Le développement économique de tout organisme repose aujourd’hui sur l’utilisation quasi systématique d’outils informatiques et bureautiques, généralement interconnectés à différents réseaux de télécommunication et principalement à internet.
Avec le développement de l’utilisation d’internet, de plus en plus d’entreprises ouvrent leur système d’information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources de l’entreprise à protéger et de maîtriser le contrôle d’accès et les droits des utilisateurs du système d’information.
La sécurité du système d’information est de nos jours devenue un problème majeur dans la gestion des réseaux d’entreprise ainsi que pour les particuliers toujours plus nombreux à se connecter à internet. La transmission d’informations sensibles et le désir d’assurer la confidentialité de celles-ci est devenu un point primordial dans la mise en place de réseaux informatiques.
La majorité des opérations qu’il s’agisse de conception, de validation, de publication, etc. transitent par les réseaux informatiques. Ainsi l’exploitation des réseaux informatiques est sujette à d’énormes risques notamment les risques opérationnels qu’il convient d’identifier, d’évaluer, d’analyser et de hiérarchiser.
LES RISQUES LIES AU RESEAU INFORMATIQUE
Aujourd’hui les différentes opérations s’appuient de plus en plus sur le réseau informatique. Avec la libre circulation des informations et la haute disponibilité de nombreuses ressources, les responsables de réseaux d’entreprise doivent connaître toutes les menaces susceptibles de compromettre la sécurité. Celles-ci prennent de nombreuses formes, mais résultent toutes en une compromission de la confidentialité à un certain degré et en une destruction possible de données ou de ressources pouvant conduire à des pertes financières considérables.
La compréhension des risques liés au réseau informatique nécessite la définition de concepts importants. Ainsi nous présenterons le réseau informatique, puis les risques qui y résultent ainsi que leur gestion et nous terminerons par le dispositif de contrôle interne sur lequel doit reposer l’entreprise pour être performante.
Présentation du réseau informatique
L’ancêtre des réseaux est le réseau Arpanet (de l’Advanced Research Projects Agency), créé en 1968 par le département américain de la Défense, dans un but stratégique, pour relier ses centres de recherche. Le but était de concevoir un réseau qui résiste à des attaques militaires telles que des bombardements. Ainsi, il ne devait pas y avoir de point névralgique dans le réseau, dont l’arrêt aurait provoqué le blocage complet de celui-ci, et les données devaient pouvoir automatiquement prendre un chemin différent en cas de coupure de liaison. D’où l’absence de contrôle centralisé dans l’Internet et un cheminement dynamique des données.
Définition du réseau informatique
Le mot réseau est très souvent employé dans un sens qui le lie aux communications. Ex : le réseau téléphonique, le réseau routier ou réseau de trafiquants d’armes. PUJOLLE (2011 : 3), définit : Un réseau est un ensemble d’équipements et de liaisons de télécommunications autorisant le transport d’une information, quelle qu’elle soit, d’un point à un autre, où qu’il soit.
Dans son Aide Mémoire des réseaux et télécoms, SERVIN (2012 : 3), affirme qu’en informatique, le terme réseau recouvre un ensemble de moyens technologiques et logiciels mis en œuvre pour permettre l’échange de données entre ordinateurs.
TANENBAUM et WETHERALL (2010 : 2), disent qu’un « Réseau d’ordinateurs » est pour désigner un ensemble d’ordinateurs autonomes interconnectés au moyen d’une seule technologie leur permettant d’échanger des informations.
En informatique deux ordinateurs reliés entre eux par un câble forment déjà un réseau. Deux réseaux reliés entre eux par un quelconque moyen permettant aux informations de circuler (ligne téléphonique, satellite…) forment un nouveau réseau. Un réseau informatique permet à plusieurs machines (ordinateurs au sens large) de communiquer entre elles afin d’assurer des échanges d’informations: du transfert de fichiers, du partage de ressources (imprimantes et données), de la messagerie ou de l’exécution de programmes à distance.
Types des réseaux informatiques
DORDOIGNE (2005 :14), à travers Réseaux Locaux Et Étendus nous définit les notions fondamentales des LAN, MAN, WAN etc.
Les LAN
Les réseaux LAN (Local Area Network) sont les réseaux locaux. Les ordinateurs sont reliés par l’intermédiaire de câbles dans une petite zone géographique. (La technologie Ethernet est utilisée pour relier les PC). Un réseau local est donc un regroupement de PC étant proches les uns des autres reliés au réseau (soit avec des fils et en utilisant la technologie Ethernet qui permet de monter à plus de 100 Mbits par seconde (et 1Gbit pour le GigaEthernet), soit sans fils avec des technologies comme le WIFI).
