UNITÉ 1 Introduction à la sécurité de l'information

Le modèle de sécurité de la CNSS. Comment les aborderiez-vous dans

votre organisation ?

Dans le monde d’aujourd’hui, il existe des millions de réseaux informatiques

non sécurisés en communication continue les uns avec les autres. La menace croissante
des cyberattaques a rendu les gouvernements et les entreprises plus conscients de la
nécessité de défendre les systèmes de contrôle informatisés des services publics et
autres infrastructures critiques. Lorsqu'il s'agit de violations de données, le risque pour le
gouvernement et les entreprises est élevé, depuis les coûts facilement calculables de
notification et de perte d'activité jusqu'aux effets moins tangibles sur la marque d'une
organisation et la fidélité de ses clients. Avec le nombre croissant de vers, de virus, de
vols de propriétés intellectuelles, de pirates informatiques, d'États-nations engagés dans
une guerre de l'information et d'initiés malveillants, combinés à l'environnement
réglementaire explosif du nouveau millénaire, les organisations adoptent le meilleur
modèle d'infrastructures de sécurité pour se protéger. et les clients.
Outre les problèmes de propriété et de conformité, la prévalence et les dommages
causés par les attaques ont atteint des proportions stupéfiantes. Ces attaques
augmentent non seulement en fréquence, mais également en complexité et en gravité.
Le délai d'exploitation des vers et virus les plus sophistiqués d'aujourd'hui est passé
d'années à plusieurs mois, voire quelques jours, et dans certains cas, à quelques heures.
Se défendre contre ces attaques devient de plus en plus difficile en peu de temps. Les
organisations doivent se défendre non seulement contre les attaques externes, mais
aussi contre les attaques internes malveillantes qui visent à voler des données
confidentielles internes, clients et commerciales et à les vendre à des tiers pour leur gain
financier.
Selon une étude récente, les institutions financières sont victimes d’attaques internes. En
outre, de nombreuses entreprises étrangères ne savent même pas que des
cybercriminels les ont attaquées. En outre, les attaques internes deviennent une menace
1
 UNITÉ 1 Introduction à la sécurité de l'information

sérieuse pour les organisations en raison des technologies émergentes telles que le
cloud computing qui fournit l'informatique en tant qu'utilitaire qui a incité les organisations
à stocker leurs données sensibles à distance en s'abonnant au stockage virtuel auprès
du fournisseur de services cloud. Cette mission mettra en évidence comment le Comité
du système de sécurité nationale peut aider à réduire les menaces internes malveillantes
dans l'organisation.
Arrière-plan
D'année en année, l'importance de la sécurité de l'information (InfoSec) et de
l'assurance de l'information (IA) augmente. En 2018, les budgets de sécurité ont reçu
une priorité plus élevée dans le monde qu’en 2017. Les dépenses en matière de sécurité
devraient passer de 101 milliards de dollars en 2017 à 124 milliards de dollars en 2019,
soit une augmentation de 12,4 pour cent par rapport à l'année dernière, selon les
dernières prévisions de Gartner, Inc. En 2019, le marché devrait croître de 8,7 pour cent
à 124 milliards de dollars [1].
Dépenses de sécurité mondiales par segment, 2017-2019 (millions de dollars
américains) **

Portion du Donné Donné Donné

marché es 2017 es 2018 es 2019

Sécurité des
applications 2,434 2,742 3,003

Sécurité du
cloud 185 304 459

Sécurité des
données 2,563 3,063 3,524

Gestion des
accès aux
identités 8,823 9,768 10,578

Protection
des
infrastructure
s 12,583 14,106 15,337

Gestion
intégrée des
risques 3,949 4,347 4,712

Équipement
de sécurité
réseau 10,911 12,427 13,321

Autres 1,832 2,079 2,285

logiciels de

2
 UNITÉ 1 Introduction à la sécurité de l'information

sécurité des
informations

Services de
sécurité 52,315 58,920 64,237

Logiciel de
sécurité
grand public 5,948 6,395 6,661

Total 101,544 114,152 124,116

Source : Gartner (août 2018)

