La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La sécurité des systèmes d’information

Publié parMichèle Tissot Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "La sécurité des systèmes d’information"— Transcription de la présentation:

1

2 La sécurité des systèmes d’information
Chapitre 8 La sécurité des systèmes d’information Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre Diapositives préparées par Olivier Caya, Jacques Lavallée et Danielle Perras (Université de Sherbrooke) © ERPI, 2010.

3 Objectifs d’apprentissage
Pourquoi les systèmes d’information sont-ils vulnérables à la destruction, à l’erreur et à un usage abusif ? Quelle est la valeur commerciale de la sécurité et du contrôle des systèmes d’information ? Quels éléments doit comprendre le cadre organisationnel de sécurité et de contrôle des systèmes d’information ? Quelles technologies et quels outils sont les plus importants pour la sauvegarde des ressources en information ? Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

4 LES CELTICS DE BOSTON MARQUENT DES POINTS CONTRE LES LOGICIELS ESPIONS
Problème : Des logiciels espions ont contaminé les ordinateurs portables des entraîneurs et des employés en déplacement et ont nui à la performance des systèmes internes de l’entreprise. Solutions : Investissement dans une nouvelle technologie de sécurité afin d’obtenir des couches additionnelles de protection. La passerelle Webgate de Mi5 Network installée entre le pare-feu et le réseau empêche les logiciels espions de pénétrer sur le réseau et en refuse l’accès aux ordinateurs déjà contaminés. Ce cas démontre le rôle des TI pour combattre les logiciels malveillants. Il illustre le rôle des technologies numériques pour assurer la sécurité à travers le Web. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

5 La vulnérabilité des systèmes
La sécurité : comprend les politiques, les procédures et les mesures techniques… … visant à prévenir tout accès non autorisé et toute altération de données, ainsi que les vols et les dommages. Les contrôles : consistent en des méthodes, des mesures et des procédures organisationnelles… … garantissant la protection des actifs d’une organisation, la précision et la fiabilité de ses enregistrements et la conformité de ses opérations aux normes de gestion. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

6 La vulnérabilité des systèmes
Les causes de la vulnérabilité des systèmes Mauvais fonctionnement du matériel informatique : Une panne du matériel informatique, une configuration inadéquate, un usage abusif ou un acte criminel. Mauvais fonctionnement des logiciels : Des erreurs de programmation, une installation mal faite et des changements non autorisés. Désastres : Des pannes de courant, inondations, incendies et autres catastrophes naturelles. Impartition : Faire appel à des sous-traitants locaux ou à l’étranger. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

7 La vulnérabilité des systèmes
Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

8 La vulnérabilité des systèmes
La vulnérabilité d’Internet Les grands réseaux publics sont ouverts à tous. Internet est un si gros réseau qu’un usage abusif peut y avoir des répercussions considérables. Les ordinateurs sont constamment connectés à Internet et utilisent une adresse Internet permanente qui permet de les repérer facilement. Les courriels avec pièces jointes peuvent contenir des logiciels malveillants. Le courriel peut servir à transmettre des secrets commerciaux. La messagerie instantanée, qui est sans sécurité, peut être facilement interceptée. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

9 La vulnérabilité des systèmes
Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

10 La vulnérabilité des systèmes
Les programmes malveillants Virus informatique : programme malveillant qui s’attache à d’autres programmes ou à des fichiers de données pour s’exécuter. Ver informatique : programme indépendant (autonome) qui se propage d’un ordinateur à l’autre dans un réseau. Cheval de Troie : programme en apparence inoffensif, mais dont le comportement est imprévisible. Logiciel espion : petit programme qui s’installe lui-même pour espionner la navigation sur le Web et diffuser de la publicité. L’enregistreur de frappe enregistre chaque frappe faite sur un ordinateur pour voler des numéros de série, des mots de passe, des numéros de cartes de crédit, et pour lancer des attaques Internet. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

