« La sécurité des systèmes d'information », tel était le thème du 7ème Forum International organisé par l'Université de TunisCarthage, tenu à Tunis les 3,4 et 5 mars 2009. La 7ème session du forum a connu la participation d'un public très spécifique, formé d'ingénieurs informatiques, de responsables techniques, de techniciens et de professionnels dans le domaine. Le programme du forum s'avère d'avance riche selon les thèmes prévus. En fait, cette session a compris six panels présentés successivement, pendant trois jours, à la moyenne de deux panels par jour : 1-Méthodes d'attaque, principales menaces & Technologies de la Sécurité : état des lieux et tendances 2-Sécurité des réseaux, les méthodes de protection, 3- planning de sécurité et évaluation de risques, 4- sécurité des Applications et des Données, 5- plan de Continuité d'Activité et les Outils de Gestion de Crise 6- Sécurité physique et test de sécurité, tels sont les thèmes traités. Des conférenciers de renommée, tous des professeurs universitaires spécialisés dans le domaine de la sécurité des systèmes d'informations, de la gestion des risques et des chercheurs, ont assuré des présentations animées , en cohérence, pour procurer aux publics une idée large sur la démarche de sécurité des systèmes d'information depuis la conception jusqu'à l'évaluation et la gestion des crises. Ceci est une lecture rapide des différents panels et leurs objectifs. « Méthodes d'attaque, principales menaces & Technologies de la Sécurité : état des lieux et tendances » est un thème traité, en premier lieu, par le conférencier Steven M. Furnell professeur de sécurité des systèmes d'information, à l'université de Plymouth en Angleterre. Lors de sa présentation, le conférencier à essayer de répondre à un ensemble de questions : En quoi consiste la vulnérabilité des ordinateurs, des réseaux et des systèmes, comment ces vulnérabilités ouvrent la voie à des attaques réussies ? Comment les hackers s'introduisent dans un système ? Il a présenté, aussi, l'état actuel des méthodes d'intrusion et des menaces posées par le personnel propre de l'entreprise, les tendances actuelles en la matière et il a mis l'accent sur les attaques et les menaces contre les institutions et les opérations financières, l'usurpation d'identités, et divers autres actes malveillants tels que les codes/logiciels malveillants (malware), les téléchargements malveillants et autres méthodes d'attaque. Steven M. Furnell a montré comment procéder à une sélection de technologies pour le contrôle des menaces, l'état de l'art et les développements futurs de technologies de sécurité telles que les pare-feux, les logiciels anti-virus, les détecteurs d'intrusions, les systèmes de cryptage, mots de passe et contrôle d'accès, la biométrie, etc. Aussi, il a mis l'accent sur les réseaux, les transactions et les bases de données des institutions financières. Et il a abordé également la question du choix d'une technologie selon la nature du risque. En second lieu, le professeur David Croasdell a traité « la sécurité des réseaux sans fil et des infrastructures. Et durant sa présentation, il a montré comment renforcer les équipements, comment choisir des approches et des architectures intégrées de protection et comment assurer la protection des réseaux câblés et sans fil, des serveurs, des routeurs … Pour Herbert J. Mattord, il a montré comment rédiger un plan sécurité, choisir les politiques et assurer la protection de personnes, depuis l'inventaire du patrimoine jusqu'à la rédaction d'une politique sécurité, avec une référence particulière au patrimoine et aux transactions financières. Il a également abordé l'aspect humain de la sécurité, y inclus la gestion de la sécurité dans une organisation et le facteur humain dans la sécurité comme l'ingénierie sociale. Sous le titre « Sécurité des Applications et des Données » Nathan Clarke, professeur à l'université de Plymouth, a expliqué comment incorporer les exigences de sécurité dans la conception et la mise en œuvre des applications. Le conférencier a traité la protection des bases de données et des applications, les exigences de sécurité des interfaces et des groupes d'utilisateurs, ainsi que les approches de sécurité, y inclus le codage sécurisé. Katia Passerini, a mis en exergue le plan de Continuité d'Activité et les Outils de Gestion de Crise. Elle a montré comment préparer un plan pour gérer une crise et assurer la continuité des activités via un plan de continuité des opérations, ainsi que la réalisation d'une étude d'évaluation d'impact (Business Impact Assessment – BIA), la conception d'un plan d'urgence et comment choisir un site de sauvegarde des données. Dernier panel du forum a traité la sécurité physique et le test de sécurité. De sa part, le conférencier a essayé de montrer comment assurer la protection physique d'une entreprise et effectuer un audit sécurité physique de la conception à la mise en œuvre et son audit. Il a ainsi fait découvrir que la sécurité physique inclut l'utilisation de la télévision à circuit fermé, l'éclairage, la biométrie, et le contrôle d'accès. La présentation a abordé également l'évaluation et/ou l'audit d'un site en matière de sécurité physique et comment préparer un plan de test de sécurité et effectuer un test de vulnérabilité, comment préparer un plan de test de sécurité et le mettre en œuvre. Et finalement, il a bouclé sa présentation par une démo rapide de la méthodologie pour tester la vulnérabilité d'une organisation et le degré de son exposition à divers types d'attaques.
