CHARTE

INFORMATIQUE

PROTECTION
PSSI
DU RESEAU

LES
DIFFERENTES
SOLUTIONS

SÛRETE DE
SECURITE
D ’ACCES
FONCTIONNE
MENT

[Link]
 PSSI
CHARTE
NFORMATIQUE

LES
[Link]

DIFFERENTES
La Politique de Sécurité
des Systèmes
d'Information (PSSI)

Structurer la gestion de la sécurité

informatique d'une organisation.

[Link]
Définition et objectifs de la
PSSI
La PSSI (Politique de Sécurité des Systèmes d'Information) vise à structurer la
gestion de la sécurité informatique d'une organisation. Elle repose sur quatre
axes principaux :

Organisation du projet PSSI et constitution du

référentiel

Recueil des éléments stratégiques

Choix des principes et règles applicables

Validation du PSSI et de son plan d'action

[Link]
Importance de l'analyse des
risques
Éléments stratégiques
Identification des actifs critiques et des menaces potentielles

Principes à développer
Établissement des fondements de la politique de sécurité

Guide pour l'élaboration des règles

Création d'un cadre cohérent pour les mesures de sécurité

Vérification de la cohérence
Alignement avec les objectifs de l'organisation

L'analyse des risques facilite l'élaboration de la PSSI.

[Link]
Audits de sécurité
informatique
1 Test de sécurité
Évalue la capacité du système à résister aux attaques potentielles.

2 Test d'intrusion
Simule une attaque externe pour identifier les failles. Étapes :
reconnaissance, collecte d'infos, identification des failles,
élaboration d'attaques, exécution et rapport.

3 Test de sécurité interne

Évalue la résistance du réseau face aux menaces internes et la
malveillance potentielle du personnel.

La sûreté des SI repose sur des tests pour mesurer la résistance aux menaces.
[Link]
Audits de sécurité
informatique
4 Test de sécurité applicatif
Évaluer le niveau de sécurité d’une application riche
(ex : architecture client-serveur)
Test en boîte noire : Test sans accès ni identifiants.
Test en boîte grise : Test avec un compte utilisateur.

5 Test d'intrusion
Vérifier la sécurité des applications Web et identifier leurs
vulnérabilités. Étapes:
. Identification des vulnérabilités.
. Analyse de l’authentification et des sessions.
. Rapport et recommandations.

La sûreté des SI repose sur des tests pour mesurer la résistance aux menaces.
[Link]
Plan de Reprise Après Sinistre (PRA)
Pourquoi un PRA ? Le problème actuel

• Continuité des activités • Négligence du PRA

• Minimiser les pertes • Limitation aux sauvegardes

Un PRA robuste est essentiel. Sauvegardes de données ne suffisent pas.

[Link]
Phase de Réaction : Évaluation des Risques
Identifier les processus critiques Déterminer les exigences

Définir le délai maximal Prioriser les services essentiels

Objectif: un plan de continuité efficace et une évaluation précise.

[Link]
Élaboration du Plan de
Reprise : Étapes Clés
Tâches prioritaires

Responsabilités

Ressources nécessaires

Documentation

Un plan détaillé est crucial. Actions claires, rôles définis et ressources disponibles.
[Link]
Tests et Validation du PRA : Assurez Son
Efficacité
Vérifier l'efficacité Identifier les failles

Tester régulièrement (au moins annuellement). Simuler des pannes, tester en conditions réelles.

[Link]
Restauration et Stratégies
de Reprise : Minimiser le
Délai
Dualité des systèmes Site de secours
Redondance instantanée Hébergement temporaire

Combinaisons adaptées
Selon besoins/budget

Choix de stratégie : dualité, site de secours, ou combinaison.

[Link]
Mise à Jour Continue du PRA : Restez Protégé

Nouvelles menaces 1 Évolution infrastructures

2

4
Mettre à jour Revoir et tester
3

Actualiser le PRA : Menaces nouvelles, infrastructures en évolution, documentation à jour.

[Link]
 CHARTE
INFORMATIQUE

PROTECTION
PSSI
DU RESEAU

LES
DIFFERENTES
SOLUTIONS

SÛRETE DE
SECURITE
D ’ACCES
FONCTIONNE
MENT

[Link]
S

SÛRETE DE
FONCTIONNEMENT

[Link]
Définition de la sûreté de fonctionnement
Service approprié Service inapproprié

Un service qui répond aux attentes des utilisateurs et Un service qui ne répond pas aux attentes ou qui
aux exigences du système présente des défaillances

La sûreté de fonctionnement représente le niveau de confiance des utilisateurs dans le SI. Un service peut être
approprié (répond aux attentes) ou inapproprié.

