PRÉSENTATION
CONDUITE D'UNE VEILLE
DEMARCHE QUALITE
TRAVAIL EN MODE PROJET
DEMARCHE DE GESTION DES RISQUES
GESTION DES RISQUES FINANCIERS
PARTIE 7 - GESTION DES RISQUES NON FINANCIERS

SECTION 2 – Vulnérabilités, risques et sécurité informatique

2.1 Les “clients” dans un réseau

Les “clients” (pour désigner un équipement) exploitent les ressources mises à disposition par les serveurs. La plupart du temps, il s’agit des ordinateurs, tablettes et smartphones, toutefois, d’autres équipements peuvent aussi être connectés : IoT (lunettes AR de type MS Hololens, montres connectées, robots et autres dispositifs accédant aux serveurs et exploitant les ressources proposées.

2.2 Les éléments nécessaires à l’interconnexion

2.2.1. Les supports de transmission

Les données sont échangées entre les serveurs et les clients grâce à des supports de transmission : connexion filaire (un câblage réseau de type Ethernet offrant une vitesse de transmission élevée), CPL et wi-fi ( moins rapide qu’une connexion filaire, mais offre davantage de souplesse en termes de mobilité dans les locaux mais nécessitant plus de sécurité grâce à une clé de chiffrement wi-fi).

2.2.2. Les matériels utilisés sur le réseau

Une puissance de transmission est nécessaire car un même serveur au sens matériel met à disposition plusieurs ressources et joue donc plusieurs rôles. Chaque rôle est assuré par le logiciel serveur (programme effectuant des interactions en réseau avec d’autres programmes appelés logiciels clients) correspondant :

  • le serveur de fichiers partage de l’espace disponible sur un ou plusieurs disques durs. Cela permet de centraliser les données des utilisateurs et de mettre des documents en commun. Il assure aussi la gestion des quotas (espace disque alloué à un utilisateur) et des autorisations d’accès selon l’utilisateur ;
  • le serveur de messagerie permet aux utilisateurs d’envoyer et de recevoir des courriers électroniques ;
  • le serveur d’impression propose les différentes imprimantes partagées sur le réseau et gère les files d’attente éventuelles lorsque plusieurs demandes d’impression concernent la même imprimante ;
  • le serveur d’applications exécute des logiciels installés sur le serveur et les rend accessibles via le réseau ;
  • le serveur d’authentification permet d’authentifier les utilisateurs sur le réseau en vérifiant la correspondance entre des éléments d’identification (login / mot de passe, biométrie), puis en leur accordant les autorisations d’accès dont ils disposent ;
  • le serveur web diffuse un ou plusieurs sites web. De plus en plus d’applications étant accessibles en « mode web » (messagerie de type « webmail », suites bureautiques en ligne), le serveur web peut jouer un rôle important dans l’accès aux applications.

Enfin, pour connecter le serveur matériel à l’ensemble des éléments cités précédemment, on utilise un commutateur (switch) voire un concentrateur (hub). Il s’agit d’un dispositif matériel qui permet de relier les différentes machines et périphériques via le câblage approprié.

2.3 Le rôle du protocole réseau TCP/IP

Pour que les machines connectées au réseau, parfois très différentes, puissent communiquer :

  • « langue  commune» ou protocole de communication, c’est-à-dire un ensemble de règles qui vont organiser la communication, sur les réseaux locaux ou sur Internet : TCP/IP (Transfer Control Protocol/Internet Protocol).
  • adresse IP pour chaque machine : identifier dans le cadre des échanges réalisés sur le réseau, permet l’acheminement des données entre la machine émettrice et la machine destinataire.

2.4 La notion de risques et menaces

Contribuer à la sécurité du système d’information (SI) nécessite de comprendre les risques susceptibles de l’affecter. Un risque peut être considéré comme un événement susceptible de causer des dommages. L’origine peut être accidentelle ou malveillante (lorsqu’il y a une volonté de nuire au fonctionnement du SI).

Une entreprise est amenée à manipuler des informations sensibles (par exemple, les données relatives à ses clients ou ses salariés) ou de grande importance. Dans certains cas, le capital informationnel constitue le cœur même de l’activité de l’entreprise (secteurs de l’assurance et de la banque, par exemple). Avec le développement des réseaux informatiques et leur fréquente ouverture sur l’extérieur via une connexion à Internet, les actifs de l’entreprise sont exposés à différentes menaces qui sont susceptibles d’avoir un impact négatif sur l’entreprise. Il faut donc repérer les éventuelles vulnérabilités et mettre en place des dispositifs de protection adaptés.

2.5 Les enjeux associés à la sécurité informatique

EnjeuExplicationExemple
La confidentialitéSeuls les utilisateurs autorisés peuvent prendre connaissance des données ou accéder à certaines ressources.RGPD : données relatives aux clients ou aux salariés ne sont consultables que par les salariés de l’entreprise habilités à avoir accès à ces données. Leurs coordonnées, leur historique d’achats, leurs données financières… ne sont pas consultables par n’importe qui.
La disponibilitéLes ressources sont accessibles et utilisables au moment où les utilisateurs en ont besoin.Les ressources informatiques devant être utilisées (le PGI…) sont effectivement opérationnelles et accessibles.
L’intégritéLes données n’ont pas subi d’altération ou de modification, accidentelle ou délibérée, les rendant non conformes à ce qu’elles sont censées représenter.Un courrier électronique est strictement identique à celui envoyé par l’émetteur sans altération par un problème technique lors de la transmission ou de façon frauduleuse par un tiers.
L’authentification et la traçabilitéL’identité des parties prenantes à un échange ou celle des utilisateurs d’une ressource partagée sur le réseau est garantie. Cela rend possible la traçabilité des opérations réalisées dans un système informatique.Il est possible d’avoir la certitude qu’un courrier électronique provenant d’un établissement financier n’a pas été émis par un tiers qui en usurpe l’identité. D’autre part, l’utilisateur à l’origine d’une opération dans le système informatique est identifiable.
La non-répudiationLes parties prenantes à un échange ne peuvent contester l’émission ou la réception d’un message.L’administration fiscale, dans le cadre des procédures de télédéclaration, délivre un document opposable attestant de la réalisation de la déclaration.
SECTION 2 – Vulnérabilités, risques et sécurité informatique