Documente Academic
Documente Profesional
Documente Cultură
2. Contexte et problématique
Le système d’information peut être définit comme étant l’ensemble des ressources
matérielles et logicielles permettant la collecte, le traitement et la diffusion d’une
information.la communauté urbaine dispose de nombreuses ressources qu’il est
nécessaire de protéger pour garantir son bon fonctionnement cependant le
fonctionnement du SI fait face à des multiples difficultés tels que la pluralité des
communes, la croissance démographique, mauvaise utilisation des ressources du
système. D’où l’importance de l’établissement d’une politique de sécurité.
3. Parties prenantes
Décideurs publics
Acteurs économiques
Société civile
Professionnels de l’aménagement etc. ….
6. Menaces potentielles
Les types de menaces auxquelles pourraient être exposée la communauté urbaine sont :
- Vol de systèmes
- Attaque
- Vol d’information
- Modification non-autorisées des systèmes
- etc.
Comme quelque cas de figure de scenarios de risques nous avons :
a. Les dommages financiers :
c. Les dommages réglementaires :
a. Menaces matérielles
- Vol de serveurs
- Vol d’ordinateurs
- Vol du pare-feu etc.
b. Menaces logicielles
9. Politique de sécurité
ii. Objectifs
Le but de cette politique de courrier électronique est d'assurer l'utilisation correcte du système
de messagerie et de sensibiliser les utilisateurs à ce que l’entreprise juge acceptables et
inacceptable de son système de messagerie. Cette politique décrit les exigences minimales
pour l'utilisation du courrier électronique.
iii. Portée
Cette politique couvre l'utilisation appropriée de tout courrier électronique envoyé par une
adresse de courrier électronique de la communauté urbaine et s'applique à tous les employés,
fournisseurs et agents opérant pour le compte de la communauté.
iv. Politique
v. Non-conformité
Un employé qui a violé cette politique peut être assujetti à des mesures disciplinaires, jusqu'à
la cessation d'emploi.
i. Aperçu
Les mots de passe sont un aspect important de la sécurité informatique. Un mot de passe mal
choisi peut entraîner un accès et / ou une exploitation non autorisés des ressources de
l’entreprise. Tous les utilisateurs, y compris les entrepreneurs et les fournisseurs ayant accès
aux systèmes de la communauté urbaine, sont responsables de prendre les mesures
appropriées, comme indiqué ci-dessous, pour sélectionner et sécuriser leurs mots de passe.
ii. Objectifs
Le but de cette politique est d'établir une norme pour la création de mots de passe forts, la
protection de ces mots de passe et la fréquence des changements.
iii. Portée
Le champ d'application de cette politique comprend tout le personnel qui a un compte ou qui
est responsable d'un compte (ou de toute forme d'accès prenant en charge ou nécessite un mot
de passe) sur tout système de la communauté urbaine.
iv. Politique
i. Aperçu
Les serveurs non garantis et vulnérables continuent d'être un point d'entrée majeur pour les
acteurs de menaces malveillants. Les règles cohérentes d'installation du serveur, la gestion de
la propriété et de la configuration concernent bien les bases.
ii. Objectifs
Le but de cette politique est d'établir des normes pour la configuration de base du serveur
interne Équipement appartenant et / ou exploité par la communauté. Mise en œuvre efficace
de cette La politique réduira l'accès non autorisé aux informations.
iii. Portée
Tous les employés, entrepreneurs, consultants, travailleurs temporaires et autres à la CUD et
Ses filiales doivent adhérer à cette politique. Cette politique s'applique aux équipements de
serveur détenus, exploités ou loués par la CUD ou enregistrés dans un domaine de réseau
interne de la CUD.
iv. Politique
Les changements de configuration pour les serveurs de production doivent suivre les
procédures de gestion de changement appropriées.
La configuration du système d'exploitation doit être conforme aux directives
approuvées par la communauté urbaine.
Les services et les applications qui ne seront pas utilisés doivent être désactivés
lorsque cela est pratique.
L'accès aux services devrait être enregistré et / ou protégé par des méthodes de
contrôle d'accès telles qu'un pare-feu d'application Web, si possible.
Les relations de confiance entre les systèmes sont un risque de sécurité, et leur
utilisation devrait être évitée. N’utilisez pas une relation de confiance quand une autre
méthode de communication est suffisante.
Toujours utiliser les principes de sécurité standard de l'accès le moins requis pour
effectuer une fonction. N’utilisez pas root lorsqu'un compte non privilégié fera.
Si une méthodologie pour la connexion de canal sécurisé est disponible (c'est-à-dire
techniquement faisable), un accès privilégié doit être effectué sur des canaux sécurisés
(par exemple, des connexions de réseau cryptées utilisant SSH ou IPSec).
Les serveurs devraient être physiquement situés dans un environnement contrôlé par
l'accès.
Les serveurs sont expressément interdits de fonctionner à partir de zones de cabine
incontrôlées.
Tous les événements liés à la sécurité sur les systèmes critiques ou sensibles doivent
être enregistrés et les pistes d'audit enregistrées comme suit:
- Tous les fichiers journaux liés à la sécurité seront mis en ligne pendant au moins 1 semaine
- Les sauvegardes de bande incrémentales quotidiennes seront conservées pendant au moins 1
mois.
- Les sauvegardes hebdomadaires en bandes complète des journaux seront conservées pendant au
moins 1 mois
- Les sauvegardes complètes mensuelles seront conservées pendant au moins 2 ans
i. Aperçu
Les informations d'authentification de la base de données sont une partie nécessaire de
l'application d'autorisation pour se connecter aux bases de données internes. Cependant, une
utilisation, un stockage et une transmission incorrecte de ces informations de compétence
pourraient entraîner un compromis d'actifs très sensibles et être un tremplin pour un
compromis plus large au sein de l'organisation.
ii. Objectifs
Cette politique indique les exigences pour stocker et récupérer les noms d'utilisateur et les
mots de passe de la base de données (c.-à-d., Les informations d'identification de la base de
données) pour être utilisés par un programme qui accède à une base de données s'exécutant
sur l'un des réseaux de la communauté.
iii. La porté
Cette politique s'adresse à tous les responsables de l'implémentation du système et / ou du
logiciel qui peuvent coder Les applications qui accéderont à un serveur de base de données de
production sur le Réseau. Cette politique s'applique à tous les logiciels (programmes,
modules, bibliothèques ou APIS qui auront accès à une base de données de production de la
communauté, multi-utilisateurs. Il est recommandé de mettre en place des exigences
similaires pour les serveurs et les environnements sans production, utiliser toujours des
informations désinfectées.
iv. Politique
ii. Objectifs
Cette politique définit l'exigence d'un plan de récupération après sinistre de base à développer
et à mettre en œuvre par la communauté urbaine qui décrira le processus de récupération des
systèmes informatiques, des applications et des données de tout type de catastrophe qui
entraîne une panne majeure.
iii. La portée
Cette politique s'adresse au personnel de gestion des TI qui sont responsable de s'assurer que
le plan est développé, testé et mis à jour. Cette politique consiste uniquement à déclarer
l'obligation d'avoir un plan de reprise après sinistre, il ne fournit pas d'exigences concernant
ce qui se trouve dans le plan ou les sous-programmes.
iv. Politique
1. Plan d’urgence
Plan d'intervention en cas d'urgence informatique: qui doit être contacté, quand et
comment? Quelles actions immédiates doivent être prises en cas de certaines
occurrences?
Plan de relève: Décrivez le flux de responsabilité lorsque le personnel normal n'est pas
disponible pour s'acquitter de ses fonctions.
Étude de données: Déterminez les données stockées sur les systèmes, sa criticité et sa
confidentialité.
Il explique également l'ordre de récupération dans les délais à court terme et à long
terme
Plan de sauvegarde et de restauration des données: détermine les données
sauvegardées, les médias sur lesquels elles sont enregistrées, où ce média est stocké et
la fréquence de la sauvegarde. Il devrait également décrire comment ces données
pourraient être récupérées
Plan de remplacement de l'équipement: décris le matériel requis pour commencer à
fournir des services, énumère l'ordre dans lequel il est nécessaire et notez où acheter
l'équipement.
Gestion des médias de masse: qui est chargé de donner des informations aux médias?
Fournissez également des directives sur les données appropriées à fournir.
Après avoir créé les plans, il est important de les pratiquer dans la mesure du possible. La
direction devrait réserver un délai pour tester la mise en œuvre du plan de reprise après
sinistre. Au cours de ces tests, les problèmes susceptibles de provoquer l'échec du plan
peuvent être découverts et corrigés dans un environnement qui présente peu de conséquences.
Conclusion
L’informatique est devenue un outil incontournable de gestion, d’organisation, de production
et de communication. Le réseau informatique de l’entreprise met en œuvre des données
sensibles, les stockent, les partagent en interne, les communiquent parfois à d’autres
entreprises ou personnes et les importent à partir d’autres sites .cet ouverture vers l’extérieur
conditionne les gains de productivités et de compétitivités. Nous nous sommes intéressés à la
sécurité du système d’information de la communauté urbaine ceci nous a permis d’évaluer le
niveau de vulnérabilité sur ce réseau. Les recommandations de notre politique de sécurité si
elles sont suivis permettrons de renfoncer le niveau de sécurité sur le réseau informatique de
la communauté urbaine.
Toutefois, la sécurité d’un SI est un secteur très sensible, nous n’avons travaillé que dans la
limite des possibilités offertes.
Enfin, l’élaboration d’une charte d’utilisation du réseau informatique et surtout une
sensibilisation des utilisateurs du réseau sur le bien-fondé de ces mesures de sécurité ainsi que
leurs importances sur la pérennité du SI est une étape non négligeable pour l’effectivité de ces
mesures.