powerpoint presentationannuaire-digg-des.coursgratuits.net/en-ligne/systeme-info … · ppt...

© 2006 ERPI. Reproduction autorisée10.1/29

1010ChapitreChapitre

La sécurité et le contrôle La sécurité et le contrôle des systèmes des systèmes d’informationd’information

Les systèmes d’information de gestionLes systèmes d’information de gestionChapitre 10 – La sécurité et le contrôle des SIChapitre 10 – La sécurité et le contrôle des SI


OBJECTIFSOBJECTIFS

• Expliquer pourquoi les SI nécessitent une protection Expliquer pourquoi les SI nécessitent une protection contre la destruction, l’erreur et l’usage abusifcontre la destruction, l’erreur et l’usage abusif

• Évaluer la valeur commerciale de la sécurité et du Évaluer la valeur commerciale de la sécurité et du contrôle des SIcontrôle des SI

• Évaluer les éléments de gestion assurant la sécurité Évaluer les éléments de gestion assurant la sécurité et le contrôle des SIet le contrôle des SI

• Évaluer quelques technologies et outils pour la Évaluer quelques technologies et outils pour la protection des ressources en informationprotection des ressources en information

• Cerner les défis concernant la sécurité des SI et Cerner les défis concernant la sécurité des SI et suggérer des solutions de contrôle et de gestionsuggérer des solutions de contrôle et de gestion



Cas Wesfarmers LimitedCas Wesfarmers Limited

• Défis : Défis : – Offrir une surveillance du site Web bancaire de sa division

Landmark– Manque de personnel

• Solutions :Solutions : – Impartir la gestion de la sécurité de ses SI à une firme

reconnue dans le domaine, Symantec Managed Security Services

– Installer des systèmes de surveillance permanente pour détecter les intrusions, des pare-feu et des logiciels d’exploration des données

• Illustre la nécessité de protéger les SI et de prévenir les Illustre la nécessité de protéger les SI et de prévenir les défaillances de réseaux pour assurer la qualité du service défaillances de réseaux pour assurer la qualité du service aux clientsaux clients



La technologie sans fil dans les entreprisesLa technologie sans fil dans les entreprises

Pourquoi les systèmes sont vulnérables?Pourquoi les systèmes sont vulnérables?

Figure 10-1



La vulnérabilité des systèmes et l’usage abusifLa vulnérabilité des systèmes et l’usage abusif

Pourquoi les systèmes sont vulnérables? (…suite)Pourquoi les systèmes sont vulnérables? (…suite)

La vulnérabilité d’Internet :La vulnérabilité d’Internet :• Ordinateurs constamment connectés à Internet par Ordinateurs constamment connectés à Internet par

modems câbles ou lignes d’abonnés numériquesmodems câbles ou lignes d’abonnés numériques• Vulnérables puisqu’ils utilisent une adresse Internet Vulnérables puisqu’ils utilisent une adresse Internet

permanente qui permet de les repérer facilementpermanente qui permet de les repérer facilement• La voix sur IP, très souvent non cryptée, peut être La voix sur IP, très souvent non cryptée, peut être

écoutée par toute personne reliée au réseauécoutée par toute personne reliée au réseau• L’usage accru du courriel pouvant comporter des L’usage accru du courriel pouvant comporter des

virus en pièce jointe et de la messagerie instantanée virus en pièce jointe et de la messagerie instantanée (MI) dont les messages texte sont non sécurisés, (MI) dont les messages texte sont non sécurisés, augmentent la vulnérabilitéaugmentent la vulnérabilité




Les défis de la sécurité sans filLes défis de la sécurité sans fil

• Technologie radio encore plus vulnérable puisque les Technologie radio encore plus vulnérable puisque les bandes de fréquences radio sont faciles à scannerbandes de fréquences radio sont faciles à scanner

• Identifiants réseau (indiquent les points d’accès à un Identifiants réseau (indiquent les points d’accès à un réseau Wi-Fi) transmis plusieurs fois et peuvent donc réseau Wi-Fi) transmis plusieurs fois et peuvent donc être captés assez facilement par un programme être captés assez facilement par un programme renifleur de paquetsrenifleur de paquets

• De nouveaux outils pour la sécurité des réseaux sans De nouveaux outils pour la sécurité des réseaux sans fil sont toutefois en développementfil sont toutefois en développement




Programmes malveillantsProgrammes malveillants

• VirusVirus

• VersVers

• Cheval de TroieCheval de Troie

• Logiciels espionsLogiciels espions




Pirate informatique, cybervandalisme et délit Pirate informatique, cybervandalisme et délit informatiqueinformatique

• Mystification et hameçonnageMystification et hameçonnage

• RenifleurRenifleur

• Attaque par déni de serviceAttaque par déni de service

• Vol d’identitéVol d’identité

• CyberterrorismeCyberterrorisme

• Menaces internes par les employésMenaces internes par les employés



10.2 Valeur commerciale de la sécurité et du contrôle des SI10.2 Valeur commerciale de la sécurité et du contrôle des SI

• Sécurité et contrôle inadéquats des SI peuvent causer Sécurité et contrôle inadéquats des SI peuvent causer de sérieux problèmes juridiquesde sérieux problèmes juridiques

