SECURITE ET

AUDIT
INFORMATIQUE

Chapitre II :
MANAGEMENT DU RISQUE
INFORMATIQUE

Université Virtuelle de Tunis

Mastère Professionnel en Logiciels
Libres
 CHAPITRE II MANAGEMENT DU RISQUE
INFORMATIQUE

Contenu du  Champs couverts par la sécurité

chapitre  Objectifs de la sécurité
 Gestion des risques
 Approches d’évaluation des risques
 Mesures de sécurité à prendre
 Normes pour la sécurité
Introduction Présentation générale :
du chapitre Ce chapitre introduit au management de la sécurité informatique
et en particulier aux techniques de gestion et d’évaluation des
risques. Il présente succinctement l’aspect normatif dans le
domaine.
Pré requis :
Aucun
Les objectifs  Présenter les divers champs couverts par la sécurité informatique
du chapitre  Introduire au « Risk Management »
 Exposer certaines approches d’évaluation des risques
 Détailler certaines mesures de sécurité
 Survoler un certain nombre de normes de sécurité
Ce qu’il faut A l’issue de ce chapitre l’étudiant devra être capable de :
retenir dans le  énoncer des règles générales de gestion et d’évaluation des risques
chapitre informatiques
 détailler les bases d’une méthodologie pouvant être utilisé dans ce
contexte
 analyser une méthodologie d’évaluation et/ou d’analyse des risques
informatiques
 appliquer la démarche préconisée par une méthodologie donnée qui
permet d’évaluer et/ou de traiter les risques informatiques
 rédiger le contenu d’un questionnaire pour établir le niveau de
sensibilité de certains actifs et d’évaluer les risques encourus
 étudier le contenu de la suite de normes ISO 27000
Ce qu’il faut
Lecture du contenu du chapitre
faire
Télécharger le Le contenu du chapitre est téléchargeable à partir de la plateforme
chapitre d’enseignement à distance utilisée
Activités du Les assignements correspondent à l’étude d’une méthodologie
chapitre d’évaluation des risques informatiques ou une norme de management de
la sécurité des informations et des systèmes d’information.
Liens utiles ou http://www.ilnas.public.lu/fr/publications/confiance-numerique/etudes-
documentation nationales/NMA-JPH-MISC24.pdf
http://www.clusif.asso.fr/fr/production/mehari/
http://www.ssi.gouv.fr/site_rubrique41.html
http://fr.wikipedia.org/wiki/ISO/CEI_27001

2
 II.1 CHAMPS COUVERTS PAR LA SECURITE

Les systèmes d'information reposent en partie sur des machines qui stockent, traitent et
transmettent de l'information. Ces machines, souvent reliées par et à travers des réseaux
peuvent être des ordinateurs mais aussi des téléphones, des télécopieurs, etc. Certains
systèmes offrent des services sur lesquels reposent l'économie des États et des entreprises.
Ainsi de multiples informations, hier confinées dans les armoires, sont accessibles de
presque n'importe quel point du globe alors que la dépendance vis-à-vis des services
fragilise aussi bien leurs fournisseurs que leurs utilisateurs.

L'information est donc une ressource stratégique, une matière première, elle est un atout
supplémentaire pour ceux qui la possèdent. La protection de ce patrimoine contre les
malveillances doit par conséquent être un souci permanent. La sécurité de l’information et
des systèmes d’information prend alors deux aspects, celui de la sécurité physique et celui
de la sécurité logique.

1. La sécurité physique

Elle consiste à immuniser le système informatique de la société ou de l’établissement contre

les attaques visant à détériorer le matériel (incendie, sabotage, hypertension, etc.) et/ou à
voler des composants (station de travail, imprimante, disques, etc.) ou bien des
équipements réseaux. Elle doit également assurer que l’on n’a pas introduit de manière
malicieuse des outils servant pour l’espionnage tels que des sondes pour écouter le flux
transmis sur le réseau. Cet aspect ne présente pas de difficulté pour le découvrir, il suffit de
mettre le système informatique dans des endroits bien protégés et de fournir des
accessoires de surveillance et de sécurité nécessaires pour le protéger (comme des
onduleurs pour éviter les problèmes dus au coupure de courant, des mécanismes pour
contrôler les accès aux bâtiments, etc.).

