a2004-sio-21925-plan-de-cours

Repuv - Gagnons

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

17 pages

Français

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

A propos
Informations
Extrait

Description

Page 1 sur 17 Faculté des sciences de l'administration Plan de cours Département des systèmes d’information organisationnels A2004 Université Laval SIO-21925 Sécurité, contrôle et gestion du risque 1- Objectif général Dans un contexte où la sécurité informatique prend une place importante au sein des organisations, ce cours a pour objectif général de permettre à l’étudiant d’avoir une vision globale des actions à réaliser pour assurer la sécurité des systèmes d’information dans une organisation. 2- Objectifs spécifiques Le cours « Sécurité, contrôle et gestion du risque » vise les objectifs spécifiques suivants: • comprendre les concepts de base de la sécurité informatique et prendre connaissance des enjeux futurs • connaître les facteurs clés et les expertises requises pour assurer la sécurité • comprendre les besoins des organisations en matière de sécurité • comprendre l’importance de la gestion des risques • prendre connaissances des méthodologies existantes pour l’analyse de risque • connaître des stratégies pour diminuer le risque et connaître l’importance d’une politique de la sécurité • savoir les grandes étapes reliées à l’implantation d’un plan de la continuité • connaître l’importance des ressources humaines pour gérer la sécurité • prendre connaissance de l’utilité de la gestion de la sécurité lors du développement d’un système d’information • prendre connaissance du rôle des fonctions comptabilité et marketing dans le ...

Informations

Publié par	Repuv
Nombre de lectures	60
Langue	Français

Extrait

Page 1 sur 17

Plan de cours A2004

Faculté des sciences de l'administration Département des systèmes d’information organisationnels Université Laval SIO-21925 Sécurité, contrôle et gestion du risque 1- Objectif général Dans un contexte où la sécurité informatique prend une place importante au sein des organisations, ce cours a pour objectif général de permettre à l’étudiant d’avoir une vision globale des actions à réaliser pour assurer la sécurité des systèmes d’information dans une organisation. 2- Objectifs spécifiques Le cours « Sécurité, contrôle et gestion du risque » vise les objectifs spécifiques suivants: • comprendre les concepts de base de la sécurité informatique et prendre connaissance des enjeux futurs • connaître les facteurs clés et les expertises requises pour assurer la sécurité • comprendre les besoins des organisations en matière de sécurité • comprendre l’importance de la gestion des risques • prendre connaissances des méthodologies existantes pour l’analyse de risque • connaître des stratégies pour diminuer le risque et connaître l’importance d’une politique de la sécurité • savoir les grandes étapes reliées à l’implantation d’un plan de la continuité • connaître l’importance des ressources humaines pour gérer la sécurité • prendre connaissance de l’utilité de la gestion de la sécurité lors du développement d’un système d’information • prendre connaissance du rôle des fonctions comptabilité et marketing dans le contexte de la sécurité • connaître les concepts de sécurité reliés à la dimension technologie • comprendre l’importance de la sécurité physique

Page 2 sur 17

3- Le déroulement du cours 3.1 Introduction à la sécurité Dans cette séance, vous devriez en premier lieu faire les lectures de votre livre obligatoire. On y aborde d'abord l'histoire de la sécurité. Par la suite, on définit les concepts de sécurité et de sécurité de l'information. Enfin on vous propose des caractéristiques fondamentales de l'information. Parmi ces dernières, il en existe trois qui reviennent constamment dans le discours des professionnels en sécurité: la disponibilité, l'intégrité et la confidentialité. La disponibilité concerne l'atteinte à l'information lorsque l'on désire y accéder. Si notre portable est brisé, nous ne pouvons pas accéder à l'information contenue dans ce dernier; par conséquent, l'accès à l'information n'est pas disponible. Quant à l'intégrité, les informations ne doivent pas être modifiées par méfait ou malveillance. Enfin, on ne doit pas donner accès aux informations à tous afin de respecter la confidentialité des données. Les auteurs parlent du triangle C.I.A. i.e. Confidendiality, Integrity et Availability; pour nous, dans la langue française, on nomme ce triangle le D.I.C. i.e. la Disponibilité, l'Intégrité et la Confidentialité. Cependant, en plus de ces trois caractéristiques, il y en a deux autres soit l'authentification et la non-répudiation. Ainsi on forme le sigle D.I.C.A.N. En lisant le document intitulé "Les principales caractéristiques de la sécurité", on peut avoir une définition pour chacune d'elles. Après avoir terminé le lecture du livre obligatoire, lisez l'article de la revue Sécurité. C'est un exemple qui reflète les enjeux de plusieurs organisations. Visionnez la vidéo de la firme Nortel. Elle reflète les enjeux de la sécurité pour le monde de demain. C'est un discours futuriste auquel vous serez confronté dans un futur pas très lointain et qui fait suite à l'évolution de la sécurité que vous avez lue dans le livre obligatoire. Un des concepts importants de cette vidéo concerne la sécurité à plusieurs niveaux. Comme vous pourrez le constater, on ne peut pas sécuriser à 100% les actifs physiques ou informationnels et il ne faut pas tout sécuriser. Il faut sécuriser ce qui a de la valeur. Prenons l'exemple de votre maison et supposons que vous avez des bijoux pour une valeur de trois millions de dollars dans votre chambre à coucher. Barrer les portes qui donnent accès à l'intérieur de la maison est le premier niveau de sécurité. Cependant, la valeur à protéger est tellement importante que vous mettez un deuxième niveau de sécurité pour rendre la vie plus dure à un potentiel voleur; vous posez une serrure à la porte de votre chambre. De plus, vous estimez tant de valeur à vos bijoux que vous décidez d'acheter un coffre-fort que vous installez dans votre chambre. Ainsi, vous avez un troisième niveau de sécurité. Plus vous mettez des niveaux de sécurité, plus c'est difficile pour le voleur et plus vous êtes en sécurité. Enfin, au cours de son discours M. Denoncourt utilise le terme WEP; c'est un protocole pour encrypter les données. Pour terminer, consultez le site de la ville de Toronto montrant tous les endroits du centre-ville où l'information se propage dans l'air sans y être protégée. Une fois sur la page d'accueil, choisissez le lien "Toronto, the naked city" et cliquez sur le bouton intitulé "Agree".

Page 3 sur 17

3.2 La sécurité et l’organisation Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 1 de votre livre obligatoire. On y aborde d'abord le modèle NSTISSC. Grâce à ce modèle, vous pouvez trouver les domaines où l'on doit sécuriser les systèmes d'information d'aujourd'hui. Prenons l'exemple de l'un des 27 domaines: la technologie du sans-fil, la transmission des données et la confidentialité. Cette cellule concerne donc la transmission des données à l'aide du sans-fil où il faut protéger la confidentialité des données transmises. Par la suite, on fait l'inventaire des actifs à protéger, on propose deux approches d'implantation, on décrit le cycle de développement d'un système et d'un système de sécurité et on définit des termes spécifiques au jargon de la sécurité. Enfin, on décrit les rôles de plusieurs professionnels en sécurité. Ainsi, on s'aperçoit qu'une équipe de sécurité est multidisciplinaire. Par conséquent, on a besoin de personnes comme vous qui ont des connaissances en gestion. Par contre, vous aurez besoin de personnes qui connaissent à fond les technologies pour pouvoir les implanter. Une des leçons de ce cours est que la sécurité n'est pas un problème de technologie, mais un problème de gestion. À vous d'en profiter. Enfin, on propose le concept de "Data Ownership". C'est un concept très important en sécurité. Qui est responsable de la sécurité? Est-ce le Chief Information Security Officer (CISO)? Non, ce sont les propriétaires des actifs physiques ou informationnels. Par exemple, on voit sur l'acétate du MRN qui sont les détenteurs d'information. Après avoir terminé vos lectures du chapitre 1, lisez les lectures du chapitre 6. On vous parle de programme de formation et de sensibilisation. Selon Pipkin, l'erreur humaine est de loin la menace la plus répandue contre les ressources de l'entreprise. L'erreur humaine est causée par des individus autorisés à utiliser un système informatique et elle peut être réduite par une formation. Par exemple, un firewall mal configuré laisse la porte ouverte à des malfaiteurs. La technologie change rapidement et il faut former régulièrement notre personnel qui s'occupe de l'installation. Enfin, le personnel doit bien comprendre l'implication de la sécurité dans l'exécution de son travail. La sensibilisation est donc de mise pour tous les niveaux du personnel. De plus, elle doit être continue, sinon on oublie. Par exemple, il faut sensibiliser le personnel à garder confidentiel son mot de passe et à le changer régulièrement. Après avoir terminé les lectures du livre obligatoire, lisez les deux articles qui mettent l'emphase sur un principe important soit le retour sur l'investissement pour convaincre la direction. Lors d'un rencontre organisée par Oracle, on me disait l'importance de tenir un discours sur le ROI (Return Of Investment) pour convaincre la direction. Il faut être capable de trouver les mots pour libérer les fonds. Par exemple, on parlera de perte de revenus (site non disponible, personne qui ne travaille pas suite à la perte de la disponibilité, vol, nombre de transactions perdues, avantage concurrentiel), de perte d'image ou d'impact sur la réputation si on nous vole des informations confidentielles. Si on parle avec des mots de la technologie comme IDS ou Firewall, on passe à côté des préoccupations de la direction.