Gartner a identifié les principales tendances affectant les dépenses en matière de
sécurité de l'information en 2018-2019
La définition de l'InfoSec et de l'IA
Les termes InfoSec et IA sont souvent interprétés différemment et sont adoptés à partir
de [2] où ils sont élaborés par l'analyse détaillée. Les définitions d'InfoSec et d'IA dans
cette mission sont décrites ci-dessous (dans tout le texte, toutes les définitions
importantes sont en italique).
1. Sécurité des informations
InfoSec est un domaine d'étude et d'activité professionnelle multidisciplinaire qui
s'intéresse au développement et à la mise en œuvre de contre-mesures de sécurité de
tous types disponibles (techniques, organisationnelles, humaines et juridiques) afin de
conserver l'information dans tous ses emplacements (à l'intérieur et à l'extérieur du
périmètre de l'organisation) et, par conséquent, les systèmes d'information, où
l'information est créée, traitée, stockée, transmise et détruite, à l'abri de menaces[2].
2. Assurance des informations
L'IA est un domaine d'étude et d'activité professionnelle multidisciplinaire qui vise à
protéger l'entreprise en réduisant les risques associés à l'information et aux systèmes
d'information grâce à une gestion complète et systématique des contre-mesures de
sécurité, motivée par l'analyse des risques et la rentabilité [2].
Ici, je fais référence au domaine de connaissances Assurance et sécurité de
l'information (IAS) [2], cela inclut toutes les actions visant à maintenir la sécurité des
informations ainsi que la gestion de ces actions. La sécurité de l'information n'est
désormais plus la seule responsabilité d'un groupe discret de personnes dans
l'entreprise, mais elle relève de la responsabilité de chaque employé, en particulier du
responsable de haut en bas ou de bas en haut.
Qu’est-ce que la sécurité ?
La sécurité est « la qualité ou l’état d’être en sécurité – d’être à l’abri du danger [3] ». en
d’autres termes, il protège les adversaires, les dommages, les vers et les attaques,
intentionnelles ou non – telle est l’objection.
La sécurité est souvent assurée par différents moyens, issus de plusieurs planifications
et stratégies entreprises simultanément ou utilisées en combinaison les unes avec les
3
 UNITÉ 1 Introduction à la sécurité de l'information

autres. Par exemple, la sécurité nationale est un système à plusieurs niveaux qui protège
ses actifs, ses ressources, sa population et la souveraineté d'un État.
Domaines spécialisés de sécurité
Atteindre le niveau de sécurité approprié pour une organisation nécessite également un
système à multiples facettes. Une organisation performante doit disposer des multiples
niveaux de sécurité suivants pour protéger ses opérations :
 Sécurité physique : il s'agit de protéger les éléments physiques, les objets ou les zones
contre tout accès non autorisé et toute utilisation abusive.
 Sécurité personnelle : il s'agit de protéger l'individu ou le groupe d'individus autorisés à
accéder à l'organisation et à ses opérations.
 Sécurité des opérations : Il s'agit de protéger les détails de l'opération ou d'une série
d'activités.
 Sécurité des communications : il s'agit des supports de communication, de la
technologie et du contenu.
 Sécurité du réseau : il s'agit de protéger les composants, les connexions et les
contenus du réseau.
 Sécurité de l'information : il s'agit de la protection des informations et de leurs
éléments critiques (confidentialité, intégrité et disponibilité), y compris les systèmes et le
matériel qui utilisent, stockent et transmettent ces informations grâce à l'application de
politiques, d'éducation, de technologie, de formation et de sensibilisation. programme.
La Commission des systèmes de sécurité nationale (CNSS)
La CNSS définit la sécurité de l'information comme la protection de l'information et de
ses éléments critiques, y compris les systèmes et matériels qui utilisent, stockent et
transmettent ces informations [4]. Le modèle CNSS de sécurité de l'information a évolué
à partir d'un concept développé par l'industrie de la sécurité informatique appelé le
triangle de la CIA. La figure 1-1 montre que la sécurité de l'information comprend de
vastes domaines de gestion de la sécurité de l'information, de sécurité des ordinateurs et
des données, et de sécurité des réseaux.

