Description générale du cours

Qu'est-ce que la sécurité de l'information, notamment par rapport à la sécurité des systèmes d'information (SSI), la sécurité informatique ou encore celle des réseaux ? <1>Pourquoi faut-il organiser de façon intégrée la protection de l'information dans l'entreprise ?
Quels sont les concepts de protection de l'information (Disponibilité, Intégrité, Confidentialité, Responsabilité) et comment sont-ils mis en oeuvre dans les différents sous-domaines de la sécurité en entreprise ?

Pourquoi cette 4ème année de spécialisation sur la sécurité ?

Pourquoi a-t'on choisi cette grille des cours et formations à l'ESI ?

Ce cours enseigne les principes généraux qui régissent la sécurité de l'information en les replaçant dans une méthodologie générale d'approche des problèmes de sécurité du système d'information de l'entreprise.

Matières prérequises

Les apprenants gagneront à avoir une culture académique générale dans les domaines suivants :

réseaux (au moins les concepts vus aux cours d''introduction de première réseau ESI : ITR et MPR)
développement informatique et systèmes d'exploitation
analyse et méthodologie (notamment les concepts généraux véhiculés par UML et RUP ou Merise)

Objectifs

Au terme de cette formation, les apprenants auront développé les compétences suivantes :

une compréhension du contexte général de la sécurité de l'information
une connaissance des principes généraux de la sécurité de l'information
une méthodologie générale d'approche permettant d'avoir une vision globale du niveau de sécurité du SI de l'entreprise et sa gestion intégrée
une connaissance raisonnable des normes, standards internationaux ainsi que les meilleures pratiques actuelles
une vision du top 10 des problèmes techniques actuels en sécurité de l'information

Evaluation

Voir le tableau des évaluations des cours de l'année de spécialisation.

Plan du cours

1. Présentation générale et motivation

a. Organisation et plan du cours
b. Vision globale du marché de la sécurité

2. L’essentiel de la sécurité de l’information

a. Les concepts : définitions et questionnement (« La sécurité : de quoi ? »), enjeux et statistiques
b. Confidentialité, Intégrité, Disponibilité et Responsabilité
c. Typologie des menaces et des risques

3. Méthodologie générale SECINFO

a. Historique de SECINFO
b. Processus SECINFO et ISMS
c. Législations et réglementations
d. Evaluation, Analyse et Gestion des risques
e. La politique de sécurité
f. Plan sécurité et tableaux de bord
g. Formation et sensibilisation du personnel
h. Audit de sécurité

4. Les meilleures pratiques

a. ISMS et norme ISO 27002
b. ISMS et certification ISO 27001 en entreprise
c. Rôles et responsabilités : RSSI et maturité de l’entreprise
d. Analyse et gestion des risques : ISO 13335-2, méthodes Méhari et OCTAVE, CobiT, ITIL
e. Développement de code sécurisé : OWASP, ISO 12207,

5. Top 10 des thèmes de SECINFO et évolution du marché de la sécurité

a. Signature électronique et certificat, PKI
b. Architecture internet sécurisée (DMZ, ...)
c. Failles et solutions TCP/IP : FW, IDS, VPN, ...
d. Sécurité des réseaux sans fils et de mobiles
e. Malware
f. Intrusion des systèmes
g. E_commerce et m_commerce
h. E_gouvernement
i. ...

Bibliographie

Syllabus sous forme de slides de l'enseignant PMA.
Travaux étudiants années antérieures cfr. distri
Eric Maiwald, L'intro. Sécurité des réseaux, CampusPress 2001
Alexandre Fernandez-Toro, Management de la sécurité de l'information - Implémentation ISO 27001, 2ème édition, Eyrolles 2003, 2006
Matthieu Bennasar, Alain Champenois, Patrick Arnould, Thierry Rivat, Manager la sécurité du SI,, Dunod 2007
Anne Lupfer, Gestion des risques en sécurité de l'information, - Mise en oeuvre de la norme ISO 27005,, Eyrolles 2008, 2010