Bibliographie & annexes
Présentation
RÉSUMÉ
La Sécurité des systèmes d'information (SSI) est un domaine extrêmement vaste puisqu'elle fait appel à de nombreux concepts juridiques, sociaux, et économiques, à la gestion de personnel, et à des connaissances techniques extrêmement pointues. L’objectif de cet article est de traiter ces différents aspects, mais aussi de passer en revue plusieurs technologies et problématiques de sécurité sous l'angle technique. Différents articles, sélectionnés par des chercheurs et des industriels, sont proposés. Grâce à ce condensé théorique et pratique d’expériences professionnelles, le lecteur trouve le recul nécessaire à la bonne compréhension de ce sujet et aux problèmes ponctuels de mise en œuvre de la SSI.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
The security of information systems (SIS) is an extremely vast domain as it encompasses numerous legal, social and economic concepts, personnel management as well as state-of-the-art technical knowledge. The aim of this article is to deal with these various aspects and also to review several technologies and security issues under a technical angle. It offers several publications selected by researchers and industrialists. This theoretical and practical summary of professional experiences will allow the reader to gain sound understanding of this subject and the punctual issues concerning the SIS implementation.
Auteur(s)
-
Maryline LAURENT : Professeur à l'Institut Télécom, Télécom SudParis - Membre de l'UMR SAMOVAR 5157
INTRODUCTION
La Sécurité des systèmes d'information (SSI) est un domaine extrêmement vaste puisqu'elle fait appel à de nombreux concepts juridiques, sociaux, et économiques, à la gestion de personnel, et à des connaissances techniques extrêmement pointues.
Dans cette rubrique SSI, même si les aspects juridiques et organisationnels sont traités, l'objectif premier est de passer en revue plusieurs technologies et problématiques de sécurité sous l'angle technique. Dans cette démarche, il est difficile d'être exhaustif du fait que :
-
les réseaux informatiques peuvent reposer sur un grand nombre de technologies de réseaux de transport (Wi-Fi, IPv4, IPv6, MPLS, ATM) ;
-
ces technologies évoluent pour permettre une plus grande mobilité aux utilisateurs et le support d'une plus large palette de services (messagerie, services de transactions électroniques, téléphonie sur IP, cloud computing, RFID) ;
-
les technologies reposent sur des services réseaux critiques (annuaires LDAP, DNS, routage de trafic) mettant en jeu des terminaux, mais aussi des équipements de réseaux (routeurs, commutateurs) ;
-
les acteurs de la SSI sont très variés (opérateurs, fournisseurs de services, administrateurs de réseaux privés, simples particuliers, constructeurs d'équipements, éditeurs logiciels).
Sachant que les solutions de sécurité SSI visent à protéger, à différents niveaux, un réseau informatique (applicatifs, systèmes d'exploitation, échanges réseau...), cela pour mieux préserver la sécurité des utilisateurs, les intérêts d'une entreprise, le réseau d'un opérateur, les services d'un fournisseur (tant son contenu que la garantie d'être rémunéré), il est clair que les points de vuecelui de l'attaquant qui tente de déjouer les barrières de sécurité, sont très divers. Les solutions de sécurité qui en découlent avec des objectifs de protection et des niveaux d'exigences de protection sont d'autant plus hétéroclites.
Dans cette rubrique SSI, différents types d'articles sont proposés, à savoir :
-
des articles qui brossent un état de l'art didactique de la technologie considérée de façon approfondie, mais compréhensible ;
-
des articles de recherche qui traitent des technologies ou solutions techniques émergentes et des articles d'ordre pratique qui apportent une solution immédiate à un problème ponctuel de mise en œuvre de la SSI.
Académiques et industriels ont œuvré à la réalisation de cette collection qui se veut un condensé théorique et pratique de leurs expériences professionnelles.
Cet article brosse un panorama des différentes composantes de la SSI sans entrer dans le détail de chacune. Il a pour objectif d'offrir aux lecteurs le recul nécessaire pour bien comprendre la problématique à laquelle les articles répondent et ainsi leur offrir plus d'autonomie dans leurs choix de lectures.
L'expertise technique et scientifique de référence
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
Cryptographie, authentification, protocoles de sécurité et VPN3. Organisation dans l'entreprise
Pour une bonne mise en œuvre de la SSI dans une entreprise, il est nécessaire de s'adosser à des technologies SSI existantes, et surtout, d'associer l'ensemble du personnel dans cette démarche de sécurisation SSI et de définir des méthodes de travail conformes à la politique de l'entreprise.
En effet, pourquoi sécuriser un SI, à l'aide de solutions sophistiquées si les employés ont la possibilité de désactiver des options de sécurité qui leur paraissent gênantes dans la réalisation de leurs tâches ?
Pourquoi sécuriser une base LDAP de mots de passe, si les employés divulguent leur login/mot de passe à toute personne se faisant passer au téléphone pour l'administrateur du réseau de l'entreprise ?
Les exemples d'ingénierie sociale sont nombreux [H 5 833]. Pour se prémunir de telles vulnérabilités qui, notons le, ne mettent pas en défaut le système SSI lui-même, mais le comportement du personnel, une entreprise n'a pas d'autres choix que de sensibiliser, et former, l'ensemble de son personnel à la problématique de SSI.
Aujourd'hui, un travail encore important de mise en garde auprès des entreprises reste à faire, sachant que seules 43 % des 350 entreprises de plus de 200 salariés ayant répondu à l'enquête Clusif font cette démarche de sensibilisation de son personnel.
Pour assurer un bon suivi de son SSI, une entreprise se doit de nommer un, ou plusieurs, responsable(s) SSI (RSSI). Le RSSI a pour fonction de :
-
maintenir, ou renforcer, la SSI en fonction des risques encourus et des potentielles pertes occasionnées ;
-
participer au processus d'arbitrage du budget alloué à la SSI ;
-
définir une politique SSI et une charte SSI.
Il a donc une double casquette :
-
associer le personnel à la démarche SSI ;
-
mettre en œuvre les moyens techniques SSI dans le système informatique de l'entreprise en adéquation avec le budget alloué et les exigences de sécurité.
Étant...
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Organisation dans l'entreprise
DANS NOS BASES DOCUMENTAIRES
Club de la Sécurité de l'Information Français, Menaces informatiques et pratiques de sécurité en France, Édition 2010 https://www.clusif.asso.fr/
HAUT DE PAGE
ISO 7498-2 - 09-90 - Systèmes de traitement de l'information : Interconnexions de systèmes ouverts, Modèle de référence de base. Partie 2 : architecture de sécurité - -
HAUT DE PAGE
L'expertise technique et scientifique de référence
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(75 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
