Ecole Nationale Supérieure

de Management
ENSM

Master management stratégique et système

d’information

Module
Normes et certification des SI

Dr ZIDANE GHARBI nesrine

Année Universitaire:2023/2024
ANNÉE UNIVERSITAIRE:2024/2025
Sécurité des système
d’information « SSI »
La SSI: un aspect particulièrement sensible pour les
entreprises. Avec le développement de l'utilisation
d'internet, de plus en plus d'entreprises ouvrent leur
système d'information à leurs partenaires ou leurs
fournisseurs, il est donc essentiel de connaître les
ressources de l'entreprise à protéger et de maîtriser le
contrôle d'accès et les droits des utilisateurs du
système d'information. Il en va de même lors de
l'ouverture de l'accès de l'entreprise sur internet.
En plus, avec la possibilité de se connecter au système
d'information depuis n'importe quel endroit, les
personnels sont amenés à « transporter » une partie
du système d'information hors de l'infrastructure
sécurisé de l'entreprise.
L'évolution des modes de communication et des outils
de travail résolument tournée vers les réseaux
informatiques rend les entreprises et les particuliers
particulièrement sensibles à la bonne sécurité de leur
système d'information.
Définition:
la SSI représente l’ensemble des moyens techniques,
organisationnels, juridiques et humains nécessaires et mis
en place pour conserver, rétablir, et garantir la sécurité de
l’information, des systèmes et ressources informatiques
contre les menaces atteignant leur confidentialité,
intégrité, et disponibilité.
Les systèmes d’information sont basés sur des
infrastructures informatiques et de télécommunication. Par
suite, la vulnérabilité des infrastructures implique la
vulnérabilité des systèmes d’information.
Donc Les dangers qui
guettent les SI sont présentes
dans des différents niveaux
de l’infrastructure hardware
et software du système
informatique et du SI.
Les dangers majeurs qui guettent SI :
I. Perte de données dont les causes courantes sont :
1. « Les accidents imprévu » : Feu, inondations, tremblements de terre,
guerres, rats, ….
2. les erreurs matérielles ou logicielles : Fonctionnement défectueux du
processeur, erreurs de télécommunication, bogues dans les
programmes, …
3. les erreurs humaines : Saisie de données erronées, utilisation d’un
mauvais disque, mauvaise exécution d’un programme, perte d’un
support de stockage,…
 La solution universelle à ces problèmes : la sauvegarde et la mise en
place d’un système de back-up
II . Fuite de données et intrusions dont les causes courantes sont :
• Indiscrétion des utilisateurs
• Furetage
• Appât du gain : modification de données, vente d’information,
chantage informatique
• Espionnage industriel ou militaire
 Les solutions sont les mécanismes de protection :
Identification
Authentification
Autorisation
Encryptage
Firewalls
I : Sécurité des Systèmes Informatiques
Les Aspects de la Sécurité Informatique

 Réduire les risques technologiques

 Réduire les risques informationnels dans

l’utilisation des systèmes d’information

Il existe plusieurs domaines

de sécurité à mettre en oeuvre
selon la figure suivante :
Sécurité physique : Aspects liés aux systèmes matériels Aspects
liés à l’environnement : locaux, alimentation électrique,
climatisation,… ; nécessitant la prises des différentes mesures de
sécurité : Respect de normes de sécurité, Protections diverses,
Traçabilité des entrées, Gestion des accès, Redondance physique,
Marquage de matériels

Sécurité logique : admettant plusieurs prises de mesures dans :

• Mécanismes logiciels de sécurité
• Contrôle d’accès logique : identification, authentification,
autorisation
• Protection des données : cryptage, anti-virus, sauvegarde
Sécurité applicative : l'objectif est d'éviter les « bugs » :
Méthodologie de développement par la Mise en place des :
• Plans de Contrôles et tests
• Plans de migration des applications

Sécurité de l’exploitation : elle vise le bon fonctionnement des

systèmes
• Procédures de maintenance, de test, de diagnostic, de mise à
jour
• Plan de sauvegarde, Plan de secours
Sécurité des télécommunications : Nécessité d’une infrastructure
réseau sécurisée
• au niveau des accès
• au niveau des protocoles
• au niveau des systèmes d’exploitation
• au niveau des équipements

Dans le domaine de la sécurité des systèmes informatiques

et plus précisément les systèmes d’informations SI on
distingue 4 problèmes principaux à résoudre :
Gestion des Risques

Définitions

La gestion des risques est le processus qui permet d'identifier

et d'évaluer les risques en vue d'élaborer un plan visant à
minimiser et à maîtriser ces risques et leurs conséquences
potentielles pour une entreprise. Les risques représentent
une probabilité de perte ou de dommage.
 Menace : Violation potentielle d’une propriété de
sécurité.

