close

Se connecter

Se connecter avec OpenID

Chapitre 8 La sécurité des systèmes d`information

IntégréTéléchargement
Adaptation française des présentations
Olivier Caya
Jacques Lavallée
Danielle Perras
Chapitre 8
La sécurité des systèmes
d’information
Diapositives préparées par Olivier Caya, Jacques Lavallée
et Danielle Perras (Université de Sherbrooke)
© ERPI, 2010.
Objectifs d’apprentissage
1. Pourquoi les systèmes d’information sont-ils vulnérables à la
destruction, à l’erreur et à un usage abusif ?
2. Quelle est la valeur commerciale de la sécurité et du contrôle
des systèmes d’information ?
3. Quels éléments doit comprendre le cadre organisationnel de
sécurité et de contrôle des systèmes d’information ?
4. Quelles technologies et quels outils sont les plus importants
pour la sauvegarde des ressources en information ?
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
3
LES CELTICS DE BOSTON MARQUENT DES POINTS
CONTRE LES LOGICIELS ESPIONS
• Problème : Des logiciels espions ont contaminé les ordinateurs portables
des entraîneurs et des employés en déplacement et ont nui à la
performance des systèmes internes de l’entreprise.
• Solutions : Investissement dans une nouvelle technologie de sécurité afin
d’obtenir des couches additionnelles de protection.
•
La passerelle Webgate de Mi5 Network installée entre le pare-feu et le
réseau empêche les logiciels espions de pénétrer sur le réseau et en refuse
l’accès aux ordinateurs déjà contaminés.
•
Ce cas démontre le rôle des TI pour combattre les logiciels malveillants.
•
Il illustre le rôle des technologies numériques pour assurer la sécurité à
travers le Web.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
4
La vulnérabilité des systèmes
• La sécurité :
– comprend les politiques, les procédures et les mesures
techniques…
… visant à prévenir tout accès non autorisé et toute altération de
données, ainsi que les vols et les dommages.
• Les contrôles :
– consistent en des méthodes, des mesures et des procédures
organisationnelles…
… garantissant la protection des actifs d’une organisation, la précision
et la fiabilité de ses enregistrements et la conformité de ses opérations
aux normes de gestion.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
5
La vulnérabilité des systèmes
Les causes de la vulnérabilité des systèmes
•
Mauvais fonctionnement du matériel informatique :
– Une panne du matériel informatique, une configuration inadéquate, un usage
abusif ou un acte criminel.
•
Mauvais fonctionnement des logiciels :
– Des erreurs de programmation, une installation mal faite et des changements
non autorisés.
•
Désastres :
– Des pannes de courant, inondations, incendies et autres catastrophes naturelles.
•
Impartition :
– Faire appel à des sous-traitants locaux ou à l’étranger.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
6
La vulnérabilité des systèmes
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
7
La vulnérabilité des systèmes
La vulnérabilité d’Internet
•
Les grands réseaux publics sont ouverts à tous.
•
Internet est un si gros réseau qu’un usage abusif peut y avoir des
répercussions considérables.
•
Les ordinateurs sont constamment connectés à Internet et utilisent une
adresse Internet permanente qui permet de les repérer facilement.
•
Les courriels avec pièces jointes peuvent contenir des logiciels malveillants.
•
Le courriel peut servir à transmettre des secrets commerciaux.
•
La messagerie instantanée, qui est sans sécurité, peut être facilement
interceptée.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
8
La vulnérabilité des systèmes
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
9
La vulnérabilité des systèmes
Les programmes malveillants
• Virus informatique : programme malveillant qui s’attache à d’autres
programmes ou à des fichiers de données pour s’exécuter.
• Ver informatique : programme indépendant (autonome) qui se propage
d’un ordinateur à l’autre dans un réseau.
• Cheval de Troie : programme en apparence inoffensif, mais dont le
comportement est imprévisible.
• Logiciel espion : petit programme qui s’installe lui-même pour espionner
la navigation sur le Web et diffuser de la publicité.