[Link]
Disponibilité et fiabilité

99%
Disponibilité standard
3 jours et 15 h/an d'indisponibilité

99.9999%
Haute disponibilité
32 sec/an d'indisponibilité

Disponibilité : probabilité qu'un service soit opérationnel à un instant donné.

Fiabilité : continuité du service sur une période donnée. Taux de disponibilité :
plus il est élevé, moins il y a d'indisponibilité.

Risque zéro impossible → Loi de Pareto : 80% des risques couverts par 20% des
investissements.
[Link]
Défaillance et gestion des fautes

Tolérance
Prévention
1 Redondance (ex. disques RAID, site
Anticipation des fautes 2 de secours)

Prise en compte 4 Correction

Analyse des impacts des fautes
3 Mise à jour, correction de bugs

Pour limiter les défaillances, il est essentiel de mettre en place un cycle complet de gestion des fautes, incluant la
prévention, la tolérance, la correction et la prise en compte des impacts.
[Link]
Sauvegarde et sécurité des
données

Types de sauvegarde Sécurité des sauvegardes

• Intégrale : tous les fichiers sont • Protéger contre le vol
copiés (cryptage, coffre-fort)
• Incrémentale : seuls les fichiers • Protéger contre la destruction
modifiés depuis la dernière (stockage hors site, contenant
sauvegarde ignifugé)
• Cumulative : tous les fichiers • Vérifier régulièrement que les
modifiés depuis la dernière sauvegardes sont
sauvegarde intégrale fonctionnelles

L'objectif des sauvegardes est de prévenir la perte de données et garantir

la continuité d'activité. La fréquence des sauvegardes devrait être
quotidienne pour minimiser la perte de données.
[Link]
 CHARTE
INFORMATIQUE

PROTECTION
PSSI
DU RESEAU

LES
DIFFERENTES
SOLUTIONS

SÛRETE DE
SECURITE
D ’ACCES
FONCTIONNE
MENT

[Link]
 DU RESEAU

LES
DIFFERENTES
SOLUTIONS

SECURITE
D ’ACCES

[Link]
La Sécurité des Accès
Mettre en place des systèmes de sécurité avancés est inutile si les
pirates peuvent circuler librement dans l'entreprise et si les
employés ont un accès trop large aux machines. Une fois qu'un
serveur est compromis, les protections réseau en amont
deviennent inefficaces. La sécurisation des accès garantit alors que
seules les personnes autorisées ont accès à ces données sensibles,
réduisant ainsi les risques de fuites ou de compromissions.

[Link]
Types d'Accès
L'accès logique L'accès physique

L'autorisation de se connecter à un système (pouvoir L'autorisation d'accéder physiquement à un équipement

accéder à un serveur ou à un programme depuis son poste (pouvoir se rendre dans la salle où se trouve l'équipement).
personnel) Autrement dit l'accès logique trait à des En d'autres termes l'accès physique régule l'accès à un lieu
systèmes informatiques, comme se connecter à une physique. Le contrôle d'accès physique regroupe des
application ou à un compte en ligne via un identifiant et un technologies telles que le contrôle biométrique, les cartes
mot de passe, ou à l'accès à un fichier ou un réseau sécurisé. d'identification, les claviers à codes, les lecteurs de badges,
les tourniquets et les portillons d'accès. Ces méthodes
Comme exemples nous pouvons cité :
offrent différents niveaux de sécurité, de l'identification
• Se connecter à un ordinateur portable à l'aide d'un mot biométrique à l'utilisation de badges ou de codes, selon les
de passe. besoins spécifiques de sécurité et de commodité.
• Déverrouillage d'un smartphone à l'aide d'une empreinte
de pouce.
• Accéder à distance au réseau interne d'un employeur à
l'aide d'un VPN.

[Link]
Les Tourniquets
Tourniquets pleine hauteur

Les tourniquets de pleine hauteur sont utilisés dans des environnements comme les entreprises, les stades,
les aéroports et les installations militaires pour restreindre l'accès et garantir que seules les personnes
autorisées passent. Plus sécurisés que les tourniquets mi-hauteur, ils empêchent le franchissement facile
grâce à leur hauteur de 2 à 2,5 mètres et nécessitent une validation préalable, comme un badge ou une
identification biométrique. Cela renforce la sécurité en limitant l'accès aux zones sensibles.

