📋 Séance 1 — Politique de sécurité — PSI et classification ISO 27001

BTS SIO 3h30 C2.3.1 SISR B2 — M2.3

Formation	BTS SIO option SISR — IRIS Mediaschool
Bloc	B2 — Administration Systèmes & Réseaux
Module	M2.3 — Sécurité des infrastructures (35h)
Compétence	B2.1 / Lien B3.4
Durée séance	3h30

🎯 Objectifs pédagogiques

Comprendre le rôle et les objectifs d'une Politique de Sécurité des Systèmes d'Information (PSI).
Savoir définir le périmètre et inventorier les actifs informationnels d'une organisation.
Savoir classifier des actifs selon une grille C1/C2/C3 et justifier un classement.
Connaître les rôles et responsabilités (RSSI, DSI, utilisateurs, DPO) et les principes d'ISO 27001/27002.
Connaître les exigences de sécurité du RGPD (art. 32) et les mesures associées.

🗓️ Déroulé de la séance (3h30)

Horaire	Activité
00:00 – 00:15	Présentation et accroche (cas Target 2013)
00:15 – 01:00	Définitions et objectifs d'une PSI (disponibilité, intégrité, confidentialité, traçabilité)
01:00 – 01:45	Périmètre et inventaire des actifs informationnels — méthode et exemples
01:45 – 02:30	Classification des actifs (C3/C2/C1) + cas InnovatTech
02:30 – 03:00	Rôles et responsabilités (RSSI, DSI, DPO, utilisateurs, hiérarchie)
03:00 – 03:20	ISO 27001/27002 — PDCA, 14 domaines de contrôle, SoA
03:20 – 03:30	RGPD — exigences sécurité (art. 32) et synthèse

🔍 Accroche — Cas Target (décembre 2013)

Le piratage chez Target (décembre 2013) a permis le vol de ~40 millions de numéros de cartes bancaires via un fournisseur HVAC dont l'accès réseau n'était pas segmenté. L'absence d'une PSI formalisée et d'une segmentation rigoureuse a favorisé la propagation de l'attaque. Ce cas illustre pourquoi une politique documentée et des périmètres clairs sont essentiels.

1) Politique de Sécurité des SI (PSI) — éléments clés

Une PSI est un document cadre formalisant les objectifs, les règles et les responsabilités en matière de sécurité. Elle précise les objectifs de sécurité :

Disponibilité : continuité de service — les ressources sont accessibles quand et par qui elles doivent l'être.
Intégrité : fiabilité et non-altération des données — les informations ne sont modifiées que par des acteurs autorisés.
Confidentialité : protection contre les accès non autorisés — les informations sensibles ne sont accessibles qu'aux personnes habilitées.
Traçabilité : journalisation et preuves d'activités — tout accès ou modification est enregistré de manière fiable.

La PSI définit également le périmètre (systèmes, services, périmètre organique) et fixe les attentes en matière de conformité et de gouvernance.

💡 À retenir

L'acronyme DICT résume les quatre piliers : Disponibilité, Intégrité, Confidentialité, Traçabilité. Certains référentiels (ANSSI) utilisent également DICP en remplaçant la Traçabilité par la Preuve.

2) Périmètre et actifs informationnels

Le périmètre décrit l'étendue des systèmes, des réseaux, des applications et des données couverts par la PSI. L'inventaire des actifs informationnels (matériel, logiciels, données, personnes, services) est la base de toute analyse de risques.

Chaque actif doit être :

Identifié : nom, référence, description fonctionnelle.
Caractérisé : propriétaire, localisation (physique/virtuelle), valeur métier.
Évalué : sensibilité, dépendances, criticité pour l'activité.

3) Classification des actifs (grille C3 / C2 / C1)

Niveau	Libellé	Description	Exemples
C3	Confidentiel / défense	Disponibilité limitée à l'accès autorisé — impact majeur en cas de divulgation.	Propriété intellectuelle, secrets commerciaux, brevets, données de santé, code source critique
C2	Usage interne restreint	Divulgation ou modification causant un impact notable pour l'entreprise.	Contrats, données RH, données clients non publiques, données comptables
C1	Public	Information destinée à être publiée ou dont la divulgation n'entraîne pas d'impact significatif.	Site web public, communiqués de presse, plaquettes commerciales

Exemples appliqués — InnovatTech SARL

Actif	Classification	Justification
Données RH	C2	Données personnelles sensibles à usage interne restreint
Contrats clients	C2	Informations contractuelles confidentielles
Site web public	C1	Information destinée à la publication
Propriété intellectuelle (brevets, code source critique)	C3	Impact majeur en cas de divulgation — avantage concurrentiel

4) Rôles et responsabilités

Acteur	Rôle et responsabilités
Direction générale	Valide la politique et assure les moyens (gouvernance). Responsable ultime de la sécurité au niveau stratégique.
RSSI	Élabore, met en œuvre et suit la PSI. Anime l'équipe sécurité, pilote l'analyse des risques et le SMSI (Système de Management de la Sécurité de l'Information).
DSI	Responsable des opérations techniques et de la mise en œuvre des mesures techniques définies par la PSI.
DPO (RGPD)	Conseil sur les traitements de données personnelles, évaluation des impacts (DPIA) et respect des obligations légales.
Utilisateurs finaux	Respect des règles (charte informatique), signalement des incidents de sécurité.
Hiérarchie opérationnelle	S'assure de l'application des règles de la PSI au sein de ses équipes.

5) ISO 27001 / 27002 — principes essentiels

ISO 27001 définit le cadre d'un Système de Management de la Sécurité de l'Information (SMSI) ; ISO 27002 fournit un recueil de bonnes pratiques pour sa mise en œuvre.

Approche PDCA — amélioration continue

ISO 27001 repose sur le cycle PDCA (Plan–Do–Check–Act) :

Plan : définir le périmètre, l'analyse de risques, les objectifs et les contrôles à déployer.
Do : mettre en œuvre les mesures de sécurité sélectionnées.
Check : surveiller, mesurer les performances et auditer le SMSI.
Act : prendre des actions correctives, améliorer en continu.

Statement of Applicability (SoA)

Le SoA est le document central du SMSI : il liste l'ensemble des contrôles de sécurité, précise ceux qui sont retenus ou exclus, et justifie chaque décision. C'est la pièce maîtresse d'un audit de certification ISO 27001.

14 domaines de contrôle ISO 27001 (Annexe A)

Politiques de sécurité de l'information
Organisation de la sécurité
Sécurité des ressources humaines
Gestion des actifs
Contrôle d'accès
Cryptographie
Sécurité physique et environnementale
Sécurité des opérations
Sécurité des communications
Acquisition, développement et maintenance des systèmes
Relations fournisseurs
Gestion des incidents de sécurité de l'information
Aspects sécurité de la continuité d'activité
Conformité

💡 ISO 27001 vs ISO 27002

ISO 27001 est la norme de management (auditable, certifiable). ISO 27002 est le guide de bonnes pratiques associé qui détaille les contrôles. Une organisation peut être certifiée ISO 27001 ; elle ne peut pas être certifiée ISO 27002.

6) RGPD — exigences de sécurité (article 32)

Le RGPD impose des mesures techniques et organisationnelles appropriées en fonction du risque (art. 32). Ces mesures comprennent notamment :

Pseudonymisation et chiffrement des données personnelles lorsque c'est pertinent.
Capacité à assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement.
Processus de restauration des données à caractère personnel en cas d'incident (tests de sauvegarde réguliers).
Procédures régulières d'évaluation et de tests de l'efficacité des mesures techniques et organisationnelles.
Tenue d'une analyse d'impact (DPIA) si le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés.

⚠️ Point d'attention

L'article 32 ne dresse pas une liste exhaustive et figée de mesures. Il impose une approche par le risque : les mesures doivent être appropriées au regard de l'état de l'art, des coûts et de la nature des données traitées. La pseudonymisation et le chiffrement sont cités à titre d'exemple, pas d'obligation absolue.

🔧 Travail pratique (TP S1) — Cartographie des actifs d'InnovatTech SARL

Objectif : produire un inventaire et une classification de 15 actifs, puis identifier 5 menaces principales avec estimation de vraisemblance et impact.

Consignes

Produire un tableau listant 15 actifs en indiquant : propriétaire, localisation (physique/virtuelle), type d'actif (serveur, réseau, application, données), valeur métier.
Classifier chaque actif en C1/C2/C3 avec une justification courte.
Identifier 5 menaces pertinentes et, pour chacune, estimer : vraisemblance (1–4), impact (1–4), criticité = vraisemblance × impact.
Rendre : tableau CSV / Excel + synthèse 1 page.

