DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...

Dimension: px
Commencer à balayer dès la page:

Download "DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION..."

Transcription

1 Table des matières CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 CONCEPTION... 3 RÉALISATION... 3 ÉVALUATION ET CONTRÔLE... 3 AMÉLIORATION... 3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...3 LA PROTECTION DU POSTE DE TRAVAIL...3 Contrôle d'accès...3 SSO : Single Sign On...4 Anti-Virus...4 PROTECTION DU RÉSEAU LOCAL... 5 Serveur mandataire...5 Système Pare-feu ou Firewall...5 DMZ - Zone démilitarisée...5 Réseau Privé Virtuel (RPV)...6 NORMES ET MÉTHODES POUR SÉCURISER UN SI...6 NORME ISO 2700X... 6 Déclaration d Applicabilité...7 Principe de l'amélioration continue : modèle PDCA...8 MÉTHODE EBIOS... 8 MÉTHODE MEHARI... 9 RÉFÉRENTIEL COBIT PLANS D'ACTIVITÉS...10 PRA : Plan de Reprise d'activité...10 RTO : Recovery Time Objective...10 RPO : Recovery Point Objective...11 PCA - PCS...11 PCO...11 PCI - PSI /11 07-COURS_MSI_Securite_SI

2 Carte heuristique 2/11 07-COURS_MSI_Securite_SI

3 Politique de Sécurité A partir de l'analyse des risques, il faut définir le niveau d'exigence acceptable pour l'entreprise. Pour réduire les risques, on agit sur les vulnérabilités, ou on essaie de réduire l impact qu aurait l exploitation d une de ces vulnérabilités par une menace. Pour réduire l impact il faut mettre en place des mesures préventives et les coordonner dans le cadre d'une politique de sécurité. Conception Politique de sécurité L'étape de démarrage consiste à : s'assurer que le périmètre et le contexte du futur système sont correctement définis ; identifier, évaluer les risques et développer un plan permettant de les gérer ; rédiger un manuel de sécurité ; désigner une personne chargée de définir la politique de sécurité. Réalisation L étape de réalisation consiste principalement à appliquer les politiques définies dans le manuel de sécurité en : implantant les mesures techniques préventives ; en sensibilisant Direction et Employés. Évaluation et Contrôle Les systèmes d évaluation doivent avoir été décrits dans le manuel de sécurité. L objectif consiste à s assurer que les procédures mises en place fonctionnent comme prévu. Ces évaluations peuvent être de plusieurs types : vérifications régulières faites dans le cadre des activités quotidiennes ; contrôles automatiques réalisés avec des outils logiciels permettant de créer des rapports ; comparaison avec les autres organisations ; réalisation d audits formels planifiés (risk assessment) ; révision par la direction. Si les évaluations et les contrôles révèlent que certaines procédures sont inadéquates, il faut entreprendre des actions correctives. Amélioration Les actions qui auront été décidées à l étape précédente devront être mises en œuvre soit : au niveau du système de sécurité proprement dit, comme par exemple en nommant un(nouveau) responsable pour tout ou partie du système; au niveau des procédures opérationnelles qui en auront été déduites, comme par exemple par la mise en œuvre d une procédure de sauvegarde de données différentes (et évidemment plus adaptée); au niveau des outils, comme par exemple par l achat d un outil anti-virus. Les dispositifs techniques de protection La protection du poste de travail Contrôle d'accès L'authentification demeure indispensable pour effectuer un contrôle d'accès fiable portant sur l'identité des usagers des services. Le mécanisme le plus couramment employé consiste à associer un mot de passe à l'identifiant d'une personne. Qualités d'un mot de passe 1. longueur comprise entre 6 et 8 caractères ; 3/11 07-COURS_MSI_Securite_SI