4
 UNITÉ 1 Introduction à la sécurité de l'information

Figu
re 1-1 Composants de la sécurité des informations

Triade/Triangle de la CIA
Le triangle CIA constitue la norme industrielle en matière de sécurité informatique depuis
le développement du mainframe. Elle repose sur les trois caractéristiques de
l’information qui lui confèrent de la valeur pour l’organisation.

5
 UNITÉ 1 Introduction à la sécurité de l'information

Figure
1.2 Triangle/Triade CI A
Caractéristiques critiques de l'information
Au départ, il s'appuie sur trois caractéristiques majeures de l'information, et il s'est
maintenant étendu à une liste plus complète de caractéristiques critiques de l'information.
 Confidentialité : Un autre terme pour désigner la confidentialité serait la vie privée. Les
politiques de l'entreprise doivent restreindre l'accès aux informations au personnel
autorisé et garantir que seules les personnes autorisées consultent ces données. Les
données peuvent être compartimentées selon le niveau de sécurité ou de sensibilité des
informations. Abuser.
Par exemple, l’opérateur de la machine ne devrait pas avoir accès aux informations
personnelles de tous les employés. De plus, les employés doivent recevoir une formation
pour comprendre les meilleures pratiques en matière de protection des informations
sensibles afin de se protéger ainsi que l'organisation contre les attaques.
La meilleure méthode utilisée ici pour garantir la confidentialité consiste à inclure le
cryptage des données, l'identifiant et le mot de passe du nom d'utilisateur,
l'authentification à deux facteurs et à minimiser l'exposition des informations sensibles.
 Intégrité : l'intégrité est le nom de l'exactitude, de la cohérence et de la fiabilité des
données tout au long de leur cycle de vie. Ici, nous veillons à ce que les données ne

6
 UNITÉ 1 Introduction à la sécurité de l'information

soient pas modifiées pendant le transit et ne soient pas modifiées par des entités non
autorisées.

comment garantir l’intégrité des données ?

 Les autorisations de fichiers et le contrôle d'accès des utilisateurs peuvent empêcher tout
accès non autorisé.
 Le contrôle de version peut être utilisé pour empêcher les modifications accidentelles par
les utilisateurs autorisés.
 La sauvegarde doit être disponible pour restaurer toutes les données corrompues
 Le hachage de la somme de contrôle peut être utilisé pour vérifier l'intégrité des données
pendant le transfert
 Une somme de contrôle est utilisée pour vérifier l'intégrité des fichiers ou des chaînes de
caractères après leur transfert d'un appareil à un autre via votre réseau local ou Internet.

 Par exemple : si vous oubliez votre mot de passe, votre mot de passe ne peut pas être
récupéré à partir de la valeur hachée. Ils doivent être réinitialisés.
 Si vous avez téléchargé un fichier, vous pouvez vérifier son intégrité en vérifiant les
valeurs de hachage de la source avec celles que vous avez générées à l'aide de
n'importe quel calculateur de hachage. En comparant les valeurs de hachage, vous
pouvez vous assurer que le fichier n'a pas été falsifié ou corrompu lors du transfert.
 Disponibilité : caractéristique des informations qui permettent à l'utilisateur d'accéder
aux informations dans un format requis, sans interférence ni obstruction. Un utilisateur
dans cette définition peut être soit une personne, soit un autre système informatique.
 Par exemple, cela inclut la maintenance de l'équipement, l'exécution de réparations
matérielles, la mise à jour des systèmes d'exploitation et des logiciels et la création de
sauvegardes garantissant la disponibilité du réseau et des données pour les utilisateurs
autorisés. Des plans doivent être mis en place pour se remettre rapidement des
catastrophes naturelles ou d’origine humaine. Les équipements ou logiciels de sécurité,
tels que les pare-feu, protègent contre les temps d'arrêt dus à des attaques, telles que le
déni de service (DoS). Un déni de service se produit lorsqu'un attaquant tente de

7
 UNITÉ 1 Introduction à la sécurité de l'information

submerger les ressources, de sorte que les services ne soient pas disponibles pour les
utilisateurs.