• Les entreprises doivent protéger non seulement leurs Les entreprises doivent protéger non seulement leurs données, mais aussi celles de leurs clients, employés données, mais aussi celles de leurs clients, employés et partenaireset partenaires

• Sinon, elles peuvent être poursuivies pour divulgation Sinon, elles peuvent être poursuivies pour divulgation ou vol de données, ce qui peut leur coûter cherou vol de données, ce qui peut leur coûter cher

• Un cadre adéquat de sécurité et de contrôle peut Un cadre adéquat de sécurité et de contrôle peut générer un taux de rendement élevégénérer un taux de rendement élevé



Valeur commerciale de la sécurité et du contrôle des SIValeur commerciale de la sécurité et du contrôle des SI

Exigences juridiques et réglementaires pour la gestion Exigences juridiques et réglementaires pour la gestion des documents informatiques (GDI)des documents informatiques (GDI)

La GDI comprend les :La GDI comprend les :

• PolitiquesPolitiques• ProcéduresProcédures• Outils Outils

Pour encadrer la gestion des documents électroniques :Pour encadrer la gestion des documents électroniques :• Conservation Conservation • Destruction Destruction • StockageStockage



Valeur commerciale de la sécurité et du contrôle des SIValeur commerciale de la sécurité et du contrôle des SI

Lois américaines relatives à la sécurité et au contrôle Lois américaines relatives à la sécurité et au contrôle des données :des données :

• Health Insurance Portability and Accountability Act Health Insurance Portability and Accountability Act (HIPAA)(HIPAA)

• Gramm-Leach-Bliley ActGramm-Leach-Bliley Act

• Sarbanes-Oxley Act de 2002Sarbanes-Oxley Act de 2002



10.310.3 Établissement d’un cadre de gestion pour la sécurité et Établissement d’un cadre de gestion pour la sécurité et le contrôle des SIle contrôle des SI

Une politique de sécurité informatique se composeUne politique de sécurité informatique se compose ::

• D’une séries d’énoncés qui :D’une séries d’énoncés qui :– Classent les risques– Fixent des objectifs raisonnables– Indiquent les moyens à utiliser pour l’atteinte des

objectifs• D’une politique d’utilisation acceptableD’une politique d’utilisation acceptable• D’une politique d’autorisationD’une politique d’autorisation



Établissement d’un cadre de gestion pour la sécurité et le Établissement d’un cadre de gestion pour la sécurité et le contrôle des SIcontrôle des SI

Maintien et continuité des affairesMaintien et continuité des affaires

• Temps d’arrêt :Temps d’arrêt : période pendant laquelle un système période pendant laquelle un système n’est pas opérationneln’est pas opérationnel

• Systèmes à tolérance de pannes :Systèmes à tolérance de pannes : contiennent du contiennent du matériel, des logiciels et des composantes matériel, des logiciels et des composantes d’alimentation électriques supplémentaires pour offrir d’alimentation électriques supplémentaires pour offrir un service continu, non interrompuun service continu, non interrompu

• Informatique à haute disponibilité : Informatique à haute disponibilité : utilise des utilise des ressources matérielles auxiliaires pour permettre de se ressources matérielles auxiliaires pour permettre de se relever rapidement en cas de pannerelever rapidement en cas de panne– représente un minimum pour les entreprises qui

dépendent des réseaux numériques




Maintien et continuité des affaires (…suite)Maintien et continuité des affaires (…suite)

• Planification de la reprise sur sinistre :Planification de la reprise sur sinistre : plan prévoyant plan prévoyant la restauration des services informatiques et des la restauration des services informatiques et des communications après une interruption due à une communications après une interruption due à une catastrophe naturelle ou une attaque terroristecatastrophe naturelle ou une attaque terroriste

• Planification de la continuité des affaires :Planification de la continuité des affaires : détermine détermine les processus d’affaires cruciaux et les mesures à les processus d’affaires cruciaux et les mesures à prendre pour assurer les fonctions fondamentales en prendre pour assurer les fonctions fondamentales en cas de pannecas de panne




La vérification dans le processus de contrôleLa vérification dans le processus de contrôle

• Vérification des SI :Vérification des SI : permet de repérer tous les permet de repérer tous les contrôles qui régissent les SI et d’évaluer leur contrôles qui régissent les SI et d’évaluer leur efficacitéefficacité

• Vérifications de sécurité :Vérifications de sécurité : devraient s’intéresser aux devraient s’intéresser aux technologies, aux procédures, à la documentation, à technologies, aux procédures, à la documentation, à la formation et au personnella formation et au personnel



10.4 Outils et technologies pour la sécurité et le contrôle des SI10.4 Outils et technologies pour la sécurité et le contrôle des SI

Contrôle d’accèsContrôle d’accès

• Comprend toutes les politiques et procédures Comprend toutes les politiques et procédures qu’une entreprise utilise pour bloquer l’accès de ses qu’une entreprise utilise pour bloquer l’accès de ses systèmes aux personnes non autorisées, à l’interne systèmes aux personnes non autorisées, à l’interne comme à l’externecomme à l’externe

