La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

© 2006 ERPI. Reproduction autorisée 10.1/29 1010 ChapitreChapitre La sécurité et le contrôle des systèmes d’information.

Publié parCustance Bourdin Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "© 2006 ERPI. Reproduction autorisée 10.1/29 1010 ChapitreChapitre La sécurité et le contrôle des systèmes d’information."— Transcription de la présentation:

1 © 2006 ERPI. Reproduction autorisée 10.1/29 1010 ChapitreChapitre La sécurité et le contrôle des systèmes d’information

2 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.2/29 OBJECTIFS Expliquer pourquoi les SI nécessitent une protection contre la destruction, l’erreur et l’usage abusifExpliquer pourquoi les SI nécessitent une protection contre la destruction, l’erreur et l’usage abusif Évaluer la valeur commerciale de la sécurité et du contrôle des SIÉvaluer la valeur commerciale de la sécurité et du contrôle des SI Évaluer les éléments de gestion assurant la sécurité et le contrôle des SIÉvaluer les éléments de gestion assurant la sécurité et le contrôle des SI Évaluer quelques technologies et outils pour la protection des ressources en informationÉvaluer quelques technologies et outils pour la protection des ressources en information Cerner les défis concernant la sécurité des SI et suggérer des solutions de contrôle et de gestionCerner les défis concernant la sécurité des SI et suggérer des solutions de contrôle et de gestion

3 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.3/29 Cas Wesfarmers Limited Défis :Défis : –Offrir une surveillance du site Web bancaire de sa division Landmark –Manque de personnel Solutions :Solutions : –Impartir la gestion de la sécurité de ses SI à une firme reconnue dans le domaine, Symantec Managed Security Services –Installer des systèmes de surveillance permanente pour détecter les intrusions, des pare-feu et des logiciels d’exploration des données Illustre la nécessité de protéger les SI et de prévenir les défaillances de réseaux pour assurer la qualité du service aux clientsIllustre la nécessité de protéger les SI et de prévenir les défaillances de réseaux pour assurer la qualité du service aux clients

4 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.4/29 La technologie sans fil dans les entreprises Pourquoi les systèmes sont vulnérables? Figure 10-1

5 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.5/29 La vulnérabilité des systèmes et l’usage abusif Pourquoi les systèmes sont vulnérables? (…suite) La vulnérabilité d’Internet : Ordinateurs constamment connectés à Internet par modems câbles ou lignes d’abonnés numériquesOrdinateurs constamment connectés à Internet par modems câbles ou lignes d’abonnés numériques Vulnérables puisqu’ils utilisent une adresse Internet permanente qui permet de les repérer facilementVulnérables puisqu’ils utilisent une adresse Internet permanente qui permet de les repérer facilement La voix sur IP, très souvent non cryptée, peut être écoutée par toute personne reliée au réseauLa voix sur IP, très souvent non cryptée, peut être écoutée par toute personne reliée au réseau L’usage accru du courriel pouvant comporter des virus en pièce jointe et de la messagerie instantanée (MI) dont les messages texte sont non sécurisés, augmentent la vulnérabilitéL’usage accru du courriel pouvant comporter des virus en pièce jointe et de la messagerie instantanée (MI) dont les messages texte sont non sécurisés, augmentent la vulnérabilité

6 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.6/29 La vulnérabilité des systèmes et l’usage abusif Les défis de la sécurité sans fil Technologie radio encore plus vulnérable puisque les bandes de fréquences radio sont faciles à scannerTechnologie radio encore plus vulnérable puisque les bandes de fréquences radio sont faciles à scanner Identifiants réseau (indiquent les points d’accès à un réseau Wi-Fi) transmis plusieurs fois et peuvent donc être captés assez facilement par un programme renifleur de paquetsIdentifiants réseau (indiquent les points d’accès à un réseau Wi-Fi) transmis plusieurs fois et peuvent donc être captés assez facilement par un programme renifleur de paquets De nouveaux outils pour la sécurité des réseaux sans fil sont toutefois en développementDe nouveaux outils pour la sécurité des réseaux sans fil sont toutefois en développement

7 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.7/29 La vulnérabilité des systèmes et l’usage abusif Programmes malveillants VirusVirus VersVers Cheval de TroieCheval de Troie Logiciels espionsLogiciels espions

