Module_01_Ch_06_Sécurité des Systèmes d'Information

Questions and Answers

Quelle est la principale raison pour laquelle les données sont importantes pour les organisations ?

• Pour le stockage d'informations
• Pour les décisions opérationnelles et stratégiques (correct)
• Pour maintenir la sécurité physique
• Pour le divertissement

La politique de sécurité ne concerne que les aspects technologiques.

False (B)

Quel type de sécurité doit être mis en œuvre par chaque acteur au sein du système d'information ?

Sécurité informatique (physique et logique)

La sécurisation du système dʼinformation est un enjeu de premier _____

plan

Associez les dimensions de la politique de sécurité à leur description :

Humaine = Règles de sécurité au niveau des utilisateurs Organisationnelle = Structuration des processus de sécurité Technologique = Mise en place d'outils sécurisés Physique = Protection de l'infrastructure matérielle

Quels sont les deux aspects principaux de la sécurité informatique mentionnés ?

Sécurité physique et logique (A)

Chaque acteur au sein du système d'information est exempt des règles de base de la sécurité informatique.

False (B)

Quels types de processus sont mentionnés comme éléments à modéliser dans le cadre du système d'information ?

Modélisation des processus

Pourquoi est-il important de sécuriser un système d'information (SI) ?

Les malveillances peuvent causer des destructions (D)

Le RGPD impose des obligations de sécurité sur les systèmes d'information des entreprises.

True (A)

Quels paramètres représentent les critères de la sécurité d'un SI ?

Disponibilité, intégrité, confidentialité, non-répudiation, imputabilité, traçabilité (B)

Quel est le rôle principal du RSSI ?

Mise en œuvre de la politique de sécurité (B)

Le RSSI est toujours rattaché à la Direction des Systèmes Informatiques (DSI).

False (B)

Quel terme décrit la capacité de reconstituer le flux d'une donnée ou d'un traitement ?

la traçabilité

Quel outil peut assurer la non-répudiation d'une transaction ?

Un certificat numérique (B)

Quelles sont les deux types de plans que le RSSI doit vérifier en relation avec la direction générale ?

Plans de Reprise d'Activité (PRA) et Plans de Continuité d'Activité (PCA)

Le RSSI doit favoriser lʼalerte du personnel auprès de lui en cas de comportements non __________.

appropriés

Un risque est mesuré selon sa ________, qui est liée à la probabilité et à la gravité de l'événement.

criticité

Quelle action le RSSI ne doit pas permettre au personnel ?

Désactiver les mécanismes de sécurité (C)

Associez les éléments suivants avec leurs significations :

Confidentialité = Protéger les informations sensibles Intégrité = Assurer que les données ne sont pas altérées Disponibilité = Garantir l'accès aux informations quand cela est nécessaire Traçabilité = Suivre l'historique des opérations

Associez chaque action du RSSI à sa description correspondante :

Informer = Sensibilisation aux risques Interdire = Désactivation des mécanismes de sécurité Favoriser = Alerte du personnel Élaborer = Charte d'utilisation

Le RSSI doit veiller à l'importance des investissements en sécurité.

True (A)

Le RSSI doit diffuser les _______ pratiques de protection du patrimoine informationnel.

bonnes

Quel est le rôle principal de l'utilisateur dans la sécurité du système d'information (SI) ?

Connaître les enjeux de la sécurité du SI (A)

Posséder un mot de passe complexe garantit toujours la sécurité du système d'information.

False (B)

Quels types d'attaques sollicitent des leviers psychologiques ?

Social engineering et phishing

L'utilisateur doit connaître la __________ pour assurer un bon niveau de sécurité.

charte informatique

Associez chaque acteur aux responsabilités correspondantes dans la sécurité du SI :

Utilisateur = Connaître les enjeux de la sécurité RSSI = Responsable de la sécurité des systèmes Services RH = Garantir l'accessibilité de la charte informatique ANSSI = Promouvoir la sécurité numérique

Quelle est une des bonnes pratiques informatiques recommandées par l'ANSSI ?

Sécuriser son informatique personnelle (B)

L'accessibilité de la charte informatique doit être garantie uniquement lors de l'embauche.

False (B)

Quelle compétence est essentielle pour un utilisateur afin de contribuer à la sécurité du SI ?

Développer des compétences numériques

Quel est l'un des principaux avantages d'un cloud privé par rapport à un cloud public ?

Sécurité et confidentialité supérieures (A)

Le cloud privé ne nécessite aucune gestion ou maintenance de la part du service informatique.

False (B)

Quelle méthode de sauvegarde ne conserve que les données modifiées depuis la dernière sauvegarde complète ?

sauvegarde différentielle

Le ________ dupliquer automatiquement et en temps réel les contenus écrits sur les postes au sein d'un support distinct.

disk mirroring

Qu'est-ce que la solution RAID 1 garantit ?

Continuité des activités lors d’une défaillance d'un disque (D)

Le disk mirroring est un mécanisme de redondance pour la sauvegarde des données.

True (A)

Quelle méthode de sauvegarde est considérée comme la plus longue et coûteuse ?

sauvegarde complète

Associez les types de sauvegarde aux descriptions appropriées :

Sauvegarde complète = Copie de toutes les données Sauvegarde différentielle = Conserve les données modifiées depuis la dernière sauvegarde complète Sauvegarde incrémentale = Conserve les données modifiées depuis la dernière sauvegarde, quelle que soit la méthode Disk mirroring = Duplique automatiquement et en temps réel les données

La sauvegarde incrémentale conserve toutes les données depuis la dernière sauvegarde complète.

False (B)

Qu'est-ce qu'un cloud privé ?

Un cloud d'entreprise (A)

Quelle est la différence principale entre le PCA et le PRA ?

Le PCA organise la poursuite des activités sans interruption, tandis que le PRA concerne le redémarrage après un accident.

Le cloud privé offre un niveau de sécurité et de ______ supérieur au cloud public.

confidentialité

Quel énoncé est vrai concernant le cloud privé ?

Il offre les mêmes dépenses en gestion qu'un datacenter traditionnel. (C)

Le PCA vise à organiser la poursuite des activités sans interruption en cas d'incident.

True (A)

Le PCA utilise un système de ______ pour continuer les processus vitaux of l'entreprise.

miroir

Associez les termes aux descriptions correspondantes :

PCA = Poursuite des activités sans interruption PRA = Redémarrage après accident Cloud privé = Cloud avec sécurité accrue Cloud public = Moins sécurisé que le cloud privé

Flashcards

Importance des données

Les données sont essentielles à la bonne marche des organisations. Elles servent à la fois à gérer les processus opérationnels et à prendre des décisions stratégiques.

Sécurité du SI : enjeu majeur

La protection du système d'information est primordiale pour garantir la sécurité des données et la continuité des activités de l'organisation.

Responsabilité individuelle : rôle de chaque acteur

Chaque personne utilisant le système d'information doit connaître et appliquer les règles de base de la sécurité informatique pour prévenir les risques.

Sécurité informatique : physique et logique

La sécurité informatique englobe des aspects physiques et logiques. Elle concerne la protection de l'infrastructure (physique) et la gestion des accès et des données (logique).

Politique de sécurité : approche globale

La politique de sécurité définit les règles et les procédures pour garantir la sécurité du système d'information. Elle couvre les aspects humains, organisationnels et technologiques.

Apprentissage continu : ressources supplémentaires

La sécurité du SI est un domaine complexe qui requiert des connaissances approfondies. Vous pouvez trouver des ressources supplémentaires sur les cours dédiés à la sécurité informatique.

Objectif du cours : vision managériale

Le cours vise à fournir une introduction aux concepts essentiels de la sécurité informatique et à donner une perspective managériale du SI.

Module 2 : hors sujet

Le module 2 sur la conception du SI ne sera pas abordé dans ce cours car il n'est pas directement lié au management des SI dans l'UE DSCG 5.

Traçabilité

La capacité à reconstituer l'historique d'une donnée ou d'un processus en associant des actions à des identités.

Non-répudiation

Le fait de garantir qu'une action ne peut pas être niée par son auteur.

Disponibilité

La garantie que les informations et systèmes restent disponibles et accessibles quand nécessaire.

Intégrité

La protection contre des modifications non autorisées des données et systèmes.

Confidentialité

La protection des informations sensibles contre l'accès non autorisé.

Moteur de workflow

Une méthodologie pour automatiser et gérer les processus métier.

Criticité

La mesure du risque pour un système d'information.

Risque

Un événement potentiellement dangereux pour un système d'information.

Qui est le RSSI ?

Le Responsable de la Sécurité des Systèmes dʼInformation (RSSI) est une figure clé dans la sécurité d'une organisation. Il est chargé de mettre en œuvre la politique de sécurité et de garantir la protection des données et des systèmes informatiques.