2. La sécurité logique

La concentration des données et leur présence sur des réseaux permettent d'obtenir
rapidement, dans la discrétion et parfois dans l'anonymat le plus complet, une grande
quantité d'information qu'il était auparavant difficile de se procurer. Protéger ces
informations contre les attaques et les utilisations non autorisées consiste alors de mettre
en place les techniques pour garder leur confidentialité, intégrité et disponibilité des
informations. Ces trois termes représentent les concepts de base de la sécurité des données.
Dans la littérature de la sécurité informatique, on a aussi d’autres concepts de sécurité liée
aux utilisateurs et aux services utilisés à savoir : l'authentification, l’autorisation, et la non-
répudiation.

3
 II.2 OBJECTIFS DE LA SECURITE

La sécurité informatique vise plusieurs objectifs, liés aux types de menaces ainsi qu'aux types
de ressources, néanmoins, les points principaux sont les suivants :
 empêcher la divulgation non autorisée de données,
 empêcher la modification non autorisée de données,
 empêcher l'utilisation non autorisée de ressources réseau ou informatique de façon
générale.

Ces objectifs s'appliquent à différents domaines ou champs d'applications, chacun faisant

appel à des techniques différentes pour atteindre le ou les mêmes objectifs. Ces champs
sont:
 la sécurité procédurale (audits de sécurité, procédures informatiques...),
 la sécurité des émissions physiques (écrans, câbles d'alimentation, courbes de
consommation de courant...),
 la sécurité des systèmes d'exploitation (plantation),
 la sécurité des communications (interception, intrusion).

Pour définir un système d'information sécurisé, on doit mettre en place les méthodes et
outils qui permettent d’assurer la confidentialité, l'authentification, la non-répudiation,
l'intégrité, le contrôle d'accès et la disponibilité.

1. La confidentialité

La confidentialité des données correspond à la prévention de la divulgation non autorisée de

l’information. Assurer la confidentialité, c’est faire de sorte que les informations soient
inaccessibles (ou incompréhensibles) à des utilisateurs non désignés comme autorisés à y
accéder. Violer la confidentialité peut se faire de deux manières totalement distinctes : soit
un utilisateur trouve seul un moyen illégal d’accéder à l’information confidentielle, soit un
utilisateur détenant cette information met celle-ci à la disposition d’utilisateur non habilité à
la connaître, de manière directe ou indirecte (codage de l’information permettant son
transfert par un canal d’information illicite : canaux cachés).

Elle a pour but d’empêcher la compréhension des données dans le cas où elles seraient
interceptées. Il existe plusieurs types de confidentialité :
- Confidentialité d’une séquence : toutes les informations (données+contrôle) transmises
lors d’une session sont protégées.
- Confidentialité hors connexions : seules les données transmises dans l’unité d’échange
sont protégées.
- Confidentialité d’un champ : seuls quelques champs du message sont protégés.
- Secret du flux : ce service sert à empêcher un intrus d’analyser le flux de données
(adressage, routage, fréquence etc.).

2. L’authentification

On trouve trois différents aspects d’authentification.

4
La première, représentant l’authentification de l’utilisateur vis à vis d’un service particulier
c’est à dire essayer de prouver d’une manière ou d’une autre que l’utilisateur qui s’est
réclamé au service en question est bien lui. Parmi les moyens d’authentification les plus
rudimentaires, on retrouve la classique identification par mot de passe, mais ce moyen
devient inefficace si on peut le cracker ou le capturer lorsqu’il est émis via le réseau. C’est
pour cette raison qu’on trouve aussi, et notamment pour certaines applications critiques,
une authentification améliorée par une carte électronique ou par les caractéristiques
biologiques.

