Sécurité du réseau et du système d'information (vitrine.Sécurité du réseau et du système d'information.WebHome)

Il est aujourd’hui difficile de faire l’impasse sur la sécurité lorsque l’on évoque le système d’information, pour deux grandes raisons : d’une part, l’informatique est partout dans les organisations et les enjeux sont donc considérables (lorsque le système d’information est indisponible, les directions et les services ont souvent du mal à mener à bien leurs missions) ; d’autre part, les menaces sont plus nombreuses, parce que les enjeux sont plus importants mais aussi parce que les systèmes d’information sont plus ouverts (téléservices, télétravail, etc.).

16

17

La sécurité des systèmes d’information (parfois abrégée SSI ou appelée sécurité informatique) ne fait pas uniquement référence à des éléments techniques : il s’agit également d’un ensemble de moyens organisationnels, humains ou encore juridiques mis en œuvre pour empêcher une mauvaise utilisation du système d’information.

18

19

Il s’agit de considérer le SI comme une ressource de l’organisation qu’il faut protéger.

20

21

3 objectifs principaux et 3 termes à savoir expliciter :

22

23

* La disponibilité : le SI est considéré comme disponible lorsqu’il fonctionne correctement durant les heures prévues, c’està-dire que les logiciels peuvent être utilisés normalement par les directions et services, les sites internet sont accessibles par les usagers, les fichiers bureautiques sont exploitables, les liens téléphoniques et internet sont opérationnels, etc.

24

* L’intégrité : les données présentes dans le SI doivent être celles que l’on attend, elles ne doivent pas avoir été altérées, c’està-dire modifiées, supprimées ou encryptées, qu’il s’agisse des fichiers sur les serveurs de l’entreprise, des pages d’un site internet, des éléments dans une base de données, etc.

25

* La confidentialité : les informations présentes dans le SI ne sont accessibles qu’aux personnes autorisées. Il s’agit ici de définir des règles permettant de limiter les accès aux différentes ressources qui composent le SI : accès à un poste informatique, à un répertoire de service, à une boite mail, à un logiciel ou progiciel spécifique, à un site internet, etc.

26

27

D’autres objectifs sont attachés à la sécurité des systèmes d’information :

28

29

* La traçabilité : la capacité à garder des traces des accès et tentatives d’accès aux différentes ressources du SI. On évoque souvent le terme de « log » ou « journal » (ressource servant à stocker un historique) : journal des tentatives d’intrusions au réseau de l’organisation, journal des connexions à des sites internet effectuées par les employés, etc.

30

* L’authentification : les modalités d’identification des utilisateurs. On peut ici évoquer les notions de signatures et certificats électroniques (avec la notion de tiers de confiance qui fait le lien entre une identité physique et une identité numérique) et d’authentification forte (le croisement de plusieurs facteurs : pas uniquement un mot de passe, mais par exemple un mot de passe ET un élément matériel que l’on possède comme une clef USB).

31

* La nonrépudiation : les utilisateurs ne doivent pas pouvoir contester les actions réalisées dans le cadre leurs autorisations, et inversement, aucun tiers ne doit pouvoir s’attribuer les actions d’un autre utilisateur. Des certificats installés sur des serveurs de l’organisation peuvent par exemple permettre aux internautes de vérifier que les outils qu’ils utilisent sont bien proposés par l’organisation (et ainsi éviter les problématiques d’hameçonnage (phishing).

32

33

Les risques pesant sur ces différents éléments (les 6 objectifs évoqués ci-dessus) sont à confronter aux menaces (détaillées dans le chapitre suivant) et il s’agira pour cela d’estimer :

34

35

* La gravité : les conséquences dans le cas où l’un de ces objectifs ne serait pas tenu (exemple : que se passet-il si les données de mon progiciel de gestion des Ressources Humaines sont encryptées ou supprimées ? Que se passe-t-il si les téléphones de l’ensemble de mon organisation ne fonctionnent plus pendant 3 jours ?)

36

* La vraisemblance : quelle est la probabilité qu’un agent mécontent altère les fichiers de sa direction avant son départ ? Quelle est la probabilité que la salle serveur soit inondée ? Ou qu’un groupe de pirates vienne construire un faux site internet semblable au nôtre pour piéger les visiteurs ?

