Le système d'information de l'organisation

Question 1

Quels sont les 6 “services de sécurités” ?

Answer 1

• Confidentialité : permet d’assurer qu’une information ne peut être accédée ou divulguée par des personnes, entité ou processus non autorisé.
• Intégrité des données : Permet d’assurer qu’une donnée ne peut être altérée ou détruite d’une façon non autorisée.
• Intégrité des systèmes : Permet d’assurer que toute la fonction attendue sera executée de façon complète sans manipulation non autorisée volontaire ou accidentelle.
• Authentification : Permet de s’assurer de l’origine d’un message.
• Non répudiation (ou imputabilité) : Permet d’assurer la preuve de l’authenticité d’un act, d’une communication ou d’une transaction.
• Disponibilité : Permet d’assurer l’accessibilité des informations.

Question 2

Les mesures de sécurité (techniques, opérationnelles, … ) visent à quoi ?

Answer 2

Les mesures de sécurité visent à assurer tout ou partie des sérvices de sécurité.

Question 3

C’est quoi le ROSI?

Answer 3

ROSI = Return On Security Investment

Le calcul du ROSI nécessite d’estimer les coûts liés à la sécurité

ROSI = (coût statistique des incidents sans mesures de protection) – (coût statistique des incidents avec mesures de protection) – (coût des mesures).

Le ROSI est difficile à estimer, notamment parce que le bénéfice attendu est souvent difficile à mesurer.

Question 4

En terme de politique de sécurité, le discours devrait tenir compte de 3 contextes (facteurs). Lesquels ?

Answer 4

• Le contexte économique de l’entreprise
  
  • Banque vs école
• Le contexte humain
  
  • Formation technique ou non des interlocuteurs, etc.
• Le contexte intrinsèque
  
  • Lié à la culture de l’entreprise (organisation très hiérarchique ou « à plat », par exemple) → projet plutôt orienté technique, organisationnel ou comportemental

Question 5

La sécurité du SI peut être abordée selon plusieurs approches argumentaires. Lesquels ?

Answer 5

• Approche technologique et efficacité opérationnelle
• Approche métier et analyse des risques liés à l’activité de l’entreprise
• Approche réglement et normative

Question 6

Différents arguments (6) peuvent être utilisés pour justifier une politique de sécurité. Lesquels ?

Answer 6

• Argumentation orientée preformances
• Argumentation orientée incidents
• Argumenttation orientée analyse de risques
• Argumentation orientée enjeux métier
• Argumentation orientée normes et standards
• Argumentation orientée benchmarking (se conformer à l’usage prédominant (pas toujours pertinent))

Question 7

Quelles sont les 4 phases de méthodologie?

Answer 7

• Définition du périmètre (actifs numériques)
• Définition de la nature des menaces
• Impacte de la réalisation de la menace sur le SI
• Mesure de protection à meetre en place

Question 8

Méthodologie: lister la structure de ce qui doit être pris en compte pour ISO 27002.

Answer 8

• existence d’une politiques de sécurité dans l’entreprise
• organisation de la sécurité
• classification des informations et procédures de traitement
• risque créés par le personnel et mesures de sécurité
• risque liés à l’environnement
• administration de la sécurité
• contrôle de l’accès aux informations
• développement, exploitation et maintenance des systèmes
• gestion des incidents et des informations liées à la sécurité
• plan de continuité
• audit de contrôle, légalité

Question 9

Qu’est ce qu’un système d’information ?

Answer 9

Ensemble des méthodes permettant à l’information d’être transmise, stockée et traitée.