1. A propos du cours

1. Auteur : Djamba Tunda-Olembe
2. Type : Notes de cours universitaires avancées / Document PDF synthétique sur la gouvernance et la gestion de la sécurité
3. Langue : Français
4. Licence : Document déposé dans l'archive ouverte HAL (hal-04925109v1), accessible librement pour un usage académique et de recherche.

2. Prérequis

1. Avoir suivi un cours d'introduction à la sécurité informatique (connaissances des bases : cryptographie, réseaux, systèmes).
2. Compréhension des concepts de gestion d'entreprise et d'organisation.
3. Notions de base en droit de l'informatique et de la protection des données.
4. Expérience pratique avec les systèmes d'information en entreprise.

3. Publique cible

Ce cours s'adresse aux étudiants de niveau Master 2 ou Doctorat en informatique, en management des systèmes d'information (MSI) ou en audit. Il vise particulièrement les futurs responsables de la sécurité des systèmes d'information (RSSI), les auditeurs en sécurité, les chefs de projets informatiques et les consultants qui doivent concevoir, mettre en œuvre et gérer la sécurité au niveau organisationnel et stratégique, et non plus seulement technique.

4. Outils matériels et logiciels

4.1 Outils matériels

1. Un ordinateur pour la rédaction de politiques, l'analyse de cas et l'accès aux référentiels normatifs en ligne.

4.2 Outils logiciels

1. Suite bureautique pour la modélisation (diagrammes d'architecture, cartographie des risques).
2. Outils de gestion de projet.
3. Accès aux sites des organismes de normalisation (ISO, ANSSI, NIST).

5. Champs d'applications

1. Gouvernance de la Sécurité des SI (GSSI) : Définition de la stratégie sécurité alignée sur les objectifs métier de l'organisation.
2. Audit et Conformité : Vérification du respect des règlements (RGPD, LPM) et des standards (ISO 27001, SOC 2).
3. Management du Risque Cyber : Mise en place de méthodologies structurées d'identification, d'analyse et de traitement des risques.
4. Architecture de Sécurité : Conception d'architectures réseau et système résilientes et sécurisées (Zero Trust, segmentation).
5. Continuity & Recovery Planning : Élaboration de plans de reprise d'activité (PRA) et de continuité d'activité (PCA) après un incident cyber.

6. Courte description

Ce cours avancé aborde la sécurité informatique sous l'angle de la gouvernance, de la gestion et de l'architecture. Il couvre les cadres normatifs et réglementaires (ISO 2700x, RGPD, NIST CSF), les méthodologies de gestion des risques (EBIOS RM), la conception d'architectures sécurisées et la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Il forme des professionnels capables de piloter la sécurité à l'échelle de l'organisation.

7. Longue description du cours

Ces notes de cours de Djamba Tunda-Olembe représentent le second volet d'une formation avancée en sécurité informatique. Alors qu'un premier cours couvre généralement les aspects techniques (cryptographie, protocoles, malwares), ce module Sécurité Informatique II s'élève au niveau organisationnel, managérial et stratégique. Il répond à la question : "Une fois que l'on connaît les techniques de défense, comment les organiser, les piloter et en démontrer l'efficacité au sein d'une entreprise ou d'une administration ?"

Module 1 : Cadre Normatif, Réglementaire et Gouvernance

Ce module jette les bases du management de la sécurité en présentant les cadres de référence essentiels :

• La famille de normes ISO/CEI 27000 : Étude détaillée de la norme ISO 27001 (exigences pour un SMSI) et de sa norme d'accompagnement ISO 27002 (catalogue de mesures de sécurité). Le cours explique le cycle PDCA (Plan-Do-Check-Act), la nécessité d'une amélioration continue et le processus de certification.
• Les cadres complémentaires : Présentation du NIST Cybersecurity Framework (CSF) et du NIST SP 800-53 (contrôles de sécurité), largement utilisés au niveau international.
• La conformité réglementaire : Analyse des implications du Règlement Général sur la Protection des Données (RGPD) pour la sécurité des données personnelles. Étude d'autres règlements sectoriels comme la Loi de Programmation Militaire (LPM) en France pour les Opérateurs d'Importance Vitale (OIV).
• Gouvernance de la Sécurité : Rôle et responsabilités du RSSI (Responsable de la Sécurité des Systèmes d'Information), place de la fonction sécurité dans l'organigramme, comités de pilotage, définition d'une politique de sécurité (PSSI).

Module 2 : Méthodologies de Gestion des Risques Cyber

Le cœur opérationnel de la gouvernance est la gestion des risques. Le cours présente et compare les méthodes structurées :

• La méthode EBIOS Risk Manager (Expression des Besoins et Identification des Objectifs de Sécurité) : Méthodologie phare portée par l'ANSSI. Le cours détaille ses étapes : cadrage du périmètre, étude des scénarios de risque, évaluation des impacts et des vraisemblances, définition du plan de traitement (éviter, réduire, transférer, accepter).
• L'analyse de risque selon ISO 27005 : Approche générique alignée sur la norme SMSI.
• La cartographie des risques : Outil de visualisation et de communication essentiel pour le dialogue avec la direction générale.
• Les indicateurs de risque et de performance (KRIs/KPIs) : Comment mesurer l'évolution du risque et l'efficacité des mesures de sécurité mises en place.

Module 3 : Architecture de Sécurité et Défense en Profondeur

Ce module traduit les exigences de sécurité en choix architecturaux concrets :

• Le principe de Défense en Profondeur (DiD) : Empilement de couches de sécurité (physique, réseau, hôte, application, données) pour qu'une faille à un niveau ne compromette pas l'ensemble du système.
• Architecture réseau sécurisée : Concepts de segmentation (micro-segmentation), de zones de confiance (DMZ, zones internes), de contrôle d'accès réseau (NAC).
• Introduction au modèle Zero Trust (Confiance Zéro) : Principe "Never Trust, Always Verify". Abandon implicite du réseau interne comme zone de confiance, authentification et autorisation continues pour chaque accès aux ressources.
• Sécurité des architectures cloud (hybride, multi-cloud) : Application des principes de défense en profondeur et de Zero Trust dans les environnements cloud, gestion des identités hybrides.

Module 4 : Gestion des Incidents et Continuité d'Activité

Le cours reconnaît qu'aucune défense n'est parfaite et prépare à la gestion de la crise :

• Mise en place d'une équipe de réponse aux incidents (CSIRT) : Rôles, procédures d'activation, chaîne de communication.
• Plan de gestion des incidents de sécurité (PGIS) : Étapes de détection, analyse, confinement, éradication, récupération et leçons apprises.
• Plans de Continuité d'Activité (PCA) et de Reprise d'Activité (PRA) : Différence entre les deux, identification des processus métier critiques, objectifs de délai de reprise (RTO) et de point de reprise (RPO), tests des plans.
• Forensic numérique pour l'entreprise : Principes de collecte de preuves numériques dans un cadre légal pour les besoins internes ou judiciaires.

Module 5 : Sensibilisation, Audit et Amélioration Continue

Les aspects humains et d'évaluation finale sont cruciaux :

• Programmes de sensibilisation et de formation : Conception de campagnes ciblées pour changer les comportements à risque des utilisateurs, mesure de leur efficacité.
• Audit de sécurité interne et externe : Méthodologie d'audit selon la norme ISO 19011, préparation à une certification ISO 27001.
• Revue de management et amélioration continue : Intégration des retours d'audits, des incidents et de l'évolution des menaces dans le cycle de management du SMSI.

En conclusion, ces notes de cours offrent une vision holistique et managériale de la sécurité. Elles préparent les étudiants à passer du statut de technicien spécialisé à celui d'architecte ou de manager de la sécurité, capable de dialoguer avec la direction générale, de allouer des budgets, de piloter des projets transverses et de démontrer la valeur ajoutée de la sécurité pour la résilience et la performance globale de l'organisation.

Voir ou télécharger le document sur le site d’origine

Ce document est hébergé par une source externe. Nous ne revendiquons aucun droit sur son contenu. Pour toute demande de retrait, veuillez contacter l’auteur ou l’hébergeur officiel.