●

Hanae GUENOUNI

Sara MOUNIR

M.AZZOUZ Karim

Les enjeux de la sécurité des SI

Méthodes d’attaque portant atteinte la SSI

Méthodes d’analyse de risque

La sécurité des SI

Etude de cas : centrale laitière

Introduction

Conclusion

Notion de la sécurité du système d’information

Notion de la sécurité des SSI

La sécurité des systèmes d’information

(SSI) est l’ensemble des moyens techniques,

organisationnels, juridiques et humains nécessaire

et mis en place pour conserver, rétablir, et garantir

la sécurité du système d'information. Assurer la

sécurité du système d'information est une activité

du management du système d'information.

Les enjeux de la SSI

Enjeux SSI

La confidentialité L’intégrité

Ladisponibilité

La non-répudiation et l’imputation

L’au-thetification

Les dommages d’un SI

Deux types de dommages peuvent affecter le système d'informationd'une organisation:

Les dommages financiers. Sous forme de dommages directs(comme le fait d'avoir à reconstituer des bases de données qui ontdisparu, reconfigurer un parc de postes informatiques, réécrire uneapplication) ou indirects (par exemple, le dédommagement desvictimes d'un piratage, le vol d'un secret de fabrication ou la perte demarchés commerciaux).

La perte ou la baisse de l'image de marque. Perte directe par lapublicité négative faite autour d'une sécurité insuffisante (cas duhameçonnage par exemple) ou perte indirecte par la baisse deconfiance du public dans une société

Démarche générale

évaluer les risques

Rechercher et sélectionner les parades

mettre en œuvre les protection et évaluer leur

efficacité

Les méthodes d’attaque portant atteinte à la sécurité

1

12

11

10

9

8

2

3

4

5

6

7

Destruction de matériels ou de supports

Rayonnements électromagnétiques

Ecoute passive

Vol

Divulgation

Emission d'une information sans garantie d'origine

Piégeage du Logiciel

Saturation du Système informatique

Utilisation illicite des matériels

Altération des Données

Abus de Droit

Reniement d'actions

13 Usurpation de Droit

Les méthodes d’analyse de risque

De façon générale, la gestion du risqueconsiste à coordonner, de façon continue, lesactivités visant à diriger et piloter une organisationvis-à-vis des risques. Il s’agit d’activitésd’identification, d’analyse, d’évaluation etd’anticipation des risques, ainsi que de mise enplace d’un système de surveillance et de collectesystématique des données pour déclencher lesalertes. À ces activités d’appréciation et detraitement des risques, viennent s’ajouter desactivités d’acceptation et de communication relativeaux risques.

Le Système d’Information de la Centrale Laitière est

caractérisé par la diversité des progiciels qui peuvent être

classés en deux catégories : Les progiciels standards de

gestion et les applications spécifiques développées en interne.

Gala Safari

Les progiciels standards de gestion

NOVEX ACHAT NOVEX COMMERCIAL

GMAO (Gestion de la Maintenance Assistée par Ordinateur)

règle 1 :

Seules les personnes membres du personnel ou invitées

par un membre du personnel habilité à inviter peuvent

circuler dans le bâtiment.

Moyens pour assurer la règle:

•Guichet à toutes les entrées

•Distribution de badges selon une procédure

règle 2 :

Seule les personnes habilitées par un administrateur système ont accès

au système informatique.

Moyens pour assurer la règle:

•Système d ’authentification (Login +mot de passe) géré par

l ’administrateur: (création et destruction des comptes)

•Modification périodique des mots de passe par les utilisateurs

•Protection informatique du contrôle d ’accès aux comptes

•Audit des tentatives de fraude

•Un administrateur système ne devrait pas avoir accès au sens des

fichiers utilisateurs, c’est rarement le cas.

règle 3 :

se protéger contre des attaques visant au vol d’informations classées .

Moyens pour assurer la règle :

•Récupération du contenu des poubelles par Destruction de tous les

documents jetés.

Mascarade par accès à un compte privilégié :

•Contrôler les embauches et développer une prise de conscience

des problèmes de sécurité.

•Authentification par carte ou disquette…•Mise en place d'une protection empêchant la copie du fichier des

mots de passe au login

•Stratégie de gestion des mots de passe