SlideShare une entreprise Scribd logo

cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf

U
UbaldKouokam

Un cours sur la sécurité des systèmes d'information notamment l'étude des risque

Ingénierie
1  sur  21
Télécharger pour lire hors ligne
Cours 2 : Sécurité des systèmes d’informations DR. KAMENI ÉRIC DÉSIRE 1
1- OBJECTIFS  Acquérir une vision globale de la sécurité d'un système d'information.  Comprendre les enjeux actuels en matière de sécurité et analyser les risques, la sécurité des systèmes informatiques (postes et serveurs).  Apprendre les méthodes et moyens de sécuriser le système d'information d'un réseau informatique . 2
3 CHAPITRE 2 : ETUDES DES RISQUES LIES A LA SECURITE DES SI
PLAN  INTRODUCTION  TYPOLOGIE DES RISQUES EN SI  GESTION DES RISQUES EN SI 4
INTRODUCTION  Les coûts d’un SI peuvent être élevés et ceux de la sécurité  Nécessité de réaliser une analyse de risque en prenant soin d'identifier les problèmes potentiels avec les solutions avec les coûts associés  Organiser l'ensemble des solutions retenues sous forme d'une politique de sécurité cohérente en fonction du niveau de tolérance au risque.  Obtenir la liste de ce qui doit être protéger 5
INTRODUCTION  les principaux risques restent : câble arraché, coupure secteur, crash disque, mauvais profil utilisateur …  Eléments pouvant servir de base à une étude de risque :  Quelle est la valeur des équipements, des logiciels et surtout des informations ?  Quel est le coût et le délai de remplacement ?  Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau (programmes d'analyse des paquets, logs…).  Quel serait limpact sur la clientèle d'une information publique concernant des intrusions sur les ordinateurs de la société ? 6
INTRODUCTION  la sécurité est un compromis entre coûts, risques et contraintes  On comprendra mieux le poids d’un risque en se fiant à la formule suivante :  Risque : C'est la probabilité qu’une menace exploite une vulnérabilité. Autrement dit, c’est une possibilité qu’un fait dommageable se produise.  Vulnérabilité : C'est une faiblesse inhérente à un système (software ou hardware). Appelée parfois faille ou brèche, elle représente le niveau d'exposition face à la menace dans un contexte particulier.  Menace : c'est le danger (interne ou externe) tel qu’un hacker, un virus, etc.  Contre-mesure : c'est un moyen permettant de réduire le risque dans une organisation. 7
INTRODUCTION  Conséquences de la formule:  Le risque est d’autant plus réduit que les contre-mesures sont nombreuses ;  Le risque est plus important si les vulnérabilités sont nombreuses. 8
INTRODUCTION  L’utilisation de l’outil informatique est susceptible d’exposer à plusieurs risques dont les effets peuvent avoir des conséquences négligeables ou catastrophiques :  Le traitement informatique en cours échoue : il suffit de le relancer, éventuellement par une autre méthode si on craint que la cause ne réapparaisse ;  L’incident est bloquant et on doit procéder à une réparation ou une correction avant de poursuivre le travail entrepris. 9
INTRODUCTION  Ces mêmes incidents peuvent avoir des conséquences beaucoup plus fâcheuses :  Données irrémédiablement perdues ou altérées, ce qui les rend inexploitables par la suite ;  Données ou traitements durablement indisponibles, pouvant entrainer l’arrêt D’une production ou d’un service ;  Divulgation d’informations confidentielles ou erronées pouvant profiter à des sociétés concurrentes ou nuire à l’image de marque de l’entreprise ;  Déclenchement d’actions pouvant provoquer des accidents physiques ou induire des humains. 10
TYPOLOGIE DES RISQUES EN SI RISQUES HUMAINS  RISQUES MATERIELS 11
TYPOLOGIE DES RISQUES EN SI RISQUES HUMAINS  La maladresse – commettre des erreurs ou exécuter de traitement non souhaité, ou effacer involontairement des données ou des programmes,  L’inconscience et l’ignorance – introduire des programmes malveillants sans le savoir  La malveillance – ces dernières années, il est impossible d’ignorer les différents problèmes de virus et des vers.  L’ingénierie sociale  L’espionnage – surtout industriel, emploie les même moyens, ainsi que bien d’autres, pour obtenir des informations sur des activités concurrentes 12