La deuxième concerne l’authentification de la machine à laquelle ils sont connectés est bien
la machine désirée. Dans le cas d’une connexion entre deux machines, deux aspects sont pris
en compte. Dans un premier lieu, à l’initialisation de la connexion, le service assure que les
deux entités sont authentiques, c’est à dire qu’elles sont ce qu’elles prétendent être. Dans
un second lieu, le service doit assurer que la connexion n’est pas interférée par une
troisième partie qui pourrait se faire passer pour une des deux parties légitimes afin de
recevoir ou d’envoyer des données.

La troisième consiste en l’authentification des messages envoyés, c’est à dire s’assurer que
le contenu du message n’a pas été modifié aux cours d’acheminement. Elle assure que
seules les entités autorisées ont accès au système. Dans le cas d’un simple message,
l’authentification doit assurer au destinataire que la source du message est effectivement
celle d’où le message prétend provenir.

3. L’intégrité

Assurer l’intégrité des données consiste en la prévention de la modification non autorisée de

l’information par un sujet non autorisé à le faire, que l’opération soit réalisée de manière
intentionnelle ou non. Protéger l’intégrité des données consiste donc à se prémunir contre
une attaque par un utilisateur non autorisé, mais aussi à protéger contre la défaillance de
matériels qui pourrait porter atteinte à l’intégrité des données.

Elle permet de détecter toute altération des données échangées. Elle permet aussi de
mettre en œuvre une procédure de récupération des incidents. Il existe trois types
d’intégrité :
- Intégrité d’une séquence : le contrôle porte sur les données et sur le contrôle transmis
lors d’une session.
- Intégrité hors connexion : le contrôle porte sur les unités échangées.
- Intégrité d’un champ : le contrôle porte sur certains champs uniquement.
- Le contrôle assure qu’un message est reçu exactement comme il a été envoyé sans
duplication, insertion, modification, ré-ordonnancement ou rejet.

4. La non-répudiation

C’est le fait de donner une preuve qu’un utilisateur a réalisé une action, en cas de
contestation. Cet aspect peut prendre, pour les communications réseaux, deux formes. La

5
non-répudiation du producteur, c’est de fournir au récepteur une preuve qui empêche le
producteur de contester avoir émis un message ou le contenu de ce message. Le non
répudiation de la délivrance, c’est de fournir à l’émetteur une preuve ou attestation qui
empêche le récepteur de contester avoir reçu un message ou le contenu de ce message

Ces aspects présentent pour chaque composant du système à sécuriser une vue particulière.
Pour les stations par exemple, il faut contrôler les accès et les utilisations frauduleuses de
ces stations, en définissant des mots clé du boot ou mieux encore en recourant à un système
d’authentification recourant à des calculettes (tokens), mais également en verrouillant la
station après une période d’inactivité.

Pour assurer la confidentialité des données sensibles sur la station, on peut installer des
cartes permettant le chiffrement de la partialité ou la globalité des données stockées sur les
disques durs, et bien sûr s’immuniser contre les virus informatiques par l’installation des
outils antiviraux résidents, en particulier ceux génériques de détection de virus non
répertoriés et bien d’autres techniques.

La non-répudiation assure que, ni le destinataire ni l’expéditeur ne peuvent nier un message

transmis. Elle offre des mécanismes de preuve de communications irréfutables :
- Non-répudiation de production : Remise de preuve empêchant l’émetteur de nier avoir
émis un message.
- Non-répudiation de délivrance : Fourniture de preuve empêchant le récepteur de
contester la réception du message d’un émetteur.

5. Le contrôle d’accès

C’est le fait de contrôler les actions menées par un utilisateur ou une machine et définir des
droits d’accès aux différentes ressources du système (réseau, serveurs, fichiers, base de
données). Notons que l’authentification et l’autorisation sont deux concepts non séparables
et intimement liés. En effet, la première permet de connaître l’utilisateur en question et la
deuxième sert à définir ses droits d’accès.