Page 4 sur 17

Après avoir lu les articles de cette séance, consultez les acétates du Ministère des Ressources Naturelles. Elles concrétisent les concepts présentés précédemment (appui haute direction, sensibilisation et langage non technique) dans un ministère du Québec. Pour terminer, visionnez la vidéo de M. Lino Cerantola. Elle reflète une organisation où la sécurité est bien gérée. Cela vous donnera une bonne idée comment la sécurité se concrétise dans notre contexte universitaire. On y parle de culture i.e. un endroit où la formation et la sensibilisation prennent une importance capitale pour assurer la sécurité. De plus, on vous parle de sécurité logique qui fait appel à des logiciels et de la sécurité physique qui fait appel au matériel. Enfin, on parle de l'importance d'une méthodologie pour implanter la sécurité. Dans le contexte de gestion de la sécurité, il est très important d'en choisir une. D'ailleurs, on vous en présentera quelques-unes un peu plus tard dans la session. 3.3 Les besoins de l’organisation en matière de sécurité Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 2 de votre livre obligatoire. On y aborde d'abord les fonctions réalisées par la sécurité. Par la suite, on vous explique les concepts de menaces ainsi que les types de menaces. Enfin, il y a le concept d'attaque et on vous en énumère les principaux types. Parmi ceux-ci, j'ai omis ceux qui étaient les plus techniques. Après avoir terminé les lectures du livre obligatoire, lisez les deux articles. Celui de Gonik met en évidence le concept de menace et celui du site SecuriteInfo.com met en lumière un type d'attaque qui utilise la confiance des gens. La formation et la sensibilisation en relation avec ce dernier type d'attaque sont importantes. Pour terminer, consultez les acétates du MRN et de Danda pour connaître des façons de gérer les virus et les mots de passe. Ces deux derniers thèmes ont été traités dans le livre obligatoire. 3.4 La gestion du risque Dans cette séance, vous devez faire les lectures du chapitre 4 de votre livre obligatoire. On y aborde la gestion du risque, l'identification du risque, l'évaluation du risque et la documentation du résultat de l'évaluation du risque. C'est un chapitre majeur pour la gestion de la sécurité. Pour gérer le risque, il faut l'identifier. Voici quatre questions importantes entre autres: • quelle est la valeur des actifs? Je protège ce qui a de la valeur • quelles sont les vulnérabilités? • quelles sont les menaces? Une fois que j'ai répondu à ces questions, j'évalue le risque: quelle est la probabilité?

Page 5 sur 17

3.5 Des méthodologies pour l'analyse du risque Dans cette séance, vous devez d'abord faire les lectures concernant les méthodologies MARION et MEHARI. Par la suite, visionnez la vidéo de M. Cusson. Après avoir visionné la vidéo, lisez la méthodologie COBIT. Enfin, consultez les acétates du MRN qui ont utilisé la méthode Marion et dont on spécifie qu'elle a répondu aux besoin du système centralisé, mais qu'elle ne peut couvrir les nouveaux environnements comme les systèmes distribués. Que ce soit en gestion de projet (méthode du PMI), en développement de système d'information (méthode Datarun), une méthodologie est toujours nécessaire pour en assurer le succès d'un projet. De même pour l'évaluation des risques, une méthodologie est nécessaire. 3.6 Stratégies pour diminuer le risque et politiques de sécurité Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 5 de votre livre obligatoire. On y aborde d'abord des stratégies pour contrôler le risque. Par la suite, on énumère quatre catégories de contrôle, mais il y en a deux qui sont importantes: les contrôles par fonction et les principes de sécurité. On a déjà parlé de la catégorie "control function" dans l'article intitulé "Des arguments pour convaincre de la séance 2. En effet, " on y parle des effets bénéfiques des contrôles préventifs par rapport aux contrôles réactifs. Cependant, on ne peut pas tout prévoir; c'est pourquoi on a besoin des contrôles qui seront connus par des audits et des IDS (Intrusion Detection System). En ce qui concerne les principes de la sécurité, on connaît déjà les principes du D.I.C.A.N. Parmi les autres principes de sécurité énumérés, il y a les contrôles d'accès. Une fois authentifié, on se voit accorder des privilèges d'accès (authorization) à des fichiers bien précis de la base de données. Enfin, il y a le principe de responsabilité et de confidentialité. Après avoir lu ces principes, vous devez lire les pages concernant deux caractéristiques du risque: le risque acceptable et le risque résiduel. On a déjà abordé ce thème dans le document de la méthodologie de MEHARI (grille concernant la gravité du risque). Après avoir terminé vos lectures du chapitre 5, vous devez lire des sections du chapitre 6 qui concernent trois types de politique. Enfin, on vous enseigne la façon de les gérer. Lors d'une conférence, on a mentionné trois points importants pour gérer les politiques de sécurité: • s'assurer de communiquer la politique à tous les membres de l'organisation • contrôler l'application des politiques • réviser périodiquement la politique de sécurité Après avoir terminé la lecture du chapitre 6, lisez le texte intitulé "À quoi sert une politique de sécurité". Par la suite, vous pouvez consulter deux exemples concrets d'une

Page 6 sur 17

politique de sécurité et un code de conduite sur l'utilisation des T.I. Enfin, consultez l'acétate du MRN. 3.7 Plan de continuité Dans cette séance, vous devriez en premier lieu faire les lectures de votre livre obligatoire. On y distingue d'abord trois plans différents: un plan de réponse à un incident, un plan de recouvrement lors d'un désastre et un plan de continuité des affaires. Par la suite, on y décrit comment et pourquoi faire une analyse d'impact. On la qualifie de cruciale. Enfin, on détaille le plan de la gestion des incidents. Après avoir terminé vos lectures du chapitre 7, consultez les acétates du MRN. Pour terminer, visionnez la vidéo de de M. Jocelyn Audette. Il vous démontrera l'importance de l'analyse d'impact pour choisir les processus d'affaires critiques. De même, la détermination de l'objectif de recouvrement va permettre de choisir la stratégie adéquate pour l'atteindre. Enfin, le plan de continuité des affaires concerne uniquement le principe de disponibilité. On peut dire que ce dernier est en conflit avec les principes d'intégrité et de confidentialité puisque plus l'information est disponible, plus elle est sujette à être attaquée. Avec la fin de cette séance, on termine la partie I du cours. Voici la logique de cette partie: • séance 1 et 2: on a défini les concepts généraux de la sécurité • séance 3: on a identifié les besoins généraux de l'organisation dus aux attaques potentielles • séance 4: on a vu la théorie pour identifier et évaluer les risques • séance 5: on a évalué des méthodes pour prendre en charge l'identification et l'évaluation des risques • séance 6: on a identifié des stratégies pour diminuer les risques et on a vu l'importance de la politique de sécurité, de la formation et de la sensibilisation pour assurer le succès de la stratégie choisie • séance 7: on a préparé des plans pour gérer les incidents et pour assurer la continuité des affaires lors d'un potentiel désastre 3.8 La sécurité et la fonction ressource humaine Avec cette séance, on entre dans la partie II du cours. Dans celle-ci, on prend en compte la dimension humaine impliquée dans chaque fonction organisationnelle. Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 11 de votre livre obligatoire. On y positionne d'abord la fonction sécurité dans la structure

Page 7 sur 17

organisationnelle. Par la suite, puisqu'une équipe de sécurité est multidisciplinaire, on y décrit chacune des responsabilités nécessaires et ses pré-requis. En sécurité, il existe aussi la possibilité d'obtenir une certification. J'ai choisi d'insister sur la certification CISSP et CISA puisque ce sont elles qui ont la vogue dans notre milieu. Comme futurs gestionnaires de la sécurité, l'auteur de votre livre obligatoire a trouvé d'excellents conseils à vous donner. À vous d'en profiter. Enfin, on présente des politiques et des considérations relatives à la gestion des ressources humaines. Par conséquent, ce chapitre s'adresse à la fonction des ressources humaines qui doit gérer en tenant compte de la sécurité. Selon la majorité des auteurs, 80% des menaces à la sécurité proviennent de l'interne. Connaissant cet état de fait, il va sans dire l'importance de la gestion des ressources humaines dans un contexte de sécurité. Après avoir terminé vos lectures du chapitre 11, consultez l'acétate du MRN qui décrit l'organisation de la sécurité. 3.9 La sécurité et la fonction production (développement de systèmes d'information) Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 10 de votre livre obligatoire. On y aborde sommairement les activités de la gestion de projets (puisque j'ai retranché les détails de la gestion de projets). Par la suite, vous lirez plusieurs aspects à tenir compte lors du projet: l'approvisionnement, l'aptitude de l'organisation à faire le changement, le changement de culture des membres de l'organisation, le besoin de la gestion de projet, la supervision de l'implantation, les stratégies de conversion, la gouvernance, la résistance au changement, etc. Tout projet, même un projet de sécurité doit être géré selon une méthodologie. Le PMI (Project Management Institute) a développé une méthodologie pour assurer le succès d'un projet. Ce succès se mesure par trois objectifs qui doivent être atteints: le respect de l'échéance, le respect du budget et la qualité du produit ou du service à réaliser. Un projet a une date de début et une date de fin. Cependant, un projet de sécurité n'a pas de fin. En effet, la gestion de la sécurité est un processus continu, car la technologie évolue rapidement et on doit constamment réviser ou améliorer les procédures et les politiques, former et sensibiliser sans cesse le personnel. Plutôt que de voir les détails des activités de la gestion de projet, j'ai choisi de vous présenter le rôle du vérificateur interne dans le processus d'implantation de la sécurité. Après avoir terminé vos lectures du chapitre 10, lisez le document intitulé "Le rôle du vérificateur interne selon M. Clément Clément" et par la suite, visionnez la vidéo de Mme Sophie Du Berger. Après la lecture de ce document et le visionnement de cette vidéo, on réalise l'importance de cet acteur pour assurer le succès du projet de sécurité. Le vérificateur interne a une vision globale de l'organisation et, par conséquent, il est bien placé pour voir les embûches menant à un échec du projet. Il surveille particulièrement le développement des systèmes d'information; il vérifie si la méthodologie du PMI est bien

Page 8 sur 17

suivie pour s'assurer que le logiciel développé soit de qualité. De plus, il surveille toute activité relative aux aspects mentionnés du chapitre 10. Toute cette surveillance n'a qu'un objectif: assurer la disponibilité, l'intégrité et la confidentialité. Enfin, consultez l'acétate du MRN qui confirme l'importance du rôle du vérificateur interne dans l'implantation de la sécurité. Pour terminer, lisez l'article intitulé "Les produits certifiés". De plus en plus les organisations recherchent les logiciels qui ont été développés selon les normes des bonnes pratiques. Ainsi, on s'assure de la qualité des logiciels puisque toutes les étapes relatives au bon fonctionnement (analyse, conception, test, prise en compte de la sécurité) de ces derniers ont été suivies. 3.10 La sécurité et les fonctions comptabilité et marketing La confiance est préalable à toute transaction sur Internet. Les facteurs prépondérants pour la développer sont la protection des renseignements personnels et la sécurité des transactions financières. La prise en charge de ces deux facteurs s'applique aux fonctions comptabilité et marketing. En premier lieu, lisez les deux articles suivants qui introduisent l'enjeux des données personnelles et la sécurité des transactions dans Internet: • La protection des renseignements personnels L avenir des paiements dans Internet demeure une affaire de confiance. ' • Pour assurer la protection des données personnelles, l'ICCA joue un rôle important. Pour le connaître, lisez l'article suivant: "L'ICCA sollicite la participation des entreprises". Enfin, pour comprendre comment assurer la sécurité des données qui transitent sur le Web, lisez l'article intitulé: "La sécurité des données informatiques". Dans ce dernier, on parle de chiffrement, de signature électronique et de systèmes de paiement sécurisé (ne lisez pas les paragraphes concernant la législation française). De plus, les comptables créent des labels ou sceaux pour mettre en confiance les internautes. Lisez les deux articles suivants à cet effet: • WebTrust, le sceau de qualité • BetterWeb, veut devenir le label de qualité des sites marchands Par la suite, consultez le site de Bell Canada pour lire l'encadré intitulé "Webtrust information". Les comptables vérifient si les organisations utilisent adéquatement leur sceau. Ainsi, ils contrôlent la conformité des organisations qui adhèrent à leurs principes ou référentiel. Lisez la page 1 du document intitulé "Le référentiel du certificat qualité "Luxembourg e-commerce Certified" et survolez les grands titres des pages suivantes. Par la suite, lisez les deux premières pages du mini guide de la sécurité de l'information et survolez les questions relatives aux thèmes audités. Ce mini-guide vous aidera à comprendre

Page 9 sur 17

comment les comptables font les audits pour vérifier si les organisations, qui adhèrent à leur sceau, se conforment à leurs principes ou à leur référentiel. Enfin, lisez les pages 19 et 20 du document intitulé "Le certificat qualité des sites des e-commerce du grand-duché de Luxembourg" et survolez les pages 23 à 37. Ces dernières font références à différents labels ou sceaux et certificats. Ils sont tellement nombreux qu'on vous dit que trop de labels tue le label. En ce qui concerne la fonction "ventes et marketing", elle est impliquée pour instaurer la confiance des internautes. La lecture des deux articles suivants en témoigne: • Bâtir la confiance • Instaurer la confiance sur le Web Ceci termine à la fois cette séance et la partie II de la session. Dans cette dernière partie, on a vu l'importance de la gestion de la sécurité pour l'ensemble des fonctions organisationnelles: les ressources humaines, la production (développement des systèmes d'information), la comptabilité et les ventes et marketing. Les gestionnaires des ressources humaines doivent s'occuper de plusieurs aspects relatifs à la sécurité comme l'engagement, le congédiement, la formation, la sensibilisation, etc. Par exemple, lors de l'engagement, on doit s'assurer des antécédents de la personne qui doit travailler avec de l'information sensible. Les gestionnaires de la production (développement des systèmes d'information) doivent assurer la gestion des développements des systèmes d'information en utilisant les principes de la gestion de projet du PMI. Le respect de ces derniers permet de développer des logiciels de qualité pour assurer le DICAN. On a vu que le rôle du vérificateur interne était important comme intervenant qui surveille tout événement pouvant entraver ces principes. On a vu aussi le rôle de la fonction comptabilité, grâce à l'initiative de l'ICCA, qui consiste à appliquer des contrôles pour assurer la protection des renseignements personnels et à concevoir des sceaux de qualité pour susciter la confiance des internautes. Ces rôles ne sont qu'une partie de leurs responsabilités vis-à-vis le contrôle informatique. Si on lit le livre de l'ICCA concernant les contrôles informatiques, on s'aperçoit que les comptables sont impliqués dans tous les aspects relatifs à la sécurité. Enfin, on a vu la place de la fonction "ventes et marketing" pour bâtir la confiance sur le Net. La fonction manquante dans cette partie II est la fonction finance. Cependant, elle n'est pas inactive pour autant. Dans la séance 1, on a vu l'importance de tenir un discours de ROI (return OF Investment) avec la direction. C'est donc le rôle de la fonction finance à calculer le ROI pour la convaincre. Par conséquent, chaque fonction organisationnelle a un rôle à jouer en relation avec la sécurité. Lorsque l'on qualifie la sécurité de globale, cela veut dire qu'on doit prendre en compte l'ensemble des rôles de l'organisation. Comme insistait M. Cerantola, il faut créer une culture de sécurité. Cependant, si seulement certaines fonctions sont sensibilisées, on a de grandes faiblesses. C'est comme si un parent était sensibilisé à la récupération du papier et que ses enfants jetaient au rebus ce qu'il recyclait. Enfin, visionnez la vidéo de Nortel (SSL) et passez à troisième partie du cours soit la technologie.

Page 10 sur 17

3.11 La sécurité et la technologie Dans cette séance, vous devriez d'abord faire les lectures du chapitre 8 de votre livre obligatoire concernant les technologies suivantes: firewall, dial-up protection, IDS, scanning and analysis tools et l'introduction aux solutions d'encryptage. On peut qualifier les firewall et les IDS de senseurs i.e. qu'ils sont des yeux et des oreilles pour détecter les intrusions. En ce qui concerne les outils d'analyses, ils viennent en aide aux humains. En effet, ils permettent d'analyser une foule d'informations inscrites dans les journaux; pour un humain, il est impensable de les analyser. Les lectures précédentes ont pour objectif de vous donner une idée générale de ces technologies et non des informations techniques détaillées. Si celles-ci ne sont pas suffisantes pour votre compréhension, vous avez des documents supplémentaires dans la section "Pour en savoir plus..." de cette séance. Après avoir lu cette partie du livre obligatoire, lisez le document intitulé: "Les certificats électroniques. Pourquoi? Comment?". C'est un excellent document qui explique fort bien le concept de clés et de signatures liées au concept de certificat. Lisez-le attentivement, puisque c'est le concept le plus important dans cette séance. Après avoir terminé la lecture de ce document, lisez le document intitulé "Le PKI en quelques mots". Ce document est également très important puisqu'il est en relation directe avec les certificats et c'est une technologie d'avenir. Par la suite, lisez dans votre livre obligatoire la section sur les clés. Si vous avez bien compris les deux documents précédents, ce sera de la redondance. Enfin, lisez la section de votre livre obligatoire concernant les périphériques d'accès et la biométrie. Cette dernière section est aussi très importante, car c'est aussi une technologie d'avenir. Après avoir terminé vos lectures du chapitre 8, visionnez la vidéo de M. Page. 3.12 La sécurité physique Avec cette séance, on entre dans la partie III du cours. Dans celle-ci, on prend en compte la technologie. Cette dernière doit avoir les qualificatifs suivants selon un conférencier d'Oracle: • répondre à un besoin identifié par l'analyse de risque • être en ligne avec la stratégie d'entreprise • être modulaire pour d'adapter à l'évolution • être capable d'accéder à des applications conviviales Dans cette séance, vous devriez en premier lieu faire les lectures du chapitre 9 de votre livre obligatoire. On y aborde d'abord la nécessité de la sécurité physique. Par la suite, on énumère plusieurs équipements pour assurer cet aspect de la sécurité. De plus, on s'attarde au plus important principe de la sécurité physique: la sécurité des personnes qui travaillent dans l'organisation. Votre livre obligatoire indique que la menace la plus importante à cet égard est l'incendie. On s'intéresse aussi aux équipements secondaires, mais essentiels, qui supportent les activités de l'organisation. Par exemple, que se passerait-il s'il n'y avait pas de chauffage à l'Université Laval pendant l'hiver. Ces équipements secondaires et opérationnels, grâce à des équipements informatiques, sont

Page 11 sur 17

essentiels pour maintenir la disponibilité des activités opérationnelles et informationnelles. De tels incidents produisent des dommages collatéraux. On énumère aussi les méthodes pour intercepter les données de l'organisation. On considère ces interceptions comme le deuxième principe le plus important en matière de sécurité physique. Enfin, on s'attarde sur la sécurité physique en relation avec les équipements informatiques mobiles comme le portable. Ce sont des objets de valeur très convoités non seulement à cause de la valeur du matériel, mais aussi et surtout à cause de la valeur de l'information qu'ils contiennent. Pour terminer, consultez les acétates du MRN. 4- Cours préalable SIO-21936. 5- Les approches pédagogiques L'atteinte des objectifs s'effectuera par les activités suivantes : des vidéos, des conférenciers, des recherches, des mini-examens, un travail long et un examen final. 6- Le site du cours La page d’accueil vous permet d’accéder à chacune des séances, aux évaluations, au calendrier, au forum, à votre dossier académique, au syllabus, aux coordonnées du professeur et à ses disponibilités. Pour accéder au contenu du site, il y a des icônes et des liens hypertexte sur la page d’accueil. En voici la description : L’icône « Séances ». Il permet d’accéder au contenu de chaque séance. L’icône « Évaluations ». Il permet de trouver la description de chaque travail et de chaque examen. Vous y trouverez aussi la date où vous pouvez commencer le travail, la date de remise et l’endroit où le remettre. L’icône « Calendrier ». Il vous permet de connaître les dates importantes comme les dates de remise des travaux, etc.