37

38

Le SI est une ressource qu’il faut protéger mais qu’il faut également de plus en plus souvent ouvrir :

39

40

* Nomadisme : puisque tout est numérique, puisque tout est informatique, le SI doit permettre aux agents de travailler lorsqu’ils sont en situation de mobilité : accès aux mails, aux fichiers, aux progiciels, depuis une connexion domestique (télétravail) ou via une connexion mobile type 4G (réunion à l’extérieur par exemple).

41

* Téléservices : les bases de données des progiciels autrefois utilisées uniquement en interne sont désormais exploitées pour permettre la mise en œuvre de téléservices accessibles depuis internet.

42

* Ouverture des SI aux partenaires, clefs USB, matériel personnel utilisé sur le réseau de l’organisation, etc.

43

44

L’expert en capacité d’accompagner l’organisation sur ces sujets est nommé RSSI pour Responsable de la Sécurité du Système d’Information. Il est notamment en charge de problématiques telles que la sensibilisation des utilisateurs, la sécurité des réseaux, des systèmes, des applications, la mise en place de la politique de sécurité, etc.

45

46

Il est généralement rattaché à la Direction des Systèmes d’Information mais peut parfois, pour des raisons de neutralité, l’être à la Direction Générale.

47

48

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est un acteur à identifier sur ces problématiques : elle assure la protection des SI de l’Etat et apporte également son expertise aux administrations et aux entreprises. L’ANSSI définit par exemple des niveaux de sécurité nécessaires pour certains échanges de flux entre établissements publics.

49

50

= 2. Illustration de menaces =

51

52

Voici quelques exemples de menaces qui pèsent sur les systèmes d’information des collectivités.

53

54

On a ces dernières années régulièrement entendu parler de « ransomware » ou « rançongiciel » (Cryptolocker) : il s’agit de virus qui prennent en otage les données en les chiffrant (les fichiers deviennent illisibles) puis en demandant aux propriétaires (particuliers ou entreprises) d’envoyer une certaine somme d’argent contre la remise d’une clef permettant le déchiffrement.

55

56

Les collectivités sont également fréquemment victimes de tentatives d’hameçonnage (ou phishing) qui consistent à faire croire à un interlocuteur qu’il interagit avec un tiers de confiance (un prestataire ou un usager par exemple) dans l’objectif de lui soutirer des informations ou de lui faire réaliser des actions qui vont créer des failles (exemple : la récupération d’informations permettant de réaliser de fausses factures envoyées par courriel et suffisamment crédibles pour qu’elles soient ouvertes par les agents, vérolant le SI via le réseau).

57

58

Parfois, les serveurs des collectivités, insuffisamment protégés, sont utilisés comme des machines dites « zombies », c’est-à-dire des machines sur lesquelles des pirates s’appuient pour réaliser des actions malveillantes. La collectivité étant en façade à l’origine de ces actions malveillantes, elle peut se retrouver en difficulté pour travailler correctement en réseau (envoi de courriels perturbés, etc.).

59

60

Peuvent être encore évoqués les sites internet des collectivités, qui sont très exposés aux différentes attaques, la fréquence des mises à jour nécessaires n’étant pas toujours compatible avec l’organisation des DSI. Les risques encourus sont généralement l’impossibilité d’accéder aux sites ou encore la modification des contenus.

61

62

= 3. Politique de sécurité et organisation =

63

64

A la vue de ces enjeux en lien avec la sécurité du système d’information et pour faire face à des menaces comme celles évoquées dans le chapitre précédent, les organisations mettent en œuvre, de manière plus ou moins formalisée, des procédures, des outils et des actions.

65

66

L’ensemble de ces éléments constitue ce que l’on appelle une politique de sécurité (ou PSSI pour Politique de Sécurité du Système d’Information).

67

68

Ces politiques de sécurité s’appuient nécessairement sur une analyse des risques et une analyse d’impact : quels sont les risques encourus par le système informatique et quel est l’impact que pourrait avoir un sinistre sur ce système.

69

70

Elles peuvent être associées à la réalisation de Plans de Continuité de l’Activité (PCA) ou de Plans de Reprise de l’Activité (PRA). La PSSI est intimement liée à ces plans, qui peuvent toutefois adresser des problématiques plus larges que la sécurité informatique (pour plus d’informations sur ces plans, vous pouvez consulter la fiche « maintenance, assistance, organisation »).

71

72

La PSSI s’attachera ainsi :

73

74

* A définir les mécanismes de sauvegardes et de restauration avec notamment des choix à opérer concernant : la fréquence des sauvegardes, le périmètre des éléments sauvegardés, la durée de rétention des sauvegardes, les modes et les lieux de rétention des sauvegardes (notion de site principal et de site de secours). Il s’agira également de rédiger les procédures de restauration et de les éprouver régulièrement.