4 2. mot n'appartenant pas à un dictionnaire ; 3. mélange de chiffres, de lettres (minuscules et majuscules)et de caractères spéciaux «gilles» est un mauvais mot de passe. «G1i*l;e!» est un mot de passe sécuritaire Un mot de passe doit être changé fréquemment Pour vérifier l'identité de l'utilisateur, on aura de plus en plus recours à la biométrie ( empreinte digitale, reconnaissance du visage, reconnaissance de l'iris, ADN) SSO : Single Sign On Les services numériques accessibles par le web (intranet, courrier électronique, forums, agendas, applications spécifiques) se sont multipliés en quelques années. Chacun de ces services nécessitent une authentification. L'utilisation de techniques de synchronisation entre domaines d'authentification hétérogènes, permet la mise en oeuvre d'un compte unique (login / mot de passe) pour chaque utilisateur. La sécurisation de l'authentification devient donc primordiale. Il est également fortement souhaitable que les applications n'aient pas connaissance du mot de passe. Les mécanismes de SSO permettent l'authentification unique, utilisent des techniques assez semblables, à savoir : une centralisation de l'authentification sur un serveur qui est le seul à recueillir les mots de passe des utilisateurs, à travers un canal chiffré ; des redirections HTTP transparentes du navigateur client, depuis les applications vers le serveur d authentification, puis du serveur vers les applications. le passage d informations entre le serveur d authentification et les applications à l aide de cookies et/ou de paramètres CGI de requêtes HTTP (GET ou POST) Anti-Virus Implantation d'un serveur CAS (Central Authentication Service) Un logiciel antivirus fonctionne selon 2 modes : Si l utilisateur n'est pas déjà authentifié auprès du serveur CAS avant d'accéder à une ressource, son navigateur est redirigé vers le serveur CAS, qui lui propose un formulaire d'authentification. Lors de la soumission du formulaire par le navigateur au serveur CAS, si les informations fournies sont correctes, le serveur CAS délivre un «Ticket» au client, qui lui permettra ultérieurement de ne pas avoir à se ré-authentifier ; Le «Ticket» est le passeport de l utilisateur auprès d'un client CAS. Il est non re-jouable (ne peut être présenté qu'une seule fois au serveur CAS), limité à un seul client CAS et sa durée de vie est très limitée dans le temps (quelques secondes) le mode statique : l'antivirus n'est actif que lorsque l'utilisateur le déclenche. Le mode dynamique : l'antivirus est «résident» et surveille en permanence l'activité du système d'exploitation, du réseau et de l'utilisateur. Quel que soit son mode de fonctionnement, l'antivirus peut utiliser deux techniques : Recherche de signatures : un virus est caractérisé par une suite de bits (signature) consignés dans des bases de données. Avantage : très efficace sur des virus connus ; Inconvénient : nécessite une mise à jour très fréquente de la base des signatures 4/11 07-COURS_MSI_Securite_SI

5 Analyse heuristique : consiste à étudier des règles, des stratégies en vue d'étudier le comportement d'un programme. Avantage : peut détecter des virus encore inconnus Inconvénient : génère de nombreuses fausses alertes. Protection du réseau local Pour isoler un réseau local de l'extérieur il faut mettre en oeuvre un garde Barrière qui conjugue la combinaison de 2 applications logicielles, un serveur mandataire(proxy) d'une part et un pare-feu (firewall) d'autre part. Serveur mandataire Un serveur mandataire est une application qui sert d'intermédiaire entre un client et un serveur. Le client envoie sa requête au mandataire, qui la réémet en direction du serveur concerné. De même, la réponse du serveur est reçue par le mandataire qui la retransmet au client. Un proxy peut être configuré pour filtrer les requêtes. Un serveur mandataire assure les fonctions suivantes : Mémoriser les dernières pages consultées sur le Net ; Garder une trace des requêtes ; Analyser le contenu des documents pour détecter d'éventuels virus ; Restreindre les accès de l'intérieur (du LAN vers Internet) : autoriser ou interdire l'accès à certains services d'internet pour certains utilisateurs. Interdire l'accès à certains sites Web selon certains critères (adresse IP, mots clès...) Interdire à tous les employés de consulter les sites contenant le mot clé «sexe». Système Pare-feu ou Firewall Un pare feu est un équipement conçu pour empêcher des individus extérieurs d accéder au Réseau Local. Un système pare-feu fait office de point d entrée sur un site, évalue les demandes de connexion à mesure qu il les reçoit. Il traite seulement celles qui proviennent de machines autorisées et supprime les requêtes en provenance des autres. La majorité des système pare-feu procèdent par filtrage de l adresse de source. Autoriser les ordinateurs extérieurs (quelle que soit leur adresse IP) à accéder au serveur Web de la zone démilitarisée. Autoriser les ordinateurs du réseau local à accéder aux serveurs web extérieurs Autoriser les ordinateurs du réseau local à accéder aux services de messagerie électroniques Interdire tous les autres services d'internet. DMZ - Zone démilitarisée La «zone démilitarisée» (DMZ) est un réseau intermédiaire tampon dans laquelle peuvent être installés les ordinateurs et applications devant pouvoir être accessibles à partir d'internet (les serveurs de services FTP et de pages WWW, par exemple). Cette technique permet de différencier les données confidentielles et sensibles, présentes sur le réseau local, des données «publiques» de l'entreprise. 5/11 07-COURS_MSI_Securite_SI

6 Réseau Privé Virtuel (RPV) Le Réseau Privé Virtuel (en anglais on parle de Virtual Private Network (VPN) est une solution technique qui assure l'authentification et la confidentialité des données échangées entre sites distants utilisant internet comme moyen de transmission. Dans le schéma suivant l'entreprise A possède un établissement distant avec lequel elle communique en utilisant Internet. Un commercial itinérant est doté d'un ordinateur portable et via Internet doit pouvoir accéder à la base de données du siège social. Cette entreprise A veut échanger des données (devis, factures...) avec une entreprise partenaire (entreprise B). Comme les données circulant sur Internet sont transmises en clair, les administrateurs réseau de l'entreprise A, vont paramétrer la fonction VPN sur les systèmes d'exploitation des serveurs et des postes de travail concernés. Si les postes sont utilisés par les salariés de l'entreprise A, on parlera d'intranet. Une coopération technique sera nécessaire pour paramétrer le VPN entre l'entreprise A et l'entreprise B. Cette liaison sécurisée (chiffrement des données transmises sur le réseau) sera désigné sous le terme d'extranet. Lorsqu'on établit une liaison sécurisée entre 2 machines distances en passant par Internet, on parle de tunnel VPN. Normes et Méthodes pour sécuriser un SI La démarche de sécurisation du système d'information doit passer par 4 étapes de définition : 1. périmètre à protéger (liste des biens sensibles) ; 2. nature des menaces ; 3. impact sur le système d'information ; 4. mesures de protection à mettre en place. Norme ISO 2700x La norme ISO/CEI est une norme internationale concernant la sécurité de l'information, publiée en 2005 par l'iso, dont le titre en français est Code de bonnes pratiques pour la gestion de la sécurité de l'information. L'ISO/CEI est un ensemble de 133 mesures dites «best practices» (bonnes pratiques en français), répartis en 11 domaines ; destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité de l'information (SMSI). La sécurité de l'information est définie au sein de la norme comme la «préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information». 6/11 07-COURS_MSI_Securite_SI

7 Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiques normalisées dans ses relations avec un client. 1. Politique de sécurité 2. Organisation de la sécurité : organisation humaine, implication hiérarchique, notion de propriétaire d une information et mode de classification, évaluation des nouvelles informations, mode d accès aux informations par une tierce partie, cas de l externalisation des informations. 3. Classification et contrôle des biens 4. Sécurité du personnel 5. Sécurité physique organisation des locaux et des accès, protection contre les risques physiques (incendies, inondations...) systèmes de surveillance et d alerte, sécurité des locaux ouverts et des documents circulant. 6. Communication et exploitation: prise en compte de la sécurité dans les procédures de l entreprise, mise en œuvre des systèmes de sécurisation (anti-virus, alarmes..), 7. Contrôle d'accès: définition des niveaux d utilisateurs et de leur droit d accès, gestion dans le temps des droits, 8. Acquisition, développement et maintenance des systèmes 9. Gestion des incidents 10. Management de la continuité de service 11. Conformité: dispositions réglementaires dispositions légales dispositions internes (Politique) La norme comprend 6 domaines de processus : 1. Définir une politique de la sécurité des informations, 2. Définir le périmètre du Système de Management de la sécurité de l'information, 3. Réaliser une évaluation des risques liés à la sécurité, 4. Gérer les risques identifiés, 5. Choisir et mettre en oeuvre les contrôles, 6. Préparer un SoA ( "statement of applicability") ou Déclaration d Applicabilité (DdA) : Déclaration documentée décrivant les objectifs de sécurité, ainsi que les mesures appropriées et applicables au SMSI d'un organisme.» Déclaration d Applicabilité Une DdA doit inclure les informations suivantes : 1) les objectifs de sécurité et les mesures de sécurité sélectionnés et les raisons pour lesquelles ils ont été sélectionnés ; 2) les objectifs de sécurité et les mesures de sécurité actuellement mis en œuvre; 7/11 07-COURS_MSI_Securite_SI

8 3) l'exclusion des objectifs de sécurité et des mesures de sécurité spécifiés à l'annexe A et la justification de leur exclusion. Une note précise que la DdA fournit un résumé des décisions concernant le traitement du risque et que la justification des exclusions prévoit une contre-vérification qui permet d'assurer qu'aucune mesure n'a été omise par inadvertance. Formalisme d une Déclaration d Applicabilité La forme n est pas réellement imposée par le standard. On trouvera généralement les éléments suivants : Objectifs de sécurité et Mesures appropriées et applicables Tirés de l Annexe A de l ISO27001 ou d autres sources (référentiel national, référentiel interne, ) Leur statut Sélection ou exclusion Leur état de mise en œuvre par exemple : «cible» et «opérationnel» Comme ISO 9000, l ISO porte moins sur l efficacité des dispositions mises en place, que sur leur existence, et la mise en place d une boucle d amélioration (PDCA). Principe de l'amélioration continue : modèle PDCA Pour garantir que la sécurité reste optimale au fil du temps, la norme BS 7799 utilise le principe de l'amélioration continue suivant le modèle PDCA qui se définit en 4 étapes récurrentes : Plan : planifier, Do : mettre en œuvre, Check : vérifier, Act : améliorer. Après la définition des objectifs, des actions sont entreprises pour les atteindre. Ensuite, on vérifie la bonne qualité des résultats, puis on se fixe de nouveaux objectifs pour être toujours totalement efficace. Méthode EBIOS EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode établie par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'information) pour identifier les 8/11 07-COURS_MSI_Securite_SI