Portes tournantes

Les portes tournantes régulent le passage des personnes dans des espaces à fort trafic, offrant sécurité et
contrôle. Elles comportent des segments rotatifs permettant à une seule personne de passer à la fois et
peuvent être équipées de systèmes de verrouillage ou de validation, comme des lecteurs de cartes ou des
capteurs biométriques.

[Link]
 Tourniquets mi-hauteur

Le tourniquet mi-hauteur est un dispositif de

contrôle d'accès, souvent utilisé dans des lieux

comme des bâtiments, stades ou stations de

transport. Plus court (1,2 à 1,5 mètres) que les

tourniquets de pleine hauteur, il permet un accès

fluide tout en assurant une sécurité modérée. Il est

idéal pour contrôler le passage dans des

environnements à fort trafic, avec des versions

manuelles ou automatisées.
 Tourniquets tripodes
Les tourniquets tripodes sont des dispositifs de
contrôle d'accès physique qui utilisent une
structure à trois bras pour réguler le passage des
personnes. Contrairement aux tourniquets de
pleine hauteur, qui offrent une sécurité maximale,
les tourniquets tripodes sont souvent plus
compacts et sont utilisés dans des environnements
où un niveau de sécurité modéré est suffisant.
Systèmes de Contrôle d'Accès

Clavier à codes Lecteur de badges

Un clavier à codes est un dispositif de contrôle d'accès physique qui Un lecteur de badges est un dispositif de contrôle d'accès qui
permet de sécuriser l'entrée dans une zone en exigeant l'entrée d'un sécurise l'entrée dans une zone en lisant un badge ou une carte
code secret par l'utilisateur. Ce type de système est couramment d'identification, couramment utilisé dans les entreprises, bâtiments
utilisé dans divers environnements, allant des entreprises aux publics et sites industriels pour réguler l'accès des personnes
bâtiments résidentiels, en passant par les sites industriels. autorisées.
[Link]
Le contrôle d'accès biométrique
Contrairement aux systèmes de contrôle d'accès classiques qui utilisent des cartes d'accès et/ou des codes, un
système de contrôle d'accès biométrique utilise les caractéristiques physiques d'une personne pour valider son
identité et lui permettre l'accès a une zone ou à un système sécurisé.

Empreintes digitales
Reconnaissance de l'iris
L'analyse des motifs uniques des
L'analyse de l'iris de l'œil pour
empreintes digitales pour vérifier
identifier une personne.
l'identité de la personne.

Reconnaissance de la veine
Reconnaissance faciale La reconnaissance de la veine de la
L'utilisation des traits du visage, main est une technologie
capturés par une caméra, pour biométrique qui analyse les motifs
authentifier un utilisateur. uniques des veines dans la paume
pour identifier une personne.
[Link]
 • Reconnaissance de l'iris
L'analyse de l'iris de l'œil pour identifier une
personne.
 • Reconnaissance de la
veine
La reconnaissance de la veine de la main est
une technologie biométrique qui analyse les
motifs uniques des veines dans la paume
pour identifier une personne. Comme
exemple, nous pouvons citer le VeinAccessII
qui est un lecteur biométrique de contrôle d'accès
développé par ZALIX Biométrie, utilisant la
technologie de reconnaissance du réseau veineux
de la paume de la main. Sans contact et sans trace
ce lecteur capture l'image du réseau veineux de la
paume de la main à l'aide de capteurs infrarouge.
Sécurisation par mot de passe
Gestion des mots de passe
Tester, changer régulièrement, interdire le partage

Se prémunir du piratage social

Former les personnels et établir des procédures

Choix du mot de passe

Longueur, complexité, caractères spéciaux

Choix du mot de passe - Opter pour :

• Une longueur minimale de 6 caractères, optimale de 8 ;

• Un mot inventé mais mémorisable pour éviter de le noter ;
• Inclure au moins une majuscule/minuscule : pATtEmiE plutôt que pattemie ;
• Ajouter un chiffre (mais pas en fin de mot) et éviter les chiffres répétés : p0tteMie ou p0tteM1e ;
• Ajouter un ou deux caractères non alphanumériques (pas az, AZ, 09) : p0tt!Mie plutôt que p0tteM1.

