IV.3 Sécurité informatique
IV.3.1 Définition
La sécurité informatique est l'ensemble des
techniques qui assurent que les ressources du système d'information
(matérielles ou logicielles) au sein de l'ISSBAT sont utilisées
uniquement dans le cadre où il est prévu qu'elles le soient.
La sécurité informatique repose sur une bonne
connaissance des règles par les employés, grâce à
des actions de formation et de sensibilisation auprès des utilisateurs,
mais elle doit aller au-delà et notamment couvrir les champs
suivants :
5. Un système documenté à jour
· Un système documenté à
jour ;
4. Un plan de reprise après incident
1. Un dispositif de sécurité physique et logique,
adapté aux besoins de l'ISSBAT et aux usages des utilisateurs
3. Une stratégie de sauvegarde correctement
planifiée
2. Une procédure de management des mises à
jour
IV.3.2 Objectifs de la sécurité
informatique
Pour assurer la sécurité informatique au sein de
l'ISSBAT on vise cinq principaux objectifs :
§ La
confidentialité
La confidentialité consiste à rendre
l'information inintelligible à d'autres personnes que les seuls acteurs
de la transaction.
§
L'intégrité
Vérifier l'intégrité des données
consiste à déterminer si les données n'ont pas
été altérées durant la communication (de
manière fortuite ou intentionnelle).
§ La
disponibilité
L'objectif de la disponibilité est de garantir
l'accès à un service ou à des ressources.
§ La
non-répudiation
La non-répudiation permettant de garantir qu'une
transaction ne peut être niée.
§
L'authentification
L'authentification consiste à assurer l'identité
d'un utilisateur, c'est-à-dire de garantir à chacun des
correspondants que son partenaire est bien celui qu'il croit être. Un
contrôle d'accès peut permettre (par exemple par le moyen d'un mot
de passe qui devra être crypté) l'accès à des
ressources uniquement aux personnes autorisées.
IV.3.3 Les techniques de la
sécurité informatique
Parmi les techniques qu'on peut appliquer pour optimiser la
sécurité informatique à l'ISSBAT :
Analyse de risques
L'ISSBAT ne peut pas se passer de l'outil informatique,
d'où la nécessité d'en assurer la sécurité,
et de la protéger contre les risques liés à
l'informatique. Or, comme on ne se protège efficacement que contre les
risques qu'on connaît, il importe de mesurer ces risques, en fonction de
la probabilité ou de la fréquence de leur apparition et de leurs
effets possibles.
§ Définir le risque
Le risque en termes de sécurité est
généralement caractérisé par l'équation
suivante :
Menace * Vulnérabilité
Contre-mesure
Risque =
P La menace : représente le type d'action
susceptible de nuire dans l'absolu
P La vulnérabilité : appelée
parfois faille ou brèche représente le niveau d'exposition face
à la
menace dans un contexte particulier.
P La contre-mesure : est
l'ensemble des actions mises en oeuvre en prévention de la menace.
Les contre-mesures à mettre en oeuvre ne sont pas
uniquement des solutions techniques mais également des mesures de
formation et de sensibilisation à l'intention des utilisateurs, ainsi
qu'un ensemble de règles clairement définies.
Afin de pouvoir sécuriser un système, il est
nécessaire d'identifier les menaces potentielles, et donc de
connaître et de prévoir la façon de procéder de
l'ennemi.
Le but de ce dossier est ainsi de donner un aperçu des
motivations éventuelles des pirates, de catégoriser ces derniers,
et enfin de donner une idée de leur façon de procéder afin
de mieux comprendre comment il est possible de limiter les risques
d'intrusions.
Politique de
sécurité
À la lumière des résultats de l'analyse de
risques, la politique de sécurité:
§ Définit le cadre d'utilisation des ressources du
système d'information
§ Identifie les techniques de sécurisation à
mettre en oeuvre dans les différents services de l'ISSBAT
§ Sensibilise les utilisateurs à la
sécurité informatique
La mise en oeuvre de la politique de sécurité se
fait selon les quatre étapes suivantes :
§ Identifier les besoins en termes de
sécurité, les risques informatiques que risquent l'ISSBAT et
leurs éventuelles conséquences
§ Elaborer des règles et des procédures
à mettre en oeuvre pour les risques identifiés
§ Surveiller et détecter les
vulnérabilités du système d'information et se tenir
informé des failles sur les applications et matériels
utilisés
§ Définir les actions à entreprendre et les
personnes à contacter en cas de détection d'une menace
Techniques de sécurisation
Les techniques utilisent pour favoriser la sécurisation
informatique de l'ISSBAT incluent :
§ Audit de vulnérabilités, essais de
pénétration
§ Sécurité des données: chiffrement,
authentification, contrôle d'accès
§ Sécurité du réseau: pare-feu, IDS
§ Surveillance des informations de sécurité
§ Éducation des utilisateurs
§ Plan de reprise des activités
|