Figu
re 1.3 ADS (solution anti-DDoS)
 Confidentialité : les informations collectées, utilisées et stockées par une organisation
doivent être utilisées uniquement aux fins indiquées au propriétaire des données au
moment de leur collecte. Cette définition de la vie privée se concentre effectivement sur
l'absence d'observation, mais signifie plutôt que les informations seront utilisées
uniquement d'une manière connue de la personne qui les fournit.
 Identification : Un système d'information possède la caractéristique d'identification
lorsqu'il reconnaît des utilisateurs individuels. L'identification et l'authentification sont
essentielles pour établir le niveau d'accès ou d'autorisation accordé à un individu.
 Authentification : L'authentification se produit lorsqu'un contrôle apporte la preuve qu'un
utilisateur possède l'identité qu'il revendique. En matière d'informatique, de commerce
électronique et de sécurité de l'information, il est nécessaire de s'assurer que les
données, transactions, communications ou documents (électroniques ou physiques) sont
authentiques ou qu'ils n'ont pas été falsifiés ou fabriqués.
 Autorisation : Une fois l'identité d'un utilisateur authentifiée, un processus appelé
autorisation fournit l'assurance que l'utilisateur (qu'il s'agisse d'une personne ou d'un
ordinateur) a été spécifiquement et explicitement autorisé par l'autorité compétente à
accéder, mettre à jour ou supprimer le contenu des actifs informationnels. . L'utilisateur
peut être une personne ou un ordinateur.
 Responsabilité : La caractéristique de la responsabilité existe lorsqu'un contrôle fournit
l'assurance que chaque activité entreprise peut être attribuée à une personne nommée
ou à un processus automatisé. Par exemple, les journaux d'audit qui suivent l'activité des
utilisateurs sur un système d'information assurent la responsabilité.
 Exactitude : les informations doivent être exactes. Les informations sont exactes
lorsqu’elles sont exemptes d’erreurs ou d’erreurs et qu’elles ont la valeur attendue par
les utilisateurs finaux. Si l'information contient une valeur différente des attentes de
l'utilisateur, en raison de la modification intentionnelle ou non de son contenu, elle n'est
plus exacte.
 Utilité : L'utilité de l'information est la qualité d'avoir de la valeur dans un but final. Si les
informations sont disponibles mais ne sont pas dans un format significatif pour
l’utilisateur final, elles ne sont pas utiles. Par exemple, les données du recensement

8
 UNITÉ 1 Introduction à la sécurité de l'information

américain peuvent être difficiles à interpréter pour un citoyen privé par rapport aux
politiciens. Au politique, cela peut révéler des informations liées à sa prochaine
campagne.
 Possession : la possession de la sécurité de l'information est la qualité ou l'état d'avoir
la propriété ou le contrôle d'un objet ou d'un élément.
Modèle de sécurité NSTISSC
« Comité de sécurité des télécommunications et des systèmes d'information de la
sécurité nationale. » Elle s’appelle désormais Norme nationale de formation pour les
professionnels de la sécurité de l’information. Ce modèle de sécurité est un modèle
complet d'InfoSec connu sous le nom de cube McCumbers créé en 1991, qui porte le
nom d'un développeur, John McComber. Il devient standard de déterminer les
caractéristiques, l’emplacement et la sécurité des informations. Il s'agit d'un modèle
tridimensionnel. Ces trois dimensions sont représentées dans un cube de 27 cellules,
chaque cellule représentant chaque aspect de l'information.
Les cellules qui peuvent être représentées sont les suivantes
 Confidentialité, Intégrité, disponibilité
 Politique, éducation, technologie
 Stockage, Traitement, Transmission
Le cube McCumbers de la figure 1-5 montre trois dimensions, chaque axe devenant un
cube 3x3x3 avec 27 cellules représentant les zones qui doivent être abordées pour
sécuriser les systèmes d'information d'aujourd'hui. Chacun des 27 domaines doit être
correctement abordé pendant le processus de sécurité,
Par exemple
L'intersection entre la technologie, l'intégrité et le stockage nécessite un contrôle
ou une protection qui répond à la nécessité d'utiliser la technologie pour protéger
l'intégrité des informations pendant leur stockage. Un tel contrôle pourrait être un
système de détection d'intrusion sur l'hôte qui protège l'intégrité des informations en
alertant les administrateurs de sécurité de la modification potentielle de fichiers critiques.