Dans le contexte de la sécurité des réseaux, le contrôle d’accès est le moyen de limiter et
contrôler l’accès à des systèmes hôtes et des applications via les réseaux de communication.
Ce service permet d’empêcher l’accès et l’utilisation de ressources du réseau à tout sujet
(utilisateur ou processus) non autorisé.

6. Disponibilité de service

L'accès et l'utilisation des services doit toujours être possible pour les personnes habilitées à
le faire, dans le temps le plus bref compatible avec les ressources du système.

Toute utilisation des ressources, destinée à ralentir ou à bloquer le système doit pouvoir être
détecté. La disponibilité des ressources doit tenir compte des événements intentionnels et
des défaillances du système, en mettant en œuvre divers moyens, dont la redondance pour
assurer cette disponibilité de service.

6
 II.3 GESTION DES RISQUES

1. Concepts de base

Au sein des entreprises, la sécurité des systèmes d’information est de plus en plus abordée à
l’aide d’approches basées sur la gestion des risques. L’expérience montre que de telles
études prospectives réduisent de manière considérable les pertes liées aux faiblesses de
sécurité des systèmes d’information.

La gestion des risques est définie comme l’ensemble des activités coordonnées visant à
diriger et piloter un organisme vis-à-vis du risque. On dégage en général trois finalités à la
gestion des risques pour les systèmes d’information :
 Améliorer la sécurisation des systèmes d’information.
 Justifier le budget alloué à la sécurisation du système d’information.
 Prouver la crédibilité du système d’information à l’aide des analyses
effectuées.

La gestion des risques permet de répondre à trois questions essentielles à la mise en place
d’une politique de sécurité :
 Comment résoudre les problèmes de sécurité ?
 A quel endroit les résoudre ?
 Quels types et niveaux de contrôles de sécurité appliquer ?

Comme on peut le constater sur la figure précédente, la gestion des risques se base sur trois
éléments importants à savoir : l’organisation, définie par ses assets et ses besoins de
sécurité, puis les risques pesant sur ces assets et enfin les mesures prises ayant pour but de
traiter les risques et donc d’assurer un certain niveau de sécurité. Les assets sont définis
comme étant l’ensemble des biens, actifs, ressources ayant de la valeur pour l’organisme et
nécessaires à son bon fonctionnement.

7
2. Le processus de gestion des risques

La gestion des risques est un processus qui se décline en plusieurs étapes commençant par la
détermination des assets et les objectifs de sécurité et de protection associés, qui se
poursuit par l’identification et l’appréciation des risques, et qui se termine par la sélection et
l’implémentation des mesurer pour contrecarrer ces risques.

Ce processus peut être déclenché à la suite d’un incident (par exemple à la suite d’une
infection de certains systèmes par un virus). Dans cette approche réactive, on analyse ce qui
vient de se passer pour prendre les mesures permettant de prévoir et anticiper les
problèmes potentiels futurs.

Ce processus peut également être réalisé de façon cyclique sans attendre que les problèmes
se présentent. Le principe de cette approche proactive est de minimiser la probabilité
d’occurrence de risques d'exploitation des faiblesses connues ou constatées des systèmes
informatiques.

3. Méthodes de gestion des risques

Diverses méthodes sont proposées à cet effet. On cite : EBIOS (Expression des besoins et
identification des objectifs de sécurité), FEROS (Fiche d'Expression Rationnelle des Objectifs
de Sécurité), MEHARI (MEthode Harmonisée d'Analyse des RIsques), MARION (Méthode
d'Analyse de Risques Informatiques Optimisée par Niveau), OCTAVE (Operationally Critical
Threat, Asset, and Vulnerability Evaluation).

8
Même si le but de ces méthodes est identique, les termes et les approches utilisés peuvent
varier. Souvent, l’appréciation des risques s'établit à partir de questionnaires et d’entretiens
avec des personnes interviewées, d’examens de diverses ressources critiques et de
documents fournis et de tests intrusifs réalisés pour déterminer les faiblesses des mesures et
moyens de sécurité mis en œuvre.

L’objectif de ce travail est de déterminer le niveau de risque atteint ou encore un seuil

d’acceptabilité d’un risque, et de prendre les mesures adéquates en conséquence. Réduire
les risques revient alors soit à agir sur les vulnérabilités, soit essayer de réduire l'impact
qu'aurait l'exploitation d'une vulnérabilité par une menace, etc.

4. Exemple de méthodes : MARION

La méthode MARION est une méthode développée au sein du CLUSIF (le club de la sécurité
informatique en France) se préoccupant de risques informatiques et de sécurité
informatique.

MARION se base sur des questionnaires mis à jour à intervalles réguliers. Un questionnaire
est bâti autour de plusieurs facteurs de sécurité, couvrant entre autres l’organisation,
l’environnement technique, la sécurité des télécommunications, les sauvegardes, la recette
des logiciels, etc.

1 01 - Orga ni satio n gé né ral e

60 4- Sécu rité de s log ici els
1 02 - C on tr ôle s perm ane nts
d' app lic atio n et pro gici els d ive rs 1 00
60 3- Co ntrôl es pro gra mmés 10 3- Ré gl eme ntatio n et au dit
90
60 2- Métho de s d 'a nal yse-
80 20 1- Facteu rs soci o-é con omi que
p rog ramma tion
70
60 1- Procé du res de ré vi sion 60 30 1- Envi ron neme nt de b ase
50
5 05 - Ma inten an ce 40 30 2- Co ntrôl e d' accè s
30
5 04 - S uivi de l' exp loi ta tion 20 30 3- Pol lutio n
10
0
50 3- Sa uve gar des 30 4- Co nsi gne s

50 2- Sa isie e t tra nsfert cla ssiq ue

d es do nné es 30 5- Séc urité p hysiq ue inc end ie

30 6- Séc urité sp éci fi que dé gâ ts

50 1- Archi vag e/ dé sarch iva ge de s e aux
40 3- Prote cti on d es ba ses d e
3 07 - Fia bi lité d e l'e nv iron ne men t
d onn ée s
4 02- Sé curité d es télé co ms et 30 8- Système s et p rocé du res d e
p rote cti on co mpl
4 01 éme
- Fia ntaidre
bi lité u de
masté…rie l et 3 09 - Pr otoco le sseco urs
séc urité o ffe rte p ar le -log
3 11 Pl an d e… tiqu e
iciei lnforma utilinne
3 10 - Pe rso sateu rs/irmatiq
l info nform atici
ue ens

L’analyse des réponses à un questionnaire permet d’établir des constats (visualisé par une
rosace telle que la précédente), qui servent à déduire des plans d’action de sécurité. Les
actions suggérées sont accompagnées d’indications (ordre de grandeur des coûts, difficultés
de mise en place, urgence de réalisation, etc.) permettant à la Direction de faire ses choix en
toute connaissance de cause.

9
 II.4 APPROCHES D’EVALUATION DES RISQUES

Quoi qu’ils aient tous le même objectif, les méthodes de sécurité diffèrent selon l’approche
qu’ils adoptent pour analyser les risques.

1. Approche quantitative

Si l’on considère qu’un risque est une combinaison de la probabilité et de la conséquence de

la survenue d'un événement dangereux spécifié, ce risque peut s'analyser à travers
l'équation (approximative) suivante :

RISQUE = Fonction ( IMPACT ; VULNERABILITE ; MENACE )

Le risque est alors très élevé si l'enjeu est important, si de fortes probabilités de menaces
pèsent sur les actifs et si les vulnérabilités ne sont pas découvertes.

