Rapport sécurité SI
Mémoire : Rapport sécurité SI. Rechercher de 53 000+ Dissertation Gratuites et MémoiresPar lpLOT • 7 Avril 2018 • Mémoire • 4 797 Mots (20 Pages) • 748 Vues
Table des matières
I.La composition des systèmes d’information 2
Composition organisationnelle 2
Composition technique 3
II.La Sécurité des Systèmes d’informations 4
Définition 4
Objectifs de la sécurité des SI, menaces et risques 4
III.Les moyens 6
Cadre juridique, normes et standards 6
Cadre juridique français 6
Normes et standards 7
Moyens humains 9
Moyens techniques 10
Systèmes de contrôle d’accès au SI 11
Systèmes de filtrage réseau 11
Systèmes de détection et prévention d’intrusion 12
Systèmes antiviraux 12
Chiffrement 13
Systèmes de gestion d’événements 13
Systèmes de sauvegarde 14
Moyens Organisationnels 14
Politique de Sécurité 14
IV.Réflexions 16
V.Bibliographie 18
La composition des systèmes d’information
Un système d’information est un ensemble de matériels, logiciels, données et procédures informatiques et/ou de télécommunications, organisé afin de permettre l’acquisition, le stockage, la gestion, le contrôle, l’affichage, la transmission et l’exploitation de données sous forme numérique.
Composition organisationnelle
Un système d’information peut être composé de deux manières distinctes :
- La composition classique
Datant des années 1980-1990, la composition classique d’un système d’information reflétait l’organisation hiérarchique de l’entreprise.
Ainsi, le SI pouvait-il être représenté sous cette forme pyramidale :
[pic 1]
Si cette composition reste valable de nos jour, le développement de nouvelles technologies informatiques a permis l’émergence d’un nouveau modèle, différent du modèle pyramidal.
- La composition actuelle
Les entreprises ayant une taille critique suffisante sont en effet dotées de différentes briques logicielles relevant de trois catégories différentes :
- un ERP (enterprise resource planning) qui est une solution logicielle permettant de soutenir le fonctionnement de l’entreprise dans sa globalité
- des systèmes métiers, qui correspondent à des logiciels du commerce mais conçus pour une utilisation très spécifique par des éditeurs spécialisés dans le domaine métier
- des systèmes spécifiques à l’entreprise, développés sur mesure, pour répondre à des besoins spécifiques propres à l’entreprise
La répartition de ces 3 catégories diffère d’une entreprise à l’autre.
Composition technique
En plus de la composition organisationnelle, les systèmes d’informations sont composés de briques techniques, chacune d’entre elles ayant des rôles différents et complémentaires.
Ainsi, on retrouve généralement les éléments techniques suivants au sein d’un SI :
- Des bases de données, qui permettent de stocker des informations sous forme structurée
- Des serveurs de stockage, permettant de stocker des informations sous forme de fichiers
- Des serveurs d’application, hébergeant des applications
- Des systèmes de contrôle d’accès, qui authentifient et autorisent les utilisateurs à accéder aux ressources du SI
- Des dispositifs de sécurité : antivirus, pare-feux, systèmes de détection d’intrusion
- Des équipements d’infrastructure réseau : routeurs, switches, bornes WIFI principalement, qui permettent à la fois d’interconnecter les différents éléments du SI mais aussi d’interconnecter le SI avec des réseaux tiers dont Internet
- Des postes de travail utilisateur, fixes ou mobiles
- Des outils collaboratifs, tels que la messagerie, des salles de réunion virtuelles, des systèmes de visioconférence
Comme c’est le cas pour la composition organisationnelle, la répartition des ces différents composants varie d’une entreprise à une autre.
La Sécurité des Systèmes d’informations
Définition
Le concept de sécurité des SI, c’est à dire de sécurité des systèmes d’informations, aux yeux du grand public, peut paraître flou ou réducteur au premier abord.
Bien souvent, le public non professionnel sera amené à considérer la sécurité des systèmes d’informations comme relevant d’une sphère purement technique, avec des dispositifs de protection bien connus tels que des antivirus ou des pare-feux.
En réalité, si ces éléments font partie intégrante d’un système de sécurité du système d’information, la sécurité des SI relève d’un périmètre bien plus large et décrit de la manière suivante, par l’encyclopédie libre Wikipedia :
La sécurité des systèmes d’information (SSI) ou plus simplement sécurité informatique, est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place de moyen visant à empêcher l'utilisation non-autorisée, le mauvais usage, la modification ou le détournement du système d'information.
Les aspects techniques ne sont qu’une partie de ce concept, en réalité, les mesures techniques mises en œuvre pour garantir le bon fonctionnement d’un système d’information sont la dernière étape d’un cheminement bien plus complet et multifactoriel.
Objectifs de la sécurité des SI, menaces et risques
La sécurité des systèmes d’informations a pour objectif d’assurer la continuité et la fiabilité de fonctionnement du système d’information, face aux risques auquel il peut être exposé.
Pour autant, afin de pouvoir mener à bien la sécurisation d’un SI, ces objectifs doivent être précisés, ils sont au nombre de trois, communément admis (d’autres modèles en comptent cinq) :
- La confidentialité
Les informations ont une valeur et l’accès à celles-ci doit donc être contrôlé, afin de s ‘assurer que cette valeur ne puisse être interceptée ou utilisée à mauvais escient.
La confidentialité vise à donc s’assurer que les informations présentes au sein d’un système d’information ne soient accessibles qu’aux personnes dûment accréditées.
Cela suppose la mise en œuvre de systèmes d’authentification des accès, de chiffrement, pour éviter l’interception des données lors de leur transit (voire au niveau du stockage) et de blocage des accès non-autorisés.
- L’intégrité
Les informations stockées dans le SI doivent pouvoir être conservées sans risque d’altération fortuite, illicite ou malveillante, ce qui suppose donc que seules les personnes accréditées soient en mesure de modifier ces données.
- La disponibilité
La disponibilité vise à s’assurer que les personnes accréditées puissent accéder aux données présentes sur le SI, au moment où celles-ci en ont besoin.
Cela suppose donc que certaines contraintes comme les plages horaires d’accessibilité et les temps d’accès puissent être garantis.
Ces trois objectifs sont fondamentaux : la démarche de sécurisation d’un SI vise systématiquement à améliorer la réponse à un ou plusieurs de ces trois objectifs.
Les menaces qui pèsent sur un SI sont de différentes natures.
Ainsi, ces menaces peuvent être :
- environnementales : températures extrêmes, inondations, tremblements de terre, incendies
- humaines : maladresse, inconscience, malveillance
- techniques : usure du matériel, bug logiciel, surchauffe d’équipements
L’incapacité d’une entreprise à assurer la sécurité de son SI fait peser des risques importants pour elle-même mais aussi pour ses partenaires et clients.
En effet, les risques encourus peuvent être de différentes natures :
- Financiers : perte de données entraînant des coûts supplémentaires, opportunités d’affaires manquées, opérations bancaires frauduleuses
- Personnels : diffusion d’informations confidentielles concernant des individus et causant un tort à ceux-ci
- D’image : diffusion d’informations pouvant nuire à l’image de la société (ce qui entraîne en général des risques financiers)
- Juridiques : les entreprises doivent notamment s’assurer que les données personnelles dont elles ont la garde sont protégées. En cas de manquement à leurs obligations par négligence, la justice peut être amenée à les sanctionner.
Ces risques, s’ils sont mal maîtrisés, peuvent aller jusqu’à compromettre la survie de l’entreprise,de ses partenaires et clients. Il est donc nécessaire qu’ils soient réduits et maîtrisés.
...