11 La vulnérabilité des systèmes
Les pirates informatiques et le cybervandalisme Pirate informatique (hacker) vs braqueur (cracker) Le pirate cherche à obtenir un accès non autorisé. Le braqueur est un pirate avec une intention criminelle. Activités de piratage : L’intrusion dans un système informatique. Le vol de biens et d’informations. Les atteintes aux systèmes. Le cybervandalisme : c’est-à-dire la perturbation, la dégradation ou même la destruction préméditée d’un site Web ou d’un système informatique d’entreprise. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

12 La vulnérabilité des systèmes
Le vol d’identité Consiste en l’obtention de renseignements personnels (numéro d’assurance sociale, permis de conduire ou carte de crédit) dans le but de se faire passer pour quelqu’un d’autre. L’hameçonnage (fishing) Consiste en la création de faux sites Web ou l’envoi de courriels dirigeant les utilisateurs vers de faux sites Web, imitant ceux d’entreprises légitimes, et demandant de fournir des renseignements confidentiels. Les jumeaux malfaisants (evil twins) Consistent en des réseaux sans fil qui prétendent offrir des connexions Wi-Fi fiables à Internet, comme dans les aéroports, les hôtels ou les cafés, et par lesquels les fraudeurs tentent de saisir des mots de passe et des numéros de cartes de crédit. Le clonage d’adresses de serveur (pharming) Redirige les utilisateurs vers une fausse page Web, même lorsqu’ils ont tapé la bonne adresse dans leur navigateur. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

13 La vulnérabilité des systèmes
Les menaces internes : les employés Les menaces en matière de sécurité proviennent souvent de l’intérieur des entreprises. Les employés ont accès à des informations privilégiées. Les procédures de sécurité manquent de rigueur. Les utilisateurs manquent de connaissances. Ingénierie sociale ou piratage psychologique : Des intrus mal intentionnés peuvent amener des employés à révéler leur mot de passe en prétendant être des membres légitimes de l’organisation à la recherche de renseignements. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

14 Une sécurité et un contrôle inadéquats peuvent engendrer :
La valeur commerciale de la sécurité et du contrôle des systèmes informatiques Une sécurité et un contrôle inadéquats peuvent engendrer : des pertes de revenus; Une panne des systèmes informatiques peut ralentir ou arrêter les activités de l’entreprise menant à des pertes financières importantes. une perte de valeur sur le marché financier; Plusieurs informations sont précieuses et doivent être protégées. Si la sécurité de ses informations est compromise, une entreprise peut perdre rapidement de sa valeur en Bourse. des problèmes juridiques; une baisse de la productivité des employés; des coûts d’exploitation plus élevés. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

15 La valeur commerciale de la sécurité et du contrôle des systèmes informatiques
Les exigences juridiques et réglementaires s’appliquant à la gestion des documents informatiques (aux É.-U.) Les entreprises font face à de nouvelles obligations. Elles ont l’obligation juridique de gestion et de conservation des documents informatiques, ainsi que de protection de la vie privée. HIPAA : Health Insurance Portability and Accountability Act Cette loi précise les règles et les procédures à respecter pour préserver la confidentialité et la sécurité des données médicales. Loi Gramm-Leach-Bliley : Cette loi impose aux institutions financières une obligation de confidentialité et de sécurité concernant les données sur les consommateurs. Loi Sarbanes-Oxley : Cette loi fait porter sur les entreprises et sur leurs dirigeants la responsabilité de protéger l’intégrité des informations financières utilisées à l’interne et diffusées à l’externe. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

16 La preuve électronique
La valeur commerciale de la sécurité et du contrôle des systèmes informatiques La preuve électronique Les preuves utilisées dans les causes judiciaires se présentent souvent sous forme numérique : Données électroniques stockées sur un ordinateur, courriels, messagerie instantanée, transactions de commerce électronique. Sur demande, une entreprise est tenue par la loi de fournir ces informations pouvant servir de preuve. Une politique efficace de conservation des documents électroniques peut s’avérer rentable. L’expertise judiciaire en informatique Elle consiste en la collecte, l’examen, l’authentification, la conservation et l’analyse de données électroniques, de sorte qu’elles puissent servir de preuves devant un tribunal. Elle s’occupe notamment de la récupération de données cachées (invisibles ou détruites). Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

17 Les contrôles des systèmes d’information
L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information Les contrôles des systèmes d’information Les contrôles généraux Ils portent sur la conception, la sécurité et l’usage des programmes informatiques, ainsi que sur la sécurité des fichiers de données stockés dans toute l’infrastructure de TI de l’organisation. Ils consistent en une combinaison de dispositifs matériels et logiciels, ainsi que de procédures manuelles, visant à créer un cadre global de contrôle. Les types de contrôles généraux portent sur : les logiciels, le matériel informatique, les opérations informatiques, la sécurité des données, les processus d’implantation des systèmes, les contrôles administratifs. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

18 Les contrôles des systèmes d’information (suite)
L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information Les contrôles des systèmes d’information (suite) Les contrôles des applications Ils portent spécifiquement sur chacune des applications informatisées, comme la paie et le traitement des commandes. Ils regroupent des procédures manuelles et automatisées. Ils permettent de s’assurer que l’application en question ne traite que des données autorisées de façon exhaustive et précise. Les catégories de contrôles d’applications : Les contrôles à l’entrée Les contrôles en cours de traitement Les contrôles à la sortie Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

19 Perte minimale-maximale
L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information L’analyse de risque Elle consiste dans l’évaluation du degré de risque que représente pour l’entreprise une lacune dans le contrôle d’une activité donnée ou d’un processus particulier. Les risques peuvent porter sur : les menaces potentielles; leur fréquence probable durant une année; la valeur estimée des dommages causés; la perte annuelle possible. Exemple : L’évaluation des risques relatifs au traitement des commandes en ligne Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre Problème Probabilité d’occurrence (%) Perte minimale-maximale (moyenne) ($) Perte annuelle prévisible Panne de courant 30 5 000 à ( )     30 750 Détournement informatique 5 1 000 à (25 500)     1 275 Erreur de l’utilisateur 98 200 à (20 100)     10 698

20 La politique de sécurité informatique
L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information La politique de sécurité informatique Elle se compose d’une série d’énoncés qui hiérarchisent les risques et fixent des objectifs raisonnables en matière de sécurité en indiquant comment les atteindre. Elle détermine quels sont les usages acceptables des ressources informationnelles de l’entreprise et les membres qui y ont accès : Une politique d’utilisation acceptable indique quelles utilisations des ressources et du matériel d’information sont permises. Une politique d’autorisation détermine le degré d’accès aux ressources informationnelles alloué aux diverses catégories d’utilisateurs au sein de l’organisation. Un système de gestion des autorisations accorde à l’utilisateur l’accès aux seules parties d’un système qu’il est autorisé à consulter en vertu d’un ensemble de règles. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

21 L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information
Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

22 L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information
Planification de la reprise sur sinistre : est l’élaboration de plans assurant la restauration des services informatiques et des communications après un sinistre. Planification de la continuité des affaires : porte sur les moyens par lesquels l’entreprise peut reprendre ses opérations après un sinistre. Dans ces deux types de planification, les dirigeants et spécialistes doivent travailler ensemble afin de déterminer les systèmes et programmes les plus cruciaux pour l’entreprise. Ils doivent procéder à une analyse d’impact pour estimer l’effet d’une panne des systèmes sur les affaires. Les gestionnaires doivent… … évaluer la durée maximale de survie de l’entreprise en cas de panne de ses systèmes; … déterminer les secteurs qui doivent être restaurés en priorité. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

23 L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information
Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

24 Le contrôle d’accès Autorisation : accorder une permission.
Les outils et les technologies permettant de protéger les ressources informationnelles Le contrôle d’accès Il comprend les politiques et procédures qu’une entreprise utilise pour empêcher toute personne non autorisée d’accéder à ses systèmes, à l’interne comme à l’externe. Autorisation : accorder une permission. Authentification : vérifier si la personne est bien celle qu’elle prétend être. Méthodes d’authentification : Mot de passe Jeton d’authentification Carte à puce Authentification biométrique Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

