ssi
TRANSCRIPT
●
Hanae GUENOUNI
Sara MOUNIR
M.AZZOUZ Karim
Les enjeux de la sécurité des SI
Méthodes d’attaque portant atteinte la SSI
Méthodes d’analyse de risque
La sécurité des SI
Etude de cas : centrale laitière
Introduction
Conclusion
Notion de la sécurité du système d’information
Notion de la sécurité des SSI
La sécurité des systèmes d’information
(SSI) est l’ensemble des moyens techniques,
organisationnels, juridiques et humains nécessaire
et mis en place pour conserver, rétablir, et garantir
la sécurité du système d'information. Assurer la
sécurité du système d'information est une activité
du management du système d'information.
Les enjeux de la SSI
Enjeux SSI
La confidentialité L’intégrité
Ladisponibilité
La non-répudiation et l’imputation
L’au-thetification
Les dommages d’un SI
Deux types de dommages peuvent affecter le système d'informationd'une organisation:
Les dommages financiers. Sous forme de dommages directs(comme le fait d'avoir à reconstituer des bases de données qui ontdisparu, reconfigurer un parc de postes informatiques, réécrire uneapplication) ou indirects (par exemple, le dédommagement desvictimes d'un piratage, le vol d'un secret de fabrication ou la perte demarchés commerciaux).
La perte ou la baisse de l'image de marque. Perte directe par lapublicité négative faite autour d'une sécurité insuffisante (cas duhameçonnage par exemple) ou perte indirecte par la baisse deconfiance du public dans une société
Démarche générale
évaluer les risques
Rechercher et sélectionner les parades
mettre en œuvre les protection et évaluer leur
efficacité
Les méthodes d’attaque portant atteinte à la sécurité
1
12
11
10
9
8
2
3
4
5
6
7
Destruction de matériels ou de supports
Rayonnements électromagnétiques
Ecoute passive
Vol
Divulgation
Emission d'une information sans garantie d'origine
Piégeage du Logiciel
Saturation du Système informatique
Utilisation illicite des matériels
Altération des Données
Abus de Droit
Reniement d'actions
13 Usurpation de Droit
Les méthodes d’analyse de risque
De façon générale, la gestion du risqueconsiste à coordonner, de façon continue, lesactivités visant à diriger et piloter une organisationvis-à-vis des risques. Il s’agit d’activitésd’identification, d’analyse, d’évaluation etd’anticipation des risques, ainsi que de mise enplace d’un système de surveillance et de collectesystématique des données pour déclencher lesalertes. À ces activités d’appréciation et detraitement des risques, viennent s’ajouter desactivités d’acceptation et de communication relativeaux risques.
Le Système d’Information de la Centrale Laitière est
caractérisé par la diversité des progiciels qui peuvent être
classés en deux catégories : Les progiciels standards de
gestion et les applications spécifiques développées en interne.
Gala Safari
Les progiciels standards de gestion
NOVEX ACHAT NOVEX COMMERCIAL
GMAO (Gestion de la Maintenance Assistée par Ordinateur)
règle 1 :
Seules les personnes membres du personnel ou invitées
par un membre du personnel habilité à inviter peuvent
circuler dans le bâtiment.
Moyens pour assurer la règle:
•Guichet à toutes les entrées
•Distribution de badges selon une procédure
règle 2 :
Seule les personnes habilitées par un administrateur système ont accès
au système informatique.
Moyens pour assurer la règle:
•Système d ’authentification (Login +mot de passe) géré par
l ’administrateur: (création et destruction des comptes)
•Modification périodique des mots de passe par les utilisateurs
•Protection informatique du contrôle d ’accès aux comptes
•Audit des tentatives de fraude
•Un administrateur système ne devrait pas avoir accès au sens des
fichiers utilisateurs, c’est rarement le cas.
règle 3 :
se protéger contre des attaques visant au vol d’informations classées .
Moyens pour assurer la règle :
•Récupération du contenu des poubelles par Destruction de tous les
documents jetés.
Mascarade par accès à un compte privilégié :
•Contrôler les embauches et développer une prise de conscience
des problèmes de sécurité.
•Authentification par carte ou disquette…•Mise en place d'une protection empêchant la copie du fichier des
mots de passe au login
•Stratégie de gestion des mots de passe