Par Julien
Mise à jour le 27-09-2010
Télécharger ce document
→ Téléchargement disponible après inscription
10,00/20
2 Avis > Donne ton avis
2705 téléchargements
La sécurité de l'informatique pose un problème d'un ordre nouveau et que le simple ajout d'une serrure ne saurait résoudre.
> Voir également tous les cours d'informatique.
> Retrouvez également une fiche métier Ingénieur en informatique.
Plan du document :
Chapitre 1 : Revue de l'organisation générale de la sécurité informatique
Chapitre 2 : Analyse générale du risque
Chapitre 3 : Evaluation de la sécurité physique
Chapitre 4 : Evaluation de la sécurité des données et des traitements informatiques
Chapitre 5 : Examen des dispositifs de protection contre les risques et attaques venus du réseau
Chapitre 6 : Méthodologie et outils de l'auditeur informatique
Chapitre 7 : Normes et législation sur la sécurité informatique
Procéder à l'évaluation de l'organisation générale mise en oeuvre pour assurer la sécurité du système informatique.
Aspects à passer sous revue :
• Politique générale et plan de sécurité
• Management et pilotage de la sécurité
• Charte de sécurité
• Procédures de gestion opérationnelle de la sécurité
• Sensibilisation et formation du personnel à la sécurité informatique
Une politique de sécurité est un ensemble de règles qui fixent les actions autorisées et interdites dans le domaine de la sécurité.
Plan de sécurité :
> Schéma directeur sécurité
> Plan opérationnel de sécurité
> Schéma directeur sécurité
Classification des ressources et leur niveau d'indisponibilité admise, qui est un préalable incontournable à l'appréciation de la gravité des risques.
Classifications des risques et mesure de leurs impacts sur l'entreprise
→ Cette partie est entièrement disponible sur le document à télécharger gratuitement
Procéder aux analyses des différents scénarios de risques auxquels l'entreprise peut être exposés, avec la présentation pour chaque risque des aspects suivant :
• description : nature, origine, cible, matérialité (sinistre),
• analyse de sa potentialité
• analyse de ses impacts
Les analyses sont faites, en particulier par l'appréciation des différents services de sécurité mis en place dans l'entreprise.
Les risques informatiques proviennent du caractère imprévisible des éléments qui se rattachent à l'environnement et aux personnes. Il demeure essentiel de protéger adéquatement toutes ses ressources informatiques contre tout incident de nature accidentelle ou intentionnelle qui pourrait éventuellement occasionner des pertes ou des dommages considérables pour l'entreprise.
• Le risque exprime le fait qu'une entité, action ou événement, puisse être empêché de maintenir une situation ou d'atteindre un objectif dans les conditions fixées, ou de satisfaire à une finalité programmée, ceci à cause d'une action adverse. Une menace représente un risque à l'état latent.
• La capacité pour l'événement adverse de se produire se traduit par la notion de potentialité du risque
• L'importance des conséquences du risque se traduit par la notion d'impact du risque
• Potentialité et impact, caractérisent le risque et détermine sa gravité
• La gravité du risque exprime la potentialité qu'il a de se réaliser et l'importance de ses conséquences.
→ Cette partie est entièrement disponible sur le document à télécharger gratuitement
Absence de personnel : Départ de personnel stratégique
Absence de personnel : Disparition de personnel stratégique
Accident ou panne grave rendant une ressource H.S :
• Accident de nature électrique (court-circuit)
• Panne de matériel informatique (serveur, réseau LAN ou WAN, imprimante, etc)
Impossibilité de maintenance :
• Défaillance matérielle non couverte par la maintenance : indisponibilité du prestataire
• Arrêt de maintenance de logiciel, par disparition de SSII ou du fournisseur
→ Cette partie est entièrement disponible sur le document à télécharger gratuitement
Evaluer les dispositifs mis en oeuvre pour assurer la sécurité de l'environnement physique :
• Protection de l'accès physique à l'environnement informatique
• Protection et contrôle de l'accès physique aux lieux de stockage des bandes (ou cartouches) magnétiques
• Couverture des risques par un contrat d'assurance
Les contrats d'assurances contre les risques informatiques peuvent être ventilés en :
• des contrats «tous risques informatiques (TRI) qui recouvrent selon les garanties, tout au partie des dommages liés à des événements accidentels,
• des contrats «extension aux risques informatiques » (ERI) qui couvrent, selon les garanties tout ou partie des dommages liés à une utilisation non autorisée des systèmes informatiques (actes frauduleux ou malveillants),
• des contrats de type « globale informatique » qui cumulent les couvertures liées aux deux types de risques précédents
→ Cette partie est entièrement disponible sur le document à télécharger gratuitement
→ Cette partie est entièrement disponible sur le document à télécharger gratuitement
Evaluer l'organisation générale, les mesures et les dispositifs mis en oeuvre pour assurer la protection des systèmes informatiques contre les risques et attaques venus du réseau :
• Prévention des risques
• Détection des intrusions
• Réactions (ripostes) face aux attaques
• Test de vulnérabilité des dispositifs mis en place
• Mise à jour et renforcement régulier des dispositifs mis en place
Il y a plusieurs manières pour un ordinateur de se mettre en liaison avec d'autres :
• un ordinateur isolé n'a pas de liason fixe avec d'autres machines. L'échange de données ne peut se faire qu’à l’aide de supports amovibles, disquettes, CD-ROM, disques durs amovibles, etc
• Un ordinateur en réseau d’entreprise (LAN, MAN, WAN) est en contact permanent avec un groupe déterminé d’autres ordinateurs, dans un réseau d’entreprise.