9
 UNITÉ 1 Introduction à la sécurité de l'information

Ce qui est généralement laissé de côté dans un tel modèle est le besoin de lignes
directrices et de politiques qui orientent les pratiques et la mise en œuvre des
technologies.
Composants d'un système d'information
– Logiciel – Matériel – Données
– Personnes – Procédures – Réseaux
 Logiciel
Les composants logiciels du système d'information (SI) comprennent des applications,
des systèmes d'exploitation et divers utilitaires de commande. Les logiciels sont les
vaisseaux qui transportent l’essentiel des informations à travers une organisation. Ceux-
ci sont souvent créés sous les contraintes exigeantes de la gestion de projet, qui limitent
le temps, les coûts et la main d’œuvre.
 Matériel
Le matériel est la technologie physique qui exécute le logiciel, stocke et transporte les
données et fournit des interfaces pour la saisie et la suppression des informations du
système. Les politiques de sécurité physique traitent du matériel en tant qu'actif physique
et de la protection de ces actifs physiques contre les dommages ou le vol. L'application
des outils traditionnels de sécurité physique, tels que les serrures et les clés, restreint
l'accès et l'interaction avec les composants matériels de tout système d'information. Il est
important de sécuriser l'emplacement physique des ordinateurs et des ordinateurs eux-
mêmes, car une violation de la sécurité physique peut entraîner une perte d'informations.
Malheureusement, la plupart des systèmes d'information sont construits sur des plates-
formes matérielles qui ne peuvent garantir aucun niveau de sécurité des informations si
un accès illimité au matériel est possible.
 Données

10
 UNITÉ 1 Introduction à la sécurité de l'information

 Les données stockées, traitées et transmises via un système informatique doivent être
protégées
 Les données constituent souvent l’actif le plus précieux d’une organisation et constituent
la principale cible des attaques intentionnelles.
 Faits et chiffres bruts, non organisés et isolés, potentiellement utiles, qui sont ensuite
traités et manipulés pour produire des informations.
 Personnes
Il existe de nombreux rôles pour les personnes dans les systèmes d’information. les plus
courants incluent
 Analyste de système
 Programmeur
 Technicien
 Ingénieur
 Gestionnaire de réseau
 MIS (Manager des Systèmes d'Information)
 Opérateur de saisie de données
 Procédure
Une procédure est une série d’actions documentées entreprises pour réaliser quelque
chose. Une procédure est plus qu’une simple tâche. Une procédure peut être assez
complexe et impliquée, comme effectuer une sauvegarde, arrêter un système, appliquer
des correctifs à un logiciel.
 Réseaux
 Lorsque les systèmes d’information sont connectés pour former des réseaux locaux
(LAN) et que ces réseaux locaux sont connectés à d’autres réseaux tels qu’Internet, de
nouveaux défis de sécurité apparaissent rapidement.
 Les mesures visant à assurer la sécurité du réseau sont essentielles, tout comme la mise
en œuvre du système d'alarme et d'intrusion pour sensibiliser les propriétaires de
systèmes aux compromissions en cours.
Sécurisation des composants
Protéger les composants contre une utilisation abusive potentielle par des utilisateurs
non autorisés, lorsque l'ordinateur est utilisé comme outil actif pour mener l'attaque ou
que l'ordinateur lui-même est l'entité attaquée.
Il existe deux types d'attaques
 Attaque directe : lorsqu'un pirate informatique utilise son ordinateur personnel pour
pénétrer dans des systèmes.
 Attaque indirecte : lorsqu'un système est compromis et utilisé pour attaquer un autre
système.

