| Réf : SE2500 v3

Méthodologies employées pour les systèmes d’information
Sécurité informatique pour la gestion des risques - Application aux systèmes d’information

Auteur(s) : Frédérique VALLÉE

Relu et validé le 02 sept. 2020

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais English

RÉSUMÉ

Les systèmes d’information sont omniprésents de nos jours dans toutes les entreprises. La sécurité informatique de ces systèmes doit les protéger contre de nombreuses menaces de diverses origines. L’analyse de risques permet de déterminer, en fonction de la vulnérabilité du système, sa criticité pour chacune de ces menaces. Elle permet ensuite de proposer les solutions nécessaires et suffisantes pour réduire les risques à un niveau résiduel acceptable. Après une introduction sur les risques informatiques en général, cet article se préoccupe plus particulièrement des systèmes d’information et présente les méthodes d’analyse de risques et quelques solutions en réduction de risques. En conclusion, un panorama des principales normes employées en cybersécurité est donné.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Frédérique VALLÉE : Agrégée de mathématiques - Docteur en statistiques - Expert en sûreté de fonctionnement des systèmes programmés - Directrice associée de la société All4tec, Massy, France

INTRODUCTION

La sécurité d’un système correspond à la non-occurrence d’événements pouvant diminuer ou porter atteinte à l’intégrité du système et de son environnement, pendant toute la durée de l’activité du système, que celle-ci soit réussie, dégradée ou échouée. La sécurité couvre les événements de natures aléatoire (danger) ou volontaire (menace).

Depuis plus d’un quart de siècle, pratiquement tous les secteurs d’activité, tant industriels que de services, doivent disposer de systèmes à haut niveau de sécurité. Ces systèmes, qui doivent par ailleurs être développés au moindre coût, sont souvent aux frontières de la connaissance technologique et disposent de peu de retour d’expérience. L’atteinte de ces deux performances, parfois antinomiques, impose non seulement l’utilisation d’outils spécifiques, mais aussi la mise en place rigoureuse d’une organisation adaptée aux objectifs recherchés.

En parallèle, le logiciel a peu à peu pris une place prépondérante dans les systèmes embarqués ou dans les systèmes dits de contrôle-commande : c’est le logiciel qui démarre ou freine les automobiles, c’est lui qui régule la distribution d’électricité dans le réseau national, c’est encore lui qui répartit les appels dans les grands centraux téléphoniques ou qui ordonnance la fabrication automatisée dans les usines. On envisage même de lui confier intégralement la conduite des véhicules autonomes.

Le logiciel est également, depuis l’avènement de la bureautique, au cœur du système d’information dont aucune entreprise ne pourrait plus se passer maintenant. Ce système lui permet aujourd’hui de gérer harmonieusement les clients, les achats, la production, la comptabilité, le personnel, etc. Ces dernières années, la généralisation d’Internet a encore accentué et complexifié cette relation de dépendance entre l’entreprise et son système d’information.

Que leur fonction principale soit de nature administrative ou technique, les systèmes programmés peuvent, s’ils ne fonctionnent pas correctement ou s’ils sont insuffisamment protégés, provoquer des catastrophes d’ordre humain, matériel ou économique, de plus ou moins grande envergure.

La technologie informatique étant assez différente des autres technologies, il est rapidement apparu indispensable de disposer de techniques spécifiques, adaptées à la gestion des risques de ces systèmes.

Cet article fait notamment la différence entre les enjeux et les méthodes utilisées pour les systèmes d’information ou pour les systèmes programmés scientifiques et techniques. Il développe ensuite plus particulièrement les techniques employées pour les systèmes d’information, les aspects liés aux systèmes programmés scientifiques et techniques étant traités dans un autre article [SE 2 501].

Les concepts généraux relatifs à la sécurité et à la gestion des risques dans les entreprises sont bien introduits dans les articles « Importance de la sécurité dans les entreprises » [AG 4 600] et « Sécurité et gestion des risques » [SE 12].

