WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Mise en place d'un système informatisé de transfert d'argent (cas de go sarl)

( Télécharger le fichier original )
par Tony Ulrich NGUEREZA DANGANA
Université de Bangui - Licence professionnelle 2014
  

précédent sommaire suivant

II-7 LES MESURES DE SECURITE ET DES INFORMATIONS

II-7-1 Les mesures de sécurité

Les différentes attaques sur le système se situent à tous les niveaux de l'environnement de production du système. Nous pouvons énumérer quelques risques possibles et les mesures associées, ce sont:

ü Vol du mot de passe d'un utilisateur: changement périodique de mot de passe ;

ü Double paiement d'un transfert: dans l'option «Réception» du système de transferts, il sera fait de telle sorte que les opérations de paiement ne concernent que celles marquées « 0 » dans la base de données. Mais, cela ne suffit pas à éviter qu'un transfert soit payé deux fois. Le problème se situe surtout au niveau des délais de mise à jour de la base de données et surtout de la disponibilité à temps réel du système. Cette disponibilité est fortement liée aux médias de communication entre les agences et le serveur (une procédure manuelle sera appliquée pour ce type de situation).

II-7-2 La sécurité des informations

Pour définir un système d'information sécurisé, nous pouvons nous référer aux six (6) points que l'International Organization for Standardization (ISO) a fait ressortir dans ses études sur la sécurité des systèmes informatiques. Ces points sont :

ü Le contrôle d'accès : une ressource n'est accessible que par les personnes autorisées.

ü La confidentialité : l'information échangée entre deux correspondants ne peut pas être consultée par un tiers.

ü L'authentification : avant d'utiliser le système de transfert chaque utilisateur devrait s'authentifier pour utiliser les ressources correspondant aux personnes reconnues dans le système.

ü La disponibilité: se reflète dans l'information et dans les services offerts par le système de transfert. Les données ainsi que les ressources du système sont accessibles en permanence par ceux qui en ont besoin. Le système de transfert se doit être un système disponible en tout temps (les heures de travail en vigueur).

ü L'intégrité: l'information n'est modifiée que par les personnes qui ont ce droit.

ü La non-répudiation : permet au récepteur ou à l'émetteur de ne pas refuser les données électroniques transmises. Donc, quand une donnée est envoyée, le récepteur peut prouver qu'elle a bien été envoyée par l'émetteur. De même, lorsqu'une donnée est reçue, l'émetteur peut prouver que le message a bien été reçu par le bon récepteur.

En plus on peut définir les mesures de sécurité suivantes :

L'accès aux postes informatiques des opérateurs du système : des statistiques ont montré que 70 à 80 % des actes de malveillance envers un système informatique seraient issus de personnes internes à l'entreprise. Il faut donc gérer les accès aux ressources en interne avec soin:

ü Accès aux postes de travail : dans une agence, les postes qui seront configurés pour accéder au système ne doivent être accessibles uniquement que par leur utilisateur dédié. Les opérateurs devront éviter de mentionner sur papier leur login d'utilisateur et leur mot de passe de connexion ainsi que l'utilisation de mots de passe du genre: nom, prénoms, date de naissance, etc.) qui peuvent être facilement deviné par une personne malveillante désirant accéder au système.

ü Nous prévoyons également deux environnements de travail indépendants pour chaque catégorie d'utilisateurs du système de transfert: un environnement de production pour les opérateurs et un environnement d'administration pour l'administrateur du système. L'avantage de ce découpage est que cela renforce considérablement la sécurité du système. En effet, un opérateur qui se connecte au serveur ne voit que les fonctionnalités dont il a droit et vise versa.

ü Autres mesures de sécurisation du système de transfert : Une mesure offerte par MySQL et le langage PHP est le chiffrement de l'information traitée (mots de passe, contenu de formulaire, etc.). Cela renforce la sécurité même des mots de passe pour l'accès aux données. De plus, nous souhaiterons l'utilisation du protocole SSL pour le serveur d'application. Son l'utilisation offre un bon niveau de sécurité pour la transmission de données dans un environnement client-serveur. Le protocole SSL a trois fonctions essentielles : authentifier le serveur auquel l'utilisateur est connecté, assurer la confidentialité et l'intégrité des informations transmises par son intermédiaire, grâce à l'utilisation des algorithmes de chiffrement.

NB : Les versions des programmes clients devront supporter le chiffrement du protocole SSL (Secure Socket Layer).

ü Antivirus : Le virus est un programme capable de provoquer la destruction des données et réduire la fiabilité des résultats produits par le système. De ce fait, au niveau des possibilités d'infections virales sur le serveur, nous notons que le système Linux est jusqu'à nos jours robustes et subit rarement ces infections virales. Mais, en ce qui concerne les postes de travail dans les agences, ils peuvent être infectés par des virus, et cela peut avoir plusieurs dégâts : blocage du poste de l'opérateur, etc. De ce fait, nous prévoyons la mise à jour des antivirus déjà installés sur les postes, nous estimons qu'il ne serait pas nécessaire de faire une nouvelle acquisition car le nombre de licences à payer (égal au nombre de postes à couvrir) nous reviendrait très cher. Les antivirus existants seront donc utilisés avec des mises à jour régulières. Pour la mise en oeuvre du système de transfert, nous préconisons l'adoption d'un chiffrement fort (chiffrement utilisant des clés ayant une longueur égale à 128 bits), cela permettra de renforcer la qualité des algorithmes de cryptage qui sont négociés lors de l'ouverture d'une session SSL entre l'application cliente et le serveur d'application. Un accent particulier, serait mis pour interdire l'accès des guichets désignés et qui héberge le poste de traitements. En effet, s'il peut être compromis, toute la sécurité mise en place peut voler en éclat.

précédent sommaire suivant