TYPOLOGIE DES RISQUES EN SI RISQUES MATERIELS  Les incidents liés au matériel – défauts de fabrication.  Les incidents liés au logiciel – ce sont les plus fréquents. Les systèmes d’exploitation et les programmes sont de plus en plus complexes car ils font de plus en plus de choses.  Les incidents liés à l’environnement –variations de températures ou de l’humidité ainsi qu’aux champs électromagnétiques. 13
GESTION DES RISQUES DES SI  La gestion des risques consiste en trois actions majeures : Etudier les risques potentiels (identifier/mettre au jour ces risques) ; Imposer des règles de sécurité adéquates pour réduire ces risques ; Formation des utilisateurs. 14
GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Définition de l’environnement - Définition des acteurs et leurs intérêts ; Importance de la sécurité dans la stratégie de l‟entreprise ; Type de données impliquées ; Visibilité extérieure de la sécurité (importance pour la clientèle, le public).  Etude des menaces - Identifier la nature de la menace: accidentelles (désastre, bugs…) ou intentionnelles (attaques, vols…) ; S'enquérir des sources de la menace: personnel non autorisé, intrus, logiciel ; Localiser la menace : procédures manuelles, informatique (software, réseau, stockage, hardware), infrastructure (concrète et abstraite). 15
GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Etude des vulnérabilités - Etudes des faiblesses engendrées par l’exécution d’une menace.  Etude des risques - Probabilité d’occurrence de ces menaces conduisant à une vulnérabilité.  Estimation du risque et du plan stratégique - Risque (Coût des pertes à court, moyen et long terme engendrées, Coût de la mise en place de la contre-mesure tant au niveau logique que logistique, Comparer la perte potentielle au coût de la contre-mesure) ; Plan stratégique (Planning de l’implémentation avec prise en compte des besoins futurs en termes de sécurité ou non, Planning du suivi de l’implémentation). 16
GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Mise en place du plan de sécurité- la mise en œuvre s'effectue en quatre phases: Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ; Elaborer des règles et des procédures à mettre en œuvre dans les différents services de l'organisation pour les risques identifiés ;  Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés ; Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace. 17
GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Audit de sécurité - L'audit de sécurité consiste à s'appuyer sur un tiers de confiance (de préférence une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre, au regard de la politique de sécurité. 18
GESTION DES RISQUES DES SI 2- IMPOSER DES RÈGLES DE SÉCURITÉ ADÉQUATES Des règles administratives - Suivre des standards de sécurité (normes ISO) ; Suivre les lois. Des règles physiques - Gardes, caméras, alarmes, verrous et Accès aux locaux sécurisés par biométrie. Des règles techniques - Déterminer des niveaux de classification des données ; Définir des niveaux d’accès à ces données ; Utiliser la cryptographie pour le traitement et le stockage de l’information ; Mettre en place un firewall matériel et/ou logiciel, ... 19
GESTION DES RISQUES DES SI 3- FORMATION DES UTILISATEURS  L’utilisateur ne connait pas les risques engendrés par la conservation de la liste des mots de passe utilisés à coté de l’ordinateur ; Il est souvent plus simple de s’introduire dans l’ordinateur de l’utilisateur afin de retrouver le texte en clair (hacking, vol, . . . ) ;  Il est possible de l’espionner, le pousser à la délation, pratiquer le shoulder-surfing ou tout autre technique dite de “social engineering”, ... 20
GESTION DES RISQUES DES SI 3- FORMATION DES UTILISATEURS  Il y a également plusieurs manières de réagir à un risque, des plus « sûres » aux plus inconscientes : Transférer les risques à une compagnie d’assurances ; Réduire les risques en implémentant des contre-mesures qui peuvent être :  Dissuasives : empêcher une attaque ;  Préventives : faire échouer une attaque ;  Correctrices : réduire les dommages causés par une attaque ;  Ignorer/Négliger les risques ;  Accepter les risques si les contre-mesures sont trop onéreuses 21