11
 UNITÉ 1 Introduction à la sécurité de l'information

Un ordinateur peut donc être à la fois le sujet et l'objet d'une attaque. Par exemple, si un
système distant attaque le système, puis le système est compromis, puis utilise ce
système pour attaquer un autre système, auquel cas il devient le plus vulnérable. objet
d'une attaque,
Équilibrer la sécurité et l’accès à l’information
 La sécurité de l'information ne peut pas être absolue : elle est un traitement et non un
objectif
 Doit fournir la sécurité et est également possible d'accéder aux informations pour son
application
 Doit équilibrer la protection et la disponibilité.
Approches de mise en œuvre de l’information
 Une approche en profondeur
 Approche descendante
 Sa probabilité de succès est plus élevée.
 Le projet est initié par des gestionnaires de niveau supérieur qui émettent des politiques,
des procédures et des processus.
 Dictez les objectifs et les résultats attendus du projet.
 Déterminez qui est approprié pour chacune des actions requises.
Méthodologie de la cascade SDLC
SDLC – est une méthodologie pour la conception et la mise en œuvre d’un système
d’information dans une organisation.
 Une méthodologie est une approche formelle pour résoudre un problème basée sur une
séquence structurée de procédures.
 SDLC se compose de 6 phases.

12
 UNITÉ 1 Introduction à la sécurité de l'information

Enquête : C'est la phase la plus importante et elle commence par un examen de l'événement
ou du plan qui initie le processus. Au cours de la phase, les objectifs, les contraintes et la
portée du projet sont précisés. À la fin de cette phase, une analyse de faisabilité est réalisée,
qui évalue les faisabilités économiques, techniques et comportementales du processus et
garantit que la mise en œuvre vaut le temps et les efforts de l'organisation.
Analyse : elle commence par les informations obtenues au cours de la phase d'enquête. Il
s'agit de la qualité de l'organisation, de l'état des systèmes actuels et de la capacité à prendre
en charge les systèmes proposés. Les analystes commencent par déterminer ce que le
nouveau système est censé faire et comment il interagira avec les systèmes existants.
Conception logique : dans cette phase, les informations obtenues lors de la phase d'analyse
sont utilisées pour commencer à créer une solution système pour le problème commercial. En
fonction des besoins de l'entreprise, les applications sont sélectionnées pour fournir les
services nécessaires. En fonction des applications nécessaires, un support de données et des
structures capables de fournir les entrées nécessaires sont ensuite choisis. Au cours de cette
phase, les analystes génèrent plusieurs solutions alternatives, chacune avec ses forces et ses
faiblesses, ainsi que ses coûts et ses avantages. A la fin de cette phase, une autre analyse de
faisabilité est réalisée.
Conception physique : dans cette phase, des technologies spécifiques sont sélectionnées
pour prendre en charge les solutions développées dans la conception logique. Les
composants sélectionnés sont évalués sur la base d'une décision de fabrication ou d'achat. La
conception finale intègre divers composants et technologies.
Mise en œuvre : dans cette phase, tout logiciel nécessaire est créé. Les composants sont
commandés, reçus et testés ensuite ; les utilisateurs sont formés et une documentation
justificative est créée. Une fois que tous les composants sont testés individuellement, ils sont
installés et testés en tant que système. Encore une fois, une analyse de faisabilité est
préparée, et les sponsors se voient ensuite présenter le système pour une évaluation des
performances et un test d'acceptation.
Maintenance et changement : C’est la phase la plus longue et la plus coûteuse du
processus. Il comprend les tâches nécessaires pour prendre en charge et modifier le système
13
 UNITÉ 1 Introduction à la sécurité de l'information

pour le reste de son cycle de vie utile. Périodiquement, le système est testé pour vérifier sa
conformité aux besoins de l'entreprise. Les mises à niveau, les mises à jour et les correctifs
sont gérés. À mesure que les besoins de l’organisation évoluent, les systèmes qui la
soutiennent doivent également changer. Lorsqu'un système actuel ne peut plus prendre en
charge l'organisation, le projet est terminé et un nouveau projet est mis en œuvre.
Les professionnels de la sécurité et l'organisation
 Le bureau principal de l'information (CIO) de la haute direction est responsable de
l'évaluation, de la gestion et de la mise en œuvre de la sécurité de l'information dans
l'organisation.
 Équipe de projet sur la sécurité de l'information
 Champion : ils font la promotion du projet pour assurer son soutien, tant sur le
plan financier qu'administratif.
 Chef d’équipe : ils comprennent les exigences techniques en matière de gestion
de projet, de gestion du personnel et de sécurité de l’information.
 Développeurs de politiques de sécurité : personnes qui comprennent la culture
organisationnelle, les politiques existantes et les exigences pour élaborer et
mettre en œuvre des politiques efficaces.
 Spécialistes de l'évaluation des risques : ce sont les personnes qui comprennent
les techniques d'évaluation des risques financiers, la valeur des actifs de
l'organisation et la méthode de sécurité à utiliser.
 Professionnels de la sécurité : ils doivent être des spécialistes dévoués, formés
et bien formés dans tous les aspects de la sécurité de l'information, tant d'un
point de vue technique.
 Administrateurs système : ils administrent les systèmes qui hébergent les
informations utilisées par l'organisation.

