MISSION : Innover et Contrôler

 

Sécurité des systèmes d'information

 

Objectifs du cours

  • Le cours a pour vocation d'apporter les connaissances utiles pour disposer d'une gestion cohérente de la sécurité. Il présente les fondements de la sécurité des SI dans son cadre global actuel et propose une démarche stratégique et pratique, afin de permettre à l'auditeur de maîtriser les risques, y compris en situation de crise.
  • La sécurité y sera abordée en tant que moyen stratégique, mais également comme un système arbitré de compromis, en fonction des opportunités et des menaces à l'endroit des SI.
  • Les dimensions humaines et organisationnelles seront intégrées à la technologie : informatique et réseaux, au vu des échanges électroniques, notamment sur l'Internet, avec leurs conséquences, y compris judiciaires.
  • L'exposé sera illustré par des cas réels issus de l'expérience de l'intervenant. Il sera autant interactif que possible, en recherchant les points d'intérêt des auditeurs de cette promotion pour provoquer le questionnement et rester proche des préoccupations.

 

Problématique

Fondements et contexte de la sécurité des SI

  • Introduction à la sécurité des systèmes d'information et définitions
  • Menaces à l'égard des systèmes d'information
  • Criminalité informatique, éthique et obligations légales et réglementaires
  • Accentuation liée à l'ouverture, à la dissémination et au contexte international

Politique et orientation de la sécurité des SI

  • Rôle et engagement de la direction générale
  • Principes et axes de la politique de sécurité interne
  • Déficits au vu d'une crise et éléments générateurs
  • Environnement sécuritaire rencontré, ressources et enjeux du SI

Diagnostic et audit de le sécurité des SI

  • Vulnérabilités, analyse et gestion méthodique des risques
  • Orientation de l'approche de la sécurité
  • Méthodes d'audit de la sécurité des SI : MARION, MELISA, générique, etc.
  • Normes et standards et rôles

Mise en oeuvre de le sécurité des SI

  • Organisation et développement de la sécurité et approche des situations de crise : PRA
  • Accès sécurisé aux services Internet : architecture, dispositifs, configuration, etc.
  • Gestion de la sécurité fondée sur les standards internationaux : ITSEC, ISO 15408, etc.
  • Besoins en matière d'infrastructure cryptographique : PKI, certification, etc.

Conclusion prospective et discussion

 

 

Bibliographie

Ouvrages de référence :

  • Bollowin S..M., Cheswick W.R. (1995) : Firewalls et sécurité Internet, Addison-Welsey France
  • CCITS (1998) : Common criteria for information technology security evaluation, NIST/NSA, ISO 15408
  • Guinier D. (1995) : Catastophe et management, Masson
  • IFACI (1992) : SAC report - Version française (IIA)
  • ISO/CEN (1998) : Critères communs de la sécurité des SI (CC v2.0), norme ISO 15408
  • Josas J.L. et al. (1994) : Le risque informatique, Editions d'Organisation
  • Lamère J-M (1985) : Méthode MARION : La sécurité informatique, approche méthodologique, Dunod informatique

Quelques publications de l'intervenant (Daniel Guinier) :

  • Guinier D. (2004) : La sécurité des tableaux de bord, in Tableaux de bord, pour diriger dans un contexte incertain, pp.243-257, Editions d'Organisation
  • Guinier D. (2003) : Ingénierie du plan de reprise d'activité - Spécification rationnelle du PRA et approche par composants et rôles.15th Annual Canadian IT Security Symposium, Ottawa, 12-15 mai
  • Guinier D. (2002) : Sécurité et cybercriminalité, in Systèmes d'information Art et pratiques, pp. 345-356, Editions d'Organisation
  • Guinier D. (2001) : Collecte et gestion des traces et investigation légale - Cas de modifications frauduleuses de données. EUROSEC' 2001, 12ème Forum sur la Sécurité des SI, CNIT, Paris, 13-15 mars
  • Guinier D. (2000) : Requirements for a trustworthy signature and law suited to electronic documents and transactions. 12th Annual Canadian IT Security Symposium, Ottawa, 19-23 juin, pp. 21-38
  • Guinier D. (1998) : De la délinquance financière à la délinquance informatique - Quelle protection contre les attaques et les délits informatiques ? EFE, en partenariat avec la revue Banque, sur le blanchiment, la fraude et la délinquance financière, 23-25 juin, Paris, pp. 1-10
  • Guinier D. (1996) : Audit et Informatique - approche méthodique pour intégrer la sécurité des systèmes d'information. IFACI, la Revue Française de l'Audit Interne, No. 129, avril, pp. 13-16
  • Guinier D. (1995) : Development of a specific criminology dedicated to information technologies - In relationship with computers, networks and information highways, 7th Annual Canadian Information Technology Security Symposium, Ottawa, 16-19 mai 1995, pp. 21-45
  • Guinier D. (1995) : Catastrophe et management - Plans d'urgence et continuité des systèmes d'information, Ed. Masson, pp.1-323
  • Guinier D. (1991) : Sécurité et qualité des systèmes d'information - Approche systémique, Ed. Masson, pp.1-300, (Epuisé)

 

Retour à l'accueil du site de l'IMI