Présentation

Article interactif

1 - RISQUES INFORMATIQUES

2 - MÉTHODOLOGIES EMPLOYÉES POUR LES SYSTÈMES D’INFORMATION

3 - ACTIONS EN RÉDUCTION DE RISQUE

  • 3.1 - Natures des actions possibles
  • 3.2 - Cryptologie
  • 3.3 - Protection des réseaux d’entreprise

4 - ASPECTS NORMATIFS ET CERTIFICATION

5 - CONCLUSION

6 - ACRONYMES

Article de référence | Réf : SE2500 v4

Aspects normatifs et certification
Sécurité informatique pour la gestion des risques - Application aux systèmes d’information

Auteur(s) : Frédérique VALLÉE

Date de publication : 10 févr. 2024

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais English

RÉSUMÉ

Cet article traite de la notion de sécurité telle qu’appréhendée pour les logiciels.

Après une introduction, qui présente les risques encourus par les systèmes programmés, il explique la nécessite de faire la distinction entre les domaines des systèmes d’information et celui de l’informatique scientifique et technique.

L’article est ensuite consacré aux enjeux et objectifs de la cybersécurité et présente un retour d’expérience récent sur le sujet. Il s’intéresse aux méthodes d’évitement des risques basées sur les tests intrusifs, l’analyse de risques ou la gestion du processus de réalisation des logiciels. Les principales solutions de réduction de risque sont également présentées.

L’article conclut en faisant le point sur les aspects normatifs et de certification liés à la sécurité des systèmes d’information

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Frédérique VALLÉE : Agrégée de mathématiques – Docteur en statistiques - Expert en sûreté de fonctionnement des systèmes programmés et consultante

INTRODUCTION

La sécurité d’un système correspond à la non-occurrence d’événements pouvant diminuer ou porter atteinte à l’intégrité du système et de son environnement, pendant toute la durée de l’activité du système, que celle-ci soit réussie, dégradée ou échouée. La sécurité couvre les événements de natures aléatoire (danger) ou volontaire (menace).

De nos jours, pratiquement tous les secteurs d’activité, tant industriels que serviciels, doivent disposer de systèmes à haut niveau de sécurité. Ces systèmes, notamment les systèmes autonomes auxquels sont confiées de plus en plus de tâches pour lesquelles les humains ne sont plus dans la boucle, sont très contraints. Ils doivent être développés au moindre coût, sont souvent aux frontières de la connaissance technologique et disposent de peu de retour d’expérience. L’atteinte de ces performances, parfois antinomiques, impose non seulement l’utilisation d’outils spécifiques, mais aussi la mise en place rigoureuse d’une organisation adaptée aux objectifs recherchés.

Le logiciel a de nos jours pris une place prépondérante dans les systèmes embarqués ou dans les systèmes dits de contrôle-commande : c’est le logiciel qui démarre ou freine les automobiles, c’est lui qui régule la distribution d’électricité dans le réseau national, c’est encore lui qui répartit les appels téléphoniques ou qui ordonnance la fabrication automatisée dans les usines. Il conduit les drones et on envisage de lui confier prochainement la conduite des véhicules autonomes.

Le logiciel est également, depuis l’avènement de la bureautique, au cœur du système d’information dont aucune entreprise ne pourrait plus se passer maintenant. Ce système lui permet aujourd’hui de gérer harmonieusement les clients, les achats, la production, la comptabilité, le personnel, etc. Ces dernières années, la nécessité de généraliser le télétravail a encore accentué et complexifié cette relation de dépendance entre l’entreprise et son système d’information.

Que leur fonction principale soit de nature administrative ou technique, les systèmes programmés peuvent, s’ils ne fonctionnent pas correctement ou s’ils sont insuffisamment protégés, provoquer des catastrophes d’ordre humain, matériel ou économique, de plus ou moins grande envergure. La technologie informatique étant assez différente des autres technologies, il est rapidement apparu indispensable de disposer de techniques spécifiques, adaptées à la gestion des risques de ces systèmes.

Cet article présente les risques informatiques en général, puis il rappelle les différences à prendre en compte pour gérer la sécurité des systèmes d’information ou celle des systèmes scientifiques et techniques. Il s’intéresse ensuite plus particulièrement aux techniques employées pour les systèmes d’information, les aspects liés aux systèmes scientifiques et techniques étant traités dans un second article [SE 2 501].

Les concepts généraux relatifs à la sécurité et à la gestion des risques dans les entreprises sont préalablement introduits dans les articles « Importance de la sécurité dans les entreprises » [AG 4 600]et « Sécurité et gestion des risques » [SE 12].