Gestion des mots de passe - 5 axes :

• Tester les mots de passe (utiliser des programmes comme SAMInside, L0phtCrac)
• Obliger les utilisateurs à changer régulièrement leur mot de passe
• Interdire le partage des mots de passe
• Se méfier des collègues indélicats - Ne jamais laisser son poste accessible après s'être identifié [Link]
Les accès physiques
Limiter le nombre des points d'accès
Moins il y a d'accès a sécurisé moins il y aura de risque.

Rendre les sorties de secours impraticables en temps normal

Assurer que les sorties d'urgence ne deviennent pas des points d'entrée non sécurisés.

Identifier toutes les personnes entrant dans une zone protégée

Chaque personne rentre avec son accès qui peut etre un badge ou une carte.

Mettre en place un système de vidéosurveillance

Surveiller et enregistrer les mouvements dans les zones sensibles.

Protéger des poubelles

L'informatique génère des déchets comme des papiers, CD, DVD et disques durs obsolètes. Pour protéger
les informations sensibles, il est crucial de rendre ces supports inutilisables avant de les jeter.

[Link]
La sécurité du câblage et définitions clés

Sécurité du câblage Connexion sauvage Renifleur

Le service réseau doit empêcher les Une connexion sauvage désigne une tentative Un renifleur réseau, également appelé
connexions non autorisées sur le réseau de non autorisée d'accès à un réseau analyseur de paquets, est un logiciel ou un
l'entreprise. Le gestionnaire est responsable informatique ou à ses ressources. Cela se matériel capable d'intercepter les paquets de
de son poste et doit s'assurer qu'aucun produit généralement lorsque quelqu'un (un données circulant sur un réseau. Les
équipement non signalé par le service pirate informatique ou un employé administrateurs utilisent des renifleurs réseau
responsable n'est présent dans son bureau. Un malintentionné) se connecte au réseau d'une pour surveiller le trafic réseau au niveau des
pirate pourrait installer rapidement un sniffer entreprise sans avoir l'autorisation ou les paquets, contribuant ainsi à garantir la santé
(outil d'écoute du trafic) pour contourner les identifiants nécessaires. Cette connexion peut et la sécurité du réseau
mesures de sécurité, souvent simplement en être réalisée en contournant les mesures de
se déguisant en employ sécurité mises en place, comme en branchant
un dispositif non autorisé sur le réseau ou en
exploitant des failles
L'objectif d'une dans sauvage
connexion le système.
est souvent
d'espionner, de voler des informations
sensibles, ou d'interférer avec le
fonctionnement du réseau, tout en restant
discret. C'est pourquoi les entreprises mettent
en place des protocoles de sécurité pour
empêcher ce type d'accès non autorisé.

[Link]
 CHARTE
INFORMATIQUE

PROTECTION
PSSI
DU RESEAU

LES
DIFFERENTES
SOLUTIONS

SÛRETE DE
SECURITE
D ’ACCES
FONCTIONNE
MENT

[Link]
PROTECTION DU CHARTE
INFORMATIQUE
RESEAU

LES
DIFFERENTE
SOLUTIONS

[Link]
Sécurité Informatique:
Systèmes et Architectures
de Protection
Il s’agit d’explorer les différents systèmes et architectures de
protection informatique, incluant les IDS/NIDS, antivirus, pare-feu,
DMZ, et serveurs proxy, ainsi que les menaces courantes et les
stratégies de sécurité recommandées pour différentes structures.

[Link]
Systèmes de Détection d'Intrusions
(IDS/NIDS)
IDS NIDS Différence

Système passif qui détecte les Agit sur le trafic réseau pour L'IDS alerte, le NIDS intervient
attaques et alerte l'administrateur. bloquer les intrusions (ex. : réseau activement.
isolé).

[Link]
Antivirus
1 Fonctions
Détecte, prévient et supprime les malwares (virus, chevaux
de Troie, ransomwares).

Analyse fichiers, trafic réseau et supports amovibles.

Utilise des bases de données de signatures mises à jour.

2 Fonctionnalités avancées
Protection en temps réel, analyse heuristique, pare-feu intégré.

Exemples : Avast (gratuit), solutions payantes avec

abonnements.

[Link]
Pare-feu (Firewall)
Rôle Critères de filtrage
Filtre les communications Adresses IP
entre réseau et poste de source/destination.
travail.
Programmes autorisés.

Cohérence des paquets, type

de données, utilisateurs.

Types
Matériel (réseau) ou logiciel (poste).