Recommandé

La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
lara houda
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
BernardKabuatila
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
Dominique Gayraud
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
Christophe Elut
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
Bahaty1
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
Dany Rabe
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ipsYassmina AGHIL
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
Serge Richard
 

Recommandé

La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
lara houda
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
BernardKabuatila
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
Dominique Gayraud
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
Christophe Elut
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
Bahaty1
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
Dany Rabe
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ipsYassmina AGHIL
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
Serge Richard
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Jean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
DjibyMbaye1
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
AAMOUMHicham
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
ZokomElie
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
FootballLovers9
 
Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
sidomanel
 
0241-formation-securite-informatique.pdf
0241-formation-securite-informatique.pdf0241-formation-securite-informatique.pdf
0241-formation-securite-informatique.pdf
daniel896285
 
Cours_securite informatique.pdf
Cours_securite informatique.pdfCours_securite informatique.pdf
Cours_securite informatique.pdf
hamzamiz0
 
Systemes vulnerables
Systemes vulnerablesSystemes vulnerables
Systemes vulnerables
Christophe Casalegno
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
badrboutouja1
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
FootballLovers9
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
Harvey Francois
 
Slides apéri tic e securite 10 2013
Slides apéri tic e securite 10 2013Slides apéri tic e securite 10 2013
Slides apéri tic e securite 10 2013elaugier
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
FootballLovers9
 
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
ychouhabi
 
memoire_soutenance_KOISONN_MANES_MANA_AL.pdf
memoire_soutenance_KOISONN_MANES_MANA_AL.pdfmemoire_soutenance_KOISONN_MANES_MANA_AL.pdf
memoire_soutenance_KOISONN_MANES_MANA_AL.pdf
boukardanzha
 
Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...
Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...
Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...
idelewebmestre
 

Contenu connexe

Similaire à cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf

MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Jean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
DjibyMbaye1
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
AAMOUMHicham
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
Nafissa11
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
ZokomElie
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
FootballLovers9
 
Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
sidomanel
 
0241-formation-securite-informatique.pdf
0241-formation-securite-informatique.pdf0241-formation-securite-informatique.pdf
0241-formation-securite-informatique.pdf
daniel896285
 
Cours_securite informatique.pdf
Cours_securite informatique.pdfCours_securite informatique.pdf
Cours_securite informatique.pdf
hamzamiz0
 
Systemes vulnerables
Systemes vulnerablesSystemes vulnerables
Systemes vulnerables
Christophe Casalegno
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
badrboutouja1
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
FootballLovers9
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
Harvey Francois
 
Slides apéri tic e securite 10 2013
Slides apéri tic e securite 10 2013Slides apéri tic e securite 10 2013
Slides apéri tic e securite 10 2013elaugier
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
FootballLovers9
 
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
ychouhabi
 

Similaire à cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf (20)

MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
 
Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
 
0241-formation-securite-informatique.pdf
0241-formation-securite-informatique.pdf0241-formation-securite-informatique.pdf
0241-formation-securite-informatique.pdf
 
Cours_securite informatique.pdf
Cours_securite informatique.pdfCours_securite informatique.pdf
Cours_securite informatique.pdf
 
Systemes vulnerables
Systemes vulnerablesSystemes vulnerables
Systemes vulnerables
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
 
Slides apéri tic e securite 10 2013
Slides apéri tic e securite 10 2013Slides apéri tic e securite 10 2013
Slides apéri tic e securite 10 2013
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
Cours_S_I.pdf Cours_S_I. SECURITE INFORMATIQUE COURS TRÈS INTÉRESSANT POUR LE...
 