75

* A organiser la sécurité physique du système d’information c’est à dire l’accès physique aux équipements informatiques, et notamment aux serveurs, par des intrus : le vocabulaire n’est ici pas spécifique à l’informatique : alarmes, caméras, clôtures, contrôle d’accès, etc.

76

* A organiser la sécurité logique, c’està-dire l’accès au « système » (aux données / aux outils informatiques) : détection des vulnérabilités et failles du réseau (ports ouverts, etc.) et remédiation (pare-feu, etc.), mécanismes d’identification et d’authentification (comptes utilisateurs avec politique de gestion des mots de passe, certificats électroniques), journalisation des événements (log), gestion des mises à jour des logiciels, installation d’antivirus (poste, serveur), outils de filtrage.

77

* A mettre en œuvre des outils de supervision du système et du réseau.

78

* A travailler sur les aspects humains et organisationnels comme la rédaction d’une charte informatique (mentionnant notamment les règles de protection des données, les sanctions encourues et les modalités d’utilisation des moyens informatiques) ou encore des actions de sensibilisation ou d’information des utilisateurs.

79

80

Sur ce dernier point, les attaques exploitant le facteur humain constituent une tendance majeure de la sécurité informatique. Il est souvent plus facile pour les pirates de s’appuyer sur l’humain plutôt que sur des failles logicielles pour installer des programmes malveillants et s’introduire sur les systèmes d’informations.

81

82

Ces « failles humaines » peuvent être adressées en travaillant sur trois axes :

83

84

* La négligence ;

85

* Le manque formation ;

86

* L’absence de procédures claires.

87

88

Dans les collectivités territoriales de taille modeste, ces éléments ne sont généralement pas formalisés et la sécurité orientée uniquement sur la mise en œuvre d’éléments techniques.

89

90

La mise en œuvre de PSSI globales est souvent révélatrice d’une DSI mature.

91

92

= 4. Ressources en ligne =

93

94

* Sur la sécurité du système d’information / sécurité informatique :

95

** Site internet de l’ANSSI : [[https:~~/~~/www.ssi.gouv.fr/>>url:https://www.ssi.gouv.fr/]]

96

** Leçon inaugurale prononcée au Collège de France concernant la sécurité informatique : [[https:~~/~~/books.openedition.org/cdf/443?lang=fr>>url:https://books.openedition.org/cdf/443?lang=fr]]

97

** 10 règles de base proposées par l’ANSSI : [[https:~~/~~/www.ssi.gouv.fr/entreprise/precautions-elementaires/dix-regles-de-base/>>url:https://www.ssi.gouv.fr/entreprise/precautions-elementaires/dix-regles-de-base/]]

98

** Guides de bonnes pratiques sur la sécurité informatique : [[https:~~/~~/www.ssi.gouv.fr/entreprise/bonnes-pratiques/>>url:https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/]]

99

* Sur la politique de sécurité du système d’information :

100

** [[https:~~/~~/www.ssi.gouv.fr/guide/pssi-guide-delaboration-de-politiques-de-securite-des-systemes-dinformation/>>url:https://www.ssi.gouv.fr/guide/pssi-guide-delaboration-de-politiques-de-securite-des-systemes-dinformation/]]

101

* Sur la supervision :

102

** Supervision libre : [[https:~~/~~/www.monitoring-fr.org/supervision/>>url:https://www.monitoring-fr.org/supervision/]]

103

** Nagios : [[https:~~/~~/www.nagios.org/>>url:https://www.nagios.org/]]

104

** Cacti : [[https:~~/~~/www.cacti.net/>>url:https://www.cacti.net/]]

105

106

Différence PRA/PCA : [[http:~~/~~/www.solutionitpme.fr/2013/10/04/lecon-n-15-comprendre-la-difference-entre-pca-et-pra-2403>>url:http://www.solutionitpme.fr/2013/10/04/lecon-n-15-comprendre-la-difference-entre-pca-et-pra-2403]]

Code source wiki de Sécurité du réseau et du système d'information

Menu

author	version	line-number	content
		1	Par Thomas Eveilleau
		2	Dernière mise à jour : octobre 2019
		3
		4	{{toc/}}
		5
		6	Dans cette fiche, les éléments suivants du programme réglementaire seront abordés :
		7
		8	* Organisation et gestion de service : gestion d’un service et encadrement
		9	* Gestion et maintenance des infrastructures techniques
		10	* Assistance fonctionnelle et technique aux services et aux utilisateurs
		11	* Maintenance et sécurité des réseaux : aspects techniques, mise en place des outils et contrôle, mesure de performance.
		12
		13	= 1. Notions et enjeux de la sécurité du réseau et du système d'information =
		14
		15	Il est aujourd’hui difficile de faire l’impasse sur la sécurité lorsque l’on évoque le système d’information, pour deux grandes raisons : d’une part, l’informatique est partout dans les organisations et les enjeux sont donc considérables (lorsque le système d’information est indisponible, les directions et les services ont souvent du mal à mener à bien leurs missions) ; d’autre part, les menaces sont plus nombreuses, parce que les enjeux sont plus importants mais aussi parce que les systèmes d’information sont plus ouverts (téléservices, télétravail, etc.).
		16
		17	La sécurité des systèmes d’information (parfois abrégée SSI ou appelée sécurité informatique) ne fait pas uniquement référence à des éléments techniques : il s’agit également d’un ensemble de moyens organisationnels, humains ou encore juridiques mis en œuvre pour empêcher une mauvaise utilisation du système d’information.
		18
		19	Il s’agit de considérer le SI comme une ressource de l’organisation qu’il faut protéger.
		20
		21	3 objectifs principaux et 3 termes à savoir expliciter :
		22
		23	* La disponibilité : le SI est considéré comme disponible lorsqu’il fonctionne correctement durant les heures prévues, c’està-dire que les logiciels peuvent être utilisés normalement par les directions et services, les sites internet sont accessibles par les usagers, les fichiers bureautiques sont exploitables, les liens téléphoniques et internet sont opérationnels, etc.
		24	* L’intégrité : les données présentes dans le SI doivent être celles que l’on attend, elles ne doivent pas avoir été altérées, c’està-dire modifiées, supprimées ou encryptées, qu’il s’agisse des fichiers sur les serveurs de l’entreprise, des pages d’un site internet, des éléments dans une base de données, etc.
		25	* La confidentialité : les informations présentes dans le SI ne sont accessibles qu’aux personnes autorisées. Il s’agit ici de définir des règles permettant de limiter les accès aux différentes ressources qui composent le SI : accès à un poste informatique, à un répertoire de service, à une boite mail, à un logiciel ou progiciel spécifique, à un site internet, etc.
		26
		27	D’autres objectifs sont attachés à la sécurité des systèmes d’information :
		28
		29	* La traçabilité : la capacité à garder des traces des accès et tentatives d’accès aux différentes ressources du SI. On évoque souvent le terme de « log » ou « journal » (ressource servant à stocker un historique) : journal des tentatives d’intrusions au réseau de l’organisation, journal des connexions à des sites internet effectuées par les employés, etc.
		30	* L’authentification : les modalités d’identification des utilisateurs. On peut ici évoquer les notions de signatures et certificats électroniques (avec la notion de tiers de confiance qui fait le lien entre une identité physique et une identité numérique) et d’authentification forte (le croisement de plusieurs facteurs : pas uniquement un mot de passe, mais par exemple un mot de passe ET un élément matériel que l’on possède comme une clef USB).
		31	* La nonrépudiation : les utilisateurs ne doivent pas pouvoir contester les actions réalisées dans le cadre leurs autorisations, et inversement, aucun tiers ne doit pouvoir s’attribuer les actions d’un autre utilisateur. Des certificats installés sur des serveurs de l’organisation peuvent par exemple permettre aux internautes de vérifier que les outils qu’ils utilisent sont bien proposés par l’organisation (et ainsi éviter les problématiques d’hameçonnage (phishing).
		32
		33	Les risques pesant sur ces différents éléments (les 6 objectifs évoqués ci-dessus) sont à confronter aux menaces (détaillées dans le chapitre suivant) et il s’agira pour cela d’estimer :
		34