 Propriétaires des données : ils sont responsables de la sécurité et de l’utilisation d’un

ensemble d’informations. Ils sont également chargés de déterminer le niveau de
classification des données. Ils travaillent avec des gestionnaires subordonnés pour
superviser l'administration quotidienne des données.

14
 UNITÉ 1 Introduction à la sécurité de l'information

 Dépositaires de données : ils sont responsables du stockage, de la maintenance et de

la protection des informations. Ils doivent superviser le stockage et les sauvegardes des
données, en mettant en œuvre les procédures et politiques spécifiques.
 Utilisateurs de données : ils travaillent avec les informations pour effectuer leur travail
quotidien en soutenant la mission de l'organisation. Tout le monde dans l'organisation est
responsable de la sécurité des données, c'est pourquoi les utilisateurs de données sont
inclus ici en tant qu'individus ayant un rôle dans la sécurité des informations.
Modèle CNSS pour la sécurité universitaire
Les objectifs de base du modèle CNSS/NSTISSC sont de sécuriser les données de 3
manières probables :
 Utiliser les services de sécurité
 Gestion des états d'information
 Définition de contre-mesures de sécurité

1. Politique de confidentialité et stockage : dans ce processus, l'Université dispose de

certaines politiques et lignes directrices pour les étudiants et le personnel inscrits. Toutes
les données pertinentes associées restent confidentielles et accessibles uniquement au
personnel autorisé, et une solution de stockage sécurisée est fournie par l'Université
pour protéger ses données et celles des étudiants.
2. Politique de confidentialité et traitement : dans ce processus, une personne autorisée est
désignée pour traiter les données chaque fois que cela est nécessaire. Cette personne
doit maintenir la confidentialité des données et travailler selon les politiques de
l'université. L'exemple que je peux donner ici est le suivant : je soumets ce devoir par
voie électronique à mon professeur uniquement.

15
 UNITÉ 1 Introduction à la sécurité de l'information

3. Politique de confidentialité et transmission : dans ce processus, il ne suffit pas de garder

les données confidentielles et de travailler selon des politiques personnelles, car un
support sécurisé est requis pour la transmission de ces données lorsqu'un utilisateur
demande à y accéder. L'université est tenue de prendre toutes les mesures nécessaires
pour sécuriser une transmission.
4. Confidentialité-Éducation et stockage : seul un étudiant inscrit dans une matière doit
obtenir le matériel pédagogique de la matière inscrite. Autrement dit, l'utilisation des
données pédagogiques et le stockage du matériel ne doivent pas rester confidentiels
pour les étudiants eux-mêmes.
5. Confidentialité-Éducation et traitement : le conférencier doit mettre à jour les diapositives
ou le matériel pédagogique, mettre à jour en permanence tout nouveau matériel et
l'envoyer aux étudiants inscrits dans la matière.
6. Confidentialité – Éducation et transmission : les données et informations relatives au
sujet doivent être sécurisées en appliquant une série de mesures, telles que seuls les
étudiants inscrits assistent aux cours, car l'échange de cartes n'ouvrira que les portes
des salles de conférence.
7. Confidentialité-Technologie et stockage : utilisation d'un système de base de données
pour stocker et transférer les données uniquement aux étudiants qui doivent les utiliser.
8. Confidentialité-Technologie et traitement : Un système de traitement avancé car la
vitesse de texte collecte les données et les stocke dans la base de données universitaire.
Cette méthode préserve la confidentialité car le système intègre automatiquement les
données d'un formulaire à un autre.
9. Confidentialité-Technologie et transmission : L'utilisation de la fibre optique pour
transférer des données entre terminaux réduit les risques de vol ou de corruption des
données. De la même manière, l'utilisation de la cryptographie lors de la transmission
garantit la sécurité des données.
10. Politique d'intégrité et stockage : les données doivent être téléchargées au format
électronique. Le professeur et le personnel de l'université doivent vérifier que les fichiers
ne sont pas corrompus ou endommagés. La politique de téléchargement de fichiers doit
être maintenue.
11. Politique d'intégrité et traitement : le traitement doit être effectué par une personne
consciente des politiques de l'université et suffisamment compétente pour ne pas
commettre d'erreurs dans les données lors du traitement.
12. Politique d'intégrité et transmission : les données électroniques correctes sont
accessibles aux étudiants à la fois en utilisant des méthodes filaires ou sans fil.
13. Intégrité-Éducation et stockage : le cours fournit des données à jour sur la base de
données universitaire afin que les étudiants puissent les utiliser sans aucune erreur sur
les informations qu'ils obtiennent.