8 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.8/29 La vulnérabilité des systèmes et l’usage abusif Pirate informatique, cybervandalisme et délit informatique Mystification et hameçonnageMystification et hameçonnage RenifleurRenifleur Attaque par déni de serviceAttaque par déni de service Vol d’identitéVol d’identité CyberterrorismeCyberterrorisme Menaces internes par les employésMenaces internes par les employés

9 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.9/29

10 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.10/29

11 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.11/29 10.2 Valeur commerciale de la sécurité et du contrôle des SI Sécurité et contrôle inadéquats des SI peuvent causer de sérieux problèmes juridiquesSécurité et contrôle inadéquats des SI peuvent causer de sérieux problèmes juridiques Les entreprises doivent protéger non seulement leurs données, mais aussi celles de leurs clients, employés et partenairesLes entreprises doivent protéger non seulement leurs données, mais aussi celles de leurs clients, employés et partenaires Sinon, elles peuvent être poursuivies pour divulgation ou vol de données, ce qui peut leur coûter cherSinon, elles peuvent être poursuivies pour divulgation ou vol de données, ce qui peut leur coûter cher Un cadre adéquat de sécurité et de contrôle peut générer un taux de rendement élevéUn cadre adéquat de sécurité et de contrôle peut générer un taux de rendement élevé

12 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.12/29

13 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.13/29 Valeur commerciale de la sécurité et du contrôle des SI Exigences juridiques et réglementaires pour la gestion des documents informatiques (GDI) La GDI comprend les : PolitiquesPolitiques ProcéduresProcédures OutilsOutils Pour encadrer la gestion des documents électroniques : ConservationConservation DestructionDestruction StockageStockage

14 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.14/29 Valeur commerciale de la sécurité et du contrôle des SI Lois américaines relatives à la sécurité et au contrôle des données : Health Insurance Portability and Accountability Act (HIPAA)Health Insurance Portability and Accountability Act (HIPAA) Gramm-Leach-Bliley ActGramm-Leach-Bliley Act Sarbanes-Oxley Act de 2002Sarbanes-Oxley Act de 2002

15 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.15/29 10.3Établissement d’un cadre de gestion pour la sécurité et le contrôle des SI Une politique de sécurité informatique se compose : D’une séries d’énoncés qui :D’une séries d’énoncés qui : –Classent les risques –Fixent des objectifs raisonnables –Indiquent les moyens à utiliser pour l’atteinte des objectifs D’une politique d’utilisation acceptableD’une politique d’utilisation acceptable D’une politique d’autorisationD’une politique d’autorisation

16 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.16/29

17 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.17/29

18 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.18/29

19 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.19/29 Établissement d’un cadre de gestion pour la sécurité et le contrôle des SI Maintien et continuité des affaires Temps d’arrêt : période pendant laquelle un système n’est pas opérationnelTemps d’arrêt : période pendant laquelle un système n’est pas opérationnel Systèmes à tolérance de pannes : contiennent du matériel, des logiciels et des composantes d’alimentation électriques supplémentaires pour offrir un service continu, non interrompuSystèmes à tolérance de pannes : contiennent du matériel, des logiciels et des composantes d’alimentation électriques supplémentaires pour offrir un service continu, non interrompu Informatique à haute disponibilité : utilise des ressources matérielles auxiliaires pour permettre de se relever rapidement en cas de panneInformatique à haute disponibilité : utilise des ressources matérielles auxiliaires pour permettre de se relever rapidement en cas de panne –représente un minimum pour les entreprises qui dépendent des réseaux numériques

20 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.20/29 Établissement d’un cadre de gestion pour la sécurité et le contrôle des SI Maintien et continuité des affaires (…suite) Planification de la reprise sur sinistre : plan prévoyant la restauration des services informatiques et des communications après une interruption due à une catastrophe naturelle ou une attaque terroristePlanification de la reprise sur sinistre : plan prévoyant la restauration des services informatiques et des communications après une interruption due à une catastrophe naturelle ou une attaque terroriste Planification de la continuité des affaires : détermine les processus d’affaires cruciaux et les mesures à prendre pour assurer les fonctions fondamentales en cas de pannePlanification de la continuité des affaires : détermine les processus d’affaires cruciaux et les mesures à prendre pour assurer les fonctions fondamentales en cas de panne

21 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.21/29 Établissement d’un cadre de gestion pour la sécurité et le contrôle des SI La vérification dans le processus de contrôle Vérification des SI : permet de repérer tous les contrôles qui régissent les SI et d’évaluer leur efficacitéVérification des SI : permet de repérer tous les contrôles qui régissent les SI et d’évaluer leur efficacité Vérifications de sécurité : devraient s’intéresser aux technologies, aux procédures, à la documentation, à la formation et au personnelVérifications de sécurité : devraient s’intéresser aux technologies, aux procédures, à la documentation, à la formation et au personnel

22 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.22/29 10.4 Outils et technologies pour la sécurité et le contrôle des SI Contrôle d’accès Comprend toutes les politiques et procédures qu’une entreprise utilise pour bloquer l’accès de ses systèmes aux personnes non autorisées, à l’interne comme à l’externeComprend toutes les politiques et procédures qu’une entreprise utilise pour bloquer l’accès de ses systèmes aux personnes non autorisées, à l’interne comme à l’externe Authentification : capacité de vérifier si la personne est bien celle qu’elle prétend êtreAuthentification : capacité de vérifier si la personne est bien celle qu’elle prétend être –Mot de passe –Jeton d’authentification, carte à puce intelligente –Authentification biométrique

23 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.23/29 Établissement d’un cadre de gestion pour la sécurité et le contrôle des SI Exemple de liste de faiblesses des contrôles établie par un vérificateur Figure 10-6

24 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.24/29 Outils et technologies pour la sécurité et le contrôle des SI Pare-feu, systèmes de détection d’intrus et antivirus Pare-feu : matériel et logiciels qui contrôlent le trafic qui arrive dans un réseau et en partPare-feu : matériel et logiciels qui contrôlent le trafic qui arrive dans un réseau et en part Systèmes de détection d’intrusion : effectuent une surveillance continuelle dans les points d’accès les plus vulnérables des réseaux, de manière à repérer et à dissuader les intrusSystèmes de détection d’intrusion : effectuent une surveillance continuelle dans les points d’accès les plus vulnérables des réseaux, de manière à repérer et à dissuader les intrus Logiciels antivirus : vérifient les disques et les systèmes afin de détecter d’éventuels virus pour ensuite les éliminerLogiciels antivirus : vérifient les disques et les systèmes afin de détecter d’éventuels virus pour ensuite les éliminer Wi-Fi Protected Access (WPA) : spécifications de sécurité pour mieux protéger les réseaux sans filWi-Fi Protected Access (WPA) : spécifications de sécurité pour mieux protéger les réseaux sans fil

25 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.25/29

26 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.26/29 Cryptographie asymétrique

27 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.27/29

28 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.28/29 Exhibit 2–6: Digital Certificate Transmission in e- Commerce Trusted third-party certificate provider 1. Digital certificate / public key and private key sent to server (when server is initially set up) Customer’s PC 4. Certificate used to encrypt data 5. Encrypted data sent to server via internet 6. Private key used to decrypt data 7. Server stores and processes credit card data Web server with private key Credit card information VISA ****** ****** ****** Encrypted credit card Information ****** ****** ****** Credit card information VISA ****** ****** ****** Encrypted credit card Information ****** ****** ****** 2. Copy of public key is sent to customer’s PC. Customer accepts this certificate to create SSL “pipe” between user’s PC and server = non-SSL transmission = SSL transmission 3. Encryption “tunnel” created Note: Step 3 indicates the creation of an SSL encryption “tunnel” for data to pass through. Steps 4 through 7 show what happens behind the scenes in SSL. Internet

29 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.29/29 Exhibit 2–7: Digital Signature Transmission Trusted third-party certificate provider 1. Digital certificate / public key sent to customer Customer’s PC 4. Public key / certificate used to decrypt digital signature Web server with private key Internet Encrypted digital signature ************ Digital signature ABC Corp.****** 5. User is presented with digital-signature information. If user accepts certificate, SSL tunnel is created. Digital signature ABC Corp.****** 2. Private key encrypts digital- signature document Encrypted digital signature ************ 3. Encrypted signature sent

30 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.30/29 Possibilités, défis et solutions en matière de gestion Les possibilités Création de sites Web et de systèmes d’une grande fiabilité qui peuvent soutenir les stratégies d’affaires électroniques et de commerce électroniqueCréation de sites Web et de systèmes d’une grande fiabilité qui peuvent soutenir les stratégies d’affaires électroniques et de commerce électronique

