Management de la sécurité des technologies de l information



Documents pareils
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Stratégie nationale en matière de cyber sécurité

Politique de sécurité de l information

Les principes de la sécurité

Systèmes et réseaux d information et de communication

Outsourcing : la sauvegarde en ligne des données de l entreprise.

HySIO : l infogérance hybride avec le cloud sécurisé

s é c u r i t é Conférence animée par Christophe Blanchot

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

CHARTE INFORMATIQUE LGL

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

ÉNONCÉ DE PRINCIPES LE COMMERCE ÉLECTRONIQUE DES PRODUITS D ASSURANCE

L'infonuagique, les opportunités et les risques v.1

27 mars Sécurité ECNi. Présentation de la démarche sécurité

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

2012 / Excellence. Technicité. Sagesse

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

Politique de sécurité de l actif informationnel

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Charte de l'audit informatique du Groupe

Panorama général des normes et outils d audit. François VERGEZ AFAI

Livre blanc Compta La dématérialisation en comptabilité

Protection des infrastructures critiques vitales contre les cyber-attaques. Vers une culture de sécurité

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Sécurité informatique: introduction

Excellence. Technicité. Sagesse

Bibliographie. Gestion des risques

Malveillances Téléphoniques

CHARTE D ÉTHIQUE PROFESSIONNELLE DU GROUPE AFD

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Gestion de la sécurité de l information par la haute direction

Le management des risques de l entreprise Cadre de Référence. Synthèse

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Gestion du risque numérique

La sécurité informatique

CONDITIONS GENERALES

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Concilier mobilité et sécurité pour les postes nomades

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

CRM Assurance. Fonctionnalités clés. Vue globale de l assuré. Gestion des échanges en Multicanal

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Solution de sauvegarde pour flotte nomade

Economic Cyber Crime. Exigences minimales de prévention pour les PME. Romain Roubaty, novembre 2012

La politique de sécurité

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Atelier B 06. Les nouveaux risques de la cybercriminalité

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

BREVET DE TECHNICIEN SUPÉRIEUR INFORMATIQUE DE GESTION

Identité, sécurité et vie privée

La sécurité des systèmes d information

Dématérialisation fiscale des factures

ITIL V3. Les processus de la conception des services

THEORIE ET CAS PRATIQUES

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

ITIL V2. La gestion de la continuité des services des TI

LIGNE DIRECTRICE SUR LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

Règlement sur l utilisation et la gestion des actifs informationnels

La sécurité applicative

Qu est-ce qu un système d Information? 1

I partie : diagnostic et proposition de solutions

Situation actuelle : Sommaire d une recommandation Page 1 de 5

Union internationale des télécommunications. Guide de la cybersécurité pour les pays en développement

Atteindre la flexibilité métier grâce au data center agile

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

Des passionnés et des curieux avec un regard avisé et exigeant sur :

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Assurance et capital-investissement Directive AIFM et utilité de l assurance RC Professionnelle

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

INTERNET, quelles conséquences prudentielles?

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Signature électronique. Romain Kolb 31/10/2008

ITIL V3. Transition des services : Principes et politiques

Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com


1. La sécurité applicative

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive

Le projet collaboratif 2.0

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Vers un nouveau modèle de sécurité

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

Ne laissez pas le stockage cloud pénaliser votre retour sur investissement

La gestion des risques en entreprise de nouvelles dimensions

La sécurité IT - Une précaution vitale pour votre entreprise

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Transcription:

Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure une couche d isolation protectrice aux criminels. Il offre au crime la capacité à être automatisé, autorisant une réalisation à grande échelle, permettant d être commis à distance et avec des effets à retardement. La dématérialisation des acteurs, les accès à distance, un relatif anonymat, des problèmes de conception, de mise en œuvre, de gestion, associés aux pannes, erreurs, incompétences confèrent de facto un certain niveau d insécurité aux infrastructures numériques. La publication des listes de failles des systèmes et la disponibilité d outils d exploitation de ces failles, de bibliothèques d attaques et de logiciels capitalisant le savoir faire criminel dans un programme offre des opportunités sans précédent. Le manque de régulation internationale et de contrôle offre des avantages largement exploités par les criminels. Ces derniers tirent parti de la non territorialité d Internet. L uniformisation du monde de l informatique et des télécommunications par l adoption universelle des technologies Internet, la dépendance des organisations et des Etats à ces mêmes technologies, et l interdépendance des infrastructures critiques, introduisent un degré de vulnérabilité non négligeable. Une exploitation efficace des nouvelles technologies, permet aux criminels de réaliser des crimes économiques «classiques» tout en leur assurant la maximisation des bénéfices et en les exposant à un niveau de risque acceptable. L information est au cœur des stratégies criminelles et des processus de décision. Les technologies de l information deviennent un facteur de production et un élément de stratégie des organisations criminelles. Question 2 : Pourquoi un responsable sécurité à tout avantage à connaître les différentes phases de réalisation d une attaque informatique? Quels sont les facteurs de succès de réalisation d une attaque? La connaissance des différentes étapes de réalisation d une attaque par un responsable sécurité permet un blocage au plus vite dès les premières phases et ainsi de réagir au mieux concernant l attaque. Les actions suivantes, entre autres, permettent de réussir une attaque informatique : Rechercher, connaître les vulnérabilités et les failles des systèmes ciblés par une attaque, récolter le plus d informations possible sur ces systèmes. Identifier les failles techniques, organisationnelles, humaines de l environnement. Connaître les mécanismes et niveaux de sécurité en vigueur concernant l identification, l authentification, le contrôle d accès et la surveillance. Exploiter les failles de sécurité connues non patchées. Exploiter les outils disponibles pour attaquer les systèmes. Rester anonyme, utiliser des pseudonymes ou usurper l identité numérique des utilisateurs et brouiller les pistes en passant par plusieurs systèmes intermédiaires. 1 sebastien.samyn@unil.ch

Question 3 : Expliquer la notion de risque juridique en matière de sécurité informatique. Expliquer pourquoi sa compréhension par des responsables de la sécurité informatique est importante. Comment ce risque est pris en compte par les responsables de la sécurité informatique? L intelligence juridique devient l un des facteurs clés de succès de la réalisation de la sécurité informatique où le droit devient omniprésent. La responsabilité des acteurs est de plus en plus invoquée lors de sinistre où les ressources informatiques qu ils gèrent sont l objet ou le moyen d une fraude. Il est nécessaire que les responsables puissent démontrer que des mesures suffisantes de protection du système d information et des données ont été mises en œuvre afin de se protéger contre un délit de manquement à la sécurité (à défaut d une obligation de résultat, ils ont une obligation de moyens). Les responsables d entreprises eux mêmes doivent être extrêmement attentifs à l égard du droit des nouvelles technologies et s assurer que leur système d information est en conformité juridique. Les enjeux juridiques liés à la sécurité informatique sont devenus prépondérants et doivent être pris en compte dans la mise en place de solutions de sécurité. Les organisations se doivent de se doter de moyens suffisants de sécurité et de contrôle. La valeur économique des investissements nécessaires à assurer le seuil minimal de sécurité est fonction des pertes matérielles et aussi des risques de réputation et d image potentiels encourus par l organisation. Le rôle du responsable sécurité est de mettre en place des mesures de sécurité pour protéger les ressources afin de limiter l impact des risques sur ces dernières. Ce dernier doit également être sensibilisés aux contraintes d une enquête policière. La prise en compte des lois ainsi que leur compréhension concernant les valeurs de l entreprise est obligatoire. La démarche sécuritaire est un processus dynamique qui évolue et donc une veille juridique doit être mise en place afin de réévaluer les risques. Question 4 : Faire un tableau récapitulatif identifiant les critères de sécurité et les types de mesures de sécurité permettant de les satisfaire. Critères de sécurités Disponibilité Intégrité Confidentialité Non Répudiation Authenticité Imputabilité Conformité aux lois Fiabilité Durabilité Continuité Type de mesures de sécurité Dimensionnement Redondance Procédures d exploitation et de sauvegarde Chiffrement Contrôle d accès Sécurité physique Authentification Détection, prévention d intrusion, virus Contrôle d erreur, de cohérence Certification Enregistrement, traçabilité Signature électronique Mécanismes de preuve Conception Performances Ergonomie Qualité de service Maintenant opérationnelle 2 sebastien.samyn@unil.ch