		35	* La gravité : les conséquences dans le cas où l’un de ces objectifs ne serait pas tenu (exemple : que se passet-il si les données de mon progiciel de gestion des Ressources Humaines sont encryptées ou supprimées ? Que se passe-t-il si les téléphones de l’ensemble de mon organisation ne fonctionnent plus pendant 3 jours ?)
		36	* La vraisemblance : quelle est la probabilité qu’un agent mécontent altère les fichiers de sa direction avant son départ ? Quelle est la probabilité que la salle serveur soit inondée ? Ou qu’un groupe de pirates vienne construire un faux site internet semblable au nôtre pour piéger les visiteurs ?
		37
		38	Le SI est une ressource qu’il faut protéger mais qu’il faut également de plus en plus souvent ouvrir :
		39
		40	* Nomadisme : puisque tout est numérique, puisque tout est informatique, le SI doit permettre aux agents de travailler lorsqu’ils sont en situation de mobilité : accès aux mails, aux fichiers, aux progiciels, depuis une connexion domestique (télétravail) ou via une connexion mobile type 4G (réunion à l’extérieur par exemple).
		41	* Téléservices : les bases de données des progiciels autrefois utilisées uniquement en interne sont désormais exploitées pour permettre la mise en œuvre de téléservices accessibles depuis internet.
		42	* Ouverture des SI aux partenaires, clefs USB, matériel personnel utilisé sur le réseau de l’organisation, etc.
		43
		44	L’expert en capacité d’accompagner l’organisation sur ces sujets est nommé RSSI pour Responsable de la Sécurité du Système d’Information. Il est notamment en charge de problématiques telles que la sensibilisation des utilisateurs, la sécurité des réseaux, des systèmes, des applications, la mise en place de la politique de sécurité, etc.
		45
		46	Il est généralement rattaché à la Direction des Systèmes d’Information mais peut parfois, pour des raisons de neutralité, l’être à la Direction Générale.
		47
		48	L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est un acteur à identifier sur ces problématiques : elle assure la protection des SI de l’Etat et apporte également son expertise aux administrations et aux entreprises. L’ANSSI définit par exemple des niveaux de sécurité nécessaires pour certains échanges de flux entre établissements publics.
		49
		50	= 2. Illustration de menaces =
		51
		52	Voici quelques exemples de menaces qui pèsent sur les systèmes d’information des collectivités.
		53
		54	On a ces dernières années régulièrement entendu parler de « ransomware » ou « rançongiciel » (Cryptolocker) : il s’agit de virus qui prennent en otage les données en les chiffrant (les fichiers deviennent illisibles) puis en demandant aux propriétaires (particuliers ou entreprises) d’envoyer une certaine somme d’argent contre la remise d’une clef permettant le déchiffrement.
		55
		56	Les collectivités sont également fréquemment victimes de tentatives d’hameçonnage (ou phishing) qui consistent à faire croire à un interlocuteur qu’il interagit avec un tiers de confiance (un prestataire ou un usager par exemple) dans l’objectif de lui soutirer des informations ou de lui faire réaliser des actions qui vont créer des failles (exemple : la récupération d’informations permettant de réaliser de fausses factures envoyées par courriel et suffisamment crédibles pour qu’elles soient ouvertes par les agents, vérolant le SI via le réseau).
		57
		58	Parfois, les serveurs des collectivités, insuffisamment protégés, sont utilisés comme des machines dites « zombies », c’est-à-dire des machines sur lesquelles des pirates s’appuient pour réaliser des actions malveillantes. La collectivité étant en façade à l’origine de ces actions malveillantes, elle peut se retrouver en difficulté pour travailler correctement en réseau (envoi de courriels perturbés, etc.).
		59
		60	Peuvent être encore évoqués les sites internet des collectivités, qui sont très exposés aux différentes attaques, la fréquence des mises à jour nécessaires n’étant pas toujours compatible avec l’organisation des DSI. Les risques encourus sont généralement l’impossibilité d’accéder aux sites ou encore la modification des contenus.
		61
		62	= 3. Politique de sécurité et organisation =
		63
		64	A la vue de ces enjeux en lien avec la sécurité du système d’information et pour faire face à des menaces comme celles évoquées dans le chapitre précédent, les organisations mettent en œuvre, de manière plus ou moins formalisée, des procédures, des outils et des actions.
		65
		66	L’ensemble de ces éléments constitue ce que l’on appelle une politique de sécurité (ou PSSI pour Politique de Sécurité du Système d’Information).
		67
		68	Ces politiques de sécurité s’appuient nécessairement sur une analyse des risques et une analyse d’impact : quels sont les risques encourus par le système informatique et quel est l’impact que pourrait avoir un sinistre sur ce système.
