Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Université Saad DAHLAB - Blida 1 Faculté des sciences Département d’Informatiqu

Université Saad DAHLAB - Blida 1 Faculté des sciences Département d’Informatique Mémoire présenté par : M. BEHLOULI Zakaria Pour l’obtention du diplôme de Master Domaine : Mathématique et Informatique Filière : Informatique Spécialité : Sécurité des systèmes d’information Soutenu le : 19 octobre 2019 Devant le jury composé de : Mme Ghebghoub Présidente Université de Blida 1 Mme Bey Examinatrice Université de Blida 1 Mme. MEZZI Melyara Promotrice Université de Blida 1 Sujet : Planification d’un Système de Management de la Sécurité de l’Information selon la famille des normes ISO 2700X X Remerciements Je voudrais exprimer mes sentiments les plus sincères envers les personnes qui ont fait tout leur possible pour que ce travail puisse voir le jour. Tout d’abord, je tiens à remercier, Mme MEZZI pour son aide et ses conseils, son soutien et ses encouragements qui ont été déterminants pour que ce projet voit le jour. Je tiens à exprimer ma gratitude à Mme BOUSTIA, enseignant chercheur et responsable de notre spécialité, qui nous a encadré efficacement tout au long de notre cycle master. Je remercie aussi, le Groupe SIM à sa tête monsieur Taib zghaimi Farid PDG du Groupe, qui nous ont bien accueille et qui ont tous fait pour que notre séjour dans leur établissement soit agréable. Je tiens a remercié aussi madame Ameur Karima pour son aide et sa présence, son encadrement et pour sa proposition de se thème qui ma permet d’avoir des perspectifs par rapport à ma vie professionnelle dans l’avenir prochain. Je remercie les membres du jury pour la grande attention qu’ils ont bien voulu porter à mon travail. Pour conclure, je garde une place toute particulière à ma famille, et surtout mes parents. Pour leur encouragement et les sacrifices qu’ont fait pour moi et mes sœurs. Rien n’aurait été possible sans votre présence et votre soutien. Résumé L’implantation d’un système d’information fiable, opérant avec un contrôle continu et une sécurité maximale, est devenue l’objectif à atteindre pour tous type d’organisation quelle que soit son contexte ou son domaine d’activité. Compte tenu du niveau d'exposition aux risques et de la dépendance vitale des organisations vis-à-vis de leurs systèmes d'information, il est crucial de prêter attention aux exigences de sécurité. La réalisation d'un équilibre entre la sécurité et l'efficacité du système d’information est une tâche complexe qui exige au préalable une analyse approfondie du contexte organisationnel. Elle nécessite également l'identification, l'analyse, et la gestion des risques encourus par l’entreprise. Dans le cadre de notre projet de mise en place d’un système de management de la sécurité d’information, nous avons réussie à aboutir de la phase la plus essentiel, celle de sa planification en auditant le système actuel, et en analysant les risques encourus par ce dernier, nous proposons, pour cela, une base de connaissance des menaces et des vulnérabilités en plus d’une politique de sécurité des systèmes d’information dériver des exigences de sécurité recommander par l’ISO, Mots clés Exigences de sécurité, Analyse des risques, Audit, Menaces, Vulnérabilités Abstract The implementation of a reliable information system, operating with continuous monitoring and maximum security, has become the objective to be achieved for all types of organizations whatever their context or field of activity. Given the level of exposure to risk and the vital reliance of organizations on their information systems, it is crucial to pay attention to security requirements. Achieving a balance between security and the effectiveness of the information system is a complex task that requires a thorough analysis of the organizational context. It also requires the identification, analysis, and management of the risks incurred by the company. As part of our project to set up an information security management system, we have managed to reach the most essential phase, that of its planning by auditing the current system, and by analyzing the risks. incurred by the latter, we propose, for this, a knowledge base of threats and vulnerabilities in addition to an information system security policy derive from the security requirements recommended by the ISO, Keywords Security Requirements, Risk Analysis, Audit, Threats, Vulnerabilities. ملخص أصبح تطبيق نظام معلومات ،موثوق يعمل على المراقبة المستمرة واألمن األقصى ا لهدف المراد تحقيقه من طرق مختلف المؤسسات بغض النظر عن سياقها أو مجال نشاطها. بالنظر إلى مستوى التعرض للمخاطر واالعتماد الحيوي للمنظمات على نظم المعلومات الخاصة بها .يعد تحقيق توازن بين األمن وفعالية نظام المعلومات مهمة معقدة تتطلب ًتحليل ًشامل للسياق التنظيمي .كما يتطلب تحديد وتحليل وإدارة المخاطر التي تتكبدها الشركة. كجزء من مشروعنا إلنشاء نظام إلدارة أمن ،المعلومات تمكنا من الوصول إلى المرحلة األكثر ،أهمية وهي مرحلة التخطيط من خلل التدقيق ومراجعة النظام ،الحالي وتحليل المخاطر .التي ،استخرجناها بفضل هذه المراجعة حيث نقترح في هذا العمل، قاعدة معرفة للتهديدات ونقاط الضعف باإلضا فة إلى سياسة أمن نظام المعلومات المستمدة من متطلبات األمان التي أوصت بها المنظمة الدولية للمقاييس كلمات محورية متطلبات ،األمان تحليل المخاطر، ا لتدقيق، ،التهديدات نقاط الضعف. Table des matières Liste des figures Liste des tableaux Liste des acronymes Introduction générale 1 Les systèmes de management de sécurité des systèmes d’information............................. 10 1.1 Qu’est-ce qu’un système de management ? ............................................................... 10 Principaux systèmes de management ................................................................. 10 Apports des systèmes de management ............................................................... 11 Démarche d’auto-évaluation selon le modèle PDCA ........................................... 12 1.2 Sécurité de l’information ............................................................................................. 13 Objectif de la sécurité de l’information ............................................................... 14 Terminologie relative à la sécurité informatique ................................................ 15 1.3 Historique des normes de sécurité d’information ....................................................... 15 1.4 La norme ISO 27001 ..................................................................................................... 17 Objectifs de la norme ........................................................................................... 17 Structure de la norme .......................................................................................... 17 Annexe A .............................................................................................................. 19 1.5 La norme ISO 27002 ..................................................................................................... 19 Présentation de la norme .................................................................................... 19 Structure générale ............................................................................................... 19 Extrait de l'ISO 27002 ........................................................................................... 20 1.6 La norme ISO 27005 ..................................................................................................... 21 1.7 Méthodologies de gestion des risques ........................................................................ 22 EBIOS RM ............................................................................................................. 22 MEHARI ................................................................................................................ 22 Comparaison des deux méthodes ........................................................................ 23 Choix de la méthodologie .................................................................................... 23 1.8 Conclusion .................................................................................................................... 24 Chapitre II ................................................................................................................................ 10 Contexte et Périmètre d’étude ................................................................................................ 