2006 ERPI.

Reproduction autorise
10.1/29
10 Chapitre
La scurit et le contrle
des systmes
dinformation
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.2/29
OBJECTIFS
Expliquer pourquoi les SI ncessitent une protection
contre la destruction, lerreur et lusage abusif
valuer la valeur commerciale de la scurit et du
contrle des SI
valuer les lments de gestion assurant la scurit
et le contrle des SI
valuer quelques technologies et outils pour la
protection des ressources en information
Cerner les dfis concernant la scurit des SI et
suggrer des solutions de contrle et de gestion

Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.3/29
Cas Wesfarmers Limited
Dfis :
Offrir une surveillance du site Web bancaire de sa
division Landmark
Manque de personnel
Solutions :
Impartir la gestion de la scurit de ses SI une firme
reconnue dans le domaine, Symantec Managed
Security Services
Installer des systmes de surveillance permanente
pour dtecter les intrusions, des pare-feu et des
logiciels dexploration des donnes
Illustre la ncessit de protger les SI et de prvenir
les dfaillances de rseaux pour assurer la qualit
du service aux clients
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.4/29
La technologie sans fil dans les entreprises
Pourquoi les systmes sont vulnrables?
Figure 10-1
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.5/29
La vulnrabilit des systmes et lusage abusif
Pourquoi les systmes sont vulnrables? (suite)
La vulnrabilit dInternet :
Ordinateurs constamment connects Internet par
modems cbles ou lignes dabonns numriques
Vulnrables puisquils utilisent une adresse Internet
permanente qui permet de les reprer facilement
La voix sur IP, trs souvent non crypte, peut tre
coute par toute personne relie au rseau
Lusage accru du courriel pouvant comporter des
virus en pice jointe et de la messagerie instantane
(MI) dont les messages texte sont non scuriss,
augmentent la vulnrabilit

Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.6/29
La vulnrabilit des systmes et lusage abusif
Les dfis de la scurit sans fil
Technologie radio encore plus vulnrable puisque les
bandes de frquences radio sont faciles scanner
Identifiants rseau (indiquent les points daccs un
rseau Wi-Fi) transmis plusieurs fois et peuvent donc
tre capts assez facilement par un programme
renifleur de paquets
De nouveaux outils pour la scurit des rseaux sans
fil sont toutefois en dveloppement
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.7/29
La vulnrabilit des systmes et lusage abusif
Programmes malveillants

Virus
Vers
Cheval de Troie
Logiciels espions
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.8/29
La vulnrabilit des systmes et lusage abusif
Pirate informatique, cybervandalisme et dlit
informatique
Mystification et hameonnage
Renifleur
Attaque par dni de service
Vol didentit
Cyberterrorisme
Menaces internes par les employs

Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.9/29
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.10/29
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.11/29
10.2 Valeur commerciale de la scurit et du contrle des SI
Scurit et contrle inadquats des SI peuvent causer
de srieux problmes juridiques
Les entreprises doivent protger non seulement leurs
donnes, mais aussi celles de leurs clients, employs
et partenaires
Sinon, elles peuvent tre poursuivies pour divulgation
ou vol de donnes, ce qui peut leur coter cher
Un cadre adquat de scurit et de contrle peut
gnrer un taux de rendement lev

Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.12/29
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.13/29
Valeur commerciale de la scurit et du contrle des SI
Exigences juridiques et rglementaires pour la gestion
des documents informatiques (GDI)
La GDI comprend les :
Politiques
Procdures
Outils
Pour encadrer la gestion des documents lectroniques :
Conservation
Destruction
Stockage
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.14/29
Valeur commerciale de la scurit et du contrle des SI
Lois amricaines relatives la scurit et au contrle
des donnes :
Health Insurance Portability and Accountability Act
(HIPAA)
Gramm-Leach-Bliley Act
Sarbanes-Oxley Act de 2002
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.15/29
10.3 tablissement dun cadre de gestion pour la scurit et
le contrle des SI
Une politique de scurit informatique se compose :
Dune sries dnoncs qui :
Classent les risques
Fixent des objectifs raisonnables
Indiquent les moyens utiliser pour latteinte des
objectifs
Dune politique dutilisation acceptable
Dune politique dautorisation
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.16/29
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.17/29
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.18/29
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.19/29
tablissement dun cadre de gestion pour la scurit et le
contrle des SI
Maintien et continuit des affaires
Temps darrt : priode pendant laquelle un systme
nest pas oprationnel
Systmes tolrance de pannes : contiennent du
matriel, des logiciels et des composantes
dalimentation lectriques supplmentaires pour offrir
un service continu, non interrompu
Informatique haute disponibilit : utilise des
ressources matrielles auxiliaires pour permettre de
se relever rapidement en cas de panne
reprsente un minimum pour les entreprises qui
dpendent des rseaux numriques
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.20/29
tablissement dun cadre de gestion pour la scurit et le
contrle des SI
Maintien et continuit des affaires (suite)
Planification de la reprise sur sinistre : plan prvoyant
la restauration des services informatiques et des
communications aprs une interruption due une
catastrophe naturelle ou une attaque terroriste
Planification de la continuit des affaires : dtermine
les processus daffaires cruciaux et les mesures
prendre pour assurer les fonctions fondamentales en
cas de panne
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.21/29
tablissement dun cadre de gestion pour la scurit et le
contrle des SI
La vrification dans le processus de contrle
Vrification des SI : permet de reprer tous les
contrles qui rgissent les SI et dvaluer leur
efficacit
Vrifications de scurit : devraient sintresser aux
technologies, aux procdures, la documentation,
la formation et au personnel
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.22/29
10.4 Outils et technologies pour la scurit et le contrle des SI
Contrle daccs
Comprend toutes les politiques et procdures
quune entreprise utilise pour bloquer laccs de ses
systmes aux personnes non autorises, linterne
comme lexterne
Authentification : capacit de vrifier si la personne
est bien celle quelle prtend tre
Mot de passe
Jeton dauthentification, carte puce intelligente
Authentification biomtrique
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.23/29
tablissement dun cadre de gestion pour la scurit et le
contrle des SI
Exemple de liste de faiblesses des contrles tablie par
un vrificateur
Figure 10-6
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.24/29
Outils et technologies pour la scurit et le contrle des SI
Pare-feu, systmes de dtection dintrus et antivirus
Pare-feu : matriel et logiciels qui contrlent le trafic
qui arrive dans un rseau et en part
Systmes de dtection dintrusion : effectuent une
surveillance continuelle dans les points daccs les
plus vulnrables des rseaux, de manire reprer
et dissuader les intrus
Logiciels antivirus : vrifient les disques et les
systmes afin de dtecter dventuels virus pour
ensuite les liminer
Wi-Fi Protected Access (WPA) : spcifications de
scurit pour mieux protger les rseaux sans fil
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.25/29
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.26/29
Cryptographie asymtrique
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.27/29
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.28/29
Exhibit 26: Digital Certificate Transmission in e-
Commerce
Trusted third-party certificate provider
1. Digital certificate / public
key and private key sent to
server (when server is initially
set up)
Customers PC
4. Certificate used to
encrypt data
5. Encrypted data sent
to server via internet
6. Private key used
to decrypt data
Web server with
private key
Credit
card
information
VISA
******
******
******
Encrypted
credit card
Information
******
******
******
Credit
card
information
VISA
******
******
******
Encrypted
credit card
Information

******
******
******
2. Copy of public key is sent to
customers PC. Customer accepts
this certificate to create SSL pipe
between users PC and server
= non-SSL transmission
= SSL transmission
3. Encryption tunnel
created
Note: Step 3 indicates the
creation of an SSL encryption
tunnel for data to pass through.
Steps 4 through 7 show what
happens behind the scenes in
SSL.
Internet
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.29/29
Exhibit 27: Digital Signature Transmission
Trusted third-party certificate provider
1. Digital certificate /
public key sent to
customer
Customers PC
4. Public key /
certificate used to
decrypt digital
signature
Web server with
private key
Internet
Encrypted
digital
signature
******
******
******
Digital
signature
ABC
Corp.
******
******
5. User is presented
with digital-signature
information. If user
accepts certificate,
SSL tunnel is created.
Digital
signature
ABC
Corp.
******
******
2. Private key
encrypts digital-
signature document
Encrypted
digital
signature
******
******
******
3. Encrypted
signature sent
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.30/29
Possibilits, dfis et solutions en matire de gestion
Les possibilits
Cration de sites Web et de systmes dune grande
fiabilit qui peuvent soutenir les stratgies daffaires
lectroniques et de commerce lectronique
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.31/29
Possibilits, dfis et solutions en matire de gestion
Les dfis
La conception de systmes exerant un contrle ni
trop faible ni trop fort
Pour y arriver, il faut trouver un quilibre entre les
risques, les bnfices et les capacits
oprationnelles de lentreprise
La mise en place dune politique de scurit efficace
Les systmes dinformation de gestion
Chapitre 10 La scurit et le contrle des SI
2006 ERPI. Reproduction autorise
10.32/29
Possibilits, dfis et solutions en matire de gestion
Les solutions
La scurit et le contrle des SI doivent devenir des
priorits et des postes dinvestissement plus
visibles et plus explicites
Le soutien et lengagement de la haute direction sont
indispensables pour montrer que la scurit est
rellement une priorit pour lentreprise et vitale
pour ses oprations
La responsabilit de la scurit et du contrle
devraient incomber tous les membres de
lorganisation