La gestion du risque suppose alors de prendre la mesure de ses composants :

 Les menaces qui désignent l'ensemble des éléments (externes mais aussi internes)
pouvant atteindre les ressources d'une organisation.
 Les vulnérabilités qui expriment toutes les faiblesses des ressources qui pourraient
être exploitées par des menaces, dans le but de les compromettre.
 L'impact est le résultat de l'exploitation d'une vulnérabilité par une menace et peut
prendre différentes formes : perte financière, affectation de l'image de marque,
impact juridique, perte de crédibilité, etc.

La combinaison des ces trois facteurs fonde le «risque», qui permet notamment de mesurer
l'impact financier et/ou la probabilité de survenance d'un évènement indésirable.

2. Approche qualitative

L’approche qualitative considère que la plupart des pertes potentielles ne sont pas tangibles,
de telle manière que les risques ne peuvent pas être financièrement évalués. Avec
l’approche qualitative, les résultats des risques sont exprimés sous forme littéraire plutôt
que numérique. Cela peut démarrer par l’établissement d’un tableau dans lequel on recense
divers éléments en relation avec les menaces à traiter.

Propriété Prévention Détection Impact

Menace Probabilité
mise à défaut possible possible potentiel
Non déterminée,
Acheminement
Confidentialité Difficile Peut-être facile mais probablement Très élevé
erroné
courante
Non déterminée,
Analyseur de Très difficile, voire
Confidentialité Impossible mais de plus en Très élevé
protocoles impossible
plus courante

10
 Intégrité
Non déterminée,
Bombe logique Confidentialité ? Presque impossible Peut-être difficile Très élevé
probablement rare
Disponibilité ?
Intégrité
Très difficile, voire
Cheval de Troie Confidentialité Peut-être difficile Non déterminée Très élevé
impossible
Disponibilité
Intégrité
Contrefaçon Peut-être difficile Peut-être difficile Non déterminée Très élevé
Ressources
Difficile, nécessite
Compromission Confidentialité matériel à la norme Impossible Non déterminée Très élevé
TEMPEST
Doublon Intégrité Difficile Difficile Courante Très élevé
Aisée avec du
Confidentialité Difficile, voire
Ecoute chiffrement, Non déterminée Très élevé
impossible
impossible sinon
Intégrité
Erreur de
Confidentialité Impossible Parfois difficile Courante Très élevé
développement
Disponibilité
Intégrité
Erreur Parfois aisée,
Confidentialité Très difficile Très fréquente Très élevé
d'exploitation parfois difficile
Disponibilité
Confidentialité Non déterminée,
Faux rapports Réglementations Peut être difficile Peut-être difficile mais probablement Très élevé
déontologie rare
Fouille des
Confidentialité Très difficile Très difficile Non déterminée Très élevé
ordures
Fraude Intégrité Difficile Difficile Non déterminée Très élevé
Intégrité
Incendie Difficile Facile Non déterminée Très élevé
Disponibilité
Disponibilité
Information Peut être très Peut-être très
Réglementations Commune Très élevé
obsolète difficile difficile
déontologie
Intégrité
Mascarade Confidentialité Très difficile Très difficile Non déterminée Très élevé
Disponibilité
Intégrité
Courante (donnée
Panne matérielle Confidentialité Impossible Parfois aisée Très élevé
MTBF disponible)
Disponibilité
Réglementations
Piratage Très difficile Peut être difficile Commune Très élevé
déontologie
Intégrité
Porte dérobée Confidentialité Très difficile Très difficile Non déterminée Elevé
Disponibilité

11
 Non déterminée,
Sabotage Peut-être très
Intégrité Très difficile mais probablement Très élevé
immatériel difficile
rare
Surcharge d’un Non déterminée,
Disponibilité Très difficile Facile Très élevé
serveur mais courante
Intégrité Habituellement 1 sur 500 infectés
Virus Peut être difficile Très élevé
Disponibilité avec certitude en 1993 aux USA
Intégrité
Vol d'équipements Confidentialité Très difficile Très difficile Non déterminée Très élevé
Disponibilité

II.5 MESURES DE SECURITE A PRENDRE

Procéder au traitement d’un risque peut se faire de plusieurs manières. Ce dont il faut se
rappeler c’est que cela a un coût. La figure suivante de ISO/IEC 27005:2008 établit quatre
possibilités de traitement : réduire, transférer, éviter ou retenir le risque.

