Hanen Bensaad, profile picture
Téléchargé parHanen Bensaad
PPTX, PDF1,034 vues

Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

Le document traite des aspects réglementaires de la sécurité informatique en Tunisie, en se basant sur la loi n° 2004-5 qui établit les règles générales de protection des systèmes informatiques. Il présente notamment les missions de l'Agence Nationale de la Sécurité Informatique (ANSI), les exigences d'audit de sécurité et les normes internationales associées. Enfin, il aborde la pénalisation de la cybercriminalité pour protéger les systèmes d'information.

Intégrer la présentation

Téléchargé 37 fois
ASPECTS RÉGLEMENTAIRES DE LA S.S.I EN TUNISIE SUJET : Université de la Manouba École Supérieure d’Économie Numérique Elaboré par: Hanen Ben Saad Seifeddine Dridi Ahmed Amina Douiri Proposé par: Mr Mohamed BENDANA
Plan Introduction Système d’information Loi n° 2004-5 du 3 février 2004, reIative à Ia sécurité informatique OrganismesANSI Audit Pénalisation de la criminalité informatique Conclusion 2
INTRODUCTION Le système d’information, considéré comme le cœur de l’entreprise, est l’ensemble des moyens organisationnels, humains et technologiques mis en œuvre pour la gestion de l’information. Il doit être exempt de toute faille de sécurité qui risquerait de compromettre l’information qui y circule, du point de vue de la confidentialité, de l’intégrité ou de la disponibilité. Ainsi, des normes de sécurité ont été définies, donnant les règles à respecter afin de maintenir la sécurité du système d’information de l’entreprise. 3
LE SYSTÈME D’INFORMATION « Un système d’information (SI) est un ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de diffuser de l’information sur un environnement donné. » « [...] le système d'information d'une entreprise est un réseau complexe de relations structurées où interviennent des hommes, des machines et des procédures, qui a pour objet d'engendrer des flux ordonnés d'informations pertinentes, provenant de sources internes et externes à l'entreprise et destinées à servir de base aux décisions. » Jean Jacques Lambin 4
Chapitre I La présente loi a pour objet d’Organiser le domaine de la sécurité informatique et de fixer les règles générales de protection des systèmes informatiques et des réseaux. La création "Agence Nationale de la Sécurité Informatique". Journal Official de la République Tunisienne Loi n° 2004-5 du 3 février 2004, reIative à Ia sécurité informatique 5
• ANCI effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés. 6
Elle est chargée des missions suivantes: • Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de sécurité des systèmes informatiques et des réseaux • Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public. • Assurer la veille technologique dans le domaine de la sécurité informatique ANCI : Missions 7
• Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication. • Œuvrer pour encourager le développement de solutions nationales dans le domaine de la sécurité informatique. • Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique • Veiller à l'exécution des réglementations relatives a l'obligation de l'audit périodique de la sécurité des systèmes informatiques et des réseaux ANCI : Missions 8
• Les systèmes informatiques et les réseaux des divers organismes publics sont soumis à un régime d'audit obligatoire et périodique de la sécurité informatique. • Dans le cas où les organismes n'effectuent pas l'audit obligatoire périodique, L‘ANCI avertit l'organisme concerné qui devra effectuer l'audit dans un délai ne dépassant pas un mois à partir de la date de cet avertissement. • Les organismes publics et privés doivent permettre à l'agence nationale de la sécurité informatique et aux experts qui seront chargés de l'opération d'audit, de consulter tous les documents et dossiers relatifs à la sécurité informatique afin d'accomplir leurs missions. CHAPITRE II : DE L'AUDIT OBLIGATOIRE 9
CHAPITRE III : DES AUDITEURS • L'opération d'audit est effectuée par des experts, personnes physiques ou morales, préalablement certifiées par l‘ANCI. • Il est interdit aux agents de l'agence nationale de la sécurité informatique et aux experts chargés des opérations d'audit de divulguer toutes informations dont ils ont eu connaissance lors de l'exercice de leurs missions. 10
CHAPITRE IV : DES DISPOSITIONS DIVERSES Tout exploitant d'un système informatique ou réseau doit informer l’ANCI de toutes attaques, intrusions et autres perturbations susceptibles d'entraver le fonctionnement d'un autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face. 11
DÉMARCHE D’AUDIT • Un audit de sécurité consiste à valider les moyens de protection mis en œuvre sur les plans organisationnels, procéduraux et techniques, au regard de la politique de sécurité en faisant appel à un tiers de confiance expert en audit sécurité informatique. • L'audit de sécurité conduit, au delà du constat, à analyser les risques opérationnels et à proposer des recommandations et plans d'actions quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire l'exposition aux risques. 12