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v4-se2500

CET ARTICLE SE TROUVE ÉGALEMENT DANS :

Accueil Ressources documentaires Innovation Industrie du futur Industrie du futur : outils numériques Sécurité informatique pour la gestion des risques - Application aux systèmes d’information Aspects normatifs et certification

Accueil Ressources documentaires Environnement - Sécurité Sécurité et gestion des risques Sécurité par secteur d'activité et par technologie Sécurité informatique pour la gestion des risques - Application aux systèmes d’information Aspects normatifs et certification

Accueil Ressources documentaires Technologies de l'information Sécurité des systèmes d'information Sécurité des SI : organisation dans l'entreprise et législation Sécurité informatique pour la gestion des risques - Application aux systèmes d’information Aspects normatifs et certification

Accueil Ressources documentaires Environnement - Sécurité Sécurité et gestion des risques Menaces et vulnérabilités : protection des sites industriels Sécurité informatique pour la gestion des risques - Application aux systèmes d’information Aspects normatifs et certification


Cet article fait partie de l’offre

Industrie du futur

(104 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais English

4. Aspects normatifs et certification

  • Dans le domaine de la sécurité informatique, comme c’est le cas pour toutes les activités industrielles innovantes, les normes dédiées ont été développées en parallèle avec la mise au point dans la pratique et ont évolué en s’influençant mutuellement : le retour d’expérience émanant du terrain a influencé les normes, mais, également, la normalisation a facilité le passage à la pratique. Actuellement, cette évolution est toujours en cours puisque le domaine n’est pas encore techniquement stabilisé.

  • En ce qui concerne la cybersécurité, la norme ISO 27001 issue de la BS 7799 a vu le jour en 2005, et permet de faire certifier un « Système de management de la sécurité de l’information » (SMSI). La suite de normes ISO 27000 s’est étoffée en juin 2009 de la norme ISO 27005 qui propose une méthodologie pour mener à bien l’identification et l’estimation des risques pesant sur le capital informationnel et en 2013 de la norme ISO 27032 qui propose des lignes directrices pour la cybersécurité.

    La norme ISO 27034, parue en 2011, et dont les dernières mises à jour sont parues en 2018, est constituée de 7 parties. Elle fournit des lignes directrices pour l’élaboration, la mise en œuvre, la maintenance et l’amélioration continue de la sécurité des applications dans un contexte organisationnel.

  • Les normes Common Criteria (ISO 15408, ISO 1333-5) ou des variantes parmi les méthodes MEHARI, EBIOS, MARION, s’adaptent pour compléter la méthodologie décrite par la norme 27005.

    Dans ces normes, les systèmes sont classés par niveau de criticité (ou EAL). Les pratiques à mettre en œuvre pour atteindre les exigences de sécurité de chaque niveau sont ensuite décrites.

    Pour les systèmes d’information, la certification dite tierce partie est la certification de plus haut niveau, qui permet à un client de s’assurer par l’intervention d’un professionnel indépendant, compétent et contrôlé, appelé organisme certificateur, de la conformité d’un produit à un cahier des charges ou à une spécification technique.

  • Le décret 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits des technologies de l’information décrit le schéma...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

TEST DE VALIDATION ET CERTIFICATION CerT.I. :

Cet article vous permet de préparer une certification CerT.I.

Le test de validation des connaissances pour obtenir cette certification de Techniques de l’Ingénieur est disponible dans le module CerT.I.

Obtenez CerT.I., la certification
de Techniques de l’Ingénieur !
Acheter le module

Cet article fait partie de l’offre

Industrie du futur

(104 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Aspects normatifs et certification
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - FOVINO (I.), MASERA (M.), DE CIAN (A.) -   Integrating cyber attacks within fault trees. Reliability Engineering and System Safety,  -  Elsevier, p. 94 (2009).

  • (2) - STEINER (M.), LIGGESMEYER (P.) -   Combination of safety and security analysis. Finding Security Problems That Threaten The Safety of a System.  -  Workshop DECS (Dependable Embedded and Cyber-physical Systems) of the 32nd International Conference on Computer Safety, Reliability and Security (2013).

  • (3) - DESROCHES (A.), LEROY (A.), VALLEE (F.) -   La gestion des risques : principes et pratiques.  -  Hermès Sciences, Lavoisier (2014).

  • (4) - VICKOFF (J.P.) -   Méthode agile. Les meilleures pratiques. Compréhension et mise en œuvre,  -  QI (2009).

  • (5) - LEVESON (N.), YOUNG (W.) -   An integrated approach to safety and security based on systems theory. Applying a more powerful new safety methodology to security risks.  -  Communications of the ACM, vol. 57, n° 2 (2014).

  • ...

1 Sites internet

CLUSIF – Club de la sécurité des systèmes d’information français

http://www.clusif.asso.fr

AFAI – Association française de l’audit et du conseil informatiques

http://www.afai.asso.fr

ANSSI – Agence nationale de la sécurité des systèmes d’information

https://www.cyber.gouv.fr/

ISACA – Information Systems Audit and Control Association

http://www.isaca.org

Integrating Safety and Cybersecurity through Stochastic Model Checking

https://cordis.europa.eu/project/id/864075/fr

HAUT DE PAGE

2 Normes et standards

ISO 73 Guide ISO 7312-09Management du risque – Vocabulaire – Principes directeurs pour l’utilisation dans les normes

ISO CEI 27001-22Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information –Exigences

ISO CEI 27002-22Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour le management de la sécurité de l’information

ISO CEI 27003-17Technologies...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Industrie du futur

(104 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Sommaire

QUIZ ET TEST DE VALIDATION PRÉSENTS DANS CET ARTICLE

1/ Quiz d'entraînement

Entraînez vous autant que vous le voulez avec les quiz d'entraînement.

2/ Test de validation

Lorsque vous êtes prêt, vous passez le test de validation. Vous avez deux passages possibles dans un laps de temps de 30 jours.

Entre les deux essais, vous pouvez consulter l’article et réutiliser les quiz d'entraînement pour progresser. L’attestation vous est délivrée pour un score minimum de 70 %.


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Industrie du futur

(104 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS