3. La sécurité des SI
Introduction
Notion de la sécurité du système d’information
Les enjeux de la sécurité des SI
Méthodes d’attaque portant atteinte la SSI
Méthodes d’analyse de risque
Etude de cas : centrale laitière
Conclusion
4. Notion de la sécurité des SSI
La sécurité des systèmes d’information
(SSI) est l’ensemble des moyens techniques,
organisationnels, juridiques et humains nécessaire
et mis en place pour conserver, rétablir, et garantir
la sécurité du système d'information. Assurer la
sécurité du système d'information est une activité
du management du système d'information.
5. Les enjeux de la SSI
Enjeux SSI
La
L’intégrité confidentialité
La
disponibilité
La non-répudiation
et
l’imputation
L’au-thetification
6. Les dommages d’un SI
Deux types de dommages peuvent affecter le système d'information
d'une organisation:
Les dommages financiers. Sous forme de dommages directs
(comme le fait d'avoir à reconstituer des bases de données qui ont
disparu, reconfigurer un parc de postes informatiques, réécrire une
application) ou indirects (par exemple, le dédommagement des
victimes d'un piratage, le vol d'un secret de fabrication ou la perte de
marchés commerciaux).
La perte ou la baisse de l'image de marque. Perte directe par la
publicité négative faite autour d'une sécurité insuffisante (cas du
hameçonnage par exemple) ou perte indirecte par la baisse de
confiance du public dans une société
7. Démarche générale
évaluer les risques
Rechercher et sélectionner les
parades
mettre en oeuvre les
protection et évaluer leur
efficacité
8. Les méthodes d’attaque portant atteinte à la sécurité
1
8
9
10
11
12
2
3
4
5
6
7
Destruction de matériels
ou de supports
Rayonnements
électromagnétiques
Ecoute passive
Vol
Divulgation
Emission d'une information
sans garantie d'origine
Piégeage du Logiciel
Saturation du Système
informatique
Utilisation illicite
des matériels
Altération des Données
Abus de Droit
Reniement
d'actions
13 Usurpation de Droit
9. Les méthodes d’analyse de risque
De façon générale, la gestion du risque
consiste à coordonner, de façon continue, les
activités visant à diriger et piloter une organisation
vis-à-vis des risques. Il s’agit d’activités
d’identification, d’analyse, d’évaluation et
d’anticipation des risques, ainsi que de mise en
place d’un système de surveillance et de collecte
systématique des données pour déclencher les
alertes. À ces activités d’appréciation et de
traitement des risques, viennent s’ajouter des
activités d’acceptation et de communication relative
aux risques.
10.
11.
12. Le Système d’Information de la Centrale Laitière est
caractérisé par la diversité des progiciels qui peuvent être
classés en deux catégories : Les progiciels standards de
gestion et les applications spécifiques développées en interne.
Gala Safari
13. Les progiciels standards de gestion
NOVEX ACHAT NOVEX
COMMERCIAL
GMAO (Gestion de la
Maintenance
Assistée par
Ordinateur)
14. règle 1 :
Seules les personnes membres du personnel ou invitées
par un membre du personnel habilité à inviter peuvent
circuler dans le bâtiment.
Moyens pour assurer la règle:
•Guichet à toutes les entrées
•Distribution de badges selon une procédure
15. règle 2 :
Seule les personnes habilitées par un administrateur système ont accès
au système informatique.
Moyens pour assurer la règle:
•Système d ’authentification (Login +mot de passe) géré par
l ’administrateur: (création et destruction des comptes)
•Modification périodique des mots de passe par les utilisateurs
•Protection informatique du contrôle d ’accès aux comptes
•Audit des tentatives de fraude
•Un administrateur système ne devrait pas avoir accès au sens des
fichiers utilisateurs, c’est rarement le cas.
16. règle 3 :
se protéger contre des attaques visant au vol d’informations classées .
Moyens pour assurer la règle :
•Récupération du contenu des poubelles par Destruction de tous les
documents jetés.
Mascarade par accès à un compte privilégié :
•Contrôler les embauches et développer une prise de conscience
des problèmes de sécurité.
•Authentification par carte ou disquette…
•Mise en place d'une protection empêchant la copie du fichier des
mots de passe au login
•Stratégie de gestion des mots de passe