Les modalités et enjeux de la sécurisation des systèmes d’information
Analyse sectorielle : Les modalités et enjeux de la sécurisation des systèmes d’information. Recherche parmi 300 000+ dissertationsPar Ayoub Bouhamidi • 2 Janvier 2019 • Analyse sectorielle • 2 599 Mots (11 Pages) • 525 Vues
"Système d'information
bancaire"
CH 3 : Les modalités et enjeux de la sécurisation des systèmes d’information
L’objectif pédagogique :
- Restituer les fondamentaux qui participent à la sécurité des flux d’informations échangés.
1- Les risques technologiques dans la société de l’information.
A- Les nouveaux risques technologiques
a- Les nouvelles architectures informatiques b- Quelques données statistiques sur la fraude informatique
B – Les technologies de sécurisation des échanges
a- Les besoins en matière de sécurité b- Les techniques cryptographiques c- Les techniques biométriques d- Le cas des cartes de paiement
2- Les politiques de sécurité en entreprise
A- Les risques informatiques en entreprise
a- Les risques liés aux serveurs
b- Les risques liés au réseau
c- Les risques liés à la fabrication des logiciels B – Les politiques de sécurité en entreprise
RAPPEL
[pic 1]
INTRODUCTION
L’ouverture vers l’extérieur des systèmes d’information des entreprises a créé des besoins sécuritaires nouveaux.
L’importance économique des fraudes informatiques, notamment sur les cartes de paiement, a conduit à la sophistication des techniques cryptographiques et biométriques.
Titre Page 2 sur 11
En réponse à ces nouveaux risques, les entreprises mènent en parallèle une politique assurancielle de couverture et élaborent des plans de
continuité de l’activité.
1- Les risques technologiques dans la société de l’information.
A- Les nouveaux risques technologiques
a- Les nouvelles architectures informatiques
L’histoire des architectures informatiques, de par ses caractéristiques, conditionne profondément l’évolution de la nature des risques encourus par l’informatique des entreprises. Aussi est-il nécessaire d’en retracer les évolutions à grands traits. On peut schématiquement distinguer trois grandes périodes.
La première correspond à l’époque qui va des débuts de l’informatique jusqu’au début des années quatre-vingts. Elle est caractérisée par des architectures dites « maître-esclave ». Les traitements étaient alors exécutés sur des ordinateurs centraux, appelés mainframes, dont le système d’exploitation pilotait l’informatique. Du côté utilisateurs, les terminaux passifs émulés ne leur permettaient que de formuler des demandes de traitements pris en compte en séquence par les ordinateurs centraux. Les risques de sécurité dépendaient alors essentiellement du niveau de « bunkerisation » du site centrale.
La seconde correspond, au milieu des années quatre-vingts, à l’émergence des microordinateurs et à leur progressive intégration dans les architectures d’entreprise. Les nouvelles architectures qui en ont résulté, qualifiées de client/serveur, ont établi une relation de type client-fournisseur entre le poste de travail client et sa demande de service à des serveurs distants, correspondant pour certains aux anciens mainframes, pour d’autres à des serveurs spécialisés. Le nouveau partage des tâches entre postes clients et serveurs a complexifié les risques de sécurité, qui ne se situaient plus seulement au niveau des mainframes, mais aussi des différents serveurs et des postes clients eux même.
Titre Page 3 sur 11
La troisième, qui date du milieu des années quatre-vingt-dix avec l’irruption de l’internet dans la sphère commerciale, correspond à l’extension du mode précédent à l’échange de données et des informations au-delà des limites de l’entreprise. Ces échanges, via la toile, s’effectuent non seulement au sein des entreprises, mais en provenance ou à destination de clients et des tiers via des extranets dans un environnement d’échange mondialisé. La conséquence de cette mutation architecturale est le déport des problématiques de sécurité vers l’acheminement des données sur les réseaux ouvert, qui constitue à ce jour un défi majeur.
b- Quelques données statistiques sur la fraude informatique
La Commission européenne estime le montant annuel de la fraude sur les paiements à plus d’un milliard d’euros par an.
Une étude de Price Waterhouse Coopers datée, mais au contenu toujours actuel, effectuée entre 1999 et 2000 auprès de 3400 entreprises européennes a mis en évidence les résultats suivants : 42,5% des entreprises ont été victimes de fraude ; 60% des fraudes sont d’origine interne ; le coût moyen des fraudes par entreprise, a été estimé à 6,7 millions d’euros sur deux ans. Une étude de 2002 d’Ernst & Young auprès de 400 moyennes et grandes entreprises, dans trente pays, a donné des résultats relativement comparables : 47% des entreprises touchées par des fraudes ; 55% d’entre elle ont été commises en interne par des cadres dirigeants promus depuis moins d’un an.
Le Computer Crime and Security Institute au sein du FBI, dans son rapport 2005, donne des indications sur le coût de la sinistralité informatique aux Etats Unies. Il apparaît que les trois premières causes des sinistralités sont les attaques virales, les accès non autorisés et le vol d’informations propriétaires. Sur la base de 639 réponses, le montant global estimé est de 13 010 542 $, dont 10 495 387 $ concernant les trois causes majeures, soit un montant moyen par entreprise de 164 247 $ par an.
...