10 2 Introduction ......................................................................................................................... 26 2.1 Contexte de l’organisme .............................................................................................. 26 Introduction ......................................................................................................... 26 Présentation de l’organisme d’accueil ................................................................. 27 Présentation du département (SI) système d’information .................................. 28 Organigramme de la DSI ..................................................................................... 28 Description du système d’information ................................................................ 29 Aspects de sécurité existante .............................................................................. 31 2.2 Périmètre d’étude ........................................................................................................ 31 Qu’est-ce qu’un ERP ? .......................................................................................... 32 Architecture de l’ERP ........................................................................................... 32 ERP et sécurité ..................................................................................................... 33 2.3 Conclusion .................................................................................................................... 34 3 Introduction ......................................................................................................................... 36 3.1 Objectif de l’audit organisationnel et physique ........................................................... 36 3.2 Analyse des résultats de l’Audit organisationnel et physique ..................................... 36 Paramètre d’analyse de l’audit ............................................................................ 36 Analyse des résultats de l’Audit ........................................................................... 37 4 Analyse des risques .............................................................................................................. 46 4.1 Approche d’analyse des risques................................................................................... 46 4.2 Paramètre d’évaluation du risque ............................................................................... 47 L’impact ................................................................................................................ 47 La potentialité ...................................................................................................... 48 4.3 Evaluation de la potentialité et de l’impact ................................................................. 48 Evaluation de potentialité .................................................................................... 49 Evaluation de l’impact .......................................................................................... 50 Evaluation de la gravité de risque ........................................................................ 51 4.4 Application de la démarche : ....................................................................................... 51 Identification et classification des ressources : ................................................... 52 Création d’une base spécifique de scénarios : ..................................................... 53 4.5 L’impact des scénarios recensé ................................................................................... 57 Pour le Serveur ERP : ............................................................................................ 57 Pour le Serveur de données : ............................................................................... 58 4.6 Evaluation quantitative des scénarios ......................................................................... 58 Pour le Serveur ERP : ............................................................................................ 59 Pour le Serveur de données : ............................................................................... 59 4.7 Le traitement des risques ............................................................................................ 60 Sélection de plans d’action par famille de scénarios ........................................... 60 Conclusion : .......................................................................................................... 62 Chapitre V ............................................................................................................................... 63 Politique de sécurité des systèmes d’information et recommandations ................................ 63 5 Politique de sécurité des systèmes d’information et recommandations ............................ 64 5.1 Politique de sécurité des systèmes d’information ....................................................... 64 But de la politique de sécurité ............................................................................. 64 Périmètre de la politique de sécurité et domaine d’application ......................... 64 Structure du document ........................................................................................ 64 5.2 Recommandation d’ordre organisationnel et physique .............................................. 67 Séparation et réorganisation des tâches liées à la sécurité ................................. 67 Formation et sensibilisation des utilisateurs ....................................................... 68 Classification des ressources ................................................................................ 68 Protection des ressources et des actifs ............................................................... 68 Valorisation des audits ......................................................................................... 69 Mettre en place une procédure formalisée pour la gestion des utilisateurs ...... 69 5.3 Conclusion .................................................................................................................... 69 Liste de figures Figure 1: Structure de la norme ISO 27001 :2013 [5] ................................................................... 18 Figure 2:Fiche d’identité de Sim Agro SPA. ............................................................................... 27 Figure 3:Organigramme de la DSI. .............................................................................................. 28 Figure 4:histogramme du niveau de maturité de la Sim Agro par chapitre ................................. 38 Figure 5: démarche d’analyse de risque ....................................................................................... 46 Figure 6: processus d’estimation des risques MEHARI [4] .......................................................... 49 Liste de tableaux Tableau 1: référentiels des systèmes de management .................................................................. 10 Tableau 2: comparaison entre EBIOS RM et MEHARI .............................................................. 23 Tableau 3 : Les serveurs en exploitation. ..................................................................................... 29 Tableau 4: Logiciels et applications. ............................................................................................ 30 Tableau 5 : Les équipements réseau. ........................................................................................... 30 Tableau 6: niveaux de maturité .................................................................................................... 37 Tableau 7: grille d’acceptabilité des risques ................................................................................ 51 Tableau 8:niveau de risque .......................................................................................................... 51 Tableau 9:Ressources Matérielles et Humaines ........................................................................... 52 Tableau 10:Base des scénarios et leur impact sur le Serveur uploads/Management/behlouli-zakaria-planification-d-x27-un-systeme-de-management-de-la.pdf