Dernier

memoire_soutenance_KOISONN_MANES_MANA_AL.pdf
memoire_soutenance_KOISONN_MANES_MANA_AL.pdfmemoire_soutenance_KOISONN_MANES_MANA_AL.pdf
memoire_soutenance_KOISONN_MANES_MANA_AL.pdf
boukardanzha
 
Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...
Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...
Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...
idelewebmestre
 
BeeBOP diaporama webinaire : Et si l’IA permettait de compléter l’observatio...
BeeBOP diaporama webinaire : Et si l’IA permettait de compléter l’observatio...BeeBOP diaporama webinaire : Et si l’IA permettait de compléter l’observatio...
BeeBOP diaporama webinaire : Et si l’IA permettait de compléter l’observatio...
Institut de l'Elevage - Idele
 
JTC 2024 - Atelier APaChe-Pâturage des arbres par les chèvres
JTC 2024 - Atelier APaChe-Pâturage des arbres par les chèvresJTC 2024 - Atelier APaChe-Pâturage des arbres par les chèvres
JTC 2024 - Atelier APaChe-Pâturage des arbres par les chèvres
Institut de l'Elevage - Idele
 
JTC_2024_TC Bâtiment et bien-être estival.pdf
JTC_2024_TC Bâtiment et bien-être estival.pdfJTC_2024_TC Bâtiment et bien-être estival.pdf
JTC_2024_TC Bâtiment et bien-être estival.pdf
idelewebmestre
 
Présentation_Soirée-Information_ St-Eugène.pptx
Présentation_Soirée-Information_ St-Eugène.pptxPrésentation_Soirée-Information_ St-Eugène.pptx
Présentation_Soirée-Information_ St-Eugène.pptx
Ville de Châteauguay
 
JTC 2024 - Approche collective de la santé
JTC 2024 - Approche collective de la santéJTC 2024 - Approche collective de la santé
JTC 2024 - Approche collective de la santé
Institut de l'Elevage - Idele
 
RAPPORT DE STAGE sur CHANTIER BTP (by BR Engineering ) (1) (1).pdf
RAPPORT DE STAGE sur CHANTIER BTP (by BR Engineering ) (1) (1).pdfRAPPORT DE STAGE sur CHANTIER BTP (by BR Engineering ) (1) (1).pdf
RAPPORT DE STAGE sur CHANTIER BTP (by BR Engineering ) (1) (1).pdf
fatima413951
 
JTC 2024 - Pour une traite de qualité, mieux comprendre l’interface trayon-ma...
JTC 2024 - Pour une traite de qualité, mieux comprendre l’interface trayon-ma...JTC 2024 - Pour une traite de qualité, mieux comprendre l’interface trayon-ma...
JTC 2024 - Pour une traite de qualité, mieux comprendre l’interface trayon-ma...
Institut de l'Elevage - Idele
 
01-La génétique s’adapte à la demande de la filière ovine
01-La génétique s’adapte à la demande de la filière ovine01-La génétique s’adapte à la demande de la filière ovine
01-La génétique s’adapte à la demande de la filière ovine
Institut de l'Elevage - Idele
 
05-La génétique, un levier majeur pour les enjeux à venir
05-La génétique, un levier majeur pour les enjeux à venir05-La génétique, un levier majeur pour les enjeux à venir
05-La génétique, un levier majeur pour les enjeux à venir
Institut de l'Elevage - Idele
 
2024 03 27 JTC actualités C Perrot (idele).pdf
2024 03 27 JTC actualités C Perrot (idele).pdf2024 03 27 JTC actualités C Perrot (idele).pdf
2024 03 27 JTC actualités C Perrot (idele).pdf
idelewebmestre
 
Presentation ing 1 pour le soutnance .pptx
Presentation ing 1 pour le soutnance .pptxPresentation ing 1 pour le soutnance .pptx
Presentation ing 1 pour le soutnance .pptx
mohamedbnkh22
 
JTC 2024 - Actualités sur le bien-être animal
JTC 2024 - Actualités sur le bien-être animalJTC 2024 - Actualités sur le bien-être animal
JTC 2024 - Actualités sur le bien-être animal
Institut de l'Elevage - Idele
 

Dernier (14)

memoire_soutenance_KOISONN_MANES_MANA_AL.pdf
memoire_soutenance_KOISONN_MANES_MANA_AL.pdfmemoire_soutenance_KOISONN_MANES_MANA_AL.pdf
memoire_soutenance_KOISONN_MANES_MANA_AL.pdf
 
Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...
Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...
Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...
 