Où est positionné le RSSI ?

Le RSSI peut être rattaché à la direction générale, à la direction de lʼaudit interne ou à la Direction des Systèmes Informatiques (DSI), en fonction de la taille et de l'organisation de l'entreprise.

Quel est le rôle du RSSI ?

Le RSSI doit être à l'écoute des menaces potentielles sur le système d'information. Il doit également travailler à la cohérence entre les objectifs de l'entreprise et la sécurité des applications et des données.

Comment le RSSI influence les décisions ?

Le RSSI joue un rôle important dans les choix budgétaires pour s'assurer que les investissements en sécurité ne sont pas négligés.

PRA et PCA : quel est le rôle du RSSI ?

Les plans de reprise d'activité (PRA) et de continuité d'activité (PCA) sont essentiels pour garantir la continuité des services informatiques en cas d'incident. Le RSSI est chargé de vérifier leur cohérence avec les objectifs de l'entreprise et de la DSI.

Comment le RSSI sensibilise-t-il le personnel ?

Le RSSI a un rôle clé dans la sensibilisation et la formation du personnel aux questions de sécurité. Il doit les informer des risques, les inciter à signaler les comportements suspects et à respecter les politiques de sécurité.

PRA et PCA : explication simple

Les plans de reprise d'activité (PRA) et de continuité d'activité (PCA) sont des plans permettant à une organisation de se remettre d'un incident ou de dysfonctionnement majeur et de maintenir la continuité de ses activités.

La charte d'utilisation du SI

Une charte d'utilisation des matériels, des réseaux et des logiciels de l'organisation est un document qui définit les règles et les bonnes pratiques à suivre pour garantir la sécurité du système d'information.

Le rôle de l'utilisateur dans la sécurité du SI

La vigilance de chaque utilisateur est essentielle pour la sécurité du système d'information (SI). Il est important qu'ils comprennent les enjeux liés à la sécurité et prennent des mesures pour la protéger.

Le maillon faible : l'utilisateur

Un mot de passe complexe n'est pas suffisant pour garantir la sécurité si il est facilement accessible à autrui.

Les attaques de "social engineering"

Les attaques de type "social engineering" exploitent la psychologie humaine, comme la naïveté ou la peur, pour contourner les mesures de sécurité.

Charte informatique : connaître les règles

Connaître et suivre les directives contenues dans la charte informatique contribue à garantir la sécurité du SI.

Compétences numériques : se protéger

Des compétences numériques améliorées permettent aux utilisateurs de mieux identifier et éviter les menaces informatiques.

Formations en sécurité : s'adapter aux menaces

Les formations régulières en sécurité informatique sont essentielles pour maintenir un niveau de connaissance adapté.

Sensibilité au RGPD : protection des données

Le RGPD met en place des réglementations strictes pour la protection des données personnelles. Il est important que les utilisateurs en soient conscients.

Rôle du RSSI

Le RSSI (Responsable de la Sécurité des Systèmes d'Information) est un professionnel spécialisé qui conseille l'organisation sur les questions de sécurité.

Sauvegarde incrémentielle

Une sauvegarde incrémentielle enregistre uniquement les modifications apportées aux données depuis la dernière sauvegarde, quelle que soit la méthode utilisée.

Sauvegarde différentielle

Une sauvegarde différentielle enregistre les modifications apportées aux données depuis la dernière sauvegarde complète.

Cloud privé

Un cloud privé est un cloud géré par une entreprise pour son usage propre.

Sécurité et confidentialité dans un cloud privé

Un cloud privé peut offrir un niveau de sécurité et de confidentialité plus élevé que le cloud public car il est hébergé et géré en interne.

Coût d'un cloud privé

Un cloud privé peut nécessiter des dépenses similaires à la gestion d'un centre de données traditionnel.

Plan de Continuité d'Activité (PCA)

Le PCA (Plan de Continuité d'Activité) a pour objectif de garantir la poursuite des activités d'une entreprise en cas d'incident, sans interruption.

Différence PCA et PRA

Le PCA est complémentaire au PRA (Redémarrage Après Accident) qui se concentre sur la restauration des systèmes après un incident.

Objectif conjoint PCA et PRA

Le PCA et le PRA travaillent de concert pour assurer la reprise et la continuité des activités en cas d'incident.