– L’enregistreur de frappe enregistre chaque frappe faite sur un ordinateur pour
voler des numéros de série, des mots de passe, des numéros de cartes de crédit,
et pour lancer des attaques Internet.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
10
La vulnérabilité des systèmes
Les pirates informatiques et le cybervandalisme
• Pirate informatique (hacker) vs braqueur (cracker)
– Le pirate cherche à obtenir un accès non autorisé.
– Le braqueur est un pirate avec une intention criminelle.
• Activités de piratage :
– L’intrusion dans un système informatique.
– Le vol de biens et d’informations.
– Les atteintes aux systèmes.
– Le cybervandalisme :
• c’est-à-dire la perturbation, la dégradation ou même la destruction préméditée
d’un site Web ou d’un système informatique d’entreprise.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
11
La vulnérabilité des systèmes
• Le vol d’identité
– Consiste en l’obtention de renseignements personnels (numéro d’assurance
sociale, permis de conduire ou carte de crédit) dans le but de se faire passer pour
quelqu’un d’autre.
• L’hameçonnage (fishing)
– Consiste en la création de faux sites Web ou l’envoi de courriels dirigeant les
utilisateurs vers de faux sites Web, imitant ceux d’entreprises légitimes, et
demandant de fournir des renseignements confidentiels.
• Les jumeaux malfaisants (evil twins)
– Consistent en des réseaux sans fil qui prétendent offrir des connexions Wi-Fi
fiables à Internet, comme dans les aéroports, les hôtels ou les cafés, et par
lesquels les fraudeurs tentent de saisir des mots de passe et des numéros de
cartes de crédit.
• Le clonage d’adresses de serveur (pharming)
– Redirige les utilisateurs vers une fausse page Web, même lorsqu’ils ont tapé la
bonne adresse dans leur navigateur.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
12
La vulnérabilité des systèmes
Les menaces internes : les employés
• Les menaces en matière de sécurité proviennent souvent de l’intérieur
des entreprises.
– Les employés ont accès à des informations privilégiées.
– Les procédures de sécurité manquent de rigueur.
– Les utilisateurs manquent de connaissances.
• Ingénierie sociale ou piratage psychologique :
– Des intrus mal intentionnés peuvent amener des employés à révéler leur mot de
passe en prétendant être des membres légitimes de l’organisation à la recherche
de renseignements.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
13
La valeur commerciale de la sécurité et du contrôle des systèmes informatiques
Une sécurité et un contrôle inadéquats peuvent engendrer :
– des pertes de revenus;
•
Une panne des systèmes informatiques peut ralentir ou arrêter les activités de
l’entreprise menant à des pertes financières importantes.
– une perte de valeur sur le marché financier;
•
•
Plusieurs informations sont précieuses et doivent être protégées.
Si la sécurité de ses informations est compromise, une entreprise peut perdre
rapidement de sa valeur en Bourse.
– des problèmes juridiques;
– une baisse de la productivité des employés;
– des coûts d’exploitation plus élevés.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
14
La valeur commerciale de la sécurité et du contrôle des systèmes informatiques
Les exigences juridiques et réglementaires s’appliquant
à la gestion des documents informatiques (aux É.-U.)
– Les entreprises font face à de nouvelles obligations.
– Elles ont l’obligation juridique de gestion et de conservation des documents
informatiques, ainsi que de protection de la vie privée.
• HIPAA : Health Insurance Portability and Accountability Act
–
Cette loi précise les règles et les procédures à respecter pour préserver la confidentialité et la
sécurité des données médicales.
• Loi Gramm-Leach-Bliley :
–
Cette loi impose aux institutions financières une obligation de confidentialité et de sécurité
concernant les données sur les consommateurs.
• Loi Sarbanes-Oxley :
–
© ERPI, 2010.
Cette loi fait porter sur les entreprises et sur leurs dirigeants la responsabilité de protéger
l’intégrité des informations financières utilisées à l’interne et diffusées à l’externe.
CHAPITRE 8 La sécurité des systèmes d’information
15
La valeur commerciale de la sécurité et du contrôle des systèmes informatiques
• La preuve électronique
– Les preuves utilisées dans les causes judiciaires se présentent souvent
sous forme numérique :
• Données électroniques stockées sur un ordinateur, courriels, messagerie instantanée,
transactions de commerce électronique.
– Sur demande, une entreprise est tenue par la loi de fournir ces
informations pouvant servir de preuve.
– Une politique efficace de conservation des documents électroniques peut
s’avérer rentable.
• L’expertise judiciaire en informatique
– Elle consiste en la collecte, l’examen, l’authentification, la conservation et
l’analyse de données électroniques, de sorte qu’elles puissent servir de
preuves devant un tribunal.
– Elle s’occupe notamment de la récupération de données cachées
(invisibles ou détruites).
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
16
L’établissement d’un cadre de gestion pour la sécurité
et le contrôle des systèmes d’information
Les contrôles des systèmes d’information
• Les contrôles généraux
– Ils portent sur la conception, la sécurité et l’usage des programmes informatiques, ainsi
que sur la sécurité des fichiers de données stockés dans toute l’infrastructure de TI de
l’organisation.
– Ils consistent en une combinaison de dispositifs matériels et logiciels, ainsi que de
procédures manuelles, visant à créer un cadre global de contrôle.
• Les types de contrôles généraux portent sur :
–
–
–
–
–
–
© ERPI, 2010.
les logiciels,
le matériel informatique,
les opérations informatiques,
la sécurité des données,
les processus d’implantation des systèmes,
les contrôles administratifs.
CHAPITRE 8 La sécurité des systèmes d’information
17
L’établissement d’un cadre de gestion pour la sécurité
et le contrôle des systèmes d’information
Les contrôles des systèmes d’information (suite)
• Les contrôles des applications
– Ils portent spécifiquement sur chacune des applications informatisées, comme la
paie et le traitement des commandes.
– Ils regroupent des procédures manuelles et automatisées.
– Ils permettent de s’assurer que l’application en question ne traite que des données
autorisées de façon exhaustive et précise.
• Les catégories de contrôles d’applications :
– Les contrôles à l’entrée
– Les contrôles en cours de traitement
– Les contrôles à la sortie
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
18
L’établissement d’un cadre de gestion pour la sécurité
et le contrôle des systèmes d’information
L’analyse de risque
•
Elle consiste dans l’évaluation du degré de risque que représente pour l’entreprise une
lacune dans le contrôle d’une activité donnée ou d’un processus particulier.
•
Les risques peuvent porter sur :
–
–
–
–
les menaces potentielles;
leur fréquence probable durant une année;
la valeur estimée des dommages causés;
la perte annuelle possible.
Exemple : L’évaluation des risques relatifs au traitement des commandes en ligne
Problème
Panne de courant
Détournement informatique
Erreur de l’utilisateur
© ERPI, 2010.
Probabilité
d’occurrence
(%)
Perte minimale-maximale
(moyenne)
($)
Perte annuelle
prévisible
($)
30
5 000 à 200 000 (102 500)
30 750
5
1 000 à 50 000 (25 500)
1 275
98
200 à 40 000 (20 100)
10 698
CHAPITRE 8 La sécurité des systèmes d’information
19
L’établissement d’un cadre de gestion pour la sécurité
et le contrôle des systèmes d’information
La politique de sécurité informatique
•
Elle se compose d’une série d’énoncés qui hiérarchisent les risques et fixent
des objectifs raisonnables en matière de sécurité en indiquant comment les
atteindre.
•
Elle détermine quels sont les usages acceptables des ressources
informationnelles de l’entreprise et les membres qui y ont accès :
– Une politique d’utilisation acceptable indique quelles utilisations des ressources
et du matériel d’information sont permises.
– Une politique d’autorisation détermine le degré d’accès aux ressources
informationnelles alloué aux diverses catégories d’utilisateurs au sein de
l’organisation.
