Retour aux cours de Systemes d Information
Systemes d Information - Terminale STMG

Securite Informatique

La securite informatique est devenue un enjeu stratégique majeur pour les entreprises. Cyberattaques, vol de données, ransomwares : decouvrez les menaces et les solutions pour proteger le SI.

Objectifs du chapitre

  • Identifier les principales menaces informatiques
  • Comprendre les mécanismes de protection (pare-feu, chiffrement, authentification)
  • Connaitre les obligations legales (RGPD)
  • Elaborer un plan de continuite d activité (PCA)

Introduction : Un Enjeu Strategique

En 2023, le groupe Saint-Gobain a ete victime d une cyberattaque qui lui a coute 250 millions d euros. L hopital de Corbeil-Essonnes a ete paralyse pendant des semaines par un ransomware. Ces exemples montrent que la securite informatique n est plus optionnelle.

Chiffres alarmants

  • 54% des entreprises françaises ont subi une cyberattaque en 2023.
  • Cout moyen d une attaque : 97 000 euros pour une PME.
  • 1 attaque ransomware toutes les 11 secondes dans le monde.
  • Le marche de la cybersecurite atteindra 300 milliards de dollars en 2025.

Attention au Bac

La securite informatique repose sur 3 piliers : Confidentialite (seules les personnes autorisees acccedent aux données), Integrite (les données ne sont pas modifiees) et Disponibilite(le système reste accessible). C est le triptyque CIA.

Partie 1 : Les Principales Menaces

1.1 Les malwares (logiciels malveillants)

Virus

Programme qui se propage en infectant d autres fichiers. Necessite une action humaine pour se propager (ouverture d un fichier).

Ransomware (Ranconiciel)

Chiffre les données et demande une rancon pour les decrypter. Ex: WannaCry, NotPetya, LockBit.

Trojan (Cheval de Troie)

Se fait passer pour un logiciel legitime. Ouvre une "backdoor" pour les attaquants.

Spyware (Logiciel espion)

Collecte des informations a l insu de l utilisateur. Mots de passe, historique, frappes clavier.

1.2 L ingenierie sociale

Les attaques les plus efficaces exploitent la faille humaine, pas la faille technique.

TechniqueDescriptionExemple
PhishingFaux email imitant une entite legitimeFaux email "Netflix" demandant vos identifiants
Spear PhishingPhishing cible et personnaliseEmail ciblent le DAF pour un faux virement
Arnaque au presidentSe faire passer pour le PDGAppel urgent demandant un virement "confidentiel"
PretextingInventer un scenario pour obtenir des infosFaux technicien IT demandant un mot de passe

Cas d entreprise : Pathe

En 2018, Pathe (le cinema) a perdu 19 millions d euros dans une arnaque au president. Des escrocs ont convaincu la filiale neerlandaise de faire des virements urgents en se faisant passer pour le siege français. Aucun malware utilise, 100% ingenierie sociale.

1.3 Les attaques reseau

DDoS (Deni de service distribue)

Submerge un serveur de requetes pour le rendre indisponible. Des milliers de machines zombies attaquent simultanement.

Man-in-the-Middle

L attaquant s intercale entre deux parties qui communiquent. Peut lire et modifier les messages en transit.

Partie 2 : Les Mecanismes de Protection

2.1 Le pare-feu (Firewall)

Le pare-feu filtre le trafic reseau selon des règles predefinies. Il protege le reseau interne des menaces exterieures.

Types de pare-feu :

  • Pare-feu a filtrage de paquets : analyse les en-tetes (IP source/destination, port)
  • Pare-feu a états (stateful) : memorise les connexions etablies
  • Pare-feu applicatif (WAF) : analyse le contenu HTTP, protege les sites web
  • Next-Gen Firewall (NGFW) : combine toutes ces fonctions + detection d intrusion

2.2 Le chiffrement

Le chiffrement transforme les données en un format illisible sans la cle de dechiffrement.

Chiffrement symetrique

Meme cle pour chiffrer et dechiffrer. Rapide mais problème de partage de la cle. Ex: AES-256 (utilise par les banques).

Chiffrement asymetrique

Deux clés : publique (pour chiffrer) et privee (pour dechiffrer). Ex: RSA, utilise pour HTTPS.

Cas d entreprise : Signal

L application de messagerie Signal utilise un chiffrement de bout en bout (E2EE). Meme Signal ne peut pas lire vos messages. C est le protocole Signal, egalement utilise par WhatsApp pour ses 2 milliards d utilisateurs.

2.3 L authentification

TypeCe que vous...ExempleSecurite
Savoir...connaissezMot de passe, code PINMoyenne (peut être vole)
Posseder...avezTelephone, badge, tokenBonne (objet physique)
Etre...etesEmpreinte, visage, irisForte (biometrie)

Authentification multi-facteurs (MFA)

Combine au moins 2 facteurs différents. Exemple : mot de passe (savoir) + code SMS (posseder). Reduit le risque de compromission de 99,9% selon Microsoft.

