cyber Networks.
Tout plan de maintien en condition opérationnelle doit ainsi préciser le ou les responsables du MCO
dans l'entreprise, ses modalités, le programme des mises à jour, des formations, les tests et les
vérifications.
MCO : compter 20 jours/hommes par an pour une entreprise de 250 personnes
La mise en place d'un PCA devrait en outre s'accompagner d'une campagne de sensibilisation en
interne, mais aussi auprès des tiers inclus dans celui-ci. Si des responsabilités sont établies pour
prendre en charge les mises à jour, encore faut-il que les évolutions dans l'entreprise soient
remontées.
"Le MCO d'une entreprise monosite de 250 personnes représente environ une charge de travail de 20
jours/homme durant lesquels seront reconduits des entretiens, analyser les différents livrables du
PCA et effectuées les mises à jour. Seront ensuite organisées les séances de formation et les tests",
détaille l'expert d'Exedis.
Le cycle de vie
Un plan de continuité doit toujours être conçu en fonction des spécificités d'une entreprise et de son
écosystème. Il doit aussi constituer une réponse fiable dans le temps face aux risques. Le PCA est
par conséquent exposé aux évolutions de la vie économique, des contraintes réglementaires, des
partenariats, des choix technologiques, etc.
"La doublure ou backup d'un membre de la cellule de crise décisionnelle a quitté l'entreprise. Cette
évolution doit être prise en compte afin de désigner un remplaçant et éviter qu'en cas d'activation du
19/21

20. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
plan de continuité, celui-ci ne soit bloqué. De même, si un applicatif critique est implémenté dans le
système d'information, il faut prévoir des solutions de reprise en cas par exemple de basculement sur
un site de repli utilisateurs", illustre Bruno Hamon.
L'optimisation
L'actualisation du PCA peut également passer par une optimisation, qu'il s'agisse de choix techniques
ou de procédures. Cyber Networks notamment propose un audit sur la base des critères définis par le
Clusif en matière de PCA et l'optimisation du rapport coûts récurrents/ efficacité.
La finalité de la démarche est de vérifier que les choix, et leurs coûts (location d'une salle blanche,
installation des serveurs, maintenance, ressources humaines, etc.), sont efficaces en cas de sinistre
et adaptés aux enjeux métier. L'audit ne reste toutefois qu'une brique parmi les modalités de maintien.
"Il ne s'agit pas de se rendre dans une entreprise et de qualifier ses choix d'inadéquats, mais de cibler
les axes prioritaires au travers d'un plan d'actions, pour ainsi les améliorer. Sur la base d'une matrice
financière, les composants, postes du PRA les plus lourds financièrement sont identifiés et optimisés
lorsque cela s'avère possible", précise Julien Bizjak.
Les tests
Unitaires et de filage (engrenage de procédures), des tests doivent être réalisés au minimum une fois
par an, l'idéal étant une planification semestrielle. Toutefois, ces tests peuvent intervenir plus tôt,
notamment suite à un bouleversement de la structure de l'entreprise (acquisition, cession d'une
activité, migration du SI, etc.).
Le test unitaire, qui va consister à exécuter une procédure, peut être très spécifique. Il s'agira par
exemple d'un test de pression médiatique destiné à entraîner le comité de pilotage et la direction aux
bonnes pratiques en termes de communication et de comportement vis-à-vis des médias.
Le test du repli utilisateurs est aussi essentiel. Il consistera à déplacer les catégories de salariés
cibles sur un site prévu en cas d'indisponibilité des locaux principaux. L'accès au site lui-même sera
testé, ainsi que les outils mis à disposition. Avec les moyens mis à leur disposition, et dans un mode
dégradé, les salariés sont-ils en mesure d'effectuer les tâches définies dans le PCA ?
Christophe AUFFRAY, JDN Solutions 2005
Plan de continuité d'activité : les pièges à éviterPlan de continuité d'activité : les pièges à éviter
Manque d'implication, besoins métiers négligés, périmètre mal défini, tests et maintien opérationnels
bâclés ou simplement inexistants sont autant de chausse-trappes à esquiver pour parvenir à un PCA
opérant.
Elaboré pour faire face aux situations de crise de nature à perturber et interrompre l'activité de
l'entreprise, le plan de continuité (PCA) doit permettre d'établir l'ensemble des procédures de
rétablissement et de secours. Le PCA consistera donc à analyser les risques, leurs impacts, à
déterminer leur criticité, puis sur la base d'un arbitrage, à concevoir et mettre en œuvre des solutions.