[Link]
DMZ (Zone Démilitarisée)

Objectif Architectures Services hébergés

Isoler les services exposés à Internet Pare-feu unique : Économique mais Serveurs web, SMTP, FTP, VoIP.
(serveurs web, FTP, messagerie) pour point de défaillance unique.
protéger le réseau interne.
Double pare-feu : Plus sécurisé (trafic
contrôlé entre DMZ et interne).

[Link]
Serveur Proxy

Rôle Avantages Exemple

d'utilisation
Intermédiaire entre Filtrage de contenu,
utilisateurs et mise en cache Proxy en DMZ pour
Internet. (économie de bande sécuriser l'accès
passante). Internet des
employés.
Surveillance des
activités et
conformité
juridique.

[Link]
PARE-FEU SIMPLE
DOUBLE PARE-FEU
 CHARTE
INFORMATIQUE

PROTECTION
PSSI
DU RESEAU

LES
DIFFERENTES
SOLUTIONS

SÛRETE DE
SECURITE
D ’ACCES
FONCTIONNE
MENT

[Link]
 CHARTE
INFORMATIQUE

[Link]
La Charte Informatique

[Link]
Qu'est-ce qu'une charte
informatique ?
Informer
Sur les usages autorisés (exemple : utilisation d'Internet à des fins professionnelles).

Préciser les règles de sécurité

Exemple : mots de passe complexes.

Exposer les contrôles

Mis en place par l'employeur (exemple : surveillance des logs d'activité).

Détailler les sanctions

En cas de non-respect (exemple : suspension de l'accès au réseau).

C'est un document qui définit les règles d'utilisation des outils informatiques par les
employés. Elle a quatre objectifs principaux comme présentés ci-dessus.
[Link]
Les étapes clés pour créer
une charte
Recenser les besoins
Du système d'information (exemple : interdire le transfert de
fichiers via clé USB si cela présente un risque).

Lister les outils disponibles

Ordinateurs, smartphones, serveurs, etc.

Définir les pratiques autorisées

Exemple : autoriser l'accès à Internet pour la recherche,
mais interdire les réseaux sociaux.

[Link]
Les devoirs des utilisateurs

Confidentialité Sécurisation Responsabilité

Ne partager des Utiliser le chiffrement pour Ne jamais divulguer ses
informations qu'avec ceux les données sensibles. identifiants (exemple :
qui en ont besoin (exemple éviter de noter son mot de
: éviter d'envoyer un fichier passe sur un Post-it).
client à un collègue non
concerné).

Vigilance
Vérifier les pièces jointes
dans les e-mails (exemple :
ne pas ouvrir un fichier
.exe suspect).

Chaque employé doit respecter ces principes de sécurité pour garantir l'intégrité du
système d'information.
[Link]
Champ d'application et confidentialité
Utilisateurs concernés Mots de passe

Tous les employés, stagiaires, prestataires, etc. Doivent être complexes, changés régulièrement, et non
stockés (exemple : utiliser un gestionnaire de mots de
Système d'information
passe).
Liste exhaustive des outils (ordinateurs, serveurs,
Authentification
messagerie, etc.).
Les identifiants sont personnels (exemple : interdiction
de prêter son compte à un collègue).

[Link]
Protection des ressources
Verrouillage 1
Toujours verrouiller son poste en cas d'absence
(exemple : utiliser Windows + L).
2 Matériel externe
Vérifier la sécurité des clés USB avant utilisation.

Sauvegardes 3
Effectuer des sauvegardes régulières pour éviter la
perte de données.

[Link]
Accès à Internet et
messagerie électronique
Restrictions
Certains sites (réseaux sociaux, streaming) peuvent être bloqués.

Téléchargements
Interdiction d'installer des logiciels non approuvés (exemple :
éviter les cracks piratés).

Cryptage
Pour les informations sensibles (exemple : utiliser PGP).

Utilisation personnelle
Tolérée si les messages sont marqués [Privé] et classés dans
un dossier dédié.
[Link]
Contrôles, sanctions et importance

Contrôles manuels
En cas d'incident, le service informatique peut
2 inspecter les fichiers, mais pas les messages
personnels sans l'accord de l'employé.
Contrôles automatisés
1
Surveillance des logs (exemple : détection de
tentatives de connexion suspectes).
Sanctions
Selon la gravité, cela va de l'avertissement à la
sanction disciplinaire (exemple : licenciement pour
3
fuite de données).

[Link]
[Link]
[Link]