Chapitre 1 : Sécurité de l’information 

Introduction
1. Au début, pas d’enjeux : machines non intelligentes, accès uniquement à partir de
terminaux. Seules des personnes qualifiées ont accès aux systèmes d’informations.
2. Maintenant, accès possible à partir des postes de travail intelligents, avec partage de
grosses quantités de données.
3. Nécessité de la sécurité : initialement système fermé, les systèmes informatiques ont
évolué en systèmes ouverts.
4. Besoin de protéger les données contre les fausses manœuvres, l’espionnage
industriel...
Concepts de la sécurité du système d’information

1. Sécurité de l’information

Définition :

Ensemble politique, procédures, pratiques permettant de fournir une assurance

raisonnable que les objectifs du travail seront atteints et les évènements indésirables
seront détectés et corrigés.

Objectifs

Ensemble des politiques, des contrôles des mécanismes permettant de garantir

l’intégrité, la confidentialité, la disponibilité des ressources d’une entreprise (matériel,
logiciel …)

Sécurité développée sur 3 axes concepts fondamentaux: Confidentialité, Intégrité,

Disponibilité.

Sécurité informatique : 

• Ensemble de politiques des contrôles des mécanismes permettant de garantir l’intégrité de 
confidentialité, la disponibilité des ressources d’une entreprise 
 

Caractéristiques de confidentialité 

• S’assurer que les données de l’entreprise ne soient pas compromises 
• Peut être garantir par les procédures de cryptages 

Menaces affectant la confidentialité  

• Les hackers /crackers 
 • Sniffing : écoute du réseau 
• Activité non autorisée des utilisateurs 
• Téléchargement non protégé des fichiers 
• Social engineering 
• Cheval de Troie (programme) 
 
 
Menace affectant l’intégrité 
Objectif : protection de l’information contre des modifications non autorisées. 
• donner l’accès aux informations dont les utilisateurs ont besoin seulement. 
• Séparation des taches 

En anglais on parle aussi 

• Need to know Access : les utilisateurs ne doivent accéder qu’aux ressources dont ils ont 
besoin pour accomplir leur travail. 
• Séparation of duties : s’assurer de ne pas avoir une seule personne qui prend le contrôle de 
toute une transaction de début jusqu’à la fin. 
 
Menace affectant la disponibilité (services et données) 
Objectif : Protection de l’information contre la non‐accessibilité  
• S’assurer de la continuité de service (exemple : la messagerie) 
• Garantir l’accés des utilisateurs à leurs ressources à tout moment 
• Déni de service : l’une des attaques qui peut mettre un système hors service 
 

Domaine de sécurité 

• Sécurité organisationnelle (définit le plan de reprise…) 
• Sécurité physique (garantir le matériel en cas d’incendie, de sinistre…) prévention dans la 
conception des locaux des matériaux informatiques 
• La Sécurité de réseaux 
• La sécurité des applications 
• La sécurité des systèmes d’exploitation 
• La sécurité de base de données 
• La sécurité de communication 

Sécurité organisationnelle 

Ensemble des mesures qui consistent à organiser l’activité de la sécurité et à harmoniser les
activités afin de déployer 

Vulnérabilité de sécurité organisationnelle 

• Vulnérabilité d’une politique claire 
• Absence du soutient du DG 
• Absence de formation et sensibilisation du personnel sur différents enjeux de la sécurité 
 • Absence….. 

Sécurité physique 

Ensemble de mesures destinées à garantir l’intégrité des bâtiments, locaux spécifiques dédiés aux 
informations ou aux supports protégés afin d’éviter toute perte, dégradation ou compromission. 

 Menace sur la sécurité physique  

• Feu et incendie 
• Eau 
• Mouvement du terrain (sinistre,..) 
• Accés non autorisé à une zone interdite 
• Perte de service (énergie, climatisation…) 
• Perte de télécommunication 

La sécurité de l’information et la gestion des risques 
La gestion de la sécurité concerne tous les éléments qui concourent à l’implémentation effective 
et aux contrôles des objectifs garantissant le niveau choisi de la confidentialité de l’intégrité et la 
disponibilité des ressources de l’entreprise. 