Lorsque des mesures sont à prendre pour contrer les risques, il est nécessaire de s’assurer
que ces mesures seraient les plus adéquates que possible au vue de la situation de
l’entreprise et son niveau d’acceptabilité des risques et qu’elles concerneront plusieurs
champs d’actions. A ce propos, une mesure peut appartenir à l’une des cinq catégories
suivantes.

 des mesures structurelles pour protéger les actifs de l'entreprise telles que la
fragmentation de l'information, l'occultation des ressources stratégiques, la
redondance matérielle et logicielle, etc.

12
  des mesures de dissuasion pour éviter la concrétisation de la menace, telles que
l'adoption de conventions organisationnelles, la mise en œuvre de certains moyens
techniques, la publication des dispositions réglementaires et juridiques, etc.

 des mesures de prévention pour empêcher l'aboutissement de l'agression, telles que

la mise en place de barrages, de moyens de contrôle d'accès, de procédés de
détection-interception, etc.

 des mesures de protection pour limiter l'ampleur de la détérioration telles que le

recours à des outils de détection-réaction, l'adoption de mesures anti-propagation,
etc.

 des mesures palliatives pour réparer et atténuer les dégâts telles que le masquage
des informations, la certification des données et des programmes, la reconfiguration,
la réparation, la correction ou la reconstruction du matériel et du logiciel, etc.

II.6 NORMES POUR LA SECURITE

La suite ISO/CEI 27000

Aussi connue sous le nom de Famille des standards SMSI ou ISO27k, cette suite
comprend les standards de sécurité de l'information publiés conjointement par
l'Organisation internationale de normalisation (ISO) et la Commission
électrotechnique internationale (CEI, ou IEC en anglais). Cette suite contient des
recommandations des meilleures pratiques en management de la sécurité de
l'information, pour l'initialisation, l'implémentation ou le maintien de systèmes de
management de la sécurité de l'information (SMSI, ou ISMS en anglais), ainsi qu'un
nombre croissant de standards liés au SMSI.

Standards publiés :
- ISO/CEI 27001 : Standard de certification des SMSI (publié en 2005)
- ISO/CEI 27002 : Guide des bonnes pratiques en SMSI (précédemment connu
sous le nom de ISO/CEI 17799, et avant BS 7799 Partie 1 (dernière révision en
2005, et renuméroté en ISO/CEI 27002:2005 en juillet 2007)
- ISO/CEI 27005 : Standard de gestion de risques liés à la sécurité de
l'information (publié le 4 juin 2008)
- ISO/CEI 27006 : Guide de processus de certification et d'enregistrement
(publié en 2007)
- ISO/CEI 27011 : Guide pour l'implémentation de ISO/CEI 27002 dans
l'industrie des télécommunications (publié le 15 décembre 2008)
- ISO/CEI 27799 : Guide pour l'implémentation de ISO/CEI 27002 dans
l'industrie de la santé (publié le 12 juin 2008)

Standards en préparation

13
 - ISO/CEI 27000 : Introduction et vue globale de la famille des standards, ainsi
qu'un glossaire des termes communs
- ISO/CEI 27003 : Guide d'implémentation d'un SMSI
- ISO/CEI 27004 : Standard de mesures de management de la sécurité de
l'information
- ISO/CEI 27007 : Guide directeur pour l'audit des SMSI

La norme ITSEC ou livre Blanc

La norme ITSEC décrit l'examen détaillé et la mise à l'essai des fonctions de sécurité
d'un système ou produit informatique permettant d'attribuer un niveau d'assurance
de la sécurité à la suite d'une accréditation. Le niveau d'assurance de la sécurité
repose sur les principes opérationnels Confidentialité, Intégrité, Disponibilité.