• Authentification : capacité de vérifier si la personne Authentification : capacité de vérifier si la personne est bien celle qu’elle prétend êtreest bien celle qu’elle prétend être– Mot de passe

– Jeton d’authentification, carte à puce intelligente

– Authentification biométrique




Exemple de liste de faiblesses des contrôles établie par un vérificateurExemple de liste de faiblesses des contrôles établie par un vérificateur

Figure 10-6



Outils et technologies pour la sécurité et le contrôle des SIOutils et technologies pour la sécurité et le contrôle des SI

Pare-feu, systèmes de détection d’intrus et antivirusPare-feu, systèmes de détection d’intrus et antivirus

• Pare-feu :Pare-feu : matériel et logiciels qui contrôlent le trafic matériel et logiciels qui contrôlent le trafic qui arrive dans un réseau et en partqui arrive dans un réseau et en part

• Systèmes de détection d’intrusion :Systèmes de détection d’intrusion : effectuent une effectuent une surveillance continuelle dans les points d’accès les surveillance continuelle dans les points d’accès les plus vulnérables des réseaux, de manière à repérer et plus vulnérables des réseaux, de manière à repérer et à dissuader les intrusà dissuader les intrus

• Logiciels antivirus :Logiciels antivirus : vérifient les disques et les vérifient les disques et les systèmes afin de détecter d’éventuels virus pour systèmes afin de détecter d’éventuels virus pour ensuite les éliminerensuite les éliminer

• Wi-Fi Protected Access (WPA) :Wi-Fi Protected Access (WPA) : spécifications de spécifications de sécurité pour mieux protéger les réseaux sans filsécurité pour mieux protéger les réseaux sans fil



Cryptographie asymétrique



Exhibit 2–6: Digital Certificate Transmission in e-Exhibit 2–6: Digital Certificate Transmission in e-CommerceCommerceTrusted third-party certificate provider

1. Digital certificate / public key and private key sent to

server (when server is initially set up)

Customer’s PC

4. Certificate used to encrypt data

5. Encrypted data sent to server via internet

6. Private key used to decrypt data

7. S

erve

r sto

res

and

proc

esse

s cr

edit

card

data

Web server with private key

Credit card

information

VISA******************

Encryptedcredit card Information

******************

Credit card

information

VISA******************

Encryptedcredit card Information

******************

2. Copy of public key is sent to customer’s PC. Customer accepts this certificate to create SSL “pipe” between user’s PC and server

= non-SSL transmission

= SSL transmission

3. Encryption “tunnel” created

Note: Step 3 indicates the creation of an SSL encryption “tunnel” for data to pass through. Steps 4 through 7 show what happens behind the scenes in SSL.Internet



Exhibit 2–7: Digital Signature TransmissionExhibit 2–7: Digital Signature TransmissionTrusted third-party certificate provider

1. Digital certificate / public key sent to customer

Customer’s PC

4. Public key / certificate used to decrypt digital signature

Web server with private key

Internet

Encrypteddigital

signature

******************

Digital signature

ABC Corp.************

5. User is presented with digital-signature information. If user accepts certificate, SSL tunnel is created.

Digital signature

ABC Corp.************

2. Private key encrypts digital-signature document

Encrypteddigital

signature

******************

3. Encrypted signature sent



Possibilités, défis et solutions en matière de gestionPossibilités, défis et solutions en matière de gestion

Les possibilitésLes possibilités

• Création de sites Web et de systèmes d’une grande Création de sites Web et de systèmes d’une grande fiabilité qui peuvent soutenir les stratégies d’affaires fiabilité qui peuvent soutenir les stratégies d’affaires électroniques et de commerce électroniqueélectroniques et de commerce électronique




Les défisLes défis

• La conception de systèmes exerçant un contrôle ni La conception de systèmes exerçant un contrôle ni trop faible ni trop forttrop faible ni trop fort

• Pour y arriver, il faut trouver un équilibre entre les Pour y arriver, il faut trouver un équilibre entre les risques, les bénéfices et les capacités risques, les bénéfices et les capacités opérationnelles de l’entrepriseopérationnelles de l’entreprise

• La mise en place d’une politique de sécurité efficaceLa mise en place d’une politique de sécurité efficace




Les solutionsLes solutions

• La sécurité et le contrôle des SI doivent devenir des La sécurité et le contrôle des SI doivent devenir des priorités et des postes d’investissement plus visibles priorités et des postes d’investissement plus visibles et plus expliciteset plus explicites

• Le soutien et l’engagement de la haute direction sont Le soutien et l’engagement de la haute direction sont indispensables pour montrer que la sécurité est indispensables pour montrer que la sécurité est réellement une priorité pour l’entreprise et vitale pour réellement une priorité pour l’entreprise et vitale pour ses opérationsses opérations

• La responsabilité de la sécurité et du contrôle La responsabilité de la sécurité et du contrôle devraient incomber à tous les membres de devraient incomber à tous les membres de l’organisationl’organisation

powerpoint presentationannuaire-digg-des.coursgratuits.net/en-ligne/systeme-info … · ppt...

Documents