Attention au Bac

Un bon mot de passe doit être : long (12+ caractères), complexe(majuscules, chiffres, symboles) et unique (différent pour chaque site). Utilisez un gestionnaire de mots de passe !

2.4 Les sauvegardes

Regle du 3-2-1 :

  • 3 copies des données (originale + 2 sauvegardes)
  • 2 supports différents (disque dur + cloud par exemple)
  • 1 copie hors site (geographiquement separee)

Partie 3 : Le Cadre Legal - RGPD

Le RGPD (Reglement General sur la Protection des Donnees) est le texte europeen qui encadre le traitement des données personnelles. Applicable depuis mai 2018.

3.1 Principes clés du RGPD

Liceite et transparence

Le traitement doit être licite et la personne doit être informee.

Limitation des finalites

Les données ne peuvent être utilisees que pour le but annonce.

Minimisation

Collecter uniquement les données strictement nécessaires.

Securite

Proteger les données contre les acces non autorises.

3.2 Droits des personnes

DroitDescription
Droit d accesSavoir quelles données sont collectees sur vous
Droit de rectificationCorriger des données inexactes
Droit a l effacement"Droit a l oubli" - supprimer vos données
Droit a la portabiliteRecuperer vos données dans un format lisible
Droit d oppositionRefuser le traitement de vos données

Cas d entreprise : Amazon

En 2021, Amazon a recu la plus grosse amende RGPD de l histoire : 746 millions d euros pour non-respect du consentement dans le ciblage publicitaire. Le RGPD n est pas une option, c est une obligation avec des sanctions lourdes (jusqu a 4% du CA mondial).

Partie 4 : Plan de Continuite d Activite (PCA)

Le PCA (Plan de Continuite d Activite) definit comment l entreprise continue a fonctionner en cas de sinistre majeur. Le PRA (Plan de Reprise d Activite) definit comment redemarrer après un sinistre.

4.1 Indicateurs clés

RTO (Recovery Time Objective)

Duree maximale d interruption acceptable. Ex: "Le site e-commerce doit être remis en ligne en 4 heures max."

RPO (Recovery Point Objective)

Quantite maximale de données qu on accepte de perdre. Ex: "On peut perdre au max 1 heure de données."

4.2 Solutions de continuite

  • Site de secours froid : Local vide avec alimentation. Reprise en jours/semaines. Economique.
  • Site de secours tiede : Serveurs pre-installes. Reprise en heures. Cout moyen.
  • Site de secours chaud : Replique en temps reel. Reprise immediate. Tres couteux.
  • Cloud multi-region : Donnees repliquees sur plusieurs datacenters (AWS, Azure, GCP).

Cas d entreprise : OVHcloud

L incendie du datacenter d OVHcloud a Strasbourg (mars 2021) a detruit 3,6 millions de sites web. Les clients sans PCA ont tout perdu. Ceux avec replications multi-datacenters ont pu redemarrer en heures. Lecon : toujours avoir un plan B.

Resume des Points Cles pour le Bac

Menaces

  • Malwares : virus, ransomware, trojan, spyware
  • Ingenierie sociale : phishing, arnaque au president
  • Attaques reseau : DDoS, Man-in-the-Middle

Protections

  • Pare-feu : filtre le trafic
  • Chiffrement : AES (symetrique), RSA (asymetrique)
  • MFA : authentification multi-facteurs

RGPD = protection des donnees personnelles | PCA/PRA = continuite d activite | RTO/RPO = indicateurs

Quiz de Validation - 3 Questions

Question 1 : Qu est-ce qu un ransomware ?

A. Un logiciel qui vole les mots de passe
B. Un malware qui chiffre les données et demande une rancon
C. Un pare-feu defaillant
D. Un email publicitaire non sollicite

Question 2 : Que signifie le sigle RGPD ?

A. Reglement General sur la Protection des Donnees
B. Regle Generale de Protection Digitale
C. Registre General des Procedures Digitales
D. Reseau Global de Protection des Documents

Question 3 : Le RTO (Recovery Time Objective) represente...

A. Le temps pour faire une sauvegarde
B. La duree maximale d interruption acceptable
C. La quantite de données qu on peut perdre
D. Le cout d un plan de reprise

Correction

  • Question 1 : B - Le ransomware chiffre les données et demande une rancon.
  • Question 2 : A - Reglement General sur la Protection des Donnees.
  • Question 3 : B - RTO = duree max d interruption. RPO = perte de donnees max.

Cours Bac STMG - Systemes d Information - Securite Informatique

Exemples bases sur des cas reels (Saint-Gobain, Pathe, Amazon, OVHcloud, Signal)