Maëva LAPRIE 
BTS SIO slam 
au lycée Gustave Eiffel

Cyber sécurité

Définition

La cyber-security appelé aussi sécurité des systèmes d'information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d'informationAujourd’hui, la sécurité est un enjeu majeur pour les entreprises ainsi que pour l’ensemble des acteurs qui l’entourent. La norme traitant des SMSI est l’ISO 27001 qui insiste sur Disponibilité – Intégrité - Confidentialité.

 

Sa finalité : 

- sur le long terme est de maintenir la confiance des utilisateurs et des clients. 

- sur le moyen terme est la cohérence de l’ensemble du système d’information. 

- sur le court terme, l’objectif est que chacun ait accès aux informations dont il a besoin. 

 

Les conséquences d'une mauvaise sécurisation peuvent concerner les organisations, mais aussi la vie privée d'une ou plusieurs personnes, notamment par la diffusion d'informations confidentielles comme leurs coordonnées bancaires, leur situation patrimoniale, leurs codes confidentiels, etc. 

De manière générale, la préservation des données relatives aux personnes fait l'objet d'obligations légales régies par la Loi Informatique et Libertés.

Aujourd'hui, il est généralement admis que la sécurité ne peut être garantie à 100 % et requiert donc le plus souvent la mobilisation d'une panoplie de mesures pour réduire les chances de pénétration des systèmes d'information.

 

 

Les objectifs

    La sécurité des systèmes d'information vise les objectifs suivants :

  1. La confidentialité : Seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.

  2. La disponibilité : Le système doit fonctionner sans faille durant les plages d'utilisation prévues et garantir l'accès aux services et ressources installées avec le temps de réponse attendu.

  3. L'intégrité : Les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets.

 
 

    D'autres aspects peuvent aussi être considérés comme des objectifs de la sécurité des systèmes l'information, tels que :

  1. La traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables.

  2. L'authentification : L'identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d'échange.

  3. La non-répudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur.

 

    Les précautions et contre-mesures doivent être envisagées en fonction des vulnérabilités propres au contexte auquel le système d'information est censé apporter service et appui

Il faut pour cela estimer :

  • la gravité des impacts au cas où les risques se réaliseraient,

  • la vraisemblance des risques (ou leur potentialité, ou encore leur probabilité d'occurrence).

 

Les formations

Ici ,vous accéder à la liste des formations en cybersécurité délivrant un titre reconnu par l’État (ministère en charge de l’enseignement supérieur ou CNCP) de niveau équivalent à Bac+3 (licence professionnelle) jusqu’à Bac+5 (master, ingénieur).

Vous pouvez acceder à la fiche de l'expert en cybersécurité est responsable de la sécurité du site Web : ici

Les formations que propose EPITA : ici

Les formations et certifications que proposent ISACA : ici

Voici un annuaire des Formations en Sécurité de l'Information par CLUSIF : ici

L'integration des solutions

Une entreprise peut avoir de façon de se protéger et de réagir face aux menaces des cyberattaques :

  • Former ses employés aux différentes formations, quelques exemples ci-dessus, pour répondre aux besoins de façon interne.
  • Ou demander à un prestataire de mettre en place un système de protections grâce à son logiciel déjà créé.

Par exemple :

  • SAS avec SAS cyber Security,
  • Ned Gairst avec Paranoid (avec son logiciel interne et non publié - Ressource) ,
  • Etc. ...