En termes de développement et d'exploitation, le niveau d'assurance de la sécurité

garantit que les fonctions de sécurité sont conformes et efficaces et qu'elles ne
présentent aucune vulnérabilité logique.

Les critères d'évaluation sont répartis en quatre domaines :

- Fonctionnalités de sécurité.
- Assurance des fonctionnalités.
- Conformité de réalisation des fonctions de sécurité.
- Efficacité des solutions.

La norme TCSEC ou Livre Orange

En 1985, le Ministère de la Défense des Etats-Unis (DOD) a publié des critères
d’évaluation pour systèmes d’exploitation sécurisés dans le document TCSEC,
communément appelé Livre Orange. L’objectif visé était l’évaluation des produits de
sécurité.
Ces critères fournissaient sept classes ordonnées (D, C1, C2, B1, B2, B3, A1) qui
exigeaient des fonctionnalités spécifiques de sécurité, appropriées pour un ensemble
spécifique d'environnements définis par le CERT.

Un système informatique sera donc accepté dans une classe s'il vérifie à la fois :
- Des critères sur la doctrine de sécurité (contrôle d'accès, etc.).
- Des critères sur la responsabilité (ou administration).
- Des critères sur l'assurance (ou garantie).
- Des critères sur la documentation.

14
 EVALUATION FORMATIVE

I- THEMES D’ETUDES (ACTIVITE OPTIONNELLE)

 Se procurer les documents et les éventuels outils concernant une méthodologie

d’évaluation des risques informatiques comme par exemple EBIOS, FEROS,
MARION, MEHARI, ou encore MELISA. Faites une analyse poussée de l’une de ces
méthodologies et si possible la comparer à une autre.
 Se procurer les documents des référentiels COBIT, RiskIT et ValIT et en faire une
courte présentation.
 Se procurer les documents d’une des normes de sécurité (la suite ISO 27000, ISO
13335, ISO 15408, ISO 19011), l’étudier puis en faire une présentation.

II- LISTE D’EXERCICES CORRIGES

Exercice 1 : Mesures pour contrer les risques

Pour éliminer les risques liés à l'utilisation de l'informatique, il est important de se doter de
mesures correctement définies. Ces mesures doivent contrer toute menace potentielle et de
ce fait doivent figurer parmi des mesures structurelles, de dissuasion, de prévention, de
protection, de correction (ou palliatives), de protection.

Expliquer en quelques mots les objectifs à atteindre par chacune des 6 catégories de
mesures ci-dessus citées.

Solution :
1. Mesures structurelles pour protéger les actifs de l'entreprise telles que la fragmentation
de l'information, l'occultation des ressources stratégiques, la redondance matérielle et
logicielle, etc.
2. Mesures de dissuasion pour éviter la concrétisation de la menace telles que l'adoption de
conventions organisationnelles, la mise en œuvre de certains moyens techniques, la
publication des dispositions réglementaires et juridiques, etc.
3. Mesures de prévention pour empêcher l'aboutissement de l'agression telles que la mise
en place de barrages, de moyens de contrôle d'accès, de procédés de détection-
interception, etc.
4. Mesures de protection pour limiter l'ampleur de la détérioration telles que le recours à
des outils de détection-réaction, l'adoption de mesures anti-propagation, etc.
5. Mesures palliatives pour réparer et atténuer les dégâts telles que le masquage des
informations, la certification des données et des programmes, la reconfiguration, la
réparation, la correction ou la reconstruction du matériel et du logiciel, etc.
6. Mesures de protection pour minimiser les pertes telles que le transfert de risque sur des
tiers, le recours à des actions en justice, etc.

15