D2 : Scurit de l'information

et des systmes
d'information
C Mathieu ECAM Lyon

SDTICE
Sminaire 24/09/2009

SDTICE

D2 : Scurit de l'information et des systmes

d'information
D2-1: Matriser les processus d'une politique de
scurit pour participer sa mise en place
La politique de scurit de linformation (PSI ou PSSI) doit permettre
lentreprise de se protger des risques relatifs linformation. Elle se
concrtise par un document dcrivant les objectifs stratgiques que doit
permettre datteindre la politique, et les rgles appliquer pour
atteindre ces objectifs.
Cette comptence doit sappuyer sur une connaissance gnrale devant
induire certains comportements lmentaires. Elle na pas pour
ambition dinstaller un savoir faire complet et structur.

Sminaire 24/09/2009
2

SDTICE

D2 : Scurit de l'information et des systmes

d'information
D2-1: Matriser les processus d'une politique de
scurit pour participer sa mise en place
Comprendre le rle du document de dfinition de la PSSI
(primtre, actualisation)
Connatre les caractristiques attendues dun systme
dinformation, en termes de scurit
Connatre lexistence de mthodes de mise en place dune
PSSI en incluant les rgles de scurit, partir d'un modle
de rfrence
Adapter ses comportements et ceux de son quipe en
conformit avec la PSSI de ltablissement
Sminaire 24/09/2009
3

SDTICE

D2 : Scurit de l'information et des systmes

d'information
D2-2: Distinguer les acteurs de la mise en place de la
politique de scurit et identifier leurs responsabilits
lgales.
Reconnatre le rle prdominant de la direction dans la dfinition
d'une PSSI
Identifier le rle de chacun dans lapplication dune PSSI, et en
particulier sa responsabilit individuelle et managriale au sein
de l'entreprise, par rapport au non respect de rgles dictes.
Distinguer les responsabilits entre les fonctions du RSSI et du
RSI/DSI, et la ncessaire sparation des rles.
Identifier les principaux types de responsabilit des acteurs de
lentreprise, et les implications juridiques
Sminaire 24/09/2009
4

SDTICE

D2 : Scurit de l'information et des systmes

d'information
D2-3: Identifier et hirarchiser les informations afin
de les exploiter de faon adquate
Identifier chaque tape de la vie dun document, les
rgles de traitement et de conservation associes chaque
niveau de sensibilit
Choisir les outils informatiques en fonction de la sensibilit
des informations manipules
Toute dmarche de scurisation de linformation ncessite une
identification pralable de la sensibilit de chaque information. Il est
inutile, utopique et coteux de protger avec les mmes niveaux de
scurit toute linformation de lentreprise. La hirarchisation de
linformation est donc la base de sa scurisation. Elle est aborde dans
Sminaire 24/09/2009
le cadre de la comptence D5-2.

SDTICE

D2 : Scurit de l'information et des systmes

d'information
D2-4: valuer la sret des procdures et connatre
la limite des outils permettant de traiter
linformation, selon le lieu et le mode d'accs
Identifier la typologie dusage des accs au rseau de
lentreprise,
Associer risque/niveau de confidentialit chaque typologie
daccs
Respecter les contraintes imposes par lentreprise.
preuve
desprit
critique
lors de lutilisation doutils TIC
ParFaire
typologie
daccs,
on dsigne
:
etLelapplication
de procdures
poste utilis : poste
de travail (entreprise, personnel, mobile) ;
lieu dusage (domicile, hot spot, cybercaf, ).
Le protocole ou service utilis : protocoles non chiffrs, SSL,
Sminaire 24/09/2009
WEP/WPA, VPN

SDTICE

D2 : Scurit de l'information et des systmes

d'information
D2-5: Estimer les risques accidentels et
intentionnels afin que soient prises les dispositions
ncessaires
Toute tude de risque sappuie sur lvaluation des menaces, des
vulnrabilits et des impacts. Il est ncessaire quune dmarche simple
ait t applique au moins une fois.

Pour guider cette analyse, on pourra sappuyer sur une quation du

type :
Risque = Menace Vulnrabilits Impact
Il existe des mthodes danalyse du risque sur les systmes
dinformation, type Mhari (CLUSIF) ou EBIOS (DCSSI). Ltude de
ces mthodes nest pas ncessaire
dans le cadre de lacquisition de
Sminaire 24/09/2009
cette comptence, mais peut servir de rfrence.

SDTICE

D2 : Scurit de l'information et des systmes

d'information
D2-5: Estimer les risques accidentels et
intentionnels afin que soient prises les dispositions
ncessaires
Identifier les principaux risques accidentels pouvant porter
atteinte au systme d'information de l'entreprise, et les
mesures de sauvegarde pouvant tre appliques
Identifier les risques intentionnels humains internes ou
externes, et les mesures de sauvegarde pouvant tre
appliques
Savoir identifier une attaque de type ingnierie sociale

Sminaire 24/09/2009
8

SDTICE

D2 : Scurit de l'information et des systmes

d'information
Pistes pour la formation / lvaluation
Cours ddi la Scurit des Systmes dInformation
Cours dinformatique, de rseaux, de systmes dinformation
Ces cours peuvent tre en partie reformuls pour mettre en vidence
les enjeux de la SSI, et creuser certains points

Confrence SSI / CNIL

DCRI, Cusif

Rapport de stage:
tudier la PSSI de lentreprise (ou dfaut les mcanismes sy
rapportant)
Quels sont les acteurs ? Comment linformation est-elle gre ?
Comment y accde-t-on ? Quels sont les risques ? Internes et externes

tudes de cas:
Partir dun type de document que lapprenant est amen utiliser
(sujet dexamen, rapport de stage, formulaire administratif
dinscription, relev de notes, blog priv des tudiants, etc.)

Sminaire 24/09/2009
9