Types de Menace
Accidentelles :
 Catastrophes naturelles : feu, inondation, …
 Actes humains involontaires : mauvaise entrée de
données, erreur de frappe, de configuration, …
 Performance imprévue des systèmes : Erreur de
conception dans le logiciels ou matériel, Erreur de
fonctionnement dans le matériel,…

Délibérées :
 Vol de systèmes
 Vol d'informations (atteinte à la confidentialité)
 Modification non-autorisée des systèmes.

Vulnérabilité : faiblesse / faille : faute accidentelle ou

intentionnelle introduite dans spécification, conception ou
configuration du système.
Attaque : tentative volontaire de violer une ou plusieurs
propriétés de sécurité.
Intrusion : violation effective de la politique de sécurité.

Contre-Mesures
Contre-mesures est l’ensemble des actions mises en oeuvre
en prévention de la menace.
 Encryptage des données
 Contrôles au niveau des logiciels , Partie du système
d'exploitation,
 Contrôle du développement des logiciels
 Contrôles du matériel
 Contrôle de l'accès au matériel : identification et
authentification.
 Contrôles physiques : serrures, caméras de
surveillance, gardiens, etc…

Logiciels Malveillants
La définition d’un logiciel malveillant est un programme qui
infecte un système informatique :
 Virus : Tout programme capable d’infecter un autre
programme en le modifiant de façon à ce qu’il puisse se
reproduire.
• Les macro-virus,
• Les virus résidents
• Les virus de boot

 Ver (Worm): Programme autonome qui se reproduit et se

propage à travers le réseau.
 Cheval de Troie: Programme à l’apparence utile mais cachant du
code pour créer une faille dans le système (back-door).
  le logiciel espion (spyware) : fait de la collecte
d’informations personnelles sur l'ordinateur d’un utilisateur
sans son autorisation. Ces informations sont ensuite
transmises à une société en général pour du profilage.

 Les courriels (spamming) : consiste à envoyer plusieurs

milliers de messages identiques à une boîte aux lettres pour
la faire saturer.
Les systèmes de contrôle d’accès
Les systèmes de contrôle d’accès sont Un ensemble de méthodes
informatique a pour rôle de :
 Administrer l’accès aux ressources (Administration).
 Contrôler les droits d’accès. (Identification et authentification).
 Identifier les utilisateurs autorisés ou non (autorisation).

Les Contrôles d'accès gouvernent et contrôlent l’accès d'un sujet à des

objets. Les étapes de processus : l’administration, l'identification,
l’authentification et l’autorisation.
Administration des contrôles d’accès contient :
 La gestion des comptes utilisateur.
 Le suivi des activités.
 L'identification est le processus par lequel un sujet prétend avoir une
identité et donc une responsabilité est engagée. Un utilisateur
fournissant un nom d'utilisateur, un ID de connexion, un numéro
d'identification personnel (NIP), ou une carte à puce représente le
processus d'identification. Une fois le sujet s’est identifié, l'identité de
ce sujet est tenue responsable pour toutes les actions de ce sujet.
 Les systèmes de suivi (les fichiers journaux) permettent de garder
les traces des usagers par leurs identités.
 L’identité permet au système de faire la distinction entre tous les
utilisateurs de ce système.
Authentification - Facteur d’authentification
représente quelque chose de nous-même :
 Empreintes digitales,
 Géométrie de la main,
 Reconnaissance du visage,
 Reconnaissance de l’iris,
 Reconnaissance de la rétine,
 La reconnaissance vocale, dynamique des
signatures (signature-scan),…
L’Autorisation : Une fois un sujet est authentifié, l'accès
doit être autorisé :
Le processus d'autorisation garantit que l'accès à l’activité
ou à l’objet demandé est possible compte tenu des droits
et des privilèges accordés à ce sujet authentifié.
Dans la plupart des cas, le système évalue une matrice de
contrôle d'accès, qui compare le sujet, l'objet, et
l'activité. Si l’action spécifique est permise, le sujet est
autorisé. Si l’action spécifique est interdite, le sujet n’est
pas autorisé.
3.6.Les catégories de contrôle d’accès