PHASES D’AUDIT DE SÉCURITÉ D’INFORMATION • L'audit de la sécurité du système d'information est décomposé en deux grandes phases : * Phase d'audit des aspects organisationnels, C’est l’évaluation et calcul des risques inhérents. * Phase d'audit technique : une analyse technique de la sécurité de toutes les composantes du système informatique et la réalisation de tests de leur résistance face aux attaques avec une analyse et une évaluation des dangers dangers qui pourraient résulter de l'exploitation des failles découvertes suite suite à l'opération d'audit. 13
Système d’information d’un réseau audité Audit organisationnel et physique Audit technique Test intrusif Identification des vulnérabilité d’ordre organisationnel et physique Evaluation des risques Détection régulière automatisée des vulnérabilité et des failles potentielles Détection des vulnérabilité détecter depuis l’extérieur Cycle de vie d’un audit de sécurité des systèmes d’information 14
NORMES ET STANDARDS RELATIVES À LA SÉCURITÉ Les normes sont des accords documentés contenant des spécifications techniques ou autres critères précis destinés à être utilisés systématiquement en tant que règles, lignes directrices ou définitions de caractéristiques pour assurer que des processus, services, produits et matériaux sont aptes à leur emploi. On trouve 3 normes : 15
ISO 27001 • La norme ISO/IEC a été publiée en octobre 2005, intitulé « Exigences de SMSI », elle est la norme centrale de la famille ISO 2700x, c'est la d'exigences qui définit les conditions pour mettre en oeuvre et documenter un SMSI (Système de Management de la Sécurité de l'Information). 16
ISO 27002 • ISO 27002 couvre le sujet de la gestion des risques. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations. • Elle est composée de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants composés de 39 rubriques et 133 mesures dites « best practices » qui couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels (les objectifs de sécurité et les mesures à prendre). 17
• Chapitre n°1: Champ d'application • Chapitre n°2: Termes et définitions • Chapitre n°3: Structure de la présente norme • Chapitre n°4: Évaluation des risques et de traitement Chapitres définissant le cadre de la norme: • Chapitre n°5: Politique de sécurité de l'information • Chapitre n°6: Organisation de la sécurité de l'information • Chapitre n°7: Gestion des actifs • Chapitre n°8: Sécurité liée aux ressources humaines • Chapitre n°9: Sécurités physiques et environnementales • Chapitre n°10: Exploitation et gestion des communications • Chapitre n°11: Contrôle d'accès • Chapitre n°12: Acquisition, développement et maintenance des systèmes d'informations • Chapitre n°13: Gestion des incidents • Chapitre n°14: Gestion de la continuité d'activité • Chapitre n°15: Conformité. Les chapitres définissant les objectifs de sécurité et les mesures à prendre 18
19
ISO 2005 • La norme ISO 27005, intitulé « Gestion du risque en sécurité de l'information », est une évolution de la norme ISO 13335, définissant techniques à mettre en œuvre dans le cadre d’une démarche de gestion des risques. 20
PÉNALISATION DE LA CYBERCRIMINALITÉ • Pour instaurer un sentiment de confiance dans l’esprit des intervenants et pour protéger les systèmes informatiques, la loi n° 99- 89 du 2 août 1999 a complété certaines dispositions du code pénal en vue de criminaliser certains actes Article 199 bis et ter sanctionnent les actes suivants : 21
Emprisonnement deux mois à un an et d'une amende de mille dinars •Toute personne aura accédé ou se sera maintenu dans tout ou partie d'un système de traitement automatisé de données. Deux ans d'emprisonnement et l'amende à deux mille dinars •Une altération ou la destruction du fonctionnement des données existantes dans le système indiqué, même sans intention. Emprisonnement de trois ans et d'une amende de trois mille dinars •Toute personne aura intentionnellement altéré ou détruit le fonctionnement du traitement automatisé. Article 199 bis - (Ajouté par la Loi n ° 99-89 du 2 août 1999). 22
Emprisonnement de deux ans et d'une amende de deux mille dinars • Toute personne aura introduit une modification de quelque nature qu'elle soit sur le contenu des documents informatisés ou électroniques originairement véritables, à condition qu'elle porte un préjudice à autrui. • Est puni des mêmes peines, quiconque aura sciemment détenu ou fait usage des documents susvisés. • La peine est portée au double lorsque les fais susvisés sont commis par un fonctionnaire public ou assimilé. La tentative est punissable Article 199 ter - (Ajouté par la Loi n° 99-89 du 2 août 1999) Emprisonnement de cinq ans et d'une amende de cinq mille dinars •Toute personne aura frauduleusement introduit des données dans un système de traitement automatisé de nature à altérer les données que contient le programme ou son mode de traitement ou de transmission. •La peine est portée au double lorsque l'acte susvisé est commis par une personne à l'occasion de l'exercice de son activité professionnelle. La tentative est punissable. 23
• Article 277 Est puni d'un emprisonnement de 6 mois et d'une amende. • Article 278. - Est puni de deux ans d'emprisonnement et d'une amende de mille dinars, quiconque détruit, détourne, dissipe, prête saisis. 24 CODE PÉNAL
CONCLUSION Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet. 25
BIBLIOGRAPHIE • http://www.tunisie.gov.tn/Loi2004_5.pdf • http://www.jurisitetunisie.com/tunisie/codes/cp/cp1175.htm • https://www.ansi.tn/fr/pages/cadre.html 26
THANK YOU! 27

Contenu connexe

PDF
Etude comparative iso 9001 vs iso 27001.ppt
parKhouloud Errachedi
 
PPTX
Sécurité des Systèmes d'Information et de l'Information
parShema Labidi
 
PDF
Audit informatique
parFINALIANCE
 
PDF
Audit des systemes d'information
parAnnick Franck Monyie Fouda
 
PDF
Sécurité des systèmes d'information
parFranck Franchin
 
PPTX
Implémenter et gérer un projet iso 27001
parIntellectus services and consulting
 
PPTX
Sécurité des systèmes d'informations
parEmna Tfifha
 
PDF
SMSI.pdf
parHajarSalimi
 
Etude comparative iso 9001 vs iso 27001.ppt
parKhouloud Errachedi
 
Sécurité des Systèmes d'Information et de l'Information
parShema Labidi
 
Audit informatique
parFINALIANCE
 
Audit des systemes d'information
parAnnick Franck Monyie Fouda
 
Sécurité des systèmes d'information
parFranck Franchin
 
Implémenter et gérer un projet iso 27001
parIntellectus services and consulting
 
Sécurité des systèmes d'informations
parEmna Tfifha
 
SMSI.pdf
parHajarSalimi
 

Tendances

PDF
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
parMansouri Khalifa
 
PDF
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
PPTX
Optimisation de l’audit des contrôles TI
parISACA Chapitre de Québec
 
PDF
ISO 27001
parPhilippe CELLIER
 
PPT
Audit et sécurité des systèmes d'information
parManuel Cédric EBODE MBALLA
 
PDF
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
parBachir Benyammi
 
PPTX
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
parJean-Michel Razafindrabe
 
PPTX
Big data
parMarwoua Ben Salem
 
PPTX
présentation-PFE.pptx
parAdemKorani
 
PDF
la sécurité de l'information (extrait de presentation)
parDiane de Haan
 
PDF
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
PDF
Systèmes d'Information dans les organisations
parMansouri Khalifa
 
PDF
ISO 27001
parMELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
PDF
Le Management de la sécurité des SI
parDIALLO Boubacar
 
PPT
Système d'Information (S.I.) dans l’entreprise
parCommunauté d'agglomération du Pays de Grasse
 
PPT
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
parlancedafric.org
 
DOC
Audit informatique
parIsmail EL Makrouz
 
PDF
SYNOPTIQUE PMBOK 6ème édition (français)
parINSEEC
 
PPTX
Présentation audits de sécurité
parHarvey Francois
 
PDF
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
parEyesOpen Association
 
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
parMansouri Khalifa
 
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
Optimisation de l’audit des contrôles TI
parISACA Chapitre de Québec
 
ISO 27001
parPhilippe CELLIER
 
Audit et sécurité des systèmes d'information
parManuel Cédric EBODE MBALLA
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
parBachir Benyammi
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
parJean-Michel Razafindrabe
 
Big data
parMarwoua Ben Salem
 
présentation-PFE.pptx
parAdemKorani
 
la sécurité de l'information (extrait de presentation)
parDiane de Haan
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
Systèmes d'Information dans les organisations
parMansouri Khalifa
 
ISO 27001
parMELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Le Management de la sécurité des SI
parDIALLO Boubacar
 
Système d'Information (S.I.) dans l’entreprise
parCommunauté d'agglomération du Pays de Grasse
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
parlancedafric.org
 
Audit informatique
parIsmail EL Makrouz
 
SYNOPTIQUE PMBOK 6ème édition (français)
parINSEEC
 
Présentation audits de sécurité
parHarvey Francois
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
parEyesOpen Association
 

Similaire à Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

PPTX
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
parAfrican Cyber Security Summit
 
PPT
Support_Formation_Exigences de la norme ISO 27001.ppt
parimed11
 
PDF
CH1_IntroductionSecurité.pdfcgood course
paryanguirania
 
PDF
TUNDA OLEMBE DJAMBA, NOTES DU COURS DE SÉCURITÉ INFORMATIQUE AVANCÉE. VERS...
parDjamba TUNDA-OLEMBE
 
PDF
TUNDA OLEMBE DJAMBA , NOTES DU COURS DE SECURITE INFORMATIQUE AVANCEE .pdf
parDjamba TUNDA-OLEMBE
 
PPT
Formation et sensibilisation sur la mise en place du SMSI.ppt
parimed11
 
PDF
AMAN - JNS4 Management sécurité 13 Mai 2014
parAbdeljalil AGNAOU
 
PPTX
Audit de sécurité informatique
parMohamed Ali Hadhri
 
PDF
Cadre méthodologique pour un SMSI_jm_16x9.pdf
parJean-Marie Gandois
 
PDF
Infosafe ah 2014 15
parAlain Huet
 
PDF
Ichec entrepr ah 2015
parAlain Huet
 
PDF
TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf
parDjamba TUNDA-OLEMBE
 
PDF
TUNDA OLEMBE DJAMBA , COURS DE SECURITE INFORMATIQUE ET CYPTOGRAPHIE.pdf
parDjamba TUNDA-OLEMBE
 
PDF
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
parASIP Santé
 
PPT
Audit
parzan
 
PDF
Cours_1_Introductiona_la_Securite_des_Sy-1.pdf
parAbdellahELMAMOUN
 
PDF
Cours_1_Introductiona_la_Securite_des_Sy.pdf
parISMAILNEGABI1
 
PPTX
chapitere base de securite icichapitere base de securite ici
partataoui55
 
DOC
La sécurité des systèmes d’information
parlara houda
 
PDF
Ansi - Tuncert : Référentiel d'audit de la sécurité des SI
parANSItunCERT
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
parAfrican Cyber Security Summit
 
Support_Formation_Exigences de la norme ISO 27001.ppt
parimed11
 
CH1_IntroductionSecurité.pdfcgood course
paryanguirania
 
TUNDA OLEMBE DJAMBA, NOTES DU COURS DE SÉCURITÉ INFORMATIQUE AVANCÉE. VERS...
parDjamba TUNDA-OLEMBE
 
TUNDA OLEMBE DJAMBA , NOTES DU COURS DE SECURITE INFORMATIQUE AVANCEE .pdf
parDjamba TUNDA-OLEMBE
 
Formation et sensibilisation sur la mise en place du SMSI.ppt
parimed11
 
AMAN - JNS4 Management sécurité 13 Mai 2014
parAbdeljalil AGNAOU
 
Audit de sécurité informatique
parMohamed Ali Hadhri
 
Cadre méthodologique pour un SMSI_jm_16x9.pdf
parJean-Marie Gandois
 
Infosafe ah 2014 15
parAlain Huet
 
Ichec entrepr ah 2015
parAlain Huet
 
TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf
parDjamba TUNDA-OLEMBE
 
TUNDA OLEMBE DJAMBA , COURS DE SECURITE INFORMATIQUE ET CYPTOGRAPHIE.pdf
parDjamba TUNDA-OLEMBE
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
parASIP Santé
 
Audit
parzan
 
Cours_1_Introductiona_la_Securite_des_Sy-1.pdf
parAbdellahELMAMOUN
 
Cours_1_Introductiona_la_Securite_des_Sy.pdf
parISMAILNEGABI1
 
chapitere base de securite icichapitere base de securite ici
partataoui55
 
La sécurité des systèmes d’information
parlara houda
 
Ansi - Tuncert : Référentiel d'audit de la sécurité des SI
parANSItunCERT
 

Aspets juridiques des sécurité des systèmes d'information selon le code pénale tunisien

  • 1.
    ASPECTS RÉGLEMENTAIRES DELA S.S.I EN TUNISIE SUJET : Université de la Manouba École Supérieure d’Économie Numérique Elaboré par: Hanen Ben Saad Seifeddine Dridi Ahmed Amina Douiri Proposé par: Mr Mohamed BENDANA
  • 2.
    Plan Introduction Système d’information Loi n°2004-5 du 3 février 2004, reIative à Ia sécurité informatique OrganismesANSI Audit Pénalisation de la criminalité informatique Conclusion 2
  • 3.
    INTRODUCTION Le système d’information,considéré comme le cœur de l’entreprise, est l’ensemble des moyens organisationnels, humains et technologiques mis en œuvre pour la gestion de l’information. Il doit être exempt de toute faille de sécurité qui risquerait de compromettre l’information qui y circule, du point de vue de la confidentialité, de l’intégrité ou de la disponibilité. Ainsi, des normes de sécurité ont été définies, donnant les règles à respecter afin de maintenir la sécurité du système d’information de l’entreprise. 3
  • 4.
    LE SYSTÈME D’INFORMATION «Un système d’information (SI) est un ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de diffuser de l’information sur un environnement donné. » « [...] le système d'information d'une entreprise est un réseau complexe de relations structurées où interviennent des hommes, des machines et des procédures, qui a pour objet d'engendrer des flux ordonnés d'informations pertinentes, provenant de sources internes et externes à l'entreprise et destinées à servir de base aux décisions. » Jean Jacques Lambin 4
  • 5.
    Chapitre I La présenteloi a pour objet d’Organiser le domaine de la sécurité informatique et de fixer les règles générales de protection des systèmes informatiques et des réseaux. La création "Agence Nationale de la Sécurité Informatique". Journal Official de la République Tunisienne Loi n° 2004-5 du 3 février 2004, reIative à Ia sécurité informatique 5
  • 6.
    • ANCI effectueun contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés. 6
  • 7.
    Elle est chargéedes missions suivantes: • Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de sécurité des systèmes informatiques et des réseaux • Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public. • Assurer la veille technologique dans le domaine de la sécurité informatique ANCI : Missions 7
  • 8.
    • Etablir desnormes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication. • Œuvrer pour encourager le développement de solutions nationales dans le domaine de la sécurité informatique. • Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique • Veiller à l'exécution des réglementations relatives a l'obligation de l'audit périodique de la sécurité des systèmes informatiques et des réseaux ANCI : Missions 8
  • 9.
    • Les systèmesinformatiques et les réseaux des divers organismes publics sont soumis à un régime d'audit obligatoire et périodique de la sécurité informatique. • Dans le cas où les organismes n'effectuent pas l'audit obligatoire périodique, L‘ANCI avertit l'organisme concerné qui devra effectuer l'audit dans un délai ne dépassant pas un mois à partir de la date de cet avertissement. • Les organismes publics et privés doivent permettre à l'agence nationale de la sécurité informatique et aux experts qui seront chargés de l'opération d'audit, de consulter tous les documents et dossiers relatifs à la sécurité informatique afin d'accomplir leurs missions. CHAPITRE II : DE L'AUDIT OBLIGATOIRE 9
  • 10.
    CHAPITRE III :DES AUDITEURS • L'opération d'audit est effectuée par des experts, personnes physiques ou morales, préalablement certifiées par l‘ANCI. • Il est interdit aux agents de l'agence nationale de la sécurité informatique et aux experts chargés des opérations d'audit de divulguer toutes informations dont ils ont eu connaissance lors de l'exercice de leurs missions. 10
  • 11.
    CHAPITRE IV :DES DISPOSITIONS DIVERSES Tout exploitant d'un système informatique ou réseau doit informer l’ANCI de toutes attaques, intrusions et autres perturbations susceptibles d'entraver le fonctionnement d'un autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face. 11
  • 12.
    DÉMARCHE D’AUDIT • Unaudit de sécurité consiste à valider les moyens de protection mis en œuvre sur les plans organisationnels, procéduraux et techniques, au regard de la politique de sécurité en faisant appel à un tiers de confiance expert en audit sécurité informatique. • L'audit de sécurité conduit, au delà du constat, à analyser les risques opérationnels et à proposer des recommandations et plans d'actions quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire l'exposition aux risques. 12
  • 13.
    PHASES D’AUDIT DESÉCURITÉ D’INFORMATION • L'audit de la sécurité du système d'information est décomposé en deux grandes phases : * Phase d'audit des aspects organisationnels, C’est l’évaluation et calcul des risques inhérents. * Phase d'audit technique : une analyse technique de la sécurité de toutes les composantes du système informatique et la réalisation de tests de leur résistance face aux attaques avec une analyse et une évaluation des dangers dangers qui pourraient résulter de l'exploitation des failles découvertes suite suite à l'opération d'audit. 13
  • 14.
    Système d’information d’un réseau audité Audit organisationnelet physique Audit technique Test intrusif Identification des vulnérabilité d’ordre organisationnel et physique Evaluation des risques Détection régulière automatisée des vulnérabilité et des failles potentielles Détection des vulnérabilité détecter depuis l’extérieur Cycle de vie d’un audit de sécurité des systèmes d’information 14
  • 15.
    NORMES ET STANDARDSRELATIVES À LA SÉCURITÉ Les normes sont des accords documentés contenant des spécifications techniques ou autres critères précis destinés à être utilisés systématiquement en tant que règles, lignes directrices ou définitions de caractéristiques pour assurer que des processus, services, produits et matériaux sont aptes à leur emploi. On trouve 3 normes : 15
  • 16.
    ISO 27001 • Lanorme ISO/IEC a été publiée en octobre 2005, intitulé « Exigences de SMSI », elle est la norme centrale de la famille ISO 2700x, c'est la d'exigences qui définit les conditions pour mettre en oeuvre et documenter un SMSI (Système de Management de la Sécurité de l'Information). 16
  • 17.
    ISO 27002 • ISO27002 couvre le sujet de la gestion des risques. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations. • Elle est composée de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants composés de 39 rubriques et 133 mesures dites « best practices » qui couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels (les objectifs de sécurité et les mesures à prendre). 17
  • 18.
    • Chapitre n°1:Champ d'application • Chapitre n°2: Termes et définitions • Chapitre n°3: Structure de la présente norme • Chapitre n°4: Évaluation des risques et de traitement Chapitres définissant le cadre de la norme: • Chapitre n°5: Politique de sécurité de l'information • Chapitre n°6: Organisation de la sécurité de l'information • Chapitre n°7: Gestion des actifs • Chapitre n°8: Sécurité liée aux ressources humaines • Chapitre n°9: Sécurités physiques et environnementales • Chapitre n°10: Exploitation et gestion des communications • Chapitre n°11: Contrôle d'accès • Chapitre n°12: Acquisition, développement et maintenance des systèmes d'informations • Chapitre n°13: Gestion des incidents • Chapitre n°14: Gestion de la continuité d'activité • Chapitre n°15: Conformité. Les chapitres définissant les objectifs de sécurité et les mesures à prendre 18
  • 19.
  • 20.
    ISO 2005 • Lanorme ISO 27005, intitulé « Gestion du risque en sécurité de l'information », est une évolution de la norme ISO 13335, définissant techniques à mettre en œuvre dans le cadre d’une démarche de gestion des risques. 20
  • 21.
    PÉNALISATION DE LACYBERCRIMINALITÉ • Pour instaurer un sentiment de confiance dans l’esprit des intervenants et pour protéger les systèmes informatiques, la loi n° 99- 89 du 2 août 1999 a complété certaines dispositions du code pénal en vue de criminaliser certains actes Article 199 bis et ter sanctionnent les actes suivants : 21
  • 22.
    Emprisonnement deux mois àun an et d'une amende de mille dinars •Toute personne aura accédé ou se sera maintenu dans tout ou partie d'un système de traitement automatisé de données. Deux ans d'emprisonnement et l'amende à deux mille dinars •Une altération ou la destruction du fonctionnement des données existantes dans le système indiqué, même sans intention. Emprisonnement de trois ans et d'une amende de trois mille dinars •Toute personne aura intentionnellement altéré ou détruit le fonctionnement du traitement automatisé. Article 199 bis - (Ajouté par la Loi n ° 99-89 du 2 août 1999). 22
  • 23.
    Emprisonnement de deux anset d'une amende de deux mille dinars • Toute personne aura introduit une modification de quelque nature qu'elle soit sur le contenu des documents informatisés ou électroniques originairement véritables, à condition qu'elle porte un préjudice à autrui. • Est puni des mêmes peines, quiconque aura sciemment détenu ou fait usage des documents susvisés. • La peine est portée au double lorsque les fais susvisés sont commis par un fonctionnaire public ou assimilé. La tentative est punissable Article 199 ter - (Ajouté par la Loi n° 99-89 du 2 août 1999) Emprisonnement de cinq ans et d'une amende de cinq mille dinars •Toute personne aura frauduleusement introduit des données dans un système de traitement automatisé de nature à altérer les données que contient le programme ou son mode de traitement ou de transmission. •La peine est portée au double lorsque l'acte susvisé est commis par une personne à l'occasion de l'exercice de son activité professionnelle. La tentative est punissable. 23
  • 24.
    • Article 277Est puni d'un emprisonnement de 6 mois et d'une amende. • Article 278. - Est puni de deux ans d'emprisonnement et d'une amende de mille dinars, quiconque détruit, détourne, dissipe, prête saisis. 24 CODE PÉNAL
  • 25.
    CONCLUSION Avec le développementde l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet. 25
  • 26.
  • 27.

Notes de l'éditeur

  • #2 © Copyright Showeet.com