Coûts Cloud Privé

Le cloud privé permet de gérer les coûts et la gestion du cloud par les équipes informatiques de l'entreprise, ce qui peut entraîner des coûts supplémentaires.

Sauvegarde complète

Ce type de sauvegarde copie intégralement toutes les données. Elle est souvent longue et coûteuse, mais assure une sauvegarde complète.

Disk Mirroring

Le disk mirroring copie les données en temps réel sur un support distinct, assurant ainsi une sauvegarde continue. C'est un mécanisme de redondance fiable.

RAID 0

RAID 0 répartit les données sur plusieurs disques, ce qui permet une lecture et une écriture des données plus rapide, mais sans protection contre les pannes.

RAID 1

RAID 1 réplique les données sur plusieurs disques, assurant ainsi la continuité des activités en cas de défaillance d'un disque. C'est une solution fiable pour éviter les pertes de données.

Study Notes

Table des matières

• Chapitre I: Compétences attendues, savoirs associés (page 3)
• Chapitre II: Enjeux et critères de la sécurité du SI (page 4)
• Chapitre III: Exercice: Quiz (page 8)
• Chapitre IV: Principales menaces et protections (page 9)
• Chapitre V: Exercice : Quiz (page 19)
• Chapitre VI: Responsabilités des acteurs dans la sécurité du SI (page 21)
• Chapitre VII: Exercice: Quiz (page 24)
• Chapitre VIII: Sauvegardes et restauration du SI (page 25)
• Chapitre IX: Auto-évaluation (page 28)
• Chapitre X: L'essentiel (page 29)
• Solutions des exercices (page 29)

Compétences attendues, savoirs associés (Page 3)

• Le programme du DSCG suppose la connaissance du DCG.
• Le numérique est un facteur clé de compétitivité mais aussi une contrainte avec de plus en plus d'obligations.
• La sécurisation des données est essentielle pour les organisations.
• Les données sont une ressource vitale, aussi bien pour la gestion opérationnelle que la stratégie.
• Chaque acteur du SI doit connaître les règles de base informatique (physique et logique), les accès réseaux et internet.
• La politique de sécurité doit être abordée de manière humaine, organisationnelle et technologique.

Enjeux et Critères de la Sécurité du SI (Page 4)

• Les mesures de sécurisation du SI sont complexes et incluent la sécurité physique et logique des infrastructures.
• Les enjeux sont multiples: limiter les impacts financiers et de réputation, respecter la réglementation (RGPD).
• Il est important de prendre en compte la dimension humaine dans la gestion des risques.
• Les outils et processus de protection, sauvegarde et restauration des données sont clés.

Principales Menaces et Protections (Page 9)

• Le risque est évalué en fonction de la probabilité et de la gravité de l'événement.
• Les incidents ont des causes multiples : actions internes (non intentionnelles ou non), attaques intentionnelles etc.
• L'hameçonnage (phishing) est une menace courante.
• Les mesures préventives pour le phishing incluent d'éviter de communiqué des informations personnelles par email ou téléphone, vérifiez l'authenticité des liens et soyez vigilant(e).

Responsabilités des acteurs dans la sécurité du SI (Page 21)

• Le responsable de la sécurité des systèmes d'information (RSSI) est un poste clé dans les grandes structures.
• Le RSSI est responsable de mettre en œuvre la politique de sécurité et de garantir la sécurité des applications et données, de la formation et la sensibilisation du personnel.
• Les plans de reprise d'activité (PRA) et de continuité d'activité (PCA) sont essentiels.
• L'information et la sensibilisation des utilisateurs sont une partie essentielle de la sécurité.

Sauvegardes et restauration du SI (Page 25)

• Les sauvegardes visent à protéger les données et les traitements en cas d'incident.
• La stratégie de sauvegarde 3-2-1 (3 copies des données, 2 supports différents, 1 sauvegarde hors site) est une méthode efficace.
• Plusieurs stratégies de sauvegarde sont utilisables (sauvegarde complète, différentielle, incrémentielle).
• Les sauvegardes sont localisées dans un endroit sécurisé et à distance.

Auto-évaluation (Page 28)

• Une sauvegarde doit être effectuée en interne et à proximité des postes.
• Les sauvegardes doivent être diversifiées et accessibles.

L'essentiel (Page 29)

• Le numérique est un facteur clé de compétitivité et d'obligation.
• La sécurisation du SI est essentielle pour les organisations.
• Le facteur humain est crucial dans la sécurité du système d'information.