• Un ordinateur en réseau global (Internet) est en connexion permanente ou temporaire avec l’immense parc d’ordinateurs mondial
→ Cette partie est entièrement disponible sur le document à télécharger gratuitement
> Analyse de la sensibilité des sous-réseaux ?
• Définition de domaines de sensibilité différente (domaines d'activité, domaines réservés, extra net, etc) par segment du réseau.
• Classification de ces domaines selon plusieurs critères (Disponibilité, Intégrité et Confidentialité, etc)
→ Cette partie est entièrement disponible sur le document à télécharger gratuitement
→ Cette partie est entièrement disponible sur le document à télécharger gratuitement
CRIMINALITES INFORMATIQUES
La criminalité informatique n'est plus du domaine des simples cyberpirates à la recherche de célébrité. Selon des experts, les pirates informatiques d'aujourd'hui sont beaucoup plus sophistiqués et cherchent davantage à s'enrichir avec leur savoir. Un rapport publié mardi par la firme de logiciels antivirus McAfee conclut que les criminels informatiques sont maintenant bien plus intéressés par les transactions bancaires, qui sont à la hausse sur Internet. «Les voleurs veulent toujours plus d'argent», explique James Lewis, auteur du rapport et directeur du Programme de technologie et de politique publique au Centre for Strategic and International Studies à Washington. Il y a cinq ans, les grandes entreprises craignaient surtout les jeunes pirates informatiques et les dommages qu'ils pouvaient causer sur leur site Internet simplement par désir de célébrité. Mais depuis, plusieurs de ces casseurs ont réalisé qu'ils pouvaient s'enrichir en monnayant leur savoir. «Ce sont véritablement des mercenaires», affirme Jimmy Kuo, un employé de McAfee qui fait partie de l'équipe chargée de développer les logiciels antivirus de la société. Ainsi, lorsqu'ils ont une commande de la part d'une organisation criminelle, ils peuvent créer un virus capable d'infecter un millier d'ordinateurs, lesquels deviennent des zombies, parce qu'ils agissent sans la surveillance du pirate. Et souvent, les propriétaires de ces ordinateurs ne savent même pas que leur appareil sert désormais à des fins criminelles. Selon le rapport, certains pirates demandent jusqu'à 300 $ de l'heure pour louer leur réseau d'ordinateurs zombies.
→ Cette partie est entièrement disponible sur le document à télécharger gratuitement
.
Télécharger ce document
Ecole d'ingénieur post-bac fondée en 1936 et habilitée par la Cti depuis 1957, l'Efrei compte 7 000 diplômés et accueille près de 1200 élèves chaque année.
L’EPF est une école d’ingénieurs généralistes post-bac qui propose une formation d’ingénieurs généralistes, 2 formations binationales et une formation par apprentissage, toutes habilitées par la CTI.
www.epf.fr/
Les campus EXIA.CESI se trouvent dans 13 villes de France. On peut y suivre des formations de 5 ans sanctionnées par des diplômes homologués par l'Etat.
Epitech est reconnue être l’une des meilleures écoles pour transformer une passion pour l’informatique en une expertise qui débouche sur des emplois à fort potentiel comparable à celui des Grandes Ecoles traditionnelles.
PIGIER, c'est un des plus grand réseaux d'écoles privées d'écoles techniques en France. De nombreuses formations sont disponibles dans toutes les grandes villes de France.
Questions / Réponses
EN DIRECT DES FORUMS
16777655 messages 16778230 réponses