Les contrôles d’accès sont classés en trois catégories :

 Préventifs : Sont déployés pour stopper une activité non
autorisée de se produire.
 Détectés : Sont déployés pour détecter (découvrir) une activité
non autorisée.
 Correctifs : Sont déployés pour restaurer les systèmes à un état
normal après qu’une activité non autorisée ou non désirée soit
produite.
 Détection d’Intrusion

Notion d’un Système de Détection d’Intrusion IDS

La détection d’intrusions consiste à analyser les informations
collectées par les mécanismes d’audit de sécurité en utilisant un
système qui effectue la détection d’intrusion d’une manière
automatique, ce système est appelé « IDS: Intrusion Detection
System ».
Les IDS sont des systèmes software ou hardware conçus afin de
pouvoir automatiser l'inspection des fichiers journaux, d'audits et les
événements produits par le système en temps réel.
Un IDS peut :
 Surveiller activement les activités suspectes.
 Mettre en évidence les vulnérabilités, identifier le point
d’origine de l'intrusion.
 Reconfigurer les routeurs et les pare-feu pour empêcher
les répétitions d'attaques découvertes.

 Les NIDS (Network-Based IDS)

 Les HIDS (Host-Based IDS)

Le Pare-feu (Firewall)

Définitions
Un pare-feu est un système physique (matériel) ou logique
(logiciel) servant d'interface entre un ou plusieurs réseaux
afin de contrôler et éventuellement bloquer la circulation
des paquets de données

 Pare-feu : en informatique
une protection d’un réseau contre des attaques.
Le pare-feu joue le rôle de filtre :
 déterminer le type de trafic qui sera acheminé ou bloqué
 limiter le trafic réseau et accroître les performances,
 autoriser un administrateur à contrôler les zones
auxquelles un client peut accéder sur un réseau,
 Enregistrer le trafic.

Les Types de Pare-Feux

- Pare-feux statique - Pare-feux dynamique

- Pare-feux applicatifs
6. La Sécurité des Donnés : Cryptologie
6.1. Définitions
 Cryptologie : Il s’agit d’une science mathématique
comportant deux branches : la cryptographie et la
cryptanalyse.
 Cryptographie : La cryptographie est l’étude des
méthodes donnant la possibilité d’envoyer des données de
manière confidentielle sur un support donné.
 Cryptanalyse : Opposée à la cryptographie, elle a pour
but de retrouver le texte clair à partir de textes chiffrés en
exploitant les failles des algorithmes utilisés.
II : Sécurité des Systèmes d’Information
La sécurité des SI peut s'évaluer suivant plusieurs critères :
 Disponibilité : garantie que ces éléments considérés sont
accessibles au moment voulu par les personnes autorisées.
 Intégrité : garantie que les éléments considérés sont exacts et
complets.
 Confidentialité : garantie que seules les personnes autorisées
ont accès aux éléments considérés.
 Traçabilité (ou « Preuve ») : garantie que les accès et
tentatives d'accès aux éléments considérés sont tracés et que ces
traces sont conservées et exploitables.
 Normes :
ISO 27 001 ISO 17 799
ISO 27005 ISO 15408

 L’ISO 27001 en tant que norme de management se

rapproche de l’ISO 9001 par l’adoption de l’approche
processus et de la démarche PDCA (Plan-Do-Check-Act)
dans la mise en place et l’animation du système de
management de la sécurité de l’information en insistant
sur les points suivants :
Les Méthodes de Sécurité des Systèmes SI

La méthode CobiT (Control Objectives for Business and

related Techonology – Contrôle de l’Information et des
Technologies Associées). En résumé le CobiT est un cadre de
référence pour maitriser la gouvernance des SI dans le temps.
Il est fondé sur ensemble de bonnes pratiques collectées
auprès d’experts du SI.
La méthode EBIOS (Expression des Besoins et Identification
des Objectifs de Sécurité) permet d'apprécier et de traiter les
risques relatifs à la sécurité des systèmes d'information (SSI).
Elle permet aussi de communiquer à leur sujet au sein de
l'organisme et vis-à-vis de ses partenaires afin de contribuer
au processus de gestion des risques SSI.

Exposés 27001/27005/15408/17799/
ebios standard