– Un système de gestion des autorisations accorde à l’utilisateur l’accès aux
seules parties d’un système qu’il est autorisé à consulter en vertu d’un ensemble
de règles.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
20
L’établissement d’un cadre de gestion pour la sécurité
et le contrôle des systèmes d’information
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
21
L’établissement d’un cadre de gestion pour la sécurité
et le contrôle des systèmes d’information
• Planification de la reprise sur sinistre : est l’élaboration de plans
assurant la restauration des services informatiques et des communications
après un sinistre.
• Planification de la continuité des affaires : porte sur les moyens par
lesquels l’entreprise peut reprendre ses opérations après un sinistre.
•
Dans ces deux types de planification, les dirigeants et spécialistes doivent
travailler ensemble afin de déterminer les systèmes et programmes les plus
cruciaux pour l’entreprise.
– Ils doivent procéder à une analyse d’impact pour estimer l’effet d’une
panne des systèmes sur les affaires.
– Les gestionnaires doivent…
… évaluer la durée maximale de survie de l’entreprise en cas de panne de ses systèmes;
… déterminer les secteurs qui doivent être restaurés en priorité.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
22
L’établissement d’un cadre de gestion pour la sécurité
et le contrôle des systèmes d’information
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
23
Les outils et les technologies permettant de protéger
les ressources informationnelles
Le contrôle d’accès
•
Il comprend les politiques et procédures qu’une entreprise utilise pour
empêcher toute personne non autorisée d’accéder à ses systèmes, à l’interne
comme à l’externe.
– Autorisation : accorder une permission.
– Authentification : vérifier si la personne est bien celle
qu’elle prétend être.
– Méthodes d’authentification :
•
•
•
•
© ERPI, 2010.
Mot de passe
Jeton d’authentification
Carte à puce
Authentification biométrique
CHAPITRE 8 La sécurité des systèmes d’information
24
Les outils et les technologies permettant de protéger
les ressources informationnelles
• Les pare-feux : une combinaison de matériel informatique et de logiciels qui
contrôlent le trafic qui arrive dans un réseau et qui en sort.
– Technologies de filtrage :
•
•
•
•
Filtrage statique de paquets de données
Inspection dynamique
Traduction d’adresses de réseau
Filtrage par serveur mandataire (proxy)
• Les systèmes de détection d’intrusion : des outils qui effectuent une
surveillance continuelle dans les zones ou les points d’accès des réseaux les
plus vulnérables, de manière à repérer et à dissuader les intrus.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
25
Les outils et les technologies permettant de protéger
les ressources informationnelles
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
26
Les outils et les technologies permettant de protéger
les ressources informationnelles
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
27
Les outils et les technologies permettant de protéger
les ressources informationnelles
Assurer la disponibilité des systèmes
• Le traitement transactionnel en ligne
– Requiert que les systèmes et les applications soient disponibles
en tout temps.
• Les systèmes à tolérance de pannes
– Assurent la continuité du service.
– Contiennent du matériel, des logiciels et des composantes d’alimentation
électrique redondants.
• L’informatique à haute disponibilité
– Permet de se relever rapidement en cas de « plantage ».
– Diminue les temps d’arrêt sans toutefois les éliminer entièrement.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
28
Les outils et les technologies permettant de protéger
les ressources informationnelles
Assurer la disponibilité des systèmes (suite)
• L’informatique axée sur la reprise
– Vise à concevoir des systèmes qui reprennent rapidement en cas de problème et
aide les opérateurs à localiser les sources de pannes dans des systèmes à
composantes multiples et à corriger leurs erreurs.
• Le contrôle de l’utilisation des réseaux
– L’inspection approfondie des paquets (IAP).
• L’impartition de la sécurité
– Un fournisseur de gestion de services de sécurité…
… surveille les activités du réseau;
… effectue des tests de vulnérabilité;
… détecte les intrusions.
© ERPI, 2010.
CHAPITRE 8 La sécurité des systèmes d’information
29
Auteur
Документ
Catégorie
Без категории
Affichages
6
Taille du fichier
4 046 Кб
Étiquettes
1/--Pages
signaler