Rapport sécurité SI

Table des matières

I.La composition des systèmes d’information        2

Composition organisationnelle        2

Composition technique        3

II.La Sécurité des Systèmes d’informations        4

Définition        4

Objectifs de la sécurité des SI, menaces et risques        4

III.Les moyens        6

Cadre juridique, normes et standards        6

Cadre juridique français        6

Normes et standards        7

Moyens humains        9

Moyens techniques        10

Systèmes de contrôle d’accès au SI        11

Systèmes de filtrage réseau        11

Systèmes de détection et prévention d’intrusion        12

Systèmes antiviraux        12

Chiffrement        13

Systèmes de gestion d’événements        13

Systèmes de sauvegarde        14

Moyens Organisationnels        14

Politique de Sécurité        14

IV.Réflexions        16

V.Bibliographie        18

1. La composition des systèmes d’information

Un système d’information est un ensemble de matériels, logiciels, données et procédures informatiques et/ou de télécommunications, organisé afin de permettre l’acquisition, le stockage, la gestion, le contrôle, l’affichage, la transmission et l’exploitation de données sous forme numérique.

1. Composition organisationnelle

Un système d’information peut être composé de deux manières distinctes :

• La composition classique

Datant des années 1980-1990, la composition classique d’un système d’information reflétait l’organisation hiérarchique de l’entreprise.

Ainsi, le SI pouvait-il être représenté sous cette forme pyramidale :

[pic 1]

Si cette composition reste valable de nos jour, le développement de nouvelles technologies informatiques a permis l’émergence d’un nouveau modèle, différent du modèle pyramidal.

• La composition actuelle

Les entreprises ayant une taille critique suffisante sont en effet dotées de différentes briques logicielles relevant de trois catégories différentes :

1. un ERP (enterprise resource planning) qui est une solution logicielle permettant de soutenir le fonctionnement de l’entreprise dans sa globalité
2. des systèmes métiers, qui correspondent à des logiciels du commerce mais conçus pour une utilisation très spécifique par des éditeurs spécialisés dans le domaine métier
3. des systèmes spécifiques à l’entreprise, développés sur mesure, pour répondre à des besoins spécifiques propres à l’entreprise

La répartition de ces 3 catégories diffère d’une entreprise à l’autre.

1. Composition technique

En plus de la composition organisationnelle, les systèmes d’informations sont composés de briques techniques, chacune d’entre elles ayant des rôles différents et complémentaires.

Ainsi, on retrouve généralement les éléments techniques suivants au sein d’un SI :

• Des bases de données, qui permettent de stocker des informations sous forme structurée
• Des serveurs de stockage, permettant de stocker des informations sous forme de fichiers
• Des serveurs d’application, hébergeant des applications
• Des systèmes de contrôle d’accès, qui authentifient et autorisent les utilisateurs à accéder aux ressources du SI
• Des dispositifs de sécurité : antivirus, pare-feux, systèmes de détection d’intrusion
• Des équipements d’infrastructure réseau : routeurs, switches, bornes WIFI principalement, qui permettent à la fois d’interconnecter les différents éléments du SI mais aussi d’interconnecter le SI avec des réseaux tiers dont Internet
• Des postes de travail utilisateur, fixes ou mobiles
• Des outils collaboratifs, tels que la messagerie, des salles de réunion virtuelles, des systèmes de visioconférence

Comme c’est le cas pour la composition organisationnelle, la répartition des ces différents composants varie d’une entreprise à une autre.

1. La Sécurité des Systèmes d’informations

1. Définition

Le concept de sécurité des SI, c’est à dire de sécurité des systèmes d’informations, aux yeux du grand public, peut paraître flou ou réducteur au premier abord.

Bien souvent, le public non professionnel sera amené à considérer la sécurité des systèmes d’informations comme relevant d’une sphère purement technique, avec des dispositifs de protection bien connus tels que des antivirus ou des pare-feux.

En réalité, si ces éléments font partie intégrante d’un système de sécurité du système d’information, la sécurité des SI relève d’un périmètre bien plus large et décrit de la manière suivante, par l’encyclopédie libre Wikipedia :

La sécurité des systèmes d’information (SSI) ou plus simplement sécurité informatique, est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place de moyen visant à empêcher l'utilisation non-autorisée, le mauvais usage, la modification ou le détournement du système d'information.

Les aspects techniques ne sont qu’une partie de ce concept, en réalité, les mesures techniques mises en œuvre pour garantir le bon fonctionnement d’un système d’information sont la dernière étape d’un cheminement bien plus complet et multifactoriel.

Objectifs de la sécurité des SI, menaces et risques

La sécurité des systèmes d’informations a pour objectif d’assurer la continuité et la fiabilité de fonctionnement du système d’information, face aux risques auquel il peut être exposé.

Pour autant, afin de pouvoir mener à bien la sécurisation d’un SI, ces objectifs doivent être précisés, ils sont au nombre de trois, communément admis (d’autres modèles en comptent cinq) :

1. La confidentialité

Les informations ont une valeur et l’accès à celles-ci doit donc être contrôlé, afin de s ‘assurer que cette valeur ne puisse être interceptée ou utilisée à mauvais escient.

        La confidentialité vise à donc s’assurer que les informations présentes au sein d’un système         d’information ne soient accessibles qu’aux personnes dûment accréditées.

        Cela suppose la mise en œuvre de systèmes d’authentification des accès, de         chiffrement, pour éviter l’interception des données lors de leur transit (voire au niveau du         stockage) et de blocage des accès non-autorisés.

1. L’intégrité

        Les informations stockées dans le SI doivent pouvoir être conservées sans risque         d’altération fortuite, illicite ou malveillante, ce qui suppose donc que seules les personnes         accréditées soient en mesure de modifier ces données.

1. La disponibilité

        La disponibilité vise à s’assurer que les personnes accréditées puissent accéder aux données         présentes sur le SI, au moment où celles-ci en ont besoin.

        Cela suppose donc que certaines contraintes comme les plages horaires d’accessibilité et les         temps d’accès puissent être garantis.

Ces trois objectifs sont fondamentaux : la démarche de sécurisation d’un SI vise systématiquement à améliorer la réponse à un ou plusieurs de ces trois objectifs.

Les menaces qui pèsent sur un SI sont de différentes natures.

Ainsi, ces menaces peuvent être :

• environnementales : températures extrêmes, inondations, tremblements de terre, incendies
• humaines : maladresse, inconscience, malveillance
• techniques : usure du matériel, bug logiciel, surchauffe d’équipements

L’incapacité d’une entreprise à assurer la sécurité de son SI fait peser des risques importants pour elle-même mais aussi pour ses partenaires et clients.

En effet, les risques encourus peuvent être de différentes natures :

• Financiers : perte de données entraînant des coûts supplémentaires, opportunités d’affaires manquées, opérations bancaires frauduleuses

• Personnels : diffusion d’informations confidentielles concernant des individus et causant un tort à ceux-ci

• D’image : diffusion d’informations pouvant nuire à l’image de  la société (ce qui entraîne en général des risques financiers)

• Juridiques : les entreprises doivent notamment s’assurer que les données personnelles dont elles ont la garde sont protégées. En cas de manquement à leurs obligations par négligence, la justice peut être amenée à les sanctionner.

Ces risques, s’ils sont mal maîtrisés, peuvent aller jusqu’à compromettre la survie de l’entreprise,de ses partenaires et clients. Il est donc nécessaire qu’ils soient réduits et maîtrisés.