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v3-se2500


Cet article fait partie de l’offre

Sécurité et gestion des risques

(477 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais English

2. Méthodologies employées pour les systèmes d’information

Ce chapitre présente les différentes méthodes utilisables pour construire des systèmes d’information moins vulnérables et fait la différence entre méthodes basées sur l’analyse et méthodes basées sur les processus.

2.1 Enjeux et objectifs de la cybersécurité

Les systèmes d’information (SI) occupent une place de plus en plus importante dans l’entreprise. L’information est en effet une ressource stratégique utilisée dans tous les processus de décision : valeur financière, savoir-faire industriel, commercial, marketing ou financier, pilotage stratégique ou opérationnel. Les moyens informatiques qui gèrent cette information permettent à l’entreprise d’améliorer sa compétitivité, mais ils posent en parallèle le problème du maintien de la disponibilité (D), de l’intégrité (I), de la preuve et de la confidentialité (C) des données échangées.

Ces aspects sont traités dans le cadre de la cybersécurité devenue une discipline à part entière ( http://www.ssi.gouv.fr/).

  • La confidentialité s’intéresse à la prévention de divulgations non autorisées de l’information. L’information ne doit être accessible que par des entités autorisées. Les types d’accès à protéger sont la lecture, l’impression voire même juste la simple connaissance de l’existence d’un bien. Les données privées doivent également être protégées (distinction à faire entre information appartenant à une organisation et information personnelle). C’est la propriété de sécurité la mieux comprise.

  • L’intégrité s’intéresse à la prévention de modifications non autorisées de l’information. Les types d’accès à protéger sont l’écriture, le changement de statut, la destruction/l’effacement, la création. L’intégrité peut recouvrir plusieurs significations suivant le contexte :

    • sans modification, elle s’intéresse à l’intégrité des communications (détection et correction de modifications dues aussi bien à des manipulations intentionnelles ou à des erreurs de transmission) ;

    • en...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(477 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Méthodologies employées pour les systèmes d’information
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - FOVINO (I.), MASERA (M.), DE CIAN (A.) -   Integrating cyber attacks within fault trees.  -  Reliability Engineering and System Safety Elsevier, 94 (2009).

  • (2) - STEINER (M.), LIGGESMEYER (P.) -   Combination of safety and security analysis. Finding Security Problems That Threaten The Safety of a System.  -  Workshop DECS (Dependable Embedded and Cyber-physical Systems) of the 32nd International Conference on Computer Safety, Reliability and Security (2013).

  • (3) - DESROCHES (A.), LEROY (A.), VALLEE (F.) -   La gestion des risques : principes et pratiques.  -  Hermès Sciences, Lavoisier (2014).

  • (4) - VICKOFF (J.P.) -   Méthode agile. Les meilleures pratiques.  -  Compréhension et mise en œuvre, QI (2009).

  • (5) - LEVESON (N.), YOUNG (W.) -   An integrated approach to safety and security based on systems theory. Applying a more powerful new safety methodology to security risks.  -  Communications of the ACM, vol. 57, n° 2, fév. 2014.

  • ...

1 Sites internet

Fédération des professionnels des tests Intrusifs (FPTI) http://www.fpti.pro/

Club de la sécurité des systèmes d’information français (CLUSIF) http://www.clusif.asso.fr

Association française de l’audit et du conseil informatiques (AFAI) http://www.afai.asso.fr

Direction centrale de la sécurité des systèmes d’information (DCSSI) https://www.ssi.gouv.fr/

Information Systems Audit and Control Association (ISACA) http://www.isaca.org

HAUT DE PAGE

2 Normes et standards

ISO 73 Guide ISO 73 (12-09), Management du risque – Vocabulaire – Principes directeurs pour l’utilisation dans les normes

ISO CEI 27001 (10-13), Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information –Exigences

ISO CEI 27002 (09-13), Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour le management de la sécurité de l'information

ISO CEI 27003 (06-10), Technologies de l’information – Techniques de sécurité – Lignes directrices pour la mise en œuvre du système...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(477 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS