71290063 - Analyse et risques des systèmes d'information

Niveau de diplôme Master - Semestre 3
Crédits ECTS 3
Volume horaire total 21
Volume horaire CM 21

Responsables

Objectifs

  • Quels sont les risques de cybersécurité ?
  • Pourquoi faut-il les maîtriser ?
  • Quelles sont les solutions à notre disposition et comment les utiliser ?
  • Ces solutions sont-elles uniquement techniques et que doivent faire les utilisateurs du SI pour contribuer à la maîtrise du risque ?
  • Les risques SI sont-ils uniquement « sécurité » ?
Ce cours propose d’approfondir ces questions et d’y apporter des éléments de réponse pour les managers des SI.
Il doit permettre aux étudiants de comprendre les enjeux de la cybersécurité, ainsi que les aspects technologiques, organisationnels et humains du risque cyber, pour mieux appréhender les outils et solutions de gestion de la sécurité.

Estimation du temps de travail personnel (en dehors des cours) : 20 heures


DIMENSION DE RESPONSABILITE SOCIALE
Protection des données personnelles et lutte contre la cybercriminalité

CONNAISSANCES ET COMPETENCES CIBLES
À l’issue du cours les étudiants devront avoir acquis :

  • Les concepts de sécurité SI, de risque, de vulnérabilité et de menace ;
  • Une connaissance des grandes familles de vulnérabilités et de menaces de sécurité et des solutions associées, à l’état de l’art ;
  • Les principes clés d’un système de management de la sécurité de l’information (SMSI) ;
  • Une compréhension des risques SI qui n’entrent pas directement dans le champ de la sécurité.

Contenu

Panorama des risques de cybersécurité

  • Exemples de risques génériques
  • Focus sur quelques risques et attaques stars
  • Le classement de l’OWASP
  • Focus sur Wannacry

Présentation de concepts clés

  • Définitions de la sécurité
  • Fonctions de sécurité et fonctions sécurisées
  • Architecture de sécurité
  • Contrôles de sécurité
  • Démarche de management par les risques

SMSI

  • Les 8 piliers du management
  • PDCA
  • Structure de l’ISO27001

Bibliographie

OUVRAGES ET PUBLICATIONS DE REFERENCE :
  • La Cybersécurité au-delà de la technologie, Philippe Trouchaud, ed. Odile Jacob, 2016
  • La Cybersécurité, face au défi de la confiance, Philippe Trouchaud, ed. Odile Jacob, 2018
OUVRAGES ET PUBLICATIONS COMPLEMENTAIRES :
  • Guide des bonnes pratiques de l’informatique, 12 règles essentielles pour sécuriser vos équipements numériques, ANSSI & CPME (ssi.gouv.fr)
  • Guide d’hygiène informatique, renforcer la sécurité de sons système d’information en 42 mesures, ANSSI (ssi.gouv.fr)

Contrôles des connaissances

  • QCM - 30 min
  • Présentation d’un projet en groupe - 20min à oral

Informations complémentaires

MODALITES PEDAGOGIQUES
Les séances de cours se tiennent en mode séminaire, sur des durées de 4 à 8h, pendant lesquelles nous alternons des présentations de connaissances (concepts, technologies et méthodes) ou de cas, des réflexions de groupe et des exercices individuel.
Une grande part du cours est consacrée à l’interactivité et l’échange. Un travail de préparation et relecture est demandé entre les cours.

NATURE DES SUPPORTS
Les supports de cours sont fournis via Moodle sous forme de présentations Powerpoint, complété par un résumé rédigé et des articles de référence pour approfondir.

INNOVATIONS PEDAGOGIQUES ET UTILISATION DE TECHNOLOGIES
Utilisation de Wooclap pour la mise en place de tests et sondages afin de faciliter l’interactivité. L’examen final est un QCM passé sous Moodle. L’ensemble des cours et compléments sont accessibles sous Moodle

PRE-REQUIS EN TERMES DE CONNAISSANCES ET COMPETENCES
Connaissance générale sur l’architecture des SI et l’organisation de la fonction SI au sein des organisations.

LECTURE(S) CONSEILLEE(S) :
- Les ouvrages de Philippe Trouchaud, aux éditions Odile Jacob, qui offrent une vue globale et proposent une réflexion profonde et pragmatique sur le sujet de la cybersécurité :
o La Cybersécurité au-delà de la technologie, 2016
o La Cybersécurité, face au défi de la confiance, 2018

RESSOURCE(S) A DISPOSITION :
  • Le site de l’ANSSI, fournit des données riches et de référence pour gérer la sécurité des SI : www.ssi.gouv.fr
  • Le site du CLUSIF, dont on notera le rapport annuel sur la cybercriminalité : www.clusif.fr
  • Les publications du CIGREF sur la cybersécurité : www.cigref.fr
  • Le site gouvernemental d’assistance et de prévention du risque cyber, dont on notera le kit de sensibilisation : www.cybermalveillance.gouv.fr
  • Le projet de l’OWASP, qui fournit une information riche et régulièrement mise à jour des vulnérabilités Web : www.owasp.org
  • Les ressources du NIST, qui fournissent des informations détaillées sur la mise en œuvre de la sécurité dans les systèmes IT :