Question 5 : Pourquoi faut il intégrer la prise en compte du risque informatique dans une démarche générale de gestion de risque des organisations? L informatique est le support à tous les processus et les systèmes d information sont les garant de la pérennité, de la profitabilité et de la compétitivité de l entreprise. La finalité de la sécurité informatique au sein d une organisation est de garantir qu aucun préjudice ne puisse mettre en péril cette pérennité. Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à en limiter les atteintes ou dysfonctionnements induits, et à autoriser le retour à un fonctionnement normal à des coûts et des délais acceptables en cas de sinistre. Le risque informatique est encore trop souvent sous estimé par les organisations, il ne doit plus être ignoré et l idée de pouvoir le transférer via des mécanismes d assurance ne satisfait pas le besoin d utilisation efficace des technologies du numérique. Il reste donc à le maîtriser. La démarche sécurité est un projet d entreprise dans la mesure où chacun en général est concerné par sa réalisation. La prise en compte de l analyse des risques liés aux systèmes d information dans un processus de gestion de risques, guide toute la démarche de sécurité d une organisation. Le risque informatique, informationnel ou technologique, quel que soit le nom retenu, doit être identifié, au même titre que tous les autres risques de l organisation (risque métier, social, etc.) auxquels doit faire face une entreprise. Le risque informatique est un risque opérationnel qui doit être maîtrisé. La sécurité est de moins en moins une juxtaposition de technologies hétérogènes de sécurité. Elle est dorénavant appréhendée et traitée comme un processus continu. Cette vision «processus» met en avant la dimension managériale de la sécurité qui vise à l optimisation et à la rationalisation des investissements, tout en assurant la pérennité et l efficacité des solutions de sécurité dans le temps. La technologie ne suffit pas, elle doit être intégrée dans une démarche de gestion. Seule la dimension managériale de la sécurité permet de faire face au caractère dynamique du risque. La sécurité des systèmes d information n est qu une composante de la sécurité globale de l organisation. Question 6 : En matière de sécurité informatique, faut il privilégier une démarche proactive ou réactive? Une démarche réactive consiste en l analyse des évènements notifiés qui ont eu, ou auraient pu avoir, un impact sur la sécurité. Une démarche proactive consiste, sans attendre l occurrence d un évènement mettant en cause la sécurité, à identifier leurs précurseurs afin de mettre en place les défenses nécessaires. Une démarche proactive est constituée de : La sensibilisation et la prise des responsabilités des différents acteurs. La mise en place des techniques organisationnelles. La politique de sécurité : mise en place / réalisation des mesures. L analyse des risques. Les deux démarches sont donc à prendre en compte mais la démarche de prévention sécuritaire est par définition proactive. Elle touche aux dimensions humaines, juridiques, organisationnelles, économiques et technologiques. 3 sebastien.samyn@unil.ch

