sio21925_637.pdf

17
 Page 1 sur 17 Faculté des sciences de l'administration Plan de cours Département des systèmes d’information organisationnels A2004 Université Laval SIO-21925 Sécurité, contrôle et gestion du risque 1- Objectif général  Dans un contexte où la sécurité informatique prend une place importante au sein des organisations, ce cours a pour objectif général de permettre à l’étudiant d’avoir une vision globale des actions à réaliser pour assurer la sécurité des systèmes d’information dans une organisation. 2- Objectifs spécifiques  Le cours « Sécurité, contrôle et gestion du risque » vise les objectifs spécifiques suivants: ! comprendre les concepts de base de la sécurité informatique et prendre connaissance des enjeux futurs ! connaître les facteurs clés et les expertises requises pour assurer la sécurité ! comprendre les besoins des organisations en matière de sécurité ! comprendre l’importance de la gestion des risques !  prendre connaissance s des méthodologies existantes pour l’analyse de risqu e ! connaître des stratégies pour diminuer le risque et connaître l’importance d’une  politique de la sécurité ! savoir les grandes étapes reliées à l’implantation d’un plan de la continuité ! connaître l’importance des ressources humaines pour gérer la sécurité !  prendre connaissance de l’utilité de la gestion de la sécurité lors du développement d’un système d’information !  prendre connaissance du rôle des fonctions comptabilité et marketing dans le contexte de la sécurité ! connaître les concepts de sécurité reliés à la dimension technologie ! comprendre l’importance de la sécurité physique

Upload: badr-tahir

Post on 05-Nov-2015

3 views

Category:

Documents


0 download

TRANSCRIPT

  • Page 1 sur 17

    Facult des sciences de l'administration Plan de cours Dpartement des systmes dinformation organisationnels A2004 Universit Laval SIO-21925 Scurit, contrle et gestion du risque

    1- Objectif gnral

    Dans un contexte o la scurit informatique prend une place importante au sein des organisations, ce cours a pour objectif gnral de permettre ltudiant davoir une vision globale des actions raliser pour assurer la scurit des systmes dinformation dans une organisation.

    2- Objectifs spcifiques

    Le cours Scurit, contrle et gestion du risque vise les objectifs spcifiques suivants:

    comprendre les concepts de base de la scurit informatique et prendre connaissance des enjeux futurs

    connatre les facteurs cls et les expertises requises pour assurer la scurit comprendre les besoins des organisations en matire de scurit comprendre limportance de la gestion des risques prendre connaissances des mthodologies existantes pour lanalyse de risque connatre des stratgies pour diminuer le risque et connatre limportance dune

    politique de la scurit savoir les grandes tapes relies limplantation dun plan de la continuit connatre limportance des ressources humaines pour grer la scurit prendre connaissance de lutilit de la gestion de la scurit lors du

    dveloppement dun systme dinformation prendre connaissance du rle des fonctions comptabilit et marketing dans le

    contexte de la scurit connatre les concepts de scurit relis la dimension technologie comprendre limportance de la scurit physique

  • Page 2 sur 17

    3- Le droulement du cours

    3.1 Introduction la scurit

    Dans cette sance, vous devriez en premier lieu faire les lectures de votre livre obligatoire. On y aborde d'abord l'histoire de la scurit. Par la suite, on dfinit les concepts de scurit et de scurit de l'information. Enfin on vous propose des caractristiques fondamentales de l'information. Parmi ces dernires, il en existe trois qui reviennent constamment dans le discours des professionnels en scurit: la disponibilit, l'intgrit et la confidentialit. La disponibilit concerne l'atteinte l'information lorsque l'on dsire y accder. Si notre portable est bris, nous ne pouvons pas accder l'information contenue dans ce dernier; par consquent, l'accs l'information n'est pas disponible. Quant l'intgrit, les informations ne doivent pas tre modifies par mfait ou malveillance. Enfin, on ne doit pas donner accs aux informations tous afin de respecter la confidentialit des donnes. Les auteurs parlent du triangle C.I.A. i.e. Confidendiality, Integrity et Availability; pour nous, dans la langue franaise, on nomme ce triangle le D.I.C. i.e. la Disponibilit, l'Intgrit et la Confidentialit. Cependant, en plus de ces trois caractristiques, il y en a deux autres soit l'authentification et la non-rpudiation. Ainsi on forme le sigle D.I.C.A.N. En lisant le document intitul "Les principales caractristiques de la scurit", on peut avoir une dfinition pour chacune d'elles.

    Aprs avoir termin le lecture du livre obligatoire, lisez l'article de la revue Scurit. C'est un exemple qui reflte les enjeux de plusieurs organisations.

    Visionnez la vido de la firme Nortel. Elle reflte les enjeux de la scurit pour le monde de demain. C'est un discours futuriste auquel vous serez confront dans un futur pas trs lointain et qui fait suite l'volution de la scurit que vous avez lue dans le livre obligatoire. Un des concepts importants de cette vido concerne la scurit plusieurs niveaux. Comme vous pourrez le constater, on ne peut pas scuriser 100% les actifs physiques ou informationnels et il ne faut pas tout scuriser. Il faut scuriser ce qui a de la valeur. Prenons l'exemple de votre maison et supposons que vous avez des bijoux pour une valeur de trois millions de dollars dans votre chambre coucher. Barrer les portes qui donnent accs l'intrieur de la maison est le premier niveau de scurit. Cependant, la valeur protger est tellement importante que vous mettez un deuxime niveau de scurit pour rendre la vie plus dure un potentiel voleur; vous posez une serrure la porte de votre chambre. De plus, vous estimez tant de valeur vos bijoux que vous dcidez d'acheter un coffre-fort que vous installez dans votre chambre. Ainsi, vous avez un troisime niveau de scurit. Plus vous mettez des niveaux de scurit, plus c'est difficile pour le voleur et plus vous tes en scurit. Enfin, au cours de son discours M. Denoncourt utilise le terme WEP; c'est un protocole pour encrypter les donnes.

    Pour terminer, consultez le site de la ville de Toronto montrant tous les endroits du centre-ville o l'information se propage dans l'air sans y tre protge. Une fois sur la page d'accueil, choisissez le lien "Toronto, the naked city" et cliquez sur le bouton intitul "Agree".

  • Page 3 sur 17

    3.2 La scurit et lorganisation

    Dans cette sance, vous devriez en premier lieu faire les lectures du chapitre 1 de votre livre obligatoire. On y aborde d'abord le modle NSTISSC. Grce ce modle, vous pouvez trouver les domaines o l'on doit scuriser les systmes d'information d'aujourd'hui. Prenons l'exemple de l'un des 27 domaines: la technologie du sans-fil, la transmission des donnes et la confidentialit. Cette cellule concerne donc la transmission des donnes l'aide du sans-fil o il faut protger la confidentialit des donnes transmises. Par la suite, on fait l'inventaire des actifs protger, on propose deux approches d'implantation, on dcrit le cycle de dveloppement d'un systme et d'un systme de scurit et on dfinit des termes spcifiques au jargon de la scurit. Enfin, on dcrit les rles de plusieurs professionnels en scurit. Ainsi, on s'aperoit qu'une quipe de scurit est multidisciplinaire. Par consquent, on a besoin de personnes comme vous qui ont des connaissances en gestion. Par contre, vous aurez besoin de personnes qui connaissent fond les technologies pour pouvoir les implanter. Une des leons de ce cours est que la scurit n'est pas un problme de technologie, mais un problme de gestion. vous d'en profiter. Enfin, on propose le concept de "Data Ownership". C'est un concept trs important en scurit. Qui est responsable de la scurit? Est-ce le Chief Information Security Officer (CISO)? Non, ce sont les propritaires des actifs physiques ou informationnels. Par exemple, on voit sur l'actate du MRN qui sont les dtenteurs d'information.

    Aprs avoir termin vos lectures du chapitre 1, lisez les lectures du chapitre 6. On vous parle de programme de formation et de sensibilisation. Selon Pipkin, l'erreur humaine est de loin la menace la plus rpandue contre les ressources de l'entreprise. L'erreur humaine est cause par des individus autoriss utiliser un systme informatique et elle peut tre rduite par une formation. Par exemple, un firewall mal configur laisse la porte ouverte des malfaiteurs. La technologie change rapidement et il faut former rgulirement notre personnel qui s'occupe de l'installation. Enfin, le personnel doit bien comprendre l'implication de la scurit dans l'excution de son travail. La sensibilisation est donc de mise pour tous les niveaux du personnel. De plus, elle doit tre continue, sinon on oublie. Par exemple, il faut sensibiliser le personnel garder confidentiel son mot de passe et le changer rgulirement.

    Aprs avoir termin les lectures du livre obligatoire, lisez les deux articles qui mettent l'emphase sur un principe important soit le retour sur l'investissement pour convaincre la direction. Lors d'un rencontre organise par Oracle, on me disait l'importance de tenir un discours sur le ROI (Return Of Investment) pour convaincre la direction. Il faut tre capable de trouver les mots pour librer les fonds. Par exemple, on parlera de perte de revenus (site non disponible, personne qui ne travaille pas suite la perte de la disponibilit, vol, nombre de transactions perdues, avantage concurrentiel), de perte d'image ou d'impact sur la rputation si on nous vole des informations confidentielles. Si on parle avec des mots de la technologie comme IDS ou Firewall, on passe ct des proccupations de la direction.

  • Page 4 sur 17

    Aprs avoir lu les articles de cette sance, consultez les actates du Ministre des Ressources Naturelles. Elles concrtisent les concepts prsents prcdemment (appui haute direction, sensibilisation et langage non technique) dans un ministre du Qubec.

    Pour terminer, visionnez la vido de M. Lino Cerantola. Elle reflte une organisation o la scurit est bien gre. Cela vous donnera une bonne ide comment la scurit se concrtise dans notre contexte universitaire. On y parle de culture i.e. un endroit o la formation et la sensibilisation prennent une importance capitale pour assurer la scurit. De plus, on vous parle de scurit logique qui fait appel des logiciels et de la scurit physique qui fait appel au matriel. Enfin, on parle de l'importance d'une mthodologie pour implanter la scurit. Dans le contexte de gestion de la scurit, il est trs important d'en choisir une. D'ailleurs, on vous en prsentera quelques-unes un peu plus tard dans la session.

    3.3 Les besoins de lorganisation en matire de scurit

    Dans cette sance, vous devriez en premier lieu faire les lectures du chapitre 2 de votre livre obligatoire. On y aborde d'abord les fonctions ralises par la scurit. Par la suite, on vous explique les concepts de menaces ainsi que les types de menaces. Enfin, il y a le concept d'attaque et on vous en numre les principaux types. Parmi ceux-ci, j'ai omis ceux qui taient les plus techniques.

    Aprs avoir termin les lectures du livre obligatoire, lisez les deux articles. Celui de Gonik met en vidence le concept de menace et celui du site SecuriteInfo.com met en lumire un type d'attaque qui utilise la confiance des gens. La formation et la sensibilisation en relation avec ce dernier type d'attaque sont importantes.

    Pour terminer, consultez les actates du MRN et de Danda pour connatre des faons de grer les virus et les mots de passe. Ces deux derniers thmes ont t traits dans le livre obligatoire.

    3.4 La gestion du risque

    Dans cette sance, vous devez faire les lectures du chapitre 4 de votre livre obligatoire. On y aborde la gestion du risque, l'identification du risque, l'valuation du risque et la documentation du rsultat de l'valuation du risque. C'est un chapitre majeur pour la gestion de la scurit. Pour grer le risque, il faut l'identifier. Voici quatre questions importantes entre autres:

    quelle est la valeur des actifs? Je protge ce qui a de la valeur quelles sont les vulnrabilits? quelles sont les menaces?

    Une fois que j'ai rpondu ces questions, j'value le risque: quelle est la probabilit?

  • Page 5 sur 17

    3.5 Des mthodologies pour l'analyse du risque

    Dans cette sance, vous devez d'abord faire les lectures concernant les mthodologies MARION et MEHARI. Par la suite, visionnez la vido de M. Cusson. Aprs avoir visionn la vido, lisez la mthodologie COBIT.

    Enfin, consultez les actates du MRN qui ont utilis la mthode Marion et dont on spcifie qu'elle a rpondu aux besoin du systme centralis, mais qu'elle ne peut couvrir les nouveaux environnements comme les systmes distribus.

    Que ce soit en gestion de projet (mthode du PMI), en dveloppement de systme d'information (mthode Datarun), une mthodologie est toujours ncessaire pour en assurer le succs d'un projet. De mme pour l'valuation des risques, une mthodologie est ncessaire.

    3.6 Stratgies pour diminuer le risque et politiques de scurit

    Dans cette sance, vous devriez en premier lieu faire les lectures du chapitre 5 de votre livre obligatoire. On y aborde d'abord des stratgies pour contrler le risque. Par la suite, on numre quatre catgories de contrle, mais il y en a deux qui sont importantes: les contrles par fonction et les principes de scurit. On a dj parl de la catgorie "control function" dans l'article intitul "Des arguments pour convaincre" de la sance 2. En effet, on y parle des effets bnfiques des contrles prventifs par rapport aux contrles ractifs. Cependant, on ne peut pas tout prvoir; c'est pourquoi on a besoin des contrles qui seront connus par des audits et des IDS (Intrusion Detection System). En ce qui concerne les principes de la scurit, on connat dj les principes du D.I.C.A.N. Parmi les autres principes de scurit numrs, il y a les contrles d'accs. Une fois authentifi, on se voit accorder des privilges d'accs (authorization) des fichiers bien prcis de la base de donnes. Enfin, il y a le principe de responsabilit et de confidentialit. Aprs avoir lu ces principes, vous devez lire les pages concernant deux caractristiques du risque: le risque acceptable et le risque rsiduel. On a dj abord ce thme dans le document de la mthodologie de MEHARI (grille concernant la gravit du risque).

    Aprs avoir termin vos lectures du chapitre 5, vous devez lire des sections du chapitre 6 qui concernent trois types de politique. Enfin, on vous enseigne la faon de les grer. Lors d'une confrence, on a mentionn trois points importants pour grer les politiques de scurit:

    s'assurer de communiquer la politique tous les membres de l'organisation contrler l'application des politiques rviser priodiquement la politique de scurit

    Aprs avoir termin la lecture du chapitre 6, lisez le texte intitul " quoi sert une politique de scurit". Par la suite, vous pouvez consulter deux exemples concrets d'une

  • Page 6 sur 17

    politique de scurit et un code de conduite sur l'utilisation des T.I. Enfin, consultez l'actate du MRN.

    3.7 Plan de continuit

    Dans cette sance, vous devriez en premier lieu faire les lectures de votre livre obligatoire. On y distingue d'abord trois plans diffrents: un plan de rponse un incident, un plan de recouvrement lors d'un dsastre et un plan de continuit des affaires. Par la suite, on y dcrit comment et pourquoi faire une analyse d'impact. On la qualifie de cruciale. Enfin, on dtaille le plan de la gestion des incidents.

    Aprs avoir termin vos lectures du chapitre 7, consultez les actates du MRN.

    Pour terminer, visionnez la vido de de M. Jocelyn Audette. Il vous dmontrera l'importance de l'analyse d'impact pour choisir les processus d'affaires critiques. De mme, la dtermination de l'objectif de recouvrement va permettre de choisir la stratgie adquate pour l'atteindre.

    Enfin, le plan de continuit des affaires concerne uniquement le principe de disponibilit. On peut dire que ce dernier est en conflit avec les principes d'intgrit et de confidentialit puisque plus l'information est disponible, plus elle est sujette tre attaque.

    Avec la fin de cette sance, on termine la partie I du cours. Voici la logique de cette partie:

    sance 1 et 2: on a dfini les concepts gnraux de la scurit sance 3: on a identifi les besoins gnraux de l'organisation dus aux attaques

    potentielles sance 4: on a vu la thorie pour identifier et valuer les risques sance 5: on a valu des mthodes pour prendre en charge l'identification et

    l'valuation des risques sance 6: on a identifi des stratgies pour diminuer les risques et on a vu

    l'importance de la politique de scurit, de la formation et de la sensibilisation pour assurer le succs de la stratgie choisie

    sance 7: on a prpar des plans pour grer les incidents et pour assurer la continuit des affaires lors d'un potentiel dsastre

    3.8 La scurit et la fonction ressource humaine

    Avec cette sance, on entre dans la partie II du cours. Dans celle-ci, on prend en compte la dimension humaine implique dans chaque fonction organisationnelle.

    Dans cette sance, vous devriez en premier lieu faire les lectures du chapitre 11 de votre livre obligatoire. On y positionne d'abord la fonction scurit dans la structure

  • Page 7 sur 17

    organisationnelle. Par la suite, puisqu'une quipe de scurit est multidisciplinaire, on y dcrit chacune des responsabilits ncessaires et ses pr-requis.

    En scurit, il existe aussi la possibilit d'obtenir une certification. J'ai choisi d'insister sur la certification CISSP et CISA puisque ce sont elles qui ont la vogue dans notre milieu.

    Comme futurs gestionnaires de la scurit, l'auteur de votre livre obligatoire a trouv d'excellents conseils vous donner. vous d'en profiter.

    Enfin, on prsente des politiques et des considrations relatives la gestion des ressources humaines. Par consquent, ce chapitre s'adresse la fonction des ressources humaines qui doit grer en tenant compte de la scurit. Selon la majorit des auteurs, 80% des menaces la scurit proviennent de l'interne. Connaissant cet tat de fait, il va sans dire l'importance de la gestion des ressources humaines dans un contexte de scurit.

    Aprs avoir termin vos lectures du chapitre 11, consultez l'actate du MRN qui dcrit l'organisation de la scurit.

    3.9 La scurit et la fonction production (dveloppement de systmes d'information)

    Dans cette sance, vous devriez en premier lieu faire les lectures du chapitre 10 de votre livre obligatoire. On y aborde sommairement les activits de la gestion de projets (puisque j'ai retranch les dtails de la gestion de projets). Par la suite, vous lirez plusieurs aspects tenir compte lors du projet: l'approvisionnement, l'aptitude de l'organisation faire le changement, le changement de culture des membres de l'organisation, le besoin de la gestion de projet, la supervision de l'implantation, les stratgies de conversion, la gouvernance, la rsistance au changement, etc. Tout projet, mme un projet de scurit doit tre gr selon une mthodologie. Le PMI (Project Management Institute) a dvelopp une mthodologie pour assurer le succs d'un projet. Ce succs se mesure par trois objectifs qui doivent tre atteints: le respect de l'chance, le respect du budget et la qualit du produit ou du service raliser. Un projet a une date de dbut et une date de fin. Cependant, un projet de scurit n'a pas de fin. En effet, la gestion de la scurit est un processus continu, car la technologie volue rapidement et on doit constamment rviser ou amliorer les procdures et les politiques, former et sensibiliser sans cesse le personnel. Plutt que de voir les dtails des activits de la gestion de projet, j'ai choisi de vous prsenter le rle du vrificateur interne dans le processus d'implantation de la scurit.

    Aprs avoir termin vos lectures du chapitre 10, lisez le document intitul "Le rle du vrificateur interne selon M. Clment Clment" et par la suite, visionnez la vido de Mme Sophie Du Berger. Aprs la lecture de ce document et le visionnement de cette vido, on ralise l'importance de cet acteur pour assurer le succs du projet de scurit. Le vrificateur interne a une vision globale de l'organisation et, par consquent, il est bien plac pour voir les embches menant un chec du projet. Il surveille particulirement le dveloppement des systmes d'information; il vrifie si la mthodologie du PMI est bien

  • Page 8 sur 17

    suivie pour s'assurer que le logiciel dvelopp soit de qualit. De plus, il surveille toute activit relative aux aspects mentionns du chapitre 10. Toute cette surveillance n'a qu'un objectif: assurer la disponibilit, l'intgrit et la confidentialit. Enfin, consultez l'actate du MRN qui confirme l'importance du rle du vrificateur interne dans l'implantation de la scurit.

    Pour terminer, lisez l'article intitul "Les produits certifis". De plus en plus les organisations recherchent les logiciels qui ont t dvelopps selon les normes des bonnes pratiques. Ainsi, on s'assure de la qualit des logiciels puisque toutes les tapes relatives au bon fonctionnement (analyse, conception, test, prise en compte de la scurit) de ces derniers ont t suivies.

    3.10 La scurit et les fonctions comptabilit et marketing

    La confiance est pralable toute transaction sur Internet. Les facteurs prpondrants pour la dvelopper sont la protection des renseignements personnels et la scurit des transactions financires. La prise en charge de ces deux facteurs s'applique aux fonctions comptabilit et marketing.

    En premier lieu, lisez les deux articles suivants qui introduisent l'enjeux des donnes personnelles et la scurit des transactions dans Internet:

    La protection des renseignements personnels L'avenir des paiements dans Internet demeure une affaire de confiance.

    Pour assurer la protection des donnes personnelles, l'ICCA joue un rle important. Pour le connatre, lisez l'article suivant: "L'ICCA sollicite la participation des entreprises". Enfin, pour comprendre comment assurer la scurit des donnes qui transitent sur le Web, lisez l'article intitul: "La scurit des donnes informatiques". Dans ce dernier, on parle de chiffrement, de signature lectronique et de systmes de paiement scuris (ne lisez pas les paragraphes concernant la lgislation franaise). De plus, les comptables crent des labels ou sceaux pour mettre en confiance les internautes. Lisez les deux articles suivants cet effet:

    WebTrust, le sceau de qualit BetterWeb, veut devenir le label de qualit des sites marchands

    Par la suite, consultez le site de Bell Canada pour lire l'encadr intitul "Webtrust information".

    Les comptables vrifient si les organisations utilisent adquatement leur sceau. Ainsi, ils contrlent la conformit des organisations qui adhrent leurs principes ou rfrentiel. Lisez la page 1 du document intitul "Le rfrentiel du certificat qualit "Luxembourg e-commerce Certified" et survolez les grands titres des pages suivantes. Par la suite, lisez les deux premires pages du mini guide de la scurit de l'information et survolez les questions relatives aux thmes audits. Ce mini-guide vous aidera comprendre

  • Page 9 sur 17

    comment les comptables font les audits pour vrifier si les organisations, qui adhrent leur sceau, se conforment leurs principes ou leur rfrentiel. Enfin, lisez les pages 19 et 20 du document intitul "Le certificat qualit des sites des e-commerce du grand-duch de Luxembourg" et survolez les pages 23 37. Ces dernires font rfrences diffrents labels ou sceaux et certificats. Ils sont tellement nombreux qu'on vous dit que trop de labels tue le label.

    En ce qui concerne la fonction "ventes et marketing", elle est implique pour instaurer la confiance des internautes. La lecture des deux articles suivants en tmoigne:

    Btir la confiance Instaurer la confiance sur le Web

    Ceci termine la fois cette sance et la partie II de la session. Dans cette dernire partie, on a vu l'importance de la gestion de la scurit pour l'ensemble des fonctions organisationnelles: les ressources humaines, la production (dveloppement des systmes d'information), la comptabilit et les ventes et marketing. Les gestionnaires des ressources humaines doivent s'occuper de plusieurs aspects relatifs la scurit comme l'engagement, le congdiement, la formation, la sensibilisation, etc. Par exemple, lors de l'engagement, on doit s'assurer des antcdents de la personne qui doit travailler avec de l'information sensible. Les gestionnaires de la production (dveloppement des systmes d'information) doivent assurer la gestion des dveloppements des systmes d'information en utilisant les principes de la gestion de projet du PMI. Le respect de ces derniers permet de dvelopper des logiciels de qualit pour assurer le DICAN. On a vu que le rle du vrificateur interne tait important comme intervenant qui surveille tout vnement pouvant entraver ces principes. On a vu aussi le rle de la fonction comptabilit, grce l'initiative de l'ICCA, qui consiste appliquer des contrles pour assurer la protection des renseignements personnels et concevoir des sceaux de qualit pour susciter la confiance des internautes. Ces rles ne sont qu'une partie de leurs responsabilits vis--vis le contrle informatique. Si on lit le livre de l'ICCA concernant les contrles informatiques, on s'aperoit que les comptables sont impliqus dans tous les aspects relatifs la scurit. Enfin, on a vu la place de la fonction "ventes et marketing" pour btir la confiance sur le Net. La fonction manquante dans cette partie II est la fonction finance. Cependant, elle n'est pas inactive pour autant. Dans la sance 1, on a vu l'importance de tenir un discours de ROI (return OF Investment) avec la direction. C'est donc le rle de la fonction finance calculer le ROI pour la convaincre.

    Par consquent, chaque fonction organisationnelle a un rle jouer en relation avec la scurit. Lorsque l'on qualifie la scurit de globale, cela veut dire qu'on doit prendre en compte l'ensemble des rles de l'organisation. Comme insistait M. Cerantola, il faut crer une culture de scurit. Cependant, si seulement certaines fonctions sont sensibilises, on a de grandes faiblesses. C'est comme si un parent tait sensibilis la rcupration du papier et que ses enfants jetaient au rebus ce qu'il recyclait.

    Enfin, visionnez la vido de Nortel (SSL) et passez troisime partie du cours soit la technologie.

  • Page 10 sur 17

    3.11 La scurit et la technologie

    Dans cette sance, vous devriez d'abord faire les lectures du chapitre 8 de votre livre obligatoire concernant les technologies suivantes: firewall, dial-up protection, IDS, scanning and analysis tools et l'introduction aux solutions d'encryptage. On peut qualifier les firewall et les IDS de senseurs i.e. qu'ils sont des yeux et des oreilles pour dtecter les intrusions. En ce qui concerne les outils d'analyses, ils viennent en aide aux humains. En effet, ils permettent d'analyser une foule d'informations inscrites dans les journaux; pour un humain, il est impensable de les analyser. Les lectures prcdentes ont pour objectif de vous donner une ide gnrale de ces technologies et non des informations techniques dtailles. Si celles-ci ne sont pas suffisantes pour votre comprhension, vous avez des documents supplmentaires dans la section "Pour en savoir plus..." de cette sance. Aprs avoir lu cette partie du livre obligatoire, lisez le document intitul: "Les certificats lectroniques. Pourquoi? Comment?". C'est un excellent document qui explique fort bien le concept de cls et de signatures lies au concept de certificat. Lisez-le attentivement, puisque c'est le concept le plus important dans cette sance. Aprs avoir termin la lecture de ce document, lisez le document intitul "Le PKI en quelques mots". Ce document est galement trs important puisqu'il est en relation directe avec les certificats et c'est une technologie d'avenir. Par la suite, lisez dans votre livre obligatoire la section sur les cls. Si vous avez bien compris les deux documents prcdents, ce sera de la redondance. Enfin, lisez la section de votre livre obligatoire concernant les priphriques d'accs et la biomtrie. Cette dernire section est aussi trs importante, car c'est aussi une technologie d'avenir.

    Aprs avoir termin vos lectures du chapitre 8, visionnez la vido de M. Page.

    3.12 La scurit physique

    Avec cette sance, on entre dans la partie III du cours. Dans celle-ci, on prend en compte la technologie. Cette dernire doit avoir les qualificatifs suivants selon un confrencier d'Oracle:

    rpondre un besoin identifi par l'analyse de risque tre en ligne avec la stratgie d'entreprise tre modulaire pour d'adapter l'volution tre capable d'accder des applications conviviales

    Dans cette sance, vous devriez en premier lieu faire les lectures du chapitre 9 de votre livre obligatoire. On y aborde d'abord la ncessit de la scurit physique. Par la suite, on numre plusieurs quipements pour assurer cet aspect de la scurit. De plus, on s'attarde au plus important principe de la scurit physique: la scurit des personnes qui travaillent dans l'organisation. Votre livre obligatoire indique que la menace la plus importante cet gard est l'incendie. On s'intresse aussi aux quipements secondaires, mais essentiels, qui supportent les activits de l'organisation. Par exemple, que se passerait-il s'il n'y avait pas de chauffage l'Universit Laval pendant l'hiver. Ces quipements secondaires et oprationnels, grce des quipements informatiques, sont

  • Page 11 sur 17

    essentiels pour maintenir la disponibilit des activits oprationnelles et informationnelles. De tels incidents produisent des dommages collatraux. On numre aussi les mthodes pour intercepter les donnes de l'organisation. On considre ces interceptions comme le deuxime principe le plus important en matire de scurit physique. Enfin, on s'attarde sur la scurit physique en relation avec les quipements informatiques mobiles comme le portable. Ce sont des objets de valeur trs convoits non seulement cause de la valeur du matriel, mais aussi et surtout cause de la valeur de l'information qu'ils contiennent.

    Pour terminer, consultez les actates du MRN.

    4- Cours pralable

    SIO-21936.

    5- Les approches pdagogiques

    L'atteinte des objectifs s'effectuera par les activits suivantes : des vidos, des confrenciers, des recherches, des mini-examens, un travail long et un examen final.

    6- Le site du cours

    La page daccueil vous permet daccder chacune des sances, aux valuations, au calendrier, au forum, votre dossier acadmique, au syllabus, aux coordonnes du professeur et ses disponibilits. Pour accder au contenu du site, il y a des icnes et des liens hypertexte sur la page daccueil. En voici la description :

    Licne Sances . Il permet daccder au contenu de chaque sance.

    Licne valuations . Il permet de trouver la description de chaque travail et de chaque examen. Vous y trouverez aussi la date o vous pouvez commencer le travail, la date de remise et lendroit o le remettre.

    Licne Calendrier . Il vous permet de connatre les dates importantes comme les dates de remise des travaux, etc.

  • Page 12 sur 17

    Licne Forum . Il permet daccder un forum o vous pouvez changer avec vos collgues, mais uniquement sur le sujet du cours. Vous pouvez y poser des questions qui ne sont pas dans la section Foire Aux Questions . Vos collgues ou le professeur pourront y rpondre. Vous avez un forum pour chaque sance ainsi quun forum pour chaque travail. En ayant des forums spcifiques, cela vous permet daccder linformation plus rapidement.

    Licne Foire aux Questions . Il permet daccder aux questions les plus frquemment poses. Avant de poser une question dans le forum, consultez cette section.

    Licne Courrier . Il permet lenvoi de courrier aux tudiants inscrits ce cours. Pour communiquer avec le professeur, utilisez ladresse de courrier lectronique en cliquant sur le lien Enseignant & disponibilits .

    Licne Partage . Il permet de partager des documents lors des sances en classe ou pendant les rencontres virtuelles.

    Licne Mon Dossier . Il permet daccder vos rsultats acadmiques. Votre note y est affiche ds que la correction de tous les travaux ou examens sont corrigs. Nous faisons la correction le plus vite possible, mais il faut tre conscient que cest un cours obligatoire et que le volume corriger est important. Ds que tous les travaux ou examens sont corrigs, les notes sont affiches dans votre dossier.

    Le lien Professeur et disponibilit . Grce ce lien, vous pouvez connatre les coordonnes du professeur ainsi que ses disponibilits.

    Le lien Syllabus . Grce ce lien, vous obtenez le plan du cours.

  • Page 13 sur 17

    7- Lvaluation

    Participation 10 % individuel Mini-examens 9 % quipe Recherches 6 % individuel Travail long 40 % quipe Examen final 35% individuel

    7.1 Participation

    Avant le dbut de chaque sance, vous tes tenu de faire une synthse de la matire. Ce travail a pour objectif de vous faire participer aux discussions de la classe. Il se peut qu la deuxime sance, il y ait de nouveaux arrivants qui nont pas assist la premire sance. Ils devront faire le travail de participation de la sance 2, mais ils le remettront avec le travail de participation de la sance 3. Pour raliser le travail hebdomadaire, inscrivez dans un document Word une synthse des lectures et des vidos de la semaine ainsi que vos interrogations:

    le contenu du rapport:

    le numro et le titre de la sance votre nom et prnom (pas de page de prsentation) une synthse des lectures une synthse des vidos sil y a lieu le point qui vous marqu le plus dans les lectures le point qui vous a marqu le plus dans la vido sil y a lieu la liste de vos questions (ce que vous ne comprenez pas ou de linformation

    supplmentaire)

    la forme du rapport et les contraintes:

    document Word minimum 1 page, maximum 2 pages interligne 1 grosseur des caractres : 12 le travail doit tre obligatoirement tre dpos dans la bote de dpt prvu c'est un travail personnel

    Politique relie la participation:

    Tout retard pour la remise du travail est not 0. Le travail et la prsence sont requis pour se prvaloir du point. L'omission d'une

    de ces deux conditions est note 0.

  • Page 14 sur 17

    Seul un billet du mdecin ou la preuve dun dcs dune personne proche compense l'absence en classe si le travail est remis temps.

    7.2 Les minis-examens

    Les minis-examens se font obligatoirement en quipe (minimum 2 et maximum 3). Vous devez obligatoirement former vos quipes avec le logiciel que vous trouverez dans la sance 1. la date limite de la formation des quipes, lordinateur formera des quipes avec les personnes ou les quipes non enregistres. De plus, il se peut quun membre soit ajout une quipe de deux. Le mini-examen est fait normalement en classe. Cependant pour des raisons spciales, il se peut quil soit report pour tre fait la maison. Vous devez transmettre votre rponse laide de la bote de dpt dans la section valuation avant la fin de la sance sil est fait en classe. Voici les directives pour ce travail :

    les noms de chaque co-quipier en dbut de page (pas de page de prsentation). maximum 1 page. identifiez les ides matresses en gras un paragraphe par ide matresse interligne 1 grosseur des caractres : 12 identifiez votre travail comme ceci : votre nom dquipe suivi du nom du mini-

    examen et de son numro. Ex. quipe1-examen1 les minis-examens sont faits en quipe (minimum 2, maximum 3)

    7.3 Recherches

    Les recherches ont comme objectif de mettre en lien la thorie vue au cours des sances. De plus, elles pourront vous tres utiles pour votre travail long.

    Recherchez un article sur Internet ou dans les journaux (bibliothque branche de l'Universit Laval voir FAQ du site pour savoir comment y accder). Cet article doit tre en lien avec les trois dernires sances prcdant la sance o vous devez remettre le travail. Voici ce que votre rapport devra contenir: Si le temps le permet, vous prsenterez votre recherche devant vos pairs. Pour cette raison, vous devez prparer 2 ou 3 actates.

    le contenu du rapport:

    le titre de la recherche, par exemple "Recherche numro 1 concernant les sances x,y et z

    votre nom et prnom un bref rsum de l'article dans vos propres mots

  • Page 15 sur 17

    la rfrence (lien sur l'Internet ou lien menant une page externe votre travail contenant l'article de journal ou la rfrence dun livre)

    les liens avec la matire leons tires comme gestionnaire

    la forme du rapport et les contraintes:

    document Word maximum: 1 page interligne 1 grosseur des caractres : 12 le travail doit tre obligatoirement tre dpos dans la bote de dpt prvu de

    mme que vos actates. c'est un travail personnel

    Politique de retard: tout retard sera not 0.

    7.4 Le travail long

    Lassociation de la scurit de linformation de la rgion de Qubec (ASIRQ) invite les tudiants en administration soumettre un travail de session en lien avec le thme de lanne 2004-2005 de lassociation soit : La scurit, une affaire de communication . Dans ce contexte, le travail long doit se conformer ce thme. Les critres de slection du meilleur travail vous seront communiqus ds que nous les recevrons de lassociation. La slection du meilleur travail se fera par un comit de professeurs ou de professionnels en scurit.

    Le contenu du rapport:

    La scurit, une affaire de communication

    La forme du rapport et les contraintes:

    document Word page prsentation interligne 1 grosseur des caractres : 12 nombre de pages : selon votre jugement. Mieux vaut un travail de qualit de 12

    15 pages quun travail pitre de 40 pages. le travail doit tre obligatoirement tre remis sur papier c'est un travail dquipe (minimum 2, maximum 3) Une page prsentation. Brochez votre travail dans le coin suprieur gauche. Le travail doit tre remis en classe au dbut de lexamen final

  • Page 16 sur 17

    Lvaluation. Voici quelques critres dvaluation :

    La qualit du contenu. Le lien avec les critres de slection de lASIRQ La forme du rapport La qualit du franais Un bon fil conducteur Citation des auteurs Une bibliographie

    Politique de retard: pnalit de 10 points pour une dure de deux jours. Aprs deux jours, le travail sera not 0.

    7.5 Lexamen final

    Lexamen final se tiendra pendant la priode spcifie dans la section valuations du site. Pour des raisons majeures, la Direction des programmes de premier cycle se rserve le droit de modifier lhoraire des examens de fin de session. Les tudiants doivent donc tre disponibles pour toute cette priode. Il est galement possible que les examens de fin de session des cours de soir aient lieu le jour.

    8- Plagiat

    Nous vous invitons prendre connaissance des rglements du premier cycle pour bien comprendre les consquences du plagiat. http://www.ulaval.ca/sg/reg/Reglements/Disc/infractions.html

    9- Politique pour les reprises dexamen

    Mini-examen. Seul un billet du mdecin ou le dcs dune personne proche donne droit une reprise dexamen. Voir la procdure dans la Foire aux questions section gnrale.

    Final. Remplir un formulaire ladministration du premier cycle. Les conditions de reprise sont dtermines par cette dernire.

    10- Politique pour les communications

    Dans le cadre de ce cours, toute communication doit se faire en utilisant le courrier du site du cours. Ce dernier constitue le moyen de communication officiel de lenseignant vers ltudiant. Ltudiant est donc responsable de vrifier rgulirement les courriels reus dans le courrier du site du cours.

  • Page 17 sur 17

    11- Politique pour les retards

    Tout retard est not zro, sauf pour le travail long.

    Retard tolr pour le travail long : 2 jours. Aprs ce dlai, le travail est not 0.

    12- Rfrences principales utilises dans le cours

    Matriels pdagogiques.

    MATRIELS OBLIGATOIRES pour les tudiants en classe et pour les tudiants sur Internet

    PRIX approximatif

    Principles of Information security par Whitman, Michael E. et Mattord, Herbert J., , Thomson course technology, 2003, 532 pages.

    Membre : $ Non-membre $ ??

    CD ROM $7.00 MATRIEL FACULTATIF PRIX approximatif Aucun 13. Bibliographie Danda, Matthew, La scurit sur le Web. Microsoft Press 2001, 379 pages. Gonik, Jacques, Management de la scurit informatique, AFNOR, 1996, 210 pages. Graves, John, Management roadmap to Information Security, Kent Information Services, 2000. Institut Canadien des Comptables Agrs, La gestion du contrle de linformatique, 3ime dition, 1998, 446 pages. Martel, Louise, Vzina, Michel, La cyberPME et la gestion du risque, Gurin diteur lte, Montral, 2000, 235 pages. Pipkin, Donald L., Scurit des systmes dinformation, Campus Press, 2000, 391 pages. Rfalo, Pierre-Luc, Scuriser lentreprise connecte. ditions dOrganisation, 2002, 415 pages. Whitman, Michael E. et Mattord, Herbert J., Principles of Information security, Thomson course technology, 2003, 532 pages.