31 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.31/29 Possibilités, défis et solutions en matière de gestion Les défis La conception de systèmes exerçant un contrôle ni trop faible ni trop fortLa conception de systèmes exerçant un contrôle ni trop faible ni trop fort Pour y arriver, il faut trouver un équilibre entre les risques, les bénéfices et les capacités opérationnelles de l’entreprisePour y arriver, il faut trouver un équilibre entre les risques, les bénéfices et les capacités opérationnelles de l’entreprise La mise en place d’une politique de sécurité efficaceLa mise en place d’une politique de sécurité efficace

32 Les systèmes d’information de gestion Chapitre 10 – La sécurité et le contrôle des SI © 2006 ERPI. Reproduction autorisée 10.32/29 Possibilités, défis et solutions en matière de gestion Les solutions La sécurité et le contrôle des SI doivent devenir des priorités et des postes d’investissement plus visibles et plus explicitesLa sécurité et le contrôle des SI doivent devenir des priorités et des postes d’investissement plus visibles et plus explicites Le soutien et l’engagement de la haute direction sont indispensables pour montrer que la sécurité est réellement une priorité pour l’entreprise et vitale pour ses opérationsLe soutien et l’engagement de la haute direction sont indispensables pour montrer que la sécurité est réellement une priorité pour l’entreprise et vitale pour ses opérations La responsabilité de la sécurité et du contrôle devraient incomber à tous les membres de l’organisationLa responsabilité de la sécurité et du contrôle devraient incomber à tous les membres de l’organisation

Télécharger ppt "© 2006 ERPI. Reproduction autorisée 10.1/29 1010 ChapitreChapitre La sécurité et le contrôle des systèmes d’information."

Présentations similaires

Sécurité informatique

Sécurité informatique
1 12 Niveaux de sécurité Atelier e-Sécurité – 19-20 juin 2006.

1 12 Niveaux de sécurité Atelier e-Sécurité – juin 2006.
Faculté des Sciences de la Santé

Faculté des Sciences de la Santé
Mon carnet De comportement

Mon carnet De comportement
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
Manuel Qualité, Structure et Contenus – optionnel

Manuel Qualité, Structure et Contenus – optionnel
Introduction aux réseaux informatiques

Introduction aux réseaux informatiques
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
1 PDA sécurité des données Module 10.16 : Développement sur terminaux mobiles PDA - sécurité des données Stéphane PINARD Sébastien CHOPLIN Samedi 30 avril.

1 PDA sécurité des données Module : Développement sur terminaux mobiles PDA - sécurité des données Stéphane PINARD Sébastien CHOPLIN Samedi 30 avril.
PLAN DU COURS Outils de traitement des risques

PLAN DU COURS Outils de traitement des risques
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Architecture de réseaux

Architecture de réseaux
Réseaux Privés Virtuels

Réseaux Privés Virtuels
La politique de Sécurité

La politique de Sécurité
Les réseaux informatiques

Les réseaux informatiques
La diapo suivante pour faire des algorithmes (colorier les ampoules …à varier pour éviter le « copiage ») et dénombrer (Entoure dans la bande numérique.

La diapo suivante pour faire des algorithmes (colorier les ampoules …à varier pour éviter le « copiage ») et dénombrer (Entoure dans la bande numérique.
Département de physique/Infotronique

Département de physique/Infotronique
Service aux personnes assurées

Service aux personnes assurées
© 2006 ERPI – Reproduction autoriséeJacques Lavallée et Danielle Perras, Université de Sherbrooke 88 ChapitreChapitre Les télécommunications, les réseaux.

© 2006 ERPI – Reproduction autoriséeJacques Lavallée et Danielle Perras, Université de Sherbrooke 88 ChapitreChapitre Les télécommunications, les réseaux.
© 2006 ERPI – Reproduction autoriséeJacques Lavallée et Danielle Perras, Université de Sherbrooke 88 ChapitreChapitre Les télécommunications, les réseaux.

© 2006 ERPI – Reproduction autoriséeJacques Lavallée et Danielle Perras, Université de Sherbrooke 88 ChapitreChapitre Les télécommunications, les réseaux.

Présentations similaires

Annonces Google