Exercices « gestion des risques SI »
Objectifs :
Assimiler les concepts de base de la sécurité des systèmes d'information :
- Risque ;
- Impact ;
- Critères de sécurité ;
- Mesure de sécurité ;
- Difficulté à sécuriser un système d'information.
Exercice 1 : constituants d'un risque
a) On considère un serveur de messagerie, connecté à internet, sur lequel aucun correctif de sécurité
(Mises à jour) n'a été appliqué depuis un an de peur que le service ne soit dégradé. Indiquez pour ce
serveur : une vulnérabilité, une menace, les impacts occasionnés par son éventuelle Compromission,
une action corrective, un risque induit par l'action corrective proposée, une mesure préventive ou
corrective permettant de réduire le risque induit.
b) On considère une secrétaire de direction, très appliquée et investie dans son travail d'assistance
de Direction et n'ayant jamais été sensibilisée aux problématiques de sécurité.
Indiquez pour cette personne trois risques qu'elle fa it encourir au système d'information de
l'entreprise.
Indiquez pour chacun de ces risques les éléments suivants : vulnérabilité, menace, impact, mesure de
Sécurité envisageable pour réduire le risque.
Exercice 2 : pertinence d'une mesure de sécurité
a. Une application de paiement en ligne utilise un système d'authentification de ses clients qui
repose sur un identifiant, un mot de passe et un token (jeton) composé de 10 chiffres et
généré aléatoirement toutes les minutes.
Ce système de sécurité vous semble-t-il sûr ? Comment peut-on évaluer son efficacité ? Sinon quelles
Vulnérabilités peut-on imaginer ? Vulnérable aux attaques brute force de craquage de mot de passe
Chiffrement ou pas ? Confidentialité ?
b. Le niveau réel d'un système d'information est toujours inférieur au niveau estimé. Si on ne
prend pas de précautions, cette différence de niveau de sécurité tend à augmenter à mesure
que le temps passe.
Indiquez deux raisons qui expliquent l'augmentation constante de cette différence de niveau de
sécurité. Proposer des mesures de sécurité permettant de limiter ce phénomène.
Exercice 3 : impacts et critères de sécurité
a) Un hôpital stocke les informations concernant ses patients dans une base de données mise à
disposition du personnel de l'hôpital.
Quels sont les critères de sécurité à considérer pour cette base de données ? Illustrez ces derniers
avec un exemple.
b) La plupart des entreprises disposent d'un site web institutionnel afin d'assurer leur promotion et
se faire connaître par le biais d'internet.
�Quels sont les critères de sécurité à considérer pour ce type de site web ? Illustrez ces derniers avec
un exemple.
Exercice 4 : choix d'une mesure de sécurité
Une entreprise remarque que, statistiquement, elle souffre chaque année de cinq infections par des
virus et de trois défigurations de son site web. La remise en état des machines après infection par un
virus nécessite deux jours de travail à l'administrateur, soit un coût de 2000 euros. Le site web peut
être remis en état en quelques heures, soit un coût de 500 euros. La mise en place et la maintenance
d'un produit antivirus et d'un système de protection du site web correspondrait à un coût annuel de
15000 euros.
a) A partir de ces chiffres, calculez le coût annuel dû aux virus et aux défigurations.
b) Est-il selon vous utile de mettre en place les mesures de sécurité énoncées ?