BeeBOP diaporama webinaire : Et si l’IA permettait de compléter l’observatio...
BeeBOP diaporama webinaire : Et si l’IA permettait de compléter l’observatio...BeeBOP diaporama webinaire : Et si l’IA permettait de compléter l’observatio...
BeeBOP diaporama webinaire : Et si l’IA permettait de compléter l’observatio...
 
JTC 2024 - Atelier APaChe-Pâturage des arbres par les chèvres
JTC 2024 - Atelier APaChe-Pâturage des arbres par les chèvresJTC 2024 - Atelier APaChe-Pâturage des arbres par les chèvres
JTC 2024 - Atelier APaChe-Pâturage des arbres par les chèvres
 
JTC_2024_TC Bâtiment et bien-être estival.pdf
JTC_2024_TC Bâtiment et bien-être estival.pdfJTC_2024_TC Bâtiment et bien-être estival.pdf
JTC_2024_TC Bâtiment et bien-être estival.pdf
 
Présentation_Soirée-Information_ St-Eugène.pptx
Présentation_Soirée-Information_ St-Eugène.pptxPrésentation_Soirée-Information_ St-Eugène.pptx
Présentation_Soirée-Information_ St-Eugène.pptx
 
JTC 2024 - Approche collective de la santé
JTC 2024 - Approche collective de la santéJTC 2024 - Approche collective de la santé
JTC 2024 - Approche collective de la santé
 
RAPPORT DE STAGE sur CHANTIER BTP (by BR Engineering ) (1) (1).pdf
RAPPORT DE STAGE sur CHANTIER BTP (by BR Engineering ) (1) (1).pdfRAPPORT DE STAGE sur CHANTIER BTP (by BR Engineering ) (1) (1).pdf
RAPPORT DE STAGE sur CHANTIER BTP (by BR Engineering ) (1) (1).pdf
 
JTC 2024 - Pour une traite de qualité, mieux comprendre l’interface trayon-ma...
JTC 2024 - Pour une traite de qualité, mieux comprendre l’interface trayon-ma...JTC 2024 - Pour une traite de qualité, mieux comprendre l’interface trayon-ma...
JTC 2024 - Pour une traite de qualité, mieux comprendre l’interface trayon-ma...
 
01-La génétique s’adapte à la demande de la filière ovine
01-La génétique s’adapte à la demande de la filière ovine01-La génétique s’adapte à la demande de la filière ovine
01-La génétique s’adapte à la demande de la filière ovine
 
05-La génétique, un levier majeur pour les enjeux à venir
05-La génétique, un levier majeur pour les enjeux à venir05-La génétique, un levier majeur pour les enjeux à venir
05-La génétique, un levier majeur pour les enjeux à venir
 
2024 03 27 JTC actualités C Perrot (idele).pdf
2024 03 27 JTC actualités C Perrot (idele).pdf2024 03 27 JTC actualités C Perrot (idele).pdf
2024 03 27 JTC actualités C Perrot (idele).pdf
 
Presentation ing 1 pour le soutnance .pptx
Presentation ing 1 pour le soutnance .pptxPresentation ing 1 pour le soutnance .pptx
Presentation ing 1 pour le soutnance .pptx
 
JTC 2024 - Actualités sur le bien-être animal
JTC 2024 - Actualités sur le bien-être animalJTC 2024 - Actualités sur le bien-être animal
JTC 2024 - Actualités sur le bien-être animal
 