Réussir son projet de PCA suppose donc rigueur, implication des collaborateurs et méthodologie. Le
parcours est en tout cas jalonné de pièges qu'il est préférable de savoir éviter, sous peine d'aboutir à
un plan de continuité théorique et à des procédures défaillantes. En voici les plus critiques :
1) S'interroger superficiellement sur les enjeux pour l'entreprise
"Il ne s'agit pas de faire un PCA pour le plaisir, d'autant que ce type de projet a un coût non
négligeable. Il doit donc correspondre à des vrais enjeux de l'entreprise. De plus, bien définir ces
derniers permet de cadrer l'expression des besoins utilisateurs. Un responsable fonctionnel aura
souvent tendance à affirmer que son activité revêt un caractère stratégique pour la société", prévient
Robert Bergeron, responsable de l'offre sécurité finance et services chez Capgemini, et membre du
Clusif.
2) Oublier de discuter avec les directions métiers
"La meilleure solution pour bien connaître la criticité des applications, c'est encore de rencontrer les
directions métiers, qui s'exprimeront sur les délais d'indisponibilité et les niveaux de perte de données
acceptables", recommande Sébastien David, responsable de l'offre PCA Parad chez Devoteam.
3) Négliger le niveau d'implication
Le PCA est un projet d'entreprise. Il doit impérativement bénéficier du support de la direction, mais
aussi des métiers. Attention toutefois, car une implication suffisante est loin d'être acquise. "Le projet
20/21

21. DSCG : UE5 - Management des Systèmes d'Information Sécurité SI
PCA peut être perçu comme une contrainte plutôt qu'un gain pour l'entreprise", avertit Robert
Bergeron.
Un avertissement réitéré par Sébastien David. "Il est indispensable que les personnes se sentent
impliquées et comprennent les enjeux du plan de continuité. Mais encore faut-il que celui-ci soit perçu
comme nécessaire, qu'il y ait une sensibilisation et une prise de conscience de son importance.
Contrairement à un projet d'ERP, un PCA n'apporte pas de valeur aux utilisateurs."
4) Délimiter un périmètre trop important
Il est impératif de bien identifier le périmètre des risques que l'entreprise souhaite adresser. Pour
Sébastien David, "si on se concentre dans un premier temps sur ce qui y a de plus critique, puis que
l'on étend ensuite ce cadre, le plan de continuité sera opérationnel plus rapidement."
L'approche diffère quelque peu pour Robert Bergeron : "On a intérêt à être assez large au départ. Ce
qui coûte cher, ce n'est pas tant l'identification que la mise en œuvre des solutions. Mieux vaut en
conséquence partir d'un périmètre assez large, puis après analyse faire un premier tri et retenir les
risques les plus significatifs. Ensuite, lors de la recherche des solutions, un second niveau de filtrage
pourra s'appliquer."
5) Ne pas tenir compte de ses partenaires
Pas de nombrilisme lorsqu'on élabore son PCA. Il est rare en effet qu'une entreprise soit
autosuffisante et n'appuie son activité sur les services d'aucun prestataire. "Il est important d'aborder
ces aspects et de prévoir des audits des PCA des partenaires critiques, de préférence en phase
d'appel d'offres", explique le responsable de Capgemini.
6) Réaliser des tests superficiels du PCA
Le plan de continuité formalisé, reste encore à s'assurer de la justesse des réponses qu'il apporte en
cas de survenance des risques identifiés. Ces tests seront bien entendu multiples et ne se
restreindront pas à l'informatique. La partie métiers (tests de fonctionnement en mode dégradé) et la
gestion de crise (procédures d'alerte, de déclenchement des opérations de secours et de mise en
place de la structure de crise) ne devront pas être occultées.
7) Négliger la problématique de maintien opérationnel du PCA
Le PCA en place, celui-ci n'en est pas pour autant appelé à demeurer figé. En effet, l'organisation de
l'entreprise et son système d'information connaitront inévitablement des évolutions. Cela impose ainsi
de définir les responsabilités et les procédures pour maintenir le PCA dans un état opérationnel.
"A défaut de mise à jour, les risques sont élevés d'être confronté à une défaillance au moment de la
crise, sans compter les frais découlant d'une réinitialisation du PCA", prévient le responsable de
Devoteam.
"En l'espace de quelques semaines, votre plan de secours informatique peut s'avérer inopérant. Si
vous ne mettez pas à jour votre procédure de reconstruction du site de secours, au lieu démarrer en
24 heures, ce sera 3 ou 4 jours", corrobore Robert Bergeron.
Rédaction JDN & JDN Solutions
21/21
"Le projet PCA peut être perçu comme une contrainte plutôt qu'un gain pour l'entreprise" (S.David -
Devoteam)
"En l'espace de quelques semaines, votre plan de secours informatique peut
s'avérer inopérant."
(R.Bergeron - Capgemini)