Exemple d'inventaire — modèle pour la correction

#	Actif	Type	Classification
1	srv-web (serveur web public)	Serveur	C1
2	srv-bd (serveur base de données clients)	Serveur	C2
3	srv-files (NAS central)	Serveur	C2
4	srv-auth (serveur d'authentification / LDAP)	Serveur	C3
5	srv-backup (serveur de sauvegarde)	Serveur	C2
6	Réseau local (switchs, routeurs, firewall)	Réseau	C2
7	Application CRM	Application	C2
8	Application ERP / compta	Application	C2
9	Application RH (gestion paie)	Application	C2
10	Application intranet	Application	C1/C2 selon contenu
11	Site web public	Données	C1
12	Données clients (base)	Données	C2
13	Données RH	Données	C2
14	Données comptables	Données	C2
15	Code source produit / propriété intellectuelle	Données	C3

Exemple de 5 menaces

Menace	Vraisemblance	Impact	Criticité
Ransomware sur srv-files	3	4	12
Vol de données clients via injection SQL	2	4	8
Perte d'un laptop avec données RH non chiffrées	3	3	9
Accès non autorisé au NAS via identifiants compromis	3	3	9
Incident physique (incendie salle serveurs sans redondance)	1	4	4

✅ Critères d'évaluation TP

Exhaustivité de l'inventaire et pertinence des classifications.
Cohérence des estimations vraisemblance/impact et justification argumentée.
Qualité de la synthèse et propositions d'actions de remédiation immédiates.

📋 Livrable attendu

Tableau CSV / Excel des 15 actifs avec colonnes : nom, propriétaire, localisation, type, valeur métier, classification (C1/C2/C3), justification.
Tableau des 5 menaces avec vraisemblance, impact et criticité calculée.
Synthèse 1 page (présentation du contexte, résumé de la démarche, 3 recommandations prioritaires).

📚 Ressources et supports

Normes : ISO/IEC 27001:2013 (SMSI), ISO/IEC 27002:2013 (bonnes pratiques)
Réglementation : RGPD — Règlement (UE) 2016/679 (texte consolidé, art. 32)
Guides : Guides CNIL (cnil.fr), Guides ANSSI pour les PSI
Documents fournis : modèle d'inventaire, grille de classification C1/C2/C3, barème d'évaluation TP

📌 Consignes pour la séance suivante

Préparer la restitution du TP S1 (tableau + synthèse) et lire le support sur EBIOS RM pour l'analyse de risques (séance 2).

🎮 Quiz — Valide tes connaissances

5 questions · Combo x3 disponible · Scores envoyés au leaderboard SISR

Question 1 : Quel sigle désigne le document cadre formalisant les objectifs, les règles et les responsabilités en matière de sécurité d'un Système d'Information ?

SMSI — Système de Management de la Sécurité de l'Information
PSI — Politique de Sécurité des Systèmes d'Information
DPIA — Data Protection Impact Assessment
SoA — Statement of Applicability

Question 2 : Dans la grille de classification C1/C2/C3, à quel niveau doit être classé le code source critique (propriété intellectuelle) d'une entreprise ?

C1 — Public, car il est partagé avec les équipes de développement
C2 — Usage interne restreint
C3 — Confidentiel / défense
C4 — Ce niveau n'existe pas dans la grille

Question 3 : Selon ISO 27001, qu'est-ce que le SoA (Statement of Applicability) ?

Un rapport de tests de pénétration annuels obligatoires
La matrice des risques résiduels après traitement
Le document listant les contrôles de sécurité retenus, justifiés et déployés dans le SMSI
Le registre des traitements de données personnelles exigé par le RGPD

Vrai ou Faux : L'article 32 du RGPD impose la pseudonymisation et le chiffrement des données personnelles dans tous les cas, sans exception.

✅ Vrai
❌ Faux

Question ouverte : Expliquez en 2-3 phrases le rôle du RSSI dans la mise en œuvre d'une PSI, et précisez sa relation avec la direction générale et le DSI.

← C2.2.7 Séance 2 — AD avancé FSMO C2.3.1 Séance 2 — Analyse de risques EBIOS →