• Classification des données 
• La gestion des risques 
• Les procédures, les standards, les normes, les politiques de sécurité 
• L’organisation et la formation des utilisateurs 
 
Le management de la sécurité procède de manière descendante : 
• Le premier responsable est le DG 
• Selon l’organisation (la taille de l’entreprise, le niveau de sécurité requis) peut être assuré 
une seule personne  ou par un groupe. 
• Aux contrôles administratifs (mise en place et contrôle de respect de procédure, formation et 
sensibilisation du personnel) 
• Aux contrôles techniques  
Implémentation des mécanismes de contrôle d’accés (méthode d’identification et 
authentification) configuration et mise à jour des logiciels, blocage des ports utilisés, cryptage 
des données. 
 
• Aux contrôles physiques 
La vulnérabilité : faiblesse d’un élément (logiciel, matériel, procédures, utilisateur humain….) 
pouvant être exploitée pour un accès non autorisé par une machine ou un réseau. 
o Une vulnérabilité peut être une application ou un système d’exploitation non patché. 
o Un port ouvert sur un firewall est aussi une faille. 
o Un mot de passe de niveau faible 
o Un processus qui tourne sur un serveur 
  
 
 
Menace 
C’est un danger potentiel pour la sécurité du système, elle survient quand une entité (objet ou 
personne) découvre une vulnérabilité du système, cette vulnérabilité est appelée agent menaçant 
(threat agent) 
• Agent menaçant 
Peut être un intrus qui accède au réseau par une porte dérobé, ça peut être aussi un processus qui 
accède à une donnée en violation avec le processus de sécurité. 
• Le risque 

C’est la  probabilité qu’une menace se réalise. 

Exemple : un grand nombre de ports ouverts sur un firewall accroit la probabilité d’accés par un 
intrus, un employé non formé constitue un risque pour les données qu’il manipule. 

Le management de risque 

o Dommages physiques : inondations, incendie, catastrophe 
o Interaction humaine 
o Panne d’un équipement 
o Attaque interne ou externe : hackers, crackers, attaquant 
o Utilisation abusive des données 
o Erreurs applicatives : bugs, erreurs d’exécution 

 Les menaces doivent être identifiées, classifiées et évaluées pour vouloir  calculer les montants des 
pertes occasionnées et ce travail est généralement à une personne ou un groupe en fonction de la 
taille de l’entreprise et de l’importance de la sécurité. 

L’analyse de risque 

Elle consiste à calculer et évaluer les actifs de l’entreprise. 

• Identifier les points de vulnérabilité et de menace 
• Quantifier la probabilité de réalisation de ces menaces 
• Evaluer l’impact sur la productivité et l’image de l’entreprise 
• Déterminer le point d’équilibre entre l’impacte de menace et de contre mesures. il existe deux 
approches d’analyse : Quantitative et qualitative  

L’analyse de risques consiste à :

- identifier et évaluer les actifs (bâtiments, équipements…) de l’entreprise.

- Identifier les points de vulnérabilité et de menaces.
- Quantifier la probabilité de réalisation de ces menaces.
- Évaluer l’impact [des menaces] sur la productivité et l’image de l’entreprise.
- Déterminer le point d’équilibre [voir dans quelles conditions est-ce que ce serait
rentable d’investir dans les contres mesures] entre l’impact des menaces et les
contre mesures.
Il existe 2 approches d’analyse : quantitative et qualitative.

Approche quantitative
Elle évalue en termes chiffrés les éléments suivants :

- les coûts des équipements et l’élaboration des procédures de sécurité

- Les actifs
- L’impact d’une menace
- La fréquence de réalisation
- L’incertitude liée à l’évaluation des éléments

Étapes d’analyse quantitative

1. Évaluation des actifs

- Connaître la valeur VA de chaque actif
- le coût de sa maintenance
- le bénéfice qu’il génère.
- Le coût de remplacement de l’actif [en cas de nécessité]
- La perte de crédit de l’entreprise en cas de sa compromission [perte de crédit que
pourrait engendrer le défaut de cet actif]
2. Estimation des pertes potentielles pour chaque menace (SLE = Single Loss
Expectance; ALE = Annual Lost Expectance […]). 

Pour calculer le SLE [] pour une menace donnée il faut évaluer:

- Les dégâts physiques et les coûts équivalents

- La perte de productivité et le coût équivalent
- La perte occasionnée par la divulgation d’une information confidentielle.
- Le coût de la reprise suite à [la réalisation d’] une menace.
- Le coût des équipements critiques hors service suite à la [réalisation d’]
menace.
3. Analyse des menaces
- Collecter des informations sur de menaces survenues [réalisées] dans l’entreprise
ou dans une institution similaire [opération très difficile conte tenu de la
confidentialité].
- Calculer le taux annuel de réalisation de la menace (Annual Rate Occurrence
[ARO])
4. Détermination des pertes prévisionnelle annuelles pour chaque menace
- Combiner la perte potentielle unique (SLE) et la probabilité de réalisation [pour
évaluer la perte annuelle]
- Déterminer les contre mesures et leur coût
- Analyser le rapport Coût/Profit de chaque contre mesure
5. Réduction – Transfert – Évitement – Acceptation du risque
- Méthode de réduction de risque
• Installer des procédures de contrôle et d’équipements de sécurité.
• Détecter précocement des menaces et réduire leur impact.
• Établir un plan de contingence [circonstance] permettant la continuité des activités
après la réalisation d’une menace.
• Former et sensibiliser les utilisateurs
- [Méthode de] transfert de risque
• Souscription à une assurance
• Outsourcing : Confier la gestion de l’objet du risque à un service extérieur, avec
signature de contrat.
- Méthode d’évitement du risque
• Arrêt de toute activité du service à risque
- Méthode d’acceptation du risque
• Accepter de vivre avec le risque, généralement pour des raisons économique.
-
6. Récapitulation :
Éléments qui concourent au calcul de la perte prévisionnelle annuelle.

□ Av
□ SLE : Perte prévisionnelle unique []
□ EF (Exposure Factor) = Magnitude de perte ou incidence d’un
évènement dommageable
□ ARO () Fréquence Annuelle d’un Incident (FAI)
□ ALE
□ …
Exemple : Calcule d’ALE

AV= 500 millions

EF= 30%

ARO= 0,15 (fréquence de réalisation du risque)

• Calcul du SLE
SLE = AV * EF

• Calcul du ALE
ALE = SLE * ARO

= AV * EF * ARO

Application numérique : ALE = 500 millions * 30% * 0,15 = 22,5 millions

Résultats d’une analyse

- Valeur monétaire de chaque actif

- Liste des menaces possibles
- Probabilité de réalisation de chaque menace [Nombre de cas réalisés / Univers =
Population Totale]
- Perte potentielle annuelle qu’engendrerait chaque menace
- Recommandation de contre mesure à mettre en place (équipement, action à
entreprendre)
 Approche Qualitative [ ]

L’analyse qualitative vise à classer les différentes variables (informations, vulnérabilité,

menaces, contre mesures) selon différentes échelles de gravité ou de fréquences.

Elle se base sur le jugement, l’expérience, l’intuition et les bonnes pratiques des
intervenants.

Exemple (modèle) d’analyse basée sur le jugement d’experts

Menace : Sévérité de Probabilité Perte Efficacité Efficacité Efficacité

accès à une la menace de Potentielle d’un Firewall d’IDS d’un pot de
information réalisation (Intrusion miel
confidentielle Détection
[hacker] System)
IT manager 4 2 4 4 3 2
Administrateur 4 4 4 3 4 1
Base de
Données
Programmeur 2 3 3 4 2 1
Exploitant 5 4 4 4 4 2
Opérateur 3 4 3 4 2 1
Système
Moyenne (4+4+2+5+3) 3,4 3,6 3,8 3 1,4
arithmétique /5 = 3,5

Autre modèle d’analyse qualitative

• Les évènements dommageables sont classés selon leur fréquence (F):

- Extrêmement rare
- Rare
- Possible
- Extrêmement fréquent
• Les évènements dommageables sont classés selon leur gravité (G) :
- Conséquence presque nulle
- Conséquence minime
- Conséquence significative
- Conséquence grave
- Conséquence majeure
En assignant de valeurs relatives aux classes de fréquence et de gravité on obtient la
criticité (C):

C=F*G
C’est le niveau de criticité qui permettra d’identifier les mesures à appliquer. Le responsable
de la sécurité définit le nombre de classes et le critère de leur classification. Plus il y a de
classes plus l’analyse est affinée.

Classes de criticité Niveau de risque Décision

C1 = mineur Acceptable Aucune action à entreprendre
C2 = sérieuse Tolérable sous Un suivi en termes de gestion de risque doit
contrôle être organisé
C3 = majeure Inacceptable La situation doit être refusée et des
mesures en terme réduction de risque sont
à prendre ou encore l’activité doit être
arrêtée.

Recherche sur :

• NIST
• Politique de sécurité (définition des actifs à protéger, fixer le niveau de sécurité)
• Les standards de la sécurité
• Baseline et Guideline de sécurité.
• Forces et faiblesses de l’analyse qualitative et de l’analyse quantitative.