9 besoins de sécurité d'un système d'information. La DCSSI la présente comme un outil d'arbitrage au sein des directions générales. Elle s'organise en 4 étapes principales : étude du contexte expression des besoins étude des risques identification des objectifs de sécurité Elle se présente sous la forme d'une brochure téléchargeable et d'un logiciel dont l'obtention est gratuite. EBIOS s'intéresse à tous les types de risques : incendie, dégâts des eaux pollution accidents majeurs phénomène climatique, sismique, volcanique, météorologique, crue défaillance de la climatisation perte d'alimentation énergétique, des moyens de télécommunications rayonnements électromagnétiques, thermiques impulsions électromagnétiques (iem) interception de signaux parasites compromettants espionnage à distance, écoute passive vol de supports ou de documents, vol de matériels divulgation interne, divulgation externe panne matérielle, dysfonctionnement matériel, saturation du matériel dysfonctionnement logiciel destruction de matériels atteinte à la maintenabilité du système d'information informations sans garantie de l'origine piégeage du matériel utilisation illicite des matériels altération du logiciel, piégeage du logiciel copie frauduleuse de logiciels, utilisation de logiciels contrefaits ou copiés altération des données abus de droit, usurpation de droit reniement d'actions fraude atteinte à la disponibilité du personnel Méthode MEHARI La méthode MEHARI (MEthode Harmonisée d'analyse de RIsques) est proposée par le CLUSIF (Club de la Sécurité des Systèmes d'information Français). 9/11 07-COURS_MSI_Securite_SI

10 Elle est destinée à permettre l'évaluation des risques mais également le contrôle et la gestion de la sécurité de l'entreprise sur court, moyen et long terme, quelle que soit la répartition géographique du système d'information. La méthode MEHARI s'articule sur 3 types de plans : le PSS (Plan Stratégique de Sécurité) qui fixe les objectifs de sécurité et les métriques et qualifie le niveau de gravité des risques encourus, les POS (Plans Opérationnels de Sécurité) qui déterminent, par site ou entité géographique, les mesures de sécurité à mettre en place, tout en assurant la cohérence des actions choisies. le POE (Plan Opérationnel d'entreprise) qui permet le pilotage de la sécurité au niveau stratégique par la mise en place d'indicateurs et la remontée d'informations sur les scénarios les plus critiques. MEHARI remplace MARION, qui n'est plus développée. Référentiel COBIT Le référentiel de gouvernance des systèmes d'information COBIT couvre une bonne partie des domaines de l'iso 2700x. COBIT étant à vocation plus large, il gère l'information au travers un grand nombre de "critères" : Efficacité, Efficience, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité. Plans d'activités PCA PCS : Plan de Continuité d'activité ou de service assure la bonne marche d'un ou plusieurs processus vitaux de l'entreprise Avantages pallier les dysfonctionnements d'une application ou d'un défaillance matérielle limiter la perte de données au minimum acceptable par l'entreprise 10/11 07-COURS_MSI_Securite_SI

11 Offre mature et diversifiée pour les serveurs en grappe et les serveurs haute disponibilité Repose sur une architecture réservée au données faisant appel au SAN Storage Area Network Accès bas niveau aux disques mutualisation des ressources de stockage Inconvénients Coût pour atteindre la continuité de service est élevé Ne protège pas contre un sinistre majeur (incendie, explosion...) Etapes clés Nomination d'un chef de projet indépendant de la DSI Audit des activités critiques de l'entreprise Réalisation d'un document de synthèse Validation des niveaux d'exigence Elaboration d'un cahier des charges Choix d'un prestataire Formalisation du plan Phase de test et maintenance PCO : Plan de continuité organisationnel garantir la survie de l'entreprise PCI PSI : Plan de Continuité (Secours) Informatique vise à garantir le service minimum requis pour les SI PRA : Plan de Reprise d'activité doit assurer le démarrage des applications et des processus clés de l'entreprise Indicateurs RTO : Recovery Time Objective durée maximale d'interruption admissible Délai nécessaire entre l'arrêt de l'activité et la remise à disposition de l'informatique aux utilisateurs RPO : Recovery Point Objective durée maximum d'enregistrement des données qu'il est acceptable de perdre lors d'une panne degré de fraicheur des données Avantages Limitation dans le temps de l'indisponibilité des applications et de la perte de données Prévention des risques majeurs en assurant le basculement de tout ou partie du système informatique sur un site distant Inconvénients Demande un suivi régulier de processus Matériel et logiciel du site de secours évoluent avec le SI Système synchronisé limite la distance à 200 kms 11/11 07-COURS_MSI_Securite_SI

CLUB EBIOS réunion du 17 Janvier 2008 ISO 27001. Par Mauro ISRAEL certifié Lead Auditor ISO27001 mise à jour janvier 2008

CLUB EBIOS réunion du 17 Janvier 2008 ISO 27001. Par Mauro ISRAEL certifié Lead Auditor ISO27001 mise à jour janvier 2008 CLUB EBIOS réunion du 17 Janvier 2008 ISO 27001 Présentation & Caractéristiques Par Mauro ISRAEL certifié Lead Auditor ISO27001 mise à jour janvier 2008 1 ISO 27001 en 6 questions D où vient la norme ISO

Plus en détail

CARTE HEURISTIQUE... 1 LE RISQUE... 2 LES MENACES...

CARTE HEURISTIQUE... 1 LE RISQUE... 2 LES MENACES... Table des matières CARTE HEURISTIQUE... 1 LE RISQUE... 2 LES MENACES... 2 Les menaces non intentionnelles...2 Les menaces intentionnelles...3 LES CYBER DÉLINQUANTS... 4 Typologie...4 Motivation...5 L'ANALYSE

Plus en détail

Devenir Responsable de la sécurité des systèmes d'information (RSSI)

Devenir Responsable de la sécurité des systèmes d'information (RSSI) Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours

Plus en détail

Les normes de sécurité informatique

Les normes de sécurité informatique Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Quel audit de Sécurité dans quel contexte?

Quel audit de Sécurité dans quel contexte? Emplacement du logo client Quel audit de Sécurité dans quel contexte? Hervé Morizot (herve.morizot@solucom.fr) 09 avril 2002 Agenda Quel audit? Selon quelle démarche et avec quels outils? Une "stratégie

Plus en détail

DCG : UE8 Système d'information de Gestion

DCG : UE8 Système d'information de Gestion Table des matières CARTE HEURISTIQUE... 2 LE RISQUE... 3 LES MENACES... 3 Les menaces non intentionnelles...3 Les menaces intentionnelles...4 LES CYBER DÉLINQUANTS... 5 Typologie...5 Motivation...6 L'ANALYSE

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Principes de base et aspects techniques

Principes de base et aspects techniques HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO27001 / ISO27002 Principes de base et aspects techniques

Plus en détail

RESULTATS DE L'ANALYSE DES RISQUES SSI. Modèle de présentation pour les MOA Territoriales

RESULTATS DE L'ANALYSE DES RISQUES SSI. Modèle de présentation pour les MOA Territoriales RESULTATS DE L'ANALYSE DES RISQUES SSI Modèle de présentation pour les MOA Territoriales «ASIP Santé / Pôle Référentiels, Architecture et Sécurité» Identification du document Référence Outillage-Risques-SSI-V1.0.0

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004

MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous Direction des Opérations Bureau Conseil Élaboration de tableaux de bord SSI

Plus en détail

3 ème Concours de technicien de classe normale des systèmes d information et de communication. «Session 2009»

3 ème Concours de technicien de classe normale des systèmes d information et de communication. «Session 2009» 3 ème Concours de technicien de classe normale des systèmes d information et de communication «Session 2009» Meilleure copie "Etude de cas" Note : 11/20 Thème : réseaux de télécommunication et équipements

Plus en détail

SSI Sensibilisation à la sécurité de l'information**

SSI Sensibilisation à la sécurité de l'information** SSI Sensibilisation à la sécurité de l'information** Prérequis Compétence opérationnelle Objectifs d apprentissage Durée d apprentissage Connaissances de base en informatique Etre capable de comprendre

Plus en détail

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES SDTICE/SDITE Version : 1.0 - Date création : 09/01/09 1. Périmètre des S2i2e Les S2i2e ont pour objectif principal

Plus en détail

Claudie Maurin GSI 09/2013 1

Claudie Maurin GSI 09/2013 1 1 2 Internet : une architecture client/serveur Le serveur : fournisseur de données Les données sont fournies par un ensemble de postes serveurs interconnectés qui abritent la base de données répartie à

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

Plan de Reprise d Activité (P.R.A.) CAHIER DES CHARGES P.R.A

Plan de Reprise d Activité (P.R.A.) CAHIER DES CHARGES P.R.A MARCHE : Plan de Reprise d Activité (P.R.A.) CAHIER DES CHARGES P.R.A ARTICLE 1. Description du cahier des charges Ce cahier des charges a pour objet le choix d un prestataire capable de fournir à RESSOURCES

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé

Plus en détail

Comment protéger ses systèmes d'information légalement et à moindre coût?

