Cours complet Index Cours sécurité informatique La mise en place d’une bonne politique de sécurité informatique

La mise en place d’une bonne politique de sécurité informatique

Pin

Qu’est que le système d’information

Le système d’information (SI) est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de l’information, en général grâce à un ordinateur. Il s’agit d’un système sociotechnique composé de deux sous-systèmes, l’un social et l’autre technique. Le sous-système social est composé de la structure organisationnelle et des personnes liées au SI.
Le sous-système technique est composé des technologies (hardware, software et équipements de télécommunications) et des processus d’affaires concernés par le SI.
L’apport des nouvelles technologies de l’information est à l’origine du regain de la notion de système d’information. L’utilisation combinée de moyens informatiques, électroniques et de procédés de télécommunication permet aujourd’hui, selon les besoins et les intentions exprimés, d’accompagner, d’automatiser et de dématérialiser quasiment toutes les opérations incluses dans les activités ou procédures d’entreprise.

Enjeux du système d’information

Le système d’information est le véhicule des entités de l’organisation. Sa structure est constituée de l’ensemble des ressources (les personnels, le matériel, les logiciels, les procédures) organisées pour : collecter, stocker, traiter et communiquer les informations. Le système d’information coordonne, grâce à la structuration des échanges, les activités de l’organisation et lui permet ainsi, d’atteindre ses objectifs. Un système d’information se construit à partir de l’analyse des processus « métier » de l’organisation et de leurs interactions/interrelations, et non simplement autour de solutions informatiques plus ou moins standardisées par le marché. Le système d’information doit réaliser l’alignement stratégique de la stratégie d’entreprise par un management spécifique.
La gouvernance des systèmes d’information ou gouvernance informatique (IT gouvernance) renvoie aux moyens de gestion et de régulation des systèmes d’information mis en place dans une organisation en vue d’atteindre ses objectifs. À ce titre, la gouvernance du SI fait partie intégrante de la gouvernance de l’organisation. Les méthodes ITIL (IT infrastructure library) et COBIT sont par exemple, des supports permettant de mettre un SI sous contrôle et de le faire évoluer en fonction de la stratégie de l’organisation.

Les différentes nature du système d’information

Le SI est né dans les domaines de l’informatique et des télécommunications, le concept de SI s’applique maintenant à l’ensemble des organisations, privées ou publiques. Le terme système d’information (ou SI) possède les significations suivantes :
un ensemble organisé de ressources (personnel, données, procédures, matériel, logiciel, etc.) permettant d’acquérir, de stocker, de structurer et de communiquer des informations sous forme de textes, images, sons, ou de données codées dans des organisations. Selon leur finalité principale, on distingue des systèmes d’information supports d’opérations (traitement de transaction, contrôle de processus industriels, supports d’opérations de bureau et de communication) et des systèmes d’information supports de gestion (aide à la production de rapports, aide à la décision, etc.).
Un système ou sous-système d’équipements, d’informatique ou de télécommunication, interconnectés dans le but de l’acquisition, du stockage, de la structuration, de la gestion, du déplacement, du contrôle, de l’affichage, de l’échange (transmission ou réception) de données sous forme de textes, d’images, de sons, et/ou, faisant intervenir du matériel et des logiciels.
Un SI est un réseau complexe de relations structurées où interviennent hommes, machines et procédures, qui a pour but d’engendrer des flux ordonnés d’informations pertinentes provenant de différentes sources et destinées à servir de base aux décisions selon Hugues Angot.
Un SI est un ensemble d’éléments matériels ou immatériels (hommes, machines, méthodes, règles) en interaction transformant en processus des éléments (les entrées) en d’autres éléments (les sorties).

Présentation de la norme ISO/CEI 27001-2013

La norme ISO/CEI 27001, publiée en Octobre 2005 et révisée en 2013 succède à la norme BS 7799-2 de BSI (British Standards Institution). C’est le centre de gravité de la famille des normes ISO 27000 liées au management de la sécurité l’information.
Elle décrit l’ensemble des étapes à respecter pour la mise en place et la gestion d’un Système de Management de la Sécurité de l’information (SMSI, avec la possibilité d’une certification validant la conformité du résultat).
Dans sa version 2013, la norme est conforme à la nouvelle structure commune des normes de management de l’ISO, l’HLS (High Level Structure). Elle ne fait plus explicitement allusion au PDCA ou roue de Deming mais utilise à la place la formulation « Planifier, implémenter, maintenir, améliorer ».
La norme ISO/CEI 27001 version 2013 est composée de 10 chapitres principaux, 3 premiers chapitres d’introduction et 7 chapitres déclinant les exigences liées au système de management (du chapitre 4 au chapitre 10) et une annexe.
L’Annexe A de la norme ISO 27001 version 2013 décline 70 objectifs repartit sur 114 mesures de sécurité. Elle s’adresse à toutes les organisations qui veulent prendre en compte la sécurité de leurs informations, quel que soit leur taille ou leur secteur d’activité.