		69
		70	Elles peuvent être associées à la réalisation de Plans de Continuité de l’Activité (PCA) ou de Plans de Reprise de l’Activité (PRA). La PSSI est intimement liée à ces plans, qui peuvent toutefois adresser des problématiques plus larges que la sécurité informatique (pour plus d’informations sur ces plans, vous pouvez consulter la fiche « maintenance, assistance, organisation »).
		71
		72	La PSSI s’attachera ainsi :
		73
		74	* A définir les mécanismes de sauvegardes et de restauration avec notamment des choix à opérer concernant : la fréquence des sauvegardes, le périmètre des éléments sauvegardés, la durée de rétention des sauvegardes, les modes et les lieux de rétention des sauvegardes (notion de site principal et de site de secours). Il s’agira également de rédiger les procédures de restauration et de les éprouver régulièrement.
		75	* A organiser la sécurité physique du système d’information c’est à dire l’accès physique aux équipements informatiques, et notamment aux serveurs, par des intrus : le vocabulaire n’est ici pas spécifique à l’informatique : alarmes, caméras, clôtures, contrôle d’accès, etc.
		76	* A organiser la sécurité logique, c’està-dire l’accès au « système » (aux données / aux outils informatiques) : détection des vulnérabilités et failles du réseau (ports ouverts, etc.) et remédiation (pare-feu, etc.), mécanismes d’identification et d’authentification (comptes utilisateurs avec politique de gestion des mots de passe, certificats électroniques), journalisation des événements (log), gestion des mises à jour des logiciels, installation d’antivirus (poste, serveur), outils de filtrage.
		77	* A mettre en œuvre des outils de supervision du système et du réseau.
		78	* A travailler sur les aspects humains et organisationnels comme la rédaction d’une charte informatique (mentionnant notamment les règles de protection des données, les sanctions encourues et les modalités d’utilisation des moyens informatiques) ou encore des actions de sensibilisation ou d’information des utilisateurs.
		79
		80	Sur ce dernier point, les attaques exploitant le facteur humain constituent une tendance majeure de la sécurité informatique. Il est souvent plus facile pour les pirates de s’appuyer sur l’humain plutôt que sur des failles logicielles pour installer des programmes malveillants et s’introduire sur les systèmes d’informations.
		81
		82	Ces « failles humaines » peuvent être adressées en travaillant sur trois axes :
		83
		84	* La négligence ;
		85	* Le manque formation ;
		86	* L’absence de procédures claires.
		87
		88	Dans les collectivités territoriales de taille modeste, ces éléments ne sont généralement pas formalisés et la sécurité orientée uniquement sur la mise en œuvre d’éléments techniques.
		89
		90	La mise en œuvre de PSSI globales est souvent révélatrice d’une DSI mature.
		91
		92	= 4. Ressources en ligne =
		93
		94	* Sur la sécurité du système d’information / sécurité informatique :
		95	** Site internet de l’ANSSI : [[https:~~/~~/www.ssi.gouv.fr/>>url:https://www.ssi.gouv.fr/]]
		96	** Leçon inaugurale prononcée au Collège de France concernant la sécurité informatique : [[https:~~/~~/books.openedition.org/cdf/443?lang=fr>>url:https://books.openedition.org/cdf/443?lang=fr]]
		97	** 10 règles de base proposées par l’ANSSI : [[https:~~/~~/www.ssi.gouv.fr/entreprise/precautions-elementaires/dix-regles-de-base/>>url:https://www.ssi.gouv.fr/entreprise/precautions-elementaires/dix-regles-de-base/]]
		98	** Guides de bonnes pratiques sur la sécurité informatique : [[https:~~/~~/www.ssi.gouv.fr/entreprise/bonnes-pratiques/>>url:https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/]]
		99	* Sur la politique de sécurité du système d’information :
		100	** [[https:~~/~~/www.ssi.gouv.fr/guide/pssi-guide-delaboration-de-politiques-de-securite-des-systemes-dinformation/>>url:https://www.ssi.gouv.fr/guide/pssi-guide-delaboration-de-politiques-de-securite-des-systemes-dinformation/]]
		101	* Sur la supervision :
		102	** Supervision libre : [[https:~~/~~/www.monitoring-fr.org/supervision/>>url:https://www.monitoring-fr.org/supervision/]]
		103	** Nagios : [[https:~~/~~/www.nagios.org/>>url:https://www.nagios.org/]]
		104	** Cacti : [[https:~~/~~/www.cacti.net/>>url:https://www.cacti.net/]]
		105
		106	Différence PRA/PCA : [[http:~~/~~/www.solutionitpme.fr/2013/10/04/lecon-n-15-comprendre-la-difference-entre-pca-et-pra-2403>>url:http://www.solutionitpme.fr/2013/10/04/lecon-n-15-comprendre-la-difference-entre-pca-et-pra-2403]]