cours-2 - ETUDES DES RISQUES LIES A LA SECURITE DES SI_.pdf

  • 1. Cours 2 : Sécurité des systèmes d’informations DR. KAMENI ÉRIC DÉSIRE 1
  • 2. 1- OBJECTIFS  Acquérir une vision globale de la sécurité d'un système d'information.  Comprendre les enjeux actuels en matière de sécurité et analyser les risques, la sécurité des systèmes informatiques (postes et serveurs).  Apprendre les méthodes et moyens de sécuriser le système d'information d'un réseau informatique . 2
  • 3. 3 CHAPITRE 2 : ETUDES DES RISQUES LIES A LA SECURITE DES SI
  • 4. PLAN  INTRODUCTION  TYPOLOGIE DES RISQUES EN SI  GESTION DES RISQUES EN SI 4
  • 5. INTRODUCTION  Les coûts d’un SI peuvent être élevés et ceux de la sécurité  Nécessité de réaliser une analyse de risque en prenant soin d'identifier les problèmes potentiels avec les solutions avec les coûts associés  Organiser l'ensemble des solutions retenues sous forme d'une politique de sécurité cohérente en fonction du niveau de tolérance au risque.  Obtenir la liste de ce qui doit être protéger 5
  • 6. INTRODUCTION  les principaux risques restent : câble arraché, coupure secteur, crash disque, mauvais profil utilisateur …  Eléments pouvant servir de base à une étude de risque :  Quelle est la valeur des équipements, des logiciels et surtout des informations ?  Quel est le coût et le délai de remplacement ?  Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau (programmes d'analyse des paquets, logs…).  Quel serait limpact sur la clientèle d'une information publique concernant des intrusions sur les ordinateurs de la société ? 6
  • 7. INTRODUCTION  la sécurité est un compromis entre coûts, risques et contraintes  On comprendra mieux le poids d’un risque en se fiant à la formule suivante :  Risque : C'est la probabilité qu’une menace exploite une vulnérabilité. Autrement dit, c’est une possibilité qu’un fait dommageable se produise.  Vulnérabilité : C'est une faiblesse inhérente à un système (software ou hardware). Appelée parfois faille ou brèche, elle représente le niveau d'exposition face à la menace dans un contexte particulier.  Menace : c'est le danger (interne ou externe) tel qu’un hacker, un virus, etc.  Contre-mesure : c'est un moyen permettant de réduire le risque dans une organisation. 7
  • 8. INTRODUCTION  Conséquences de la formule:  Le risque est d’autant plus réduit que les contre-mesures sont nombreuses ;  Le risque est plus important si les vulnérabilités sont nombreuses. 8
  • 9. INTRODUCTION  L’utilisation de l’outil informatique est susceptible d’exposer à plusieurs risques dont les effets peuvent avoir des conséquences négligeables ou catastrophiques :  Le traitement informatique en cours échoue : il suffit de le relancer, éventuellement par une autre méthode si on craint que la cause ne réapparaisse ;  L’incident est bloquant et on doit procéder à une réparation ou une correction avant de poursuivre le travail entrepris. 9
  • 10. INTRODUCTION  Ces mêmes incidents peuvent avoir des conséquences beaucoup plus fâcheuses :  Données irrémédiablement perdues ou altérées, ce qui les rend inexploitables par la suite ;  Données ou traitements durablement indisponibles, pouvant entrainer l’arrêt D’une production ou d’un service ;  Divulgation d’informations confidentielles ou erronées pouvant profiter à des sociétés concurrentes ou nuire à l’image de marque de l’entreprise ;  Déclenchement d’actions pouvant provoquer des accidents physiques ou induire des humains. 10
  • 11. TYPOLOGIE DES RISQUES EN SI RISQUES HUMAINS  RISQUES MATERIELS 11
  • 12. TYPOLOGIE DES RISQUES EN SI RISQUES HUMAINS  La maladresse – commettre des erreurs ou exécuter de traitement non souhaité, ou effacer involontairement des données ou des programmes,  L’inconscience et l’ignorance – introduire des programmes malveillants sans le savoir  La malveillance – ces dernières années, il est impossible d’ignorer les différents problèmes de virus et des vers.  L’ingénierie sociale  L’espionnage – surtout industriel, emploie les même moyens, ainsi que bien d’autres, pour obtenir des informations sur des activités concurrentes 12