16
 UNITÉ 1 Introduction à la sécurité de l'information

14. Intégrité-Éducation et traitement : Les données et le matériel pédagogiques pendant le

traitement ne doivent pas être modifiés ni vérifiés avant de finaliser le téléchargement sur
le système.
15. Intégrité-Éducation-Transmission : seules les données précises et utiles doivent être
téléchargées dans la base de données des étudiants, car aucune donnée incorrecte ne
pose de problème à l'université.
16. Intégrité-Technologie et stockage : les documents liés à un sujet particulier sont stockés
dans le système de base de données de l'université après avoir été vérifiés et vérifiés
comme étant corrects et utiles aux étudiants.
17. Intégrité-Technologie et traitement : Certains systèmes ou logiciels sont utilisés pour
vérifier l'authenticité des données téléchargées.
18. Intégrité-Technologie et transmission : les données sur le réseau universitaire doivent
être correctes et disponibles seulement après avoir finalisé leur intégrité d'utilisation.
19. Politique de disponibilité et stockage : les étudiants universitaires doivent obtenir les
données à tout moment à partir de la base de données universitaire. Les données
doivent être conformes à toutes les règles et politiques établies par l'université.
20. Disponibilité – Politique et traitement : Les données sur le système universitaire devraient
pouvoir être modifiées par une personne responsable chaque fois que des problèmes
sont détectés dans les données disponibles.
21. Politique de disponibilité et transmission : les modifications apportées aux données par le
professeur sur son sujet doivent être immédiatement disponibles pour être utilisées par
les étudiants et ne doivent enfreindre aucune règle ni politique.
22. Disponibilité-Éducation et stockage : Le matériel stocké dans la base de données
universitaire doit être mis à jour et prêt à être utilisé par un étudiant à tout moment.
23. Disponibilité – Formation et traitement : si des modifications doivent être apportées aux
diapositives du cours ou aux données. Le personnel autorisé doit y accéder et être prêt à
être utilisé.
24. Disponibilité-Éducation et transmission : des données toujours prêtes à être utilisées
doivent être dans le système afin que les étudiants puissent les utiliser et les télécharger
à tout moment.
25. Disponibilité - Technologie et stockage : tous les documents nécessaires liés au
stockage des étudiants dans le système de base de données de l'université après avoir
été vérifiés et vérifiés comme étant corrects, afin que l'étudiant puisse les utiliser et les
télécharger parfaitement.
26. Disponibilité – Technologie et traitement : Les données sur le système universitaire
doivent être disponibles pour être éditées par une personne responsable chaque fois
qu'un problème est détecté sur les données disponibles.

17
 UNITÉ 1 Introduction à la sécurité de l'information

27. Disponibilité – Technologie et transmission : Tous les documents nécessaires doivent

être accessibles aux étudiants et aux enseignants pour qu'ils puissent les télécharger ou
les modifier en fonction des privilèges à tout moment.

18