25 Les outils et les technologies permettant de protéger les ressources informationnelles
Les pare-feux : une combinaison de matériel informatique et de logiciels qui contrôlent le trafic qui arrive dans un réseau et qui en sort. Technologies de filtrage : Filtrage statique de paquets de données Inspection dynamique Traduction d’adresses de réseau Filtrage par serveur mandataire (proxy) Les systèmes de détection d’intrusion : des outils qui effectuent une surveillance continuelle dans les zones ou les points d’accès des réseaux les plus vulnérables, de manière à repérer et à dissuader les intrus. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

26 Les outils et les technologies permettant de protéger les ressources informationnelles
Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

27 Les outils et les technologies permettant de protéger les ressources informationnelles
Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

28 Assurer la disponibilité des systèmes
Les outils et les technologies permettant de protéger les ressources informationnelles Assurer la disponibilité des systèmes Le traitement transactionnel en ligne Requiert que les systèmes et les applications soient disponibles en tout temps. Les systèmes à tolérance de pannes Assurent la continuité du service. Contiennent du matériel, des logiciels et des composantes d’alimentation électrique redondants. L’informatique à haute disponibilité Permet de se relever rapidement en cas de « plantage ». Diminue les temps d’arrêt sans toutefois les éliminer entièrement. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

29 Assurer la disponibilité des systèmes (suite)
Les outils et les technologies permettant de protéger les ressources informationnelles Assurer la disponibilité des systèmes (suite) L’informatique axée sur la reprise Vise à concevoir des systèmes qui reprennent rapidement en cas de problème et aide les opérateurs à localiser les sources de pannes dans des systèmes à composantes multiples et à corriger leurs erreurs. Le contrôle de l’utilisation des réseaux L’inspection approfondie des paquets (IAP). L’impartition de la sécurité Un fournisseur de gestion de services de sécurité… … surveille les activités du réseau; … effectue des tests de vulnérabilité; … détecte les intrusions. Dupliquez la diapositive pour ajouter une autre page de partie ou de chapitre

Télécharger ppt "La sécurité des systèmes d’information"

Présentations similaires

Semaine 5 Couche Liaison de données Cours préparé par Marc Aubé

Semaine 5 Couche Liaison de données Cours préparé par Marc Aubé
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
PLAN DU COURS Outils de traitement des risques

PLAN DU COURS Outils de traitement des risques
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Architecture de réseaux

Architecture de réseaux
La politique de Sécurité

La politique de Sécurité
Sécurité Informatique Module 01

Sécurité Informatique Module 01
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.

La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
Gestion des risques Contrôle Interne

Gestion des risques Contrôle Interne
Etude des Technologies du Web services

Etude des Technologies du Web services
SECURITE DU SYSTEME D’INFORMATION (SSI)

SECURITE DU SYSTEME D’INFORMATION (SSI)
Introduction to Information Systems

Introduction to Information Systems
Module 1 : Préparation de l'administration d'un serveur

Module 1 : Préparation de l'administration d'un serveur
Vuibert Systèmes dinformation et management des organisations 6 e édition R. Reix – B. Fallery – M. Kalika – F. Rowe Chapitre 1 : La notion de système.

Vuibert Systèmes dinformation et management des organisations 6 e édition R. Reix – B. Fallery – M. Kalika – F. Rowe Chapitre 1 : La notion de système.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.

1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Serveurs Partagés Oracle

Serveurs Partagés Oracle
Rappel au Code de sécurité des travaux 1 Code de sécurité des travaux Rappel du personnel initié Chapitre Lignes de Transport (Aériennes)

Rappel au Code de sécurité des travaux 1 Code de sécurité des travaux Rappel du personnel initié Chapitre Lignes de Transport (Aériennes)
© International Road Transport Union (IRU) 2012 Séminaire international sur les instruments de facilitation du commerce et du transport routier de lONU.

© International Road Transport Union (IRU) 2012 Séminaire international sur les instruments de facilitation du commerce et du transport routier de lONU.
A côté des systèmes d'information dans l'entreprise

A côté des systèmes d'information dans l'entreprise
Gestion des bases de données

Gestion des bases de données

Présentations similaires

Annonces Google