Présentation

Article

1 - MODÉLISATION DU SYSTÈME D’INFORMATION

  • 1.1 - L’entreprise en réseau
  • 1.2 - Virtualisation et mutualisation des ressources
  • 1.3 - Catalogue de services informatiques
  • 1.4 - Risques et menaces informatiques

2 - IDENTIFICATION DES MENACES

  • 2.1 - Vulnérabilités logicielles
  • 2.2 - Ingénierie sociale
  • 2.3 - Nouvelles menaces liées aux modes de communication
  • 2.4 - Cybercriminalité
  • 2.5 - Répercutions pour l’entreprise

3 - LA GOUVERNANCE DU SYSTÈME D’INFORMATION

  • 3.1 - Principes de gouvernance
  • 3.2 - La législation

4 - DÉFINIR UN PROCESSUS DE SÉCURITÉ

  • 4.1 - Principes de sécurité informatique
  • 4.2 - Normes et référentiels
  • 4.3 - Analyse des risques et menaces
  • 4.4 - Composantes du processus de sécurité
  • 4.5 - Gestion de la sécurité
  • 4.6 - Qualité et sécurité

5 - SOLUTIONS DE SÉCURITÉ INFORMATIQUE

  • 5.1 - Les fonctions fondamentales de sécurité
  • 5.2 - Concepts de sécurité
  • 5.3 - Tendances du marché

6 - CONCLUSION

Article de référence | Réf : S8260 v2

Identification des menaces
La sécurité des systèmes d’information – Garantir la maîtrise du risque

Auteur(s) : Jean-Marc CHARTRES

Date de publication : 10 mars 2011

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais English

RÉSUMÉ

La sécurité ne doit pas être perçue comme une contrainte mais comme un processus commun à tout système soumis à des menaces, provenant de l'homme, de l'organisation, des procédures, etc. Il y a donc nécessité d'intégrer ce processus et de protéger les système d'information pour communiquer, stocker et traiter les données librement. Dans cet article, l'intérêt est porté à la gouvernance du système d'information et à ses aspects législatifs. L'accent sera mis sur l'identification des menaces, qui est une donnée nécessaire à la définition d'un processus de sécurité adéquate. Les différentes solutions de sécurité informatique sont également passées en revue.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

INTRODUCTION

La mutation de nos méthodes de travail a induit une évolution fantastique des moyens de communication et d’échanges d’information. Nos usages informatiques sont constants, et la dépendance à la connexion aux systèmes d’information ne cesse d’augmenter. Parallèlement, nous assistons sur ce nouvel espace d’échanges à des phénomènes parasitaires inquiétants ; l’ouverture à Internet pour tous les modes de communication, qu’ils soient privés ou publics, génère de nouvelles menaces.

Il y a une nécessité de protéger les systèmes d’information afin de pouvoir librement communiquer, stocker et traiter les données.

Notre temps est marqué par un paradoxe : les risques se multiplient, et nous voudrions les ignorer ; pire, nous ne tolérons pas les conséquences de nos imprévisions.

L’ensemble informatique et télécommunications, de plus en plus miniaturisé, disséminé et individualisé, est exposé à des menaces qui proviennent de l’homme, de l’organisation, des procédures et des dispositifs à travers les erreurs, les pannes, les accidents et surtout, de façon majoritaire, à travers la malveillance.

Les contraintes techniques s’évanouissent ; les services prennent le pas sur les infrastructures. Le réseau est désormais « virtuel » et mondial ; le client redevient actif.

La cybercriminalité est devenue l’un des principaux fléaux de nos économies. La sécurité des usages informatiques est un objectif majeur pour nos sociétés.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-s8260


Cet article fait partie de l’offre

Sécurité et gestion des risques

(477 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Version en anglais English

2. Identification des menaces

2.1 Vulnérabilités logicielles

Elles regroupent les « bugs » ou failles des systèmes d’exploitation, des applications, des protocoles réseaux utilisés, des systèmes de sécurité, ou des matériels actifs.

L’interopérabilité des protocoles présente beaucoup d’avantages, notamment celui de fournir des points d’accès réseau économiques sur de nombreux matériels informatiques, téléphoniques ou industriels. Si la solution est attrayante, puisqu’elle élimine les travaux d’interconnexion, elle est propice à plus de vulnérabilités logicielles du fait de la juxtaposition de couches matérielles et logicielles de plusieurs constructeurs en constante évolution. La découverte d’une faille touche désormais de nombreux utilisateurs et permet à un pirate un champ d’attaque important.

Les vulnérabilités logicielles sont des faiblesses informatiques ; l’ouverture des systèmes et leur complexité multiplient les scénarios d’attaque et exigent une attention permanente des équipes en charge de l’exploitation des systèmes.

La prévention consiste à corriger les vulnérabilités connues et couvrir le « zero day » (annonce de la vulnérabilité) par des solutions de contournement.

HAUT DE PAGE

2.2 Ingénierie sociale

C’est une manipulation consistant à obtenir un bien ou une information en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes.

Les systèmes d’information sont un terrain de jeu fantastique pour ce type de menaces, et les règles sont difficiles à faire appliquer.

Est-il possible, y compris avec beaucoup de moyens, de faire l’impasse sur une sensibilisation des utilisateurs ?

La problématique est importante car la sécurité était limitée à la surface de l’entreprise. L’ensemble des flux était sous contrôle d’une structure propriétaire où les accès et les échanges étaient limités bien souvent à la géographie locale. Cette sensibilisation nouvelle aux aspects de la sécurité s’applique sans exception, à l’intégralité du personnel, car la réussite d’un comportement passe par l’adhésion...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(477 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Identification des menaces
Sommaire
Sommaire

1 Sites Internet

Portail officiel de la sécurité informatique – ANSSI – République

http://www.ssi.gouv.fr/

http://www.securite-informatique.gouv.fr/

http://www.interieur.gouv.fr/sections/a_l_interieur/la_police_nationale/organisation/dcpj/cyber-criminalite/

Autorité de régulation des communications électroniques et des postes

http://www.arcep.fr/

Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques

http://www.certa.ssi.gouv.fr/

CERT (Computer Emergency Response Team) dédié à la communauté Industrie, Services et Tertiaire française

http://www.cert-ist.com/

Legifrance – Service public de l'accès au droit

http://www.legifrance.gouv.fr/

Club de la sécurité de l'information français

http://www.clusif.fr/

Enseignement supérieur et recherche : portail de la SSI

http://www.cru.fr/ssi/securite/index

Méthodes de gouvernance du SI démarches qualités COBIT ITIL, CMMI

http://www.piloter.org/gouvernance/methode-gouvernance-si.htm/

http://www.securite-informatique.gouv.fr/gp_article85.html

SANS : Computer Security Training, Network...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(477 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS