Lernzettel: Introduction aux architectures et sécurité du SI

📋 Plan du Cours

1. Choix d’une architecture
2. Sécurité du système d’information
3. Architectures de confiance
4. Audit informatique
5. Audit assisté par ordinateur
6. Audit des entreprises informatisées
7. Thèmes d’actualité du SI

📖 1. Choix d’une architecture

🔑 Notions clés & Définitions

• Infrastructure technologique IT : Notion qui peut être comprise soit comme un ensemble de technologies, soit comme un ensemble de services rendant le fonctionnement informatique optimisé et sécurisé.
• Client-serveur : Architecture où des postes clients accèdent à des services et données localisés sur des serveurs, avec une répartition des tâches entre clients et serveur.
• Cloud computing : Architecture de type « nuage » où des ressources informatiques partagées (calcul, stockage, applicatifs, services) sont accessibles à la demande depuis n’importe quel appareil via Internet.
• BYOD : Tendance qui consiste à autoriser l’usage d’appareils personnels par les employés dans le cadre du travail en entreprise.

📝 Points essentiels

• Le SI doit fournir la bonne information à la bonne personne au bon moment, et son architecture technique se décrit notamment par les dimensions matérielle, logicielle et réseau.
• Les dépenses informatiques mondiales atteignent 5 000 milliards de dollars en 2024 (+6,8%), dont les services IT 1 500 milliards de dollars (+8,7%), d’après Gartner.
• Jane Laudon décrit 5 phases d’évolution des architectures depuis l’ère des ordinateurs centraux (depuis 1950) jusqu’au cloud computing (début 2000).
• La virtualisation de serveurs peut faire passer le taux d’utilisation des serveurs d’environ moins de 30% à environ 70% en consolidant des charges sur moins de machines physiques.
• La loi de Moore (faite en 1959, reprise en 1965) prévoyait un doublement de performance tous les 18 mois pour une même surface, mais son ralentissement est attendu puis son arrêt durant les années 2020.
• Dans le BYOD, les entreprises se répartissent en trois catégories : celles qui interdisent, celles qui acceptent sans gérer, et celles qui favorisent en équipant les employés.

💡 Astuce mémo

Phases : Centres 50 → PC 81 → Client-serveur 83 → Internet/Intégration 90 → Cloud 2000.

📖 2. Sécurité du système d’information

🔑 Notions clés & Définitions

• ISO 27000 : La série ISO 27000 regroupe des normes de management de la sécurité de l’information visant à protéger les actifs informationnels via une démarche structurée.
• Confidentialité : La confidentialité garantit que seules les entités destinataires officielles peuvent lire les données échangées.
• Intégrité des données : L’intégrité assure que le message reçu est identique à celui envoyé et n’a pas été modifié durant le transfert.
• PCA : Le PCA (plan de continuité d’activité) organise les réponses à un sinistre majeur pour maintenir ou reprendre l’activité avec des solutions techniques et métiers.
• Pare-feu : Un pare-feu filtre les communications réseau en appliquant des règles administrées pour contrôler les entrées et les sorties vers des systèmes raccordés à Internet.

📝 Points essentiels

• Une attaque suit généralement deux étapes : compromission initiale puis propagation latérale jusqu’à atteindre des composants privilégiés.
• ISO 27001 s’appuie sur le cycle PDCA : Planifier, Déployer, Contrôler, Agir/Plan pour maintenir l’efficacité du SMSI.
• La sécurité du SI vise la confidentialité, l’intégrité, l’authenticité des intervenants et la non-répudiation des transactions électroniques.
• Un pare-feu fonctionne selon des règles qui peuvent soit n’autoriser que les communications explicitement permises, soit bloquer celles explicitement interdites.
• Le filtrage simple analyse des paquets au niveau 3 OSI, tandis que le filtrage dynamique (stateful) suit l’état des échanges aux niveaux 3 et 4 OSI.
• Le PCA se structure en six phases : connaître l’activité, orienter la stratégie, développer le plan, mettre en place les solutions, déployer/maintenir, puis piloter en continu.

💡 Astuce mémo

PDCA = Planifier → Déployer → Contrôler → Agir : “on boucle” pour améliorer la sécurité.

📖 3. Architectures de confiance

🔑 Notions clés & Définitions

• Authenticité : L’authenticité permet d’identifier sans doute les interlocuteurs émetteur et récepteur d’un échange.
• Infrastructure à clé publique : Une infrastructure à clé publique organise l’usage de paires de clés pour chiffrer et signer, en s’appuyant sur des clés publiques diffusées et des clés privées conservées.
• Certificat numérique : Un certificat numérique atteste, via un tiers de confiance, qu’une clé publique appartient bien à l’entité à laquelle elle est attribuée.

📝 Points essentiels

• Un SI « sécurisé » vise confidentialité, intégrité, authenticité et non-répudiation pour garantir l’inviolabilité et la preuve des échanges électroniques.
• Les solutions de sécurisation des échanges reposent toutes sur la cryptographie, notamment pour chiffrer et garantir l’authenticité via certificats et signatures.
• En cryptographie asymétrique, l’expéditeur chiffre avec la clé publique du destinataire et seul celui qui possède la clé privée peut déchiffrer le message.
• La signature électronique associe le chiffrement d’une empreinte (résumé) à la clé privée pour permettre la vérification d’origine et d’intégrité avec la clé publique.
• Un certificat numérique est délivré par un tiers de confiance et contient notamment l’identité du détenteur, la période de validité et la valeur de la clé publique associée.
• Les connexions peuvent être chiffrées via SSL/TLS (et aussi par des tunnels VPN IPsec), en fonction des cas d’usage (accès distant, services externes, accès client à une application Web).

💡 Astuce mémo

CIA = Confidentialité-Intégrité-Authenticité, puis ajoute N pour Non-répudiation.

📖 4. Audit informatique

🔑 Notions clés & Définitions

• Audit informatique : L’audit informatique est un examen approfondi du SI ou d’un ensemble d’éléments du SI afin de valider leur contenu au regard d’objectifs et de risques.
• CISA : La certification CISA est un cadre de référence reconnu qui structure la démarche d’audit informatique en phases successives orientées par les risques.
• ISACA : ISACA est une association professionnelle qui promeut la gouvernance des SI et met en avant les méthodes d’audit, dont CISA.
• CAC : Le CAC est le commissaire aux comptes qui intervient notamment dans l’audit légal et peut aussi réaliser des missions contractuelles liées au SI.
• Tiers de confiance : Un tiers de confiance est un organisme qui délivre des certificats associés à une clé publique pour garantir l’identité de son détenteur.

📝 Points essentiels

• La démarche CISA de l’audit SI repose sur 4 phases : prendre en compte l’activité, définir l’univers des SI, évaluer les risques, puis formaliser le plan d’audit et le programme.
• Pour évaluer les risques, CISA utilise des catégories dont : qualité du contrôle interne, changements dans l’unité d’audit, disponibilité, confidentialité, intégrité et impact financier.
• Le score final de risque se calcule à partir de probabilité et d’impact notés de 1 à 3 sur plusieurs critères, pouvant conduire à un score maximal de 54.
• La planification d’audit peut suivre soit une fréquence déterminée (souvent sur 3 à 5 ans) proportionnée au risque, soit une évaluation des risques en continu sans fréquence prédéfinie.
• CISA propose une grille de fréquence selon la priorité : risque élevé avec actions généralement dans la 1re année, risque modéré sur le cycle, risque faible avec au maximum une mission planifiée par cycle.
• Dans le cadre de missions liées au numérique, le CAC peut être sollicité pour apprécier des dispositifs de cybersécurité et la conformité RGPD, ainsi que pour auditer la blockchain ou la maturité numérique de la firme.

📖 5. Audit assisté par ordinateur

🔑 Notions clés & Définitions

• Analyse de données : L’analyse de données est l’action de mettre l’information en relation afin de faire ressortir des tendances, vraisemblances ou anomalies.
• Fichier de données : Un fichier est un ensemble d’informations stockées sur des supports dont le mode de stockage impose un format lié au logiciel créateur.
• Fichier texte délimité : Un fichier texte délimité (ex. .csv) sépare les champs par un caractère de référence et marque les enregistrements par des retours chariot.
• FEC : Le FEC est le fichier d’écritures comptables à remettre en cas de contrôle fiscal, structuré selon des règles légales précises.
• CMDB : La CMDB est la base qui documente les configurations du SI en identifiant et historisant les composants sous forme de Configuration Items (CI).

📝 Points essentiels

• Les données doivent être auditée avec une démarche adaptée car, avec des volumes croissants, le simple sondage peut devenir insuffisant.
• Le FEC doit contenir 18 informations, dont le code et libellé de journal, la séquence, les dates, les numéros de comptes, la pièce justificative, les montants débit/crédit et les informations de devise.
• Les principaux formats mobilisables incluent Excel (.xls/.xlsx), PDF (non modifiable en principe), et des fichiers texte dont le .csv est généralement ouvert par défaut dans Excel.
• Les logiciels d’analyse existent en deux familles : ceux basés sur Excel et les logiciels autonomes, chacun évalué notamment sur l’intégration, l’intangibilité, la trace NEP 230 et la capacité à créer des scripts.
• Le couple “intégration des données” et “intan gibilité” sert à analyser des formats divers sans altérer les données sources pendant l’audit.
• Les traitements utiles à l’audit incluent trier, filtrer, extraire, joindre, fusionner, compter, totaliser et stratifier.

💡 Astuce mémo

Intan gibilité + NEP 230 + scripts : “sans toucher la source, prouver, automatiser”.

📖 6. Audit des entreprises informatisées

🔑 Notions clés & Définitions

• Matrice des risques : Outil d’audit reliant risques et contrôles pour classer les applications selon leur niveau de risque avant de décider où concentrer les vérifications.
• Score pondéré applicatif : Résultat chiffré obtenu en combinant des facteurs de risque pour prioriser les applications à auditer en fonction de leur criticité.
• Contrôles applicatifs : Ensemble de vérifications portant sur les données d’entrée, le traitement, les données de sortie, l’intégrité et la traçabilité des transactions dans une application.
• Piste d’audit : Trace des opérations et événements qui permet de remonter d’une donnée depuis son entrée jusqu’à sa sortie, et d’identifier l’origine des erreurs.
• Contrôle des accès : Dispositif d’audit qui vérifie que les droits sont proportionnés aux responsabilités, gérés selon une séparation des fonctions, et suffisamment protégés.

📝 Points essentiels

• L’auditeur commence par évaluer le risque de chaque application avec une matrice, puis choisit des échelles qualitatives ou numériques pour construire un classement prioritaire.
• La mesure des risques sur toutes les applications sert à produire un score pondéré et un score composite afin d’identifier les applications à auditer en priorité.
• Les contrôles applicatifs visent notamment l’exactitude et l’intégrité des données d’entrée et de sortie, la conformité du traitement, et la conservation d’un enregistrement du processus pour suivre le cheminement des données.
• La piste de contrôle de gestion (piste d’audit) permet à l’encadrement de remonter les transactions depuis l’entrée vers la sortie et inversement, et aide à vérifier l’efficacité des autres contrôles.
• Le contrôle des accès repose sur une proportionnalité des droits à la responsabilité et sur la séparation développement, tests et production pour réduire le risque de fraude par des fonctions « secrètes ».
• La facture électronique doit répondre à des critères de sécurisation de l’article 289 du CGI, notamment via échange de données structuré, signature électronique conforme et piste d’audit fiable.

💡 Astuce mémo

Risque → Score → Priorité : matrice des risques, score pondéré, puis application à auditer en premier.

📖 7. Thèmes d’actualité du SI

🔑 Notions clés & Définitions

• Green IT : Informatique durable visant à diminuer l’impact environnemental des TIC en réduisant énergie, émissions, déchets électroniques et effets sociaux.
• IT for Green : Approche qui mobilise le numérique pour produire des effets environnementaux positifs dans les organisations, tout en contrôlant aussi les effets négatifs résiduels.
• IA générative : Type d’IA capable de produire de nouvelles données ressemblant à du contenu humain, notamment du texte, des images ou de la musique.
• No-Code : Catégorie d’outils permettant de construire ou adapter un système d’information sans développer du code visible, grâce à des abstractions et une interface utilisateur.
• Internet des objets : Ensemble d’appareils connectés et des technologies associées qui échangent des données avec le cloud et entre eux pour produire des comportements intelligents.

📝 Points essentiels

• En 2019, le numérique est estimé à 1,84 gigatonne équivalent CO2, soit 3,5 % des émissions mondiales de gaz à effet de serre.
• D’après GreenIT.fr, l’impact du numérique pourrait doubler voire tripler entre 2010 et 2025 selon l’indicateur choisi.
• L’IA générative se démocratise via ChatGPT fin 2022 et répond à une demande formulée sous forme de prompt.
• Un prompt est une commande écrite envoyée à une IA de génération pour obtenir une réponse.
• Le No-Code repose sur une abstraction informatique (génération de code invisible), le Web/cloud, et l’expérience utilisateur (UX).
• Un système IoT comprend généralement appareils intelligents, application IoT et interface graphique, avec des traitements possibles en cloud ou à la périphérie.

💡 Astuce mémo

Green IT = réduire l’empreinte ; IA générative = prompt→contenu ; No-Code = construire sans code visible ; IoT = objets→données→décisions.

📅 Repères chronologiques

📊 Tableaux de synthèse

Green IT vs IT for Green (logique d’approche)

Cryptographie symétrique vs asymétrique

⚠️ Pièges & confusions fréquents

1. Confondre l’objectif de la sécurité du SI (confidentialité, intégrité, authenticité, non-répudiation) avec la fonction du pare-feu, qui ne couvre pas toutes les menaces.
2. Interpréter à tort le filtrage simple : il analyse les paquets (niveau 3 OSI) et ne suit pas l’état des sessions, contrairement au stateful (dynamique) au niveau 3-4 OSI.
3. Croire que virtualisation = cloud : la source distingue virtualisation locale par machine virtuelle et virtualisation distante via cloud computing.
4. Inverser le rôle des clés en cryptographie asymétrique : la clé publique sert au chiffrement, mais seul le détenteur de la clé privée déchiffre (et inversement pour la signature).
5. Mélanger PCA et sauvegarde simple : le PCA est structuré en 6 phases, avec stratégie, plans et pilotage continu, et non un simple backup.
6. Confondre logiciel libre et gratuit : la source indique qu’un logiciel libre n’est pas nécessairement gratuit, le critère central restant l’accès au code source.
7. Erreur fréquente en audit : croire qu’un score de risque se déduit sans grille ; CISA utilise une probabilité et un impact (1 à 3) par critères, puis oriente la fréquence/ressources.

✅ Checklist Examen

1. Décrire l’IT comme approche par services et citer les catégories de services liées (plateformes, télécommunications, gestion des données, logiciels d’application, gestion de l’IT, normes).
2. Retracer les 5 phases d’évolution (depuis 1950, 1959/1965, 1981, 1983, début 1990, début 2000) et expliquer ce que change chaque phase côté architecture.
3. Expliquer comment ISO 27001 mobilise le cycle PDCA (Planifier, Déployer, Contrôler, Agir/Plan) et relier-le aux objectifs confidentialité, intégrité, authenticité, non-répudiation.
4. Présenter le scénario d’attaque en 2 étapes (compromission initiale puis propagation latérale) et illustrer les vecteurs typiques cités (courriels piégés, pièces jointes, redirections, etc.).
5. Décrire le pare-feu : politique (autoriser explicitement vs interdire explicitement), principe de filtrage, et différencier filtrage simple vs dynamique/stateful vs filtrage applicatif/proxy.
6. Caractériser le PCA : finalité, nécessité de pilotage en mode projet, et enchaînement des 6 phases (connaître l’activité, orienter la stratégie, développer le plan, mettre en place, déployer/maintenir, piloter en continu).
7. Expliquer la cryptographie asymétrique et le rôle clé publique/clé privée, puis le mécanisme de la signature électronique (empreinte/hachage chiffrée avec clé privée vérifiée via clé publique).
8. Décrire le lien certificat numérique ↔ tiers de confiance ↔ normalisation, et citer les cas d’usage de sécurisation de connexions (SSL/TLS ou VPN IPsec) selon la source.
9. Donner les 4 phases de la démarche CISA (prendre en compte l’activité, définir l’univers, évaluer les risques, formaliser plan et programme) et expliquer la grille probabilité/impact (1 à 3) et la fréquence selon risque élevé/modéré/faible.
10. Expliquer l’audit assisté par ordinateur : formats de fichiers (Excel, PDF non modifiable en principe, texte/csv) et le FEC (18 informations) ; puis différencier intégration des données, intangibilité, trace NEP 230 et scripts.
11. Décrire l’audit des entreprises informatisées : matrice des risques/score pondéré, contrôles applicatifs (entrée-traitement-sortie-intégrité-piste d’audit), et contrôle des accès (proportionnalité + séparation dev/tests/production).
12. Lister les thèmes d’actualité et leurs points à mobiliser : Green IT vs IT for Green (effets rebond), IA générative (prompt), No-Code (abstraction + UX + connecteurs/stack), IoT (3 composantes + périphérie/cloud + données→décisions), et conduite du changement (4 principes : raisons, communication, implication,…