  • 13. TYPOLOGIE DES RISQUES EN SI RISQUES MATERIELS  Les incidents liés au matériel – défauts de fabrication.  Les incidents liés au logiciel – ce sont les plus fréquents. Les systèmes d’exploitation et les programmes sont de plus en plus complexes car ils font de plus en plus de choses.  Les incidents liés à l’environnement –variations de températures ou de l’humidité ainsi qu’aux champs électromagnétiques. 13
  • 14. GESTION DES RISQUES DES SI  La gestion des risques consiste en trois actions majeures : Etudier les risques potentiels (identifier/mettre au jour ces risques) ; Imposer des règles de sécurité adéquates pour réduire ces risques ; Formation des utilisateurs. 14
  • 15. GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Définition de l’environnement - Définition des acteurs et leurs intérêts ; Importance de la sécurité dans la stratégie de l‟entreprise ; Type de données impliquées ; Visibilité extérieure de la sécurité (importance pour la clientèle, le public).  Etude des menaces - Identifier la nature de la menace: accidentelles (désastre, bugs…) ou intentionnelles (attaques, vols…) ; S'enquérir des sources de la menace: personnel non autorisé, intrus, logiciel ; Localiser la menace : procédures manuelles, informatique (software, réseau, stockage, hardware), infrastructure (concrète et abstraite). 15
  • 16. GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Etude des vulnérabilités - Etudes des faiblesses engendrées par l’exécution d’une menace.  Etude des risques - Probabilité d’occurrence de ces menaces conduisant à une vulnérabilité.  Estimation du risque et du plan stratégique - Risque (Coût des pertes à court, moyen et long terme engendrées, Coût de la mise en place de la contre-mesure tant au niveau logique que logistique, Comparer la perte potentielle au coût de la contre-mesure) ; Plan stratégique (Planning de l’implémentation avec prise en compte des besoins futurs en termes de sécurité ou non, Planning du suivi de l’implémentation). 16
  • 17. GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Mise en place du plan de sécurité- la mise en œuvre s'effectue en quatre phases: Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ; Elaborer des règles et des procédures à mettre en œuvre dans les différents services de l'organisation pour les risques identifiés ;  Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés ; Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace. 17
  • 18. GESTION DES RISQUES DES SI 1- ETUDIER LES RISQUES POTENTIELS  Audit de sécurité - L'audit de sécurité consiste à s'appuyer sur un tiers de confiance (de préférence une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre, au regard de la politique de sécurité. 18
  • 19. GESTION DES RISQUES DES SI 2- IMPOSER DES RÈGLES DE SÉCURITÉ ADÉQUATES Des règles administratives - Suivre des standards de sécurité (normes ISO) ; Suivre les lois. Des règles physiques - Gardes, caméras, alarmes, verrous et Accès aux locaux sécurisés par biométrie. Des règles techniques - Déterminer des niveaux de classification des données ; Définir des niveaux d’accès à ces données ; Utiliser la cryptographie pour le traitement et le stockage de l’information ; Mettre en place un firewall matériel et/ou logiciel, ... 19
  • 20. GESTION DES RISQUES DES SI 3- FORMATION DES UTILISATEURS  L’utilisateur ne connait pas les risques engendrés par la conservation de la liste des mots de passe utilisés à coté de l’ordinateur ; Il est souvent plus simple de s’introduire dans l’ordinateur de l’utilisateur afin de retrouver le texte en clair (hacking, vol, . . . ) ;  Il est possible de l’espionner, le pousser à la délation, pratiquer le shoulder-surfing ou tout autre technique dite de “social engineering”, ... 20
  • 21. GESTION DES RISQUES DES SI 3- FORMATION DES UTILISATEURS  Il y a également plusieurs manières de réagir à un risque, des plus « sûres » aux plus inconscientes : Transférer les risques à une compagnie d’assurances ; Réduire les risques en implémentant des contre-mesures qui peuvent être :  Dissuasives : empêcher une attaque ;  Préventives : faire échouer une attaque ;  Correctrices : réduire les dommages causés par une attaque ;  Ignorer/Négliger les risques ;  Accepter les risques si les contre-mesures sont trop onéreuses 21