Comment protéger ses systèmes d'information légalement et à moindre coût? Se protéger légalement et à moindre coût. Comment protéger ses systèmes d'information légalement et à moindre coût? Thierry RAMARD Président d AGERIS Group SAS Président du Clusir Est mardi 19 juin 2012

Plus en détail

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires aujourd'hui. L'utilisation

Plus en détail

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible USERGATE PROXY & FIREWALL Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible ÉVENTAIL DES UTILISATIONS Internet représente une part significative des affaires

Plus en détail

Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques

Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques WIFI Le wifi est une technologie de réseau informatique sans fil mise en place pour fonctionner en réseau interne Utilisateur

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

Les risques HERVE SCHAUER HSC

Les risques HERVE SCHAUER HSC HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est

Plus en détail

Politique sur l utilisation à distance d un réseau privé virtuel (VPN)

Politique sur l utilisation à distance d un réseau privé virtuel (VPN) Politique sur l utilisation à distance d un réseau privé virtuel (VPN) 1.0 Objectif de la politique L objectif de la politique est de définir un standard pour accéder à distance aux systèmes de gestion

Plus en détail

Plan de secours. Marie-pascale Delamare d'après "Plan de continuité d'activité publié par le CLUSIF" LE PLAN DE CONTINUITÉ DE SERVICE (PCS)

Plan de secours. Marie-pascale Delamare d'après Plan de continuité d'activité publié par le CLUSIF LE PLAN DE CONTINUITÉ DE SERVICE (PCS) Plan de secours Un plan de continuité de service (PCS) contient à la fois un plan de secours informatique (PSI) et un plan de reprise d'activité (PRA). Avant de commencer une étude de Plan de Secours Informatique,

Plus en détail

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Découvrez Kaspersky Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Sommaire Pourquoi est-il important pour une TPE/PME d acquérir une protection efficace? Pages 04-05 10 idées reçues à

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Introduction à l'iso 27001

Introduction à l'iso 27001 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique

Plus en détail

CHARTE WIFI ET INTERNET

CHARTE WIFI ET INTERNET PAVILLON BLANC MÈDIATHÉQUE CENTRE D ART DE COLOMIERS CHARTE WIFI ET INTERNET MISSION : Le Pavillon Blanc Médiathèque Centre d Art de Colomiers a pour mission de permettre à tous ses visiteurs d accéder

Plus en détail

Un projet de PRA peut se découper en quatre phases :

Un projet de PRA peut se découper en quatre phases : Définition Le plan de continuité de service PCA est mis en place pour faire face à une situation de crise pouvant perturber ou interrompre l activité de l entreprise. Le PCA est donc l ensemble des procédures

Plus en détail

La sécurité informatique

La sécurité informatique Plusieurs risques peuvent affecter un système informatique : - Les risques accidentels : incendie, panne, catastrophes naturelles, - Les risques liés à des erreurs : d utilisation ou dans la conception

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Fiche de l'awt Qu'est-ce qu'un Intranet?

Fiche de l'awt Qu'est-ce qu'un Intranet? Fiche de l'awt Qu'est-ce qu'un Intranet? Présentation d'une ressource technologique indispensable aux entreprises: définition, utilité, composants, facteurs de réussite et schéma explicatif Créée le 15/04/00

Plus en détail

Sécurité informatique

Sécurité informatique Sécurité informatique Dominique PRESENT I.U.T. de Marne la Vallée Trois principaux risques menacent la PME Aujourd hui, les pannes des systèmes d information coûtent cher aux entreprises. Exemple : panne

Plus en détail

Les pare-feux : concepts

Les pare-feux : concepts Les pare-feux : concepts Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (2) 15 mai 2005 Diapositive N 1 /19 C'est quoi

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Sécurité informatique des PME

Sécurité informatique des PME Sécurité informatique des PME Dominique PRESENT I.U.T. de Marne la Vallée Trois principaux risques menacent la PME Aujourd hui, les pannes des systèmes d information coûtent cher aux entreprises. Exemple

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

ITIL Gestion de la continuité des services informatiques

ITIL Gestion de la continuité des services informatiques ITIL Gestion de la continuité des services informatiques Sommaire 1 GENERALITES 3 2 PRESENTATION DE LA PRESTATION 3 3 MODALITES DE LA PRESTATION 6 Page 2 1 Généralités Nous utilisons les meilleures pratiques

Plus en détail

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information

Plus en détail

Le Plan de Reprise d Activité Informatique & Le Plan de Continuité d Activité Informatique pour les PMI/PME. Sommaire

Le Plan de Reprise d Activité Informatique & Le Plan de Continuité d Activité Informatique pour les PMI/PME. Sommaire PRA PCA Océanis Le Plan de Reprise d Activité Informatique & Le Plan de Continuité d Activité Informatique pour les PMI/PME Sommaire Océanis : Qui sommes nous? Préambule : contexte, enjeux et objectif

Plus en détail

Référentiel de compétences en système d'information

Référentiel de compétences en système d'information ANTICIPER ET COMPRENDRE Référentiel de compétences en système d'information OCTOBRE 2013 Publication réalisée dans le cadre du programme national Hôpital numérique Métiers Management des soins Cadre responsable

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Administration, Sécurité : Quelques mots...

Administration, Sécurité : Quelques mots... Chapitre 9 1 Administration, Sécurité : Quelques mots... La sécurité dans les Réseaux 2 Risques et Menaces : vulnérabilité : degré d exposition à des dangers sensibilité : caractère stratégique d un élément

Plus en détail

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe

Plus en détail

Chapitre 10: Cryptographie et. Sécurité.

Chapitre 10: Cryptographie et. Sécurité. Chapitre 10: Cryptographie et L'objectif de ce chapitre: Sécurité. Décrire les différentes étapes de la définition et de la mise en place d'une politique globale de sécurité d'un réseau. Analyser l'intégration

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

RECUEIL POLITIQUE DES

RECUEIL POLITIQUE DES RECUEIL DES RÈGLES DE GESTION POLITIQUE DE GESTION INTÉGRÉE DES DOCUMENTS (PO-24) RECUEIL DES RÈGLES DE GESTION POLITIQUE DE GESTION INTÉGRÉE DES DOCUMENTS (PO-24) Adoptée par le Conseil d'administration

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

ITIL V2 Processus : La Gestion des Configurations

ITIL V2 Processus : La Gestion des Configurations ITIL V2 Processus : La Gestion des Configurations Auteur: Fabian PIAU, Master 2 MIAGE, Nantes La Gestion des Configurations est un processus issu d ITIL version 2 qui aide au soutien du service («Service

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité. Annexe 2 : sécurisation des échanges

Cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité. Annexe 2 : sécurisation des échanges Cahier des charges des dispositifs de télétransmission des actes Annexe 2 : sécurisation des échanges Page 2 / 7 1. OBJET DU DOCUMENT...3 2. PRINCIPES...3 3. SÉCURISATION DES DÉPÔTS DE FICHIERS SUR LES

Plus en détail

Les sauvegardes. dans une démarche de qualité de services. Françoise Gazelle. 2RCE - Nancy 9 décembre 2010

Les sauvegardes. dans une démarche de qualité de services. Françoise Gazelle. 2RCE - Nancy 9 décembre 2010 Reprise de s Les s dans une démarche de Françoise Gazelle 2RCE - Nancy 9 décembre 2010 Les s dans une démarche de Reprise de s 1 Présentation de l Institut 2 service informatique 3 4 : indicateurs de sécurité

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD3 Exercices Exercice 1 Enumérez les sept étapes du processus consistant à convertir les communications de l utilisateur en données. 1. L utilisateur entre les données via une interface matérielle.

Plus en détail

Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme

Plus en détail

Diplôme de technicien / Diplôme d'aptitude professionnelle. Technicien(ne) en informatique / Informaticien(ne) qualifié(e)

Diplôme de technicien / Diplôme d'aptitude professionnelle. Technicien(ne) en informatique / Informaticien(ne) qualifié(e) Profil professionnel du Diplôme de technicien / Diplôme d'aptitude professionnelle (ne) en informatique / Informaticien(ne) qualifié(e) Finalisé le /0/009 PROFIL PROFESSIONNEL (BERUFSPROFIL) Partie A a.

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

Objectifs et gestion de la sécurité

Objectifs et gestion de la sécurité INF4470 : Fiabilité et sécurité informatique Par Eric Gingras Hiver 2010 Objectifs et gestion de la sécurité Qu'est ce que la sécurité? «Situation où l'on a aucun danger à craindre.» (dictionnaire Larousse)

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

ISO 17799 la norme de la sécurité de l'information

ISO 17799 la norme de la sécurité de l'information ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

curité des TI : Comment accroître votre niveau de curité

curité des TI : Comment accroître votre niveau de curité La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Sécurité Informatique

Sécurité Informatique Sécurité : Sécurité informatique (Support de cours) R. MAHMOUDI (mahmoudr@esiee.fr) w 1 Sécurité Informatique Plan du cours - Introduction - Risques & Menaces - Vulnérabilités des réseaux - Firewall -

Plus en détail

s é c u r i t é Conférence animée par Christophe Blanchot

s é c u r i t é Conférence animée par Christophe Blanchot s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

3. Guide Technique Type de l «utilisateur»

3. Guide Technique Type de l «utilisateur» 3. Guide Technique Type de l «utilisateur» Sommaire 1. Préambule.......................... page 25 2. Champ d application................... page 25 3. Procédures de sécurité................. page 25 3.1

Plus en détail

La Continuité des Activités

La Continuité des Activités Caroline Fabre- Offering Manager BC&RS Ikbal Ltaief Consulting Manager BC&RS La Continuité des Activités Nouveaux enjeux, nouvelles technologies, nouvelles tendances Paris, le 9 juin 2010 Grandes entreprises

Plus en détail

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

La sécurité des Réseaux Partie 6.1 Les pare-feus

La sécurité des Réseaux Partie 6.1 Les pare-feus La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic

Plus en détail

LOGEON Vincent TSGERI 2011/2012

LOGEON Vincent TSGERI 2011/2012 LOGEON Vincent TSGERI 2011/2012 La sécurité informatique 1/12 Table des matières LA SECURITE...3 La biométrie...3 La sécurisation des accès physiques...5 La sécurité informatique :...6 Le travail sur ordinateur

Plus en détail

IBM Managed Security Services for Web Security

IBM Managed Security Services for Web Security Description des services 1. Nature des services IBM Managed Security Services for Web Security Les services IBM Managed Security Services for Web Security («MSS for Web Security») peuvent inclure : a.

Plus en détail

CHARTE INFORMATIQUE. Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself

CHARTE INFORMATIQUE. Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself CHARTE INFORMATIQUE Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself Ce texte, bien qu ayant un caractère réglementaire, est avant tout un code de bonne

Plus en détail

9 Sécurité et architecture informatique

9 Sécurité et architecture informatique 9 Sécurité et architecture informatique 1) Nom(s) du (des) système(s) d exploitation impliqués dans le traitement* : Windows Server 2008 R2 et CentOS 5 et 6. 2) Le système informatique est constitué :*

Plus en détail

Comment sécuriser les communications vers des tiers et des établissements partenaires?

Comment sécuriser les communications vers des tiers et des établissements partenaires? Comment sécuriser les communications vers des tiers et des établissements partenaires? Olivier Mazade Responsable Réseaux Centre Hospitalier Universitaire de Clermont Ferrand Xavier Hameroux Directeur

Plus en détail

GBP. «Guide de Bonnes Pratiques» organisationnelles pour les ASR dans les unités de recherche. Groupe de travail RESINFO

GBP. «Guide de Bonnes Pratiques» organisationnelles pour les ASR dans les unités de recherche. Groupe de travail RESINFO GBP «Guide de Bonnes Pratiques» organisationnelles pour les ASR dans les unités de recherche Groupe de travail RESINFO O. Brand-Foissac, L. Chardon, M. David, M. Libes, G. Requilé, A. Rivet 1 Plan Présentation

Plus en détail

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information Politique de sécurité de l information et des technologies Direction des systèmes et technologies de l information Adoptée par le conseil d administration le 17 février 2015 Responsable Document préparé

Plus en détail

La sécurité IT - Une précaution vitale pour votre entreprise

La sécurité IT - Une précaution vitale pour votre entreprise Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien

Plus en détail

Comment choisir les indicateurs ISO 27001

Comment choisir les indicateurs ISO 27001 Comment choisir les indicateurs ISO 27001 Alexandre Fernandez Alexandre Fernandez Introduction ISO 27001 Système de Management de la Sécurité de l'information 2 / 24 ISO 17799

Plus en détail

Mourad LOUKAM Département d Informatique-UHBC/Chlef. curité informatique : enjeux et perspectives

Mourad LOUKAM Département d Informatique-UHBC/Chlef. curité informatique : enjeux et perspectives Mourad LOUKAM Département d Informatique-UHBC/Chlef La sécurits curité informatique : enjeux et perspectives INFØDays 2010, UHBC/Chlef, 13 Avril 2010 1 Pour commencer 2 Cas du quotidien EChourouk Pour

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION

TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION Nous adaptons votre système d information à vos besoins LES SEMINAIRES INTERNATIONAUX DE MIWIS TOUT SAVOIR SUR LA SECURITE DES SYSTEMES D INFORMATION Saly, Sénégal : 19-20 21 et 22 Mars 2013 Hôtel Saly

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT LA SECURITE DU PATRIMOINE NUMERIQUE, DBB Groupe ICT Plan LA SECURITE DU PATRIMOINE NUMERIQUE, Le Patrimoine informationnel Menaces & Conséquences Responsabilité du Chef d Entreprise Comment répondre aux

Plus en détail

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks) Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks) TODARO Cédric Table des matières 1 De quoi s agit-il? 3 1.1 Introduction........................................... 3 1.2 Avantages............................................

Plus en détail