Les MAN
Les réseaux métropolitains MAN (Metropolitan Area Network).Ce type de réseau est apparu relativement récemment et peut regrouper un petit nombre de réseaux locaux au niveau d’une ville ou d’une région. Par exemple, une banque peut décider de créer un ‘MAN’ pour relier ses agences sur un rayon de quelques kilomètres. La bande-passante peut être de quelques centaines de kbits/s à quelques Mbits/s.
Les WAN
Les réseaux distants WAN (Wide Area Network).Ce type de réseau permet l’interconnexion de réseaux locaux et métropolitains à l’échelle de la planète, d’un pays, d’une région ou d’une ville. L’infrastructure est en général publique (Poste, Télécom, Banques etc.) et l’utilisation est facturée en fonction du trafic et/ou en fonction de la bande-passante réservée, pour les lignes louées. Les modems sont un des éléments de base des WANs. La bande passante va de quelques Kbits/s à quelques Mbit/s. Une valeur typique pour une ligne louée est de 64kbits/s (en fonction des services offerts).
Topologies des réseaux informatiques
SERVIN (2013 : 67), dans son ouvrage Réseaux Et Télécoms nous décrit les différents protocoles IP, les architectures réseaux etc. La topologie décrit comment les machines sont raccordées au réseau, c’est-à-dire la connexion physique entre les machines.
La topologie en bus
C’est une ancienne topologie aujourd’hui peu utilisée. Elle consiste à relier chaque ordinateur à un « bus » par l’intermédiaire souvent de câbles coaxiaux.
Elle a par contre de nombreux défauts :
– Une lenteur assez importante ;
– Une vulnérabilité importante en cas de panne. En effet, si un câble est en panne le réseau ne fonctionne plus ;
La topologie en étoile
C’est la topologie la plus utilisée aujourd’hui. Les réseaux qui utilisent cette topologie, ont un point central commun auquel sont connectés tous les nœuds du réseau (généralement un concentrateur).
Les avantages principaux :
– Chaque nœud est indépendant, contrairement aux topologies en bus ou en anneau, la défaillance d’un nœud n’affecte pas le reste du réseau ;
– Il est très simple de rajouter ou d’enlever des nœuds au réseau ;
Les principaux désavantages :
– Cette topologie nécessite un câblage bien plus important qu’une topologie en bus, ce qui implique un coût plus élevé ;
– Si le nœud central est victime de défaillance, tout le réseau tombe en panne ;
La topologie en en étoile étendue
Structure de réseau constituée d’une topologie en étoile principale, et d’autres topologies en étoile secondaires. L’avantage d’une topologie en étoile étendue est de réduire les longueurs de câble et de limiter le nombre d’unités interconnectées à un nœud central. Son plus grand désavantage est que, si le nœud central connaît une défaillance, tout le réseau est en panne.
La topologie en anneau
La topologie en anneau est une structure en cercle où chaque nœud est connecté à 2 autres nœuds. Les trames sont généralement envoyées dans une seule direction.
La topologie hiérarchique
Topologie de réseau local similaire à une topologie en bus, excepté que les réseaux en arbre peuvent contenir des branches avec plusieurs nœuds. Les émissions d’une station se propagent sur toute la longueur du média et sont reçues par toutes les autres stations.
La topologie maillée
Topologie réseau dans laquelle des segments relient les nœuds dans une topologie ne pouvant se réduire à un cas plus simple. Dans un maillage intégral (full mesh), chaque nœud est directement relié à tous les autres. L’usage le plus fréquent des réseaux maillés, sont des réseaux internationaux WAN (Wide Area Network) Réseau pouvant s’étendre au monde entier .
Câblage des réseaux informatiques
Le medium de transport correspond aux éléments matériels et immatériels capables de transporter des données binaires (0 et 1), comme les câbles et les ondes radio. Dans le premier cas, ce sont des fils métalliques ou des fibres optiques qui transportent l’information et dans le second cas les ondes hertziennes.
Les deux types de support sont complémentaires. Le hertzien permet la mobilité mais à débit plus faible. De son côté, le câble propose des débits de plus en plus importants. On arrive aujourd’hui à des dizaines de gigabits par seconde sur la fibre optique contre des centaines de mégabits par seconde pour le hertzien. Cette section examine les caractéristiques de ces différents médias de transmission afin de mieux comprendre leurs architectures et leur fonctionnement.
Câble coaxial
Ce type de câble est utilisé pour la transmission de signaux numériques ou analogiques à haute ou basse fréquence. Par exemple, vous trouverez un câble coaxial, entre votre antenne TV et votre télévision.
Paire torsadée
Le câble à paire torsadée (Twisted-pair câble) est un câble réseau dont les fils sont regroupés deux par deux. Il est souvent fabriqué à partir de plusieurs paires torsadées regroupées et placées à l’intérieur d’une gaine protectrice.
Fibre optique
La fibre optique est un fil en verre ou en plastique très fin qui a la propriété d’être un conducteur de la lumière et sert dans la transmission de données. Elle offre un débit d’information nettement supérieur à celui des câbles coaxiaux et supporte un réseau « large bande » par lequel peuvent transiter aussi bien la télévision, le téléphone, la visioconférence ou les données informatiques.
Wi-Fi
Le Wifi, pour Wireless Fidelity, est une technologie standard d’accès sans fil à des réseaux locaux. Le principe est d’établir des liaisons radio rapides entre des équipements et des bornes reliées au réseau haut débit. Cette technologie permet en principe une interopérabilité totale des équipements, quelle que soit la marque ou la nature du terminal.
Grâce au Wifi, il est possible de créer des réseaux locaux sans fils à haut débit. Il permet de relier des ordinateurs portables, des ordinateurs de bureau, des assistants personnels (PDA) ou tout type de périphérique à une liaison haut débit (11Mbps ou supérieur) sur un rayon de plusieurs dizaines de mètres.
|
Table des matières
INTRODUCTION GENERALE
PREMIERE PARTIE : CADRE THEORIQUE
Chapitre 1 : LES RISQUES LIES AU RESEAU INFORMATIQUE
1.1. Présentation du réseau informatique
1.1.1. Définition du réseau informatique
1.1.2. Types des réseaux informatiques
1.1.3. Topologies des réseaux informatiques
1.1.3.1. La topologie en bus
1.1.3.2. La topologie en étoile
1.1.3.3. La topologie en en étoile étendue
1.1.3.4. La topologie en anneau
1.1.3.5. La topologie hiérarchique
1.1.3.6. La topologie maillée
1.1.4. Architecture des réseaux informatiques
1.1.4.1. Architecture client-serveur
1.1.4.2. Architecture Poste à Poste (Peer to Peer)
1.1.5. Câblage des réseaux informatiques
1.1.5.1. Câble coaxial
1.1.5.2. Paire torsadée
1.1.5.3. Fibre optique
1.1.5.4. Wi-Fi
1.1.6. Protocole réseaux
1.1.6.1. Protocole TCP/IP
1.1.6.2. Protocole ARP
1.1.6.3. Protocole DHCP
1.1.6.4. Protocole DNS
1.1.7. Matériels pour le réseau informatique
1.1.7.1. Carte réseau
1.1.7.2. Concentrateur
1.1.7.3. Commutateur
1.1.7.4. Passerelles
1.1.7.5. Routeurs
1.1.8. Internet, Intranet et Extranet
1.1.8.1. Internet
1.1.8.2. Intranet
1.1.8.3. Extranet
1.1.9. Organisation réseau-SGBD-Sécurité-Sauvegarde
1.1.9.1. Organisation réseau
1.1.9.2. Système de Gestion de la Base de Données
1.1.9.3. Sécurité informatique
1.1.9.4. Sauvegarde informatique
1.2. Risques liés au réseau informatique
1.2.1. Notion de risque
1.2.1.1. Définition du risque
1.2.1.2. Types de risques
1.2.2. Les risques opérationnels
1.2.2.1. Définition des risques opérationnels
1.2.2.2. Les risques accidentels
1.2.2.3. Les risques liés aux erreurs
1.2.2.4. Les risques liés à la malveillance
1.2.3. Gestion des risques opérationnels
1.2.3.1. Définition de la gestion des risques
1.2.3.2. Risques majeurs et risques mineurs
1.2.3.3. Le dispositif de maîtrise des risques opérationnels du réseau informatique
Chapitre 2 : METHODOLOGIE D’ELABORATION D’UNE CARTOGRAPHIE DES RISQUES
2.1. Notions sur la cartographie des risques
2.1.1. Définition, objectifs et acteurs de la cartographie des risques
2.1.1.1. Définition de la cartographie des risques
2.1.1.2. Objectifs de la cartographie des risques
2.1.1.3. Les acteurs de la cartographie des risques
2.1.2. Les motivations d’élaboration d’une cartographie des risques
2.1.3. Les facteurs clés de succès de la cartographie des risques
2.1.4. Les types de cartographie des risques
2.1.4.1. La cartographie globale
2.1.4.2. La cartographie thématique
2.1.5. Démarche d’élaboration d’une cartographie des risques
2.1.5.1. Le bottom up
2.1.5.2. Le top down
2.1.5.3. L’approche combinée
2.1.5.4. L’approche par le benchmarking
2.1.5.5. L’approche par l’autoévaluation
2.1.5.6. L’approche par analyse et synthèse rationnelle des risques
2.1.5.7. Les points d’entrée
2.1.5.8. La macro cartographie
2.2. Les différentes étapes d’élaboration d’une cartographie des risques
2.3. Analyse du tableau de synthèse
2.3.1. Cadre méthodologique
2.3.2. La phase de préparation
2.3.3. La phase de planification
2.3.3.1. Identification et analyse des risques
2.3.3.2. Evaluation des risques
2.3.3.3. Hiérarchisation et mesure des risques
2.3.4. La phase d’action
2.3.5. La phase de reporting sur les risques résiduels
2.3.6. La phase de vérification de l’efficacité du plan d’action
2.3.7. Amélioration et mise à jour de la démarche
Chapitre 3 : METHODOLOGIE DE L’ETUDE
3.1. Notre démarche référentielle
3.2. Outils de collecte des données
3.2.1. Collecte de données
3.2.2. Outils d’analyse de données
DEUXIEME PARTIE : CADRE PRATIQUE
Chapitre 4 : PRESENTATION DU PROGRAMME DES NATIONS UNIES POUR LE DEVELOPPEMENT SENEGAL
4.1. Présentation de la structure
4.1.1. Historique du PNUD Sénégal
4.1.2. Missions du PNUD Sénégal
4.1.3. Objectifs assignés au PNUD Sénégal
4.1.4. Organisation du PNUD Sénégal
4.1.5. Activités du PNUD Sénégal
4.1.6. Ressources disponibles
4.2. L’unité de développement informatique et de la gestion des réseaux du PNUD Sénégal
Chapitre 5 : DESCRIPTION DU RESEAU INFORMATIQUE EXISTANT
5.1. Description de l’organisation du réseau
5.1.1. Présentation générale d’Active Directory
5.1.2. Description du site UNDP
5.1.3. Description du domaine undp.local
5.1.4. Description de l’unité d’organisation
5.1.5. Description de la stratégie de groupe
5.2. Système de gestion de base de données
5.2.1. Description du SGBD SQL Server
5.2.2. Description du SGBD Access
5.3. Sécurité via l’authentification et les pare-feux
5.3.1. Description du système d’authentification
5.3.2. Description du système des pare-feux
5.3.2.1. Pare-feu logiciel : Microsoft ISA Server
5.3.2.2. Pare-feu matériel : Routeur Cisco ASA
5.4. Description de la politique de sauvegarde au sein du PNUD Sénégal
5.4.1. Description du système de sauvegarde totale
5.4.2. Description du système de RAID
5.4.2.1. Le mode opératoire
5.4.2.2. Le résultat obtenu
5.4.2.3. Le fonctionnement du RAID
5.4.2.4. La sécurité du RAID
5.5. Description des autres besoins au sein du PNUD Sénégal
5.5.1. La messagerie
5.5.1.1. Le Protocole SMTP
5.5.1.2. Le Protocole POP
5.5.1.3. Le Protocole IMAP
5.5.2. Le site web du PNUD Sénégal
5.5.3. Les applicatifs maisons
5.6. Description des types de réseau au sein du PNUD Sénégal
5.7. Description du système de répartition des charges au sein du PNUD Sénégal
5.8. Description du système de maintenance au sein du PNUD Sénégal
Chapitre 6 : ELABORATION DE LA CARTOGRAPHIE DES RISQUES LIES AU RESEAU INFORMATIQUE AU SEIN DU PNUD SENEGAL
6.1. Identification des risques liés au réseau informatique
6.1.1. Identification des risques matériels
6.1.2. Identification des risques liés aux erreurs
6.1.3. Identification des risques liés à la malveillance
6.2. Evaluation des risques liés au réseau informatique
6.2.1. Evaluation de la probabilité de survenance du risque
6.2.2. Evaluation de l’impact des risques
6.3. Hiérarchisation des risques
6.3.1. Hiérarchisation des risques selon leur probabilité de survenance
6.3.2. Hiérarchisation des risques selon leur impact
6.4. Elaboration de la cartographie des risques liés au réseau informatique
6.5. Les plans d’action
6.6. Analyse de la cartographie des risques
6.7. Recommandations
CONCLUSION GENERALE
ANNEXES
BIBLIOGRAPHIE