Question 7 : Quelle est la place, le rôle, les avantages, les inconvénients et les limites de la fonction d audit dans une démarche de sécurité informatique? Afin d évaluer le niveau de sécurité de l existant, les différentes cibles de sécurité font l objet d un audit spécifique qui sera confié à l organe de révision. Ce dernier doit être externe et pourra être mandaté par le conseil d administration. Selon la cible, et sur la base d un référentiel préalablement établi et validé par les commanditaires, on distinguera les points suivants traité par l audit : financier et organisationnel, sécurité, centres d exploitation et de développement, réception des applications, ensemble des acteurs du système d information. Cependant, la fonction d'auditeur n'est pas toujours bien perçue (pour certaines personnes, l'audit est un peu comme la "police"). Question 8 : Quelle importance accorder à la formation des managers d entreprise concernant la sécurité de l information? Quelle relation existe t il entre une démarche de sensibilisation à la sécurité informatique et une charte d éthique? Les managers sont les personnes responsables de la bonne marche de l entreprise. Ils doivent avoir la bonne information au bon moment (critères de sécurité : Disponibilité / Intégrité / Confidentialité). Ils connaissent les actifs et les processus de l entreprise et par ce fait, doivent donc devenir des maillons fort de la chaine sécuritaire. Les managers seront aussi responsables des budgets alloués pour la sécurité. Une démarche de sensibilisation est importante. Des actions d information et de formation sur les enjeux, les risques et les mesures préventives et dissuasives de sécurité sont nécessaires pour éduquer l ensemble du personnel à adopter une démarche sécurité. Une charte d éthique ou d utilisation, établie par l organisation, sera un outil de cette sensibilisation. Elle précisera les droits, les devoirs et la responsabilité des employés au regard de l utilisation des ressources informatiques et télécoms que l entreprise met à leur disposition. Question 9 : Identifiez les rôles, les fonctions, les mécanismes, les avantages, les inconvénients et les limites de la signature numérique. Le système de chiffrement asymétrique propose un mécanisme implicite de signature de messages qui permet d authentifier l émetteur d un message et d en vérifier l intégrité. Une personne chiffre un message avec sa clé privée, si une entité connaissant la clé publique de cette personne peut déchiffrer le message et le lire, cela signifie que le message a bien été créé à l aide de la clé privée correspondante, la personne étant censée en être la seule propriétaire. Cependant, bien que performant, ce système de signature possède des failles. En effet, rien n empêche de réutiliser la signature digitale d un message en lieu et place de l émetteur réel. Par ailleurs, on peut également constituer une signature numérique à la place d un partenaire après lui avoir volé sa clé privée. Augmenter le niveau de sécurité d un mécanisme de signature électronique est possible en appliquant sur les données une fonction de hash et en ayant recours à l usage d une infrastructure de gestion des clés offrant des services de certification. 4 sebastien.samyn@unil.ch

Question 10 : Répondre à la question «Qu est ce que la sécurité informatique?», tout en argumentant la phrase suivante «La sécurité informationnelle relève d une problématique de gestion». La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu. La sécurité informatique a pour objectifs principaux de réaliser la confidentialité, l intégrité, la disponibilité des données et des services des systèmes. Diverses mesures de sécurité permettent de les atteindre. Parmi elles nous pouvons citer : le contrôle d accès, le chiffrement des données, la gestion des incidents, des erreurs, des dysfonctionnements, des intrusions La sécurité est un sujet qui touche tous les composants du système d information, y compris l environnement et les utilisateurs. Assurer la sécurité du système d information, c est avant tout conduire une stratégie globale, complète et suivie en s engageant sur les moyens à mettre en œuvre. Dès la mise en place de solutions de sécurité, une politique de suivi doit être initialisée. La définition de procédures permet donc, non seulement de vérifier, mesurer et superviser le niveau de sécurité de manière continue, mais autorise également la correction d éventuelles failles. La sécurité est de moins en moins une juxtaposition de technologies hétérogènes de sécurité. Elle est dorénavant appréhendée et traitée comme un processus continu. Cette vision «processus» met en avant la dimension managériale de la sécurité qui vise à l optimisation et à la rationalisation des investissements, tout en assurant la pérennité et l efficacité des solutions de sécurité dans le temps. La technologie ne suffit pas, elle doit être intégrée dans une démarche de gestion. Seule la dimension managériale de la sécurité permet de faire face au caractère dynamique du risque. La sécurité des systèmes d information n est qu une composante de la sécurité globale de l organisation. 5 sebastien.samyn@unil.ch

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back