Politique et périmètre de sécurité du système d’information

Ces deux documents ne comportent que quelques paragraphes mais leur rédaction doit être mûrement réfléchie car ils sont le point de départ du développement du SMSI. Nous nous sommes par conséquent appuyés sur l’état des lieux et l’analyse de l’existence pour les rédiger.
Le périmètre de sécurité : Le périmètre ne couvre pas toutes les activités mais juste le gestion pédagogique et financière du laboratoire. Ainsi la limite physique est matérialisée par les services qui s’occupent de la formation des étudiants et du service comptable. La limite réseau est démarqué qu’en à elle par les pares-feux en entrée de la connexion internet.
La politique du SMSI : La politique du SMSI rappelle le contexte de risque auquel est soumis le laboratoire LACGAA et précise la manière par laquelle le SMSI s’intègre dans ce contexte. Par exemple la gestion financière avec le paiement des étudiants. Donc il doit pouvoir assurer un niveau de sécurité de l’information satisfaisant et à appliquer les exigences légales dans ce domaine.
Le laboratoire doit inclure un cadre pour fixer les objectifs et indiquer une orientation générale et des principes d’action concernant la sécurité de l’information. Il doit alors assurer la sécurité des entrées-sorti de son personnel mais aussi tenir compte des exigences liées aux processus de paiement des étudiants et surtout assurer la protection de ses actifs.

Table des matières

INTRODUCTION GENERALE
PREMIÈRE PARTIE : CADRE GÉNÉRAL ET MÉTHODOLOGIQUE
CHAPITRE I : CADRE THEORIQUE (Rappel)
I.1 Qu’est que le système d’information
I.2 Enjeux du système d’information
I.3 Les différentes nature du système d’information
CHAPITRE II : CADRE REFERENCE
II.1 Introduction
II.2 Présentation organisationnelle de la structure d’accueil
II.2.1 Historique
II.2.2 Organisation
II.3 La problématique
II.4 Les solutions de sécurisation
II.4.1 Contrôle interne
II.4.2 La mise en place d’une bonne politique de sécurité informatique
II.4.3 L’audit informatique
II.5 Solution proposée
II.6 Les objectifs de recherche
II.6.1 Objectif général
II.6.2 Objectifs spécifiques
II.7 Hypothèses de Recherche
II.8 Pertinence du sujet
CHAPITRE III : CADRE METHODOLOGIQUE 
III.1 Introduction
III.2 Cadre de l’étude
III.3 Délimitation du champ de l’étude
III.4 Technique d’investigation
III.5 Echantillonnage
III.6 Difficultés rencontrées
DEUXIÈME PARTIE : CADRE ORGANISATIONNEL ET CONCEPTUEL
CHAPITRE IV : CADRE ORGANISATIONNEL
IV.1 Introduction
IV.2 La Norme ISO/CEI 27001-2013 et son approche en 4 phases
IV.2.1 Objectifs
IV.2.2 Présentation de la norme ISO/CEI 27001-2013
IV.2.3 Quatre phases
IV.2.3.1 Phase plan
IV.2.3.2 Do
IV.2.3.3 Check
IV.2.3.4 Act
IV.2.4 Avantages
IV.3 Audit de l’existence
IV.3.1 Etat de lieu
IV.3.2 Analyse de l’existence
IV.3.3 Préconisation
CHAPITRE V : CADRE CONCEPTUEL
V.1 Introduction
V.2 Déploiement de la Norme ISO/CEI 27001-2013
V.2.1 Politique et périmètre de sécurité du système d’information
V.2.2 Appréciation des risques
V.2.3 Traitement des risques
V.3 Mesures de sécurité à appliquer
Conclusion

Télécharger le rapport complet

Télécharger aussi :

Protocoles théoriques de cryptographie quantique avec des états cohérents

Using AAA to Scale Access Control

La gestion de la sécurité

LA CONFORMITE DE SECURITE

L’utilisation des outils SIEM pour la sécurité d’un réseau

Techniques de chiffrement

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *