Aller au contenu

Discussion:Sécurité des systèmes d'information

Le contenu de la page n’est pas pris en charge dans d’autres langues.
Une page de Wikipédia, l'encyclopédie libre.
Autres discussions [liste]
  • Admissibilité
  • Neutralité
  • Droit d'auteur
  • Article de qualité
  • Bon article
  • Lumière sur
  • À faire
  • Archives
  • Commons


Controverses

[modifier le code]

Cela serait bien de ne pas mettre un truc dans ls controverses sans expliquer pourquoi. J'ai viré une ligne qui était à la fois fausse (Sender-ID n'a rien à voir avec les listes noires) et pas expliquée (pourquoi Sender-ID est-il controversé ? Et qu'est-ce que c'était que ces "pseudo-standards" ?) --Bortzmeyer 23 mai 2006 à 12:19 (CEST)[répondre]

La section "Controverses" a été supprimée depuis. --(Tieno) 62.160.59.37 14 septembre 2006 à 14:46 (CEST)[répondre]

Problème de notice

[modifier le code]

La notice en bas de page doit être supprimée. Pour cela, il va falloir supprimer certaines parties de l'article. --Tieno 23 jan 2005 à 18:57 (CET)

J'ai remis le paragraphe sur "Mise en place d'une politique de sécurité", ainsi que l'introduction. Il serait bon de les reecrire, afin de ne plus avoir de probleme de copyright. --Tieno 24 jan 2005 à 00:17 (CET)

Pages utiles pour la rédaction du nouvel article

[modifier le code]

Merci cette fois de ne pas faire de copier / coller direct :)

--Tieno 23 jan 2005 à 20:09 (CET)

Article de michel Hoffman

[modifier le code]

L'article est très bien, mais l'adresse du site + la signature en plein milieu de l'article ne font pas tres encyclopédiques. Il n'y a pas moyen de bouger la référence et de supprimer la signature ? Aris 17 mai 2005 à 10:54 (CEST)[répondre]

Peux-tu donner le nom exact de l'article ? --Tieno 17 mai 2005 à 12:42 (CEST)[répondre]
Au temps pour moi, tu ne parlais pas d'un article, mais d'un paragraphe de l'article "Sécurité informatique". Il suffisait donc de supprimer l'adresse du site ainsi que la signature du contributeur. Puis d'informer ce contributeur sur sa page de discussion qu'il n'est pas souhaitable de signer dans un article. --Tieno 17 mai 2005 à 12:47 (CEST)[répondre]

définition de la sécurité informatique

[modifier le code]

La définition de la sécurité informatique est ... pauvre. Je travaille sur une autre et je vais la remplacer lorsque ce sera une idée sur papier. Salsamontreal 7 octobre 2005 à 07:21 (CEST)[répondre]

Aucun problème. Mais rappelle-toi que l'introduction doit rester courte (cf Wikipédia:Conventions de style). Tu peux donc par exemple rajouter une définition plus complète dans un premier chapitre. --Tieno 7 octobre 2005 à 10:07 (CEST)[répondre]


Bonjour,

sauf erreur de ma part, l'énoncé des risques dans la Présentation est essentiellement centré sur les risques d'appropriation ou de divulgation d'information et fait l'impasse sur l'utilisation des ressources systèmes elles-mêmes à des fins non prévues par ses exploitants. Je suggère d'ajouter ce point qui me paraît essentiel. Cidrolin (d) 26 février 2009 à 12:36 (CET)[répondre]

Bonjour,

Pourriez-vous mettre les faille des système de sécurité, cela m'aiderait pour mon travail ...

Quelques améliorations !?

[modifier le code]

Bonjour,

A priori, en sécurité des systèmes d'information, il existe trois propriétés de sécurités (voir ITSEC et le livre orange) :

  • confidentialité : prévention d'une divulgation non autorisée de l'information
  • intégrité : prévention d'une modification non autorisée de l'information
  • disponibilité : prévention d'un déni non autorisé d'accès à l'information ou à des ressources


Il existe deux classes de gestion de la sécurité selon le livre orange (en dehors de la gestion administrative donc non technique) :

  • la gestion d'accès par mandat (ou obligatoire de l'anglais mandatory) qui gère l'accès à l'information
  • la gestion d'accès dicrétionnaire (met en évidence le besoin d'en connaître) qui gère la diffusion des droits


La problématique de la sécurité est une problématique croissante :

  • pas de partage (isolation complète), sécurité totale
  • partage des données, introduction du problème de suspicion (problèmes de la diffusion des droits d'accès, problèmes de la diffusion de l'information).
  • partage des programmes, introduction du problème de la violation du règlement par un Cheval de Troie.


Concernant la gestion de la sécurité, il existe deux types d'approches :

  • une gestion des données ou de la diffusion des droits statiques,
  • ou un contrôle dynamique des flux d'informations et de diffusion de droits pour contre-carrer les problèmes de canaux cachés (Chevaux de Troie bruités ou non) ; par exemple les inputs bloquants.


Pour implémenter une politique de sécurité, il faut stipuler qu'un système informatique ne comprend que des expressions mathématiques. Pour approcher ce besoin formel, il existe des modèles de sécurité :

  • Gestion par mandat : Bell & Lapadula, Biba, Dion, Jajodia & Sandhu, modèle de non déduction (gestion dynamique)
  • Gestion discrétionnaire : Harrison & Ruzzo & Ullman, Take-Grant, Acten et Spm (gestion dynamique)


Par ailleurs, la sécurité doit tenir compte du fait qu'un ordinateur étant constitué de différentes strates :

  • Matériel
  • Système d'exploitation
  • Système de gestion de bases de données
  • Applications


L'une des problématique majeure étant que si un fichier stocké sur disque a des accès limités (niveau système d'exploitation), si la mémoire (dans laquelle il est chargé à un moment durant son exploitation) n'est pas protégée, il peut y avoir violation de la politique de sécurité (niveau matériel).


Le livre orange = Department Of Defense. Trusted Computer Systems Evaluation Criteria (TCSEC). Technical report, CSC-STD-001-83, 1983

ITSEC = European Economic Community. Information Technology Security Evaluation Criteria (ITSEC). Technical Report, 1990.

Ticho 20 septembre 2006 à 18:14 (CEST)[répondre]

Actifs / Données

[modifier le code]

Les remarques ci-dessus me paraissent très pertinentes. J'ajouterais qu'une évaluation préalable des actifs sensibles est nécessaire (sécurité des données), en particulier les données non structurées (les documents,... c'est-à-dire la partie explicite des connaissances de l'entreprise, ou capital intellectuel). Ceci est mentionné dans la norme ISO 13335. A noter aussi les tavaux de la société américaine MITRE pour le Département de la Défense en 1998, et l'étude des menaces et des vulnérabilités. Il est indispensable de développer les notions de tiers de confiance et de profil de protection. Pautard 24 septembre 2006 à 00:03 (CEST)[répondre]

Authentification forte, Identité

[modifier le code]

L'authentification forte permet d'identifier un utilisateur en se basant sur au moins deux aspects de son identité. L'identité d'un utilisateur peut être décliné suivant :

  • ce qu'il est,
  • ce qu'il possède,
  • ce qu'il connaît,
  • ce qu'il sait faire.

Création d'article

[modifier le code]

L'article Politique de sécurité de l'information est créé. Lâchez-vous :) La Cigale 7 février 2007 à 14:26 (CET)[répondre]

Attention a ne pas faire redondance avec Politique de sécurité des systèmes d'information et Politique de sécurité informatique ! --Tieno 7 février 2007 à 19:17 (CET)[répondre]

Oui, j'en fait mention sur Discussion Projet:Sécurité informatique‎. La Cigale 8 février 2007 à 11:12 (CET)[répondre]

Remise en cause des nombres en bas de l'article

[modifier le code]

Je trouve qu'ils sont assès parlant pour donner mesure de l'ampleur du problème, je serais même d'avis de donner d'autres chifres (Monde, Europe, évolution, etc.) et de parler des conférences comme celle du blackhat (http://www.blackhat.com/). Syno (d)

Thales ?

[modifier le code]

"Marché de la sécurité informatique" / "Avec une offre de services globales, Thales...". Cette phrase me semble une pure publicité, sans intérêt encyclopédique. Sauf contradiction (quelqu'un peut compléter avec des concurrents, etc. ?), sera supprimée, avec sa référence, le 01/09/2012 Askywhale (d) 4 mai 2012 à 18:45 (CEST)[répondre]

Restructuration de la page Sécurité des Systèmes d'Information selon la norme ISO 27000

[modifier le code]

Bonjour,

Nous avons décidé de restructurer la page selon le plan suivant:

   1 Historique
   2 Objectifs 
   3 Démarche générale 
   4 Phase PLAN : Planification de la démarche de sécurisation des systèmes d'information 
      Etape 1 Périmètre et Politique 
      Etape 2 : Evaluation des risques
      Etape 3 : Traiter le risque et identifier le risque résiduel
      Etape 4 : Sélectionner les mesures à mettre en place (Annexe A d’ISO27001)
   5 Phase DO : Mise en place des objectifs 
   6 Phase CHECK : Mise en place de moyens de contrôle
   7 Phase ACT : Mise en place d’actions 

De plus, de nombreuses informations seront déplacées vers d'autres pages Wikipédia afin d'obtenir une meilleure clarté dans l'information et d'avoir un style Wikipédia et encyclopédique. Egalement, nous ajouterons des informations internationalisées.

Cordialement. — Le message qui précède, non signé, a été déposé par MCCA SSI (discuter)

Bonjour. Un article d'encyclopédie ne doit pas devenir un guide pratique. Le plan proposé me semble trop axé vers cet objectif. C'est comme si dans l'article "bateau", on parlait uniquement de la meilleure manière de construire un navire selon une norme donnée. Bref, si l'article est améliorable, il doit rester généraliste. En revanche, vous pourriez faire un article dédié aux méthodes d'amélioration de la SSI. Cordialement. --Laurent N. [D] 13 novembre 2014 à 22:36 (CET)[répondre]
Avec 13 000 caractères en moins, cette restructuration fait figure d'amputation. Pourquoi ne parle-t-on plus de la fouille, ou de l'abus de droit, par exemple ? JackPotte ($) 14 novembre 2014 à 09:04 (CET)[répondre]
Bonjour, Je suis entièrement d'accord avec Laurent, en l'état l'article fait figure de guide, de méthodologie sur la mise en place d'un plan de sécurisation du SI, et je trouve cela assez différent de l'esprit d'une encyclopédie. Il faudrait davantage vulgariser et présenter la discipline/le sujet. Je suggère notamment de descendre ces développements d'un niveau dans le plan, par exemple en mettant cela sous un titre "Conception d'un programme de SSI" ou "Déroulement de l'élaboration d'un programme de SSI". En outre, les dénominations des phases "plan" "do", an anglais, me dérangent. Pourquoi ne pas simplement parler de phase de planification et de mise en oeuvre ? Comme j'enseigne la gestion de la SSI, je me propose pour effectuer quelques modifications en ce sens, mais je suis sur un autre front (données personnelles), cela risque de prendre un peu de temps. Bien à vous,
Bonjour. Dans la mesure où tous les systèmes de management de l'ISO (ou du couple ISO/CEI) et la plupart des autres référentiels en systèmes d'information font explicitement référence à la roue de Deming (le fameux PDCA), je ne vois pas en quoi cette organisation peut poser problème. Traduire en plus, pourquoi pas ? Mais surtout ne pas oublier que ce sont les phases Check et Act qui font l'amélioration continue, ce qui différencie la vision statistical quality control de Shewart et Deming des habitudes de nos députés, qui se contentent souvent de planifier ;-).Yves Roy (discuter) 20 février 2018 à 14:13 (CET)[répondre]

EncryptedPie (discuter) 28 novembre 2017 à 16:27 (CET)[répondre]

Je suis également d'avis qu'il faudrait largement restructurer la page, notamment la partie PDCA n'a pas sa place ici, et est déjà traitée en détail dans la page ISO/CEI_27001

Ploupi1952 (discuter) 20 février 2018 à 13:31 (CET)[répondre]