Le Gouvernement du Grand-Duché du Luxembourg Portail de la sécurité de l'information CASES Luxembourg
Sep Visuel - Recherche
    Rechercher
x Recherche avancêe
Sep recherche - fonctions
¦ Accueil ¦ Nouveautés ¦ Glossaire ¦ Liens ¦ Vos réactions ¦ Contact ¦ ¦ Aide ¦ Index ¦ A propos du site ¦
Sep fonctions - date
  ImprimerEnvoyer à
Sep date - contenu
Actualités
Théorie
Pratique
Risques
Publications
*
Fiches thématiques
*
Politique de sécurité
*
Présentations
*
Dossiers
arrow Recherche
*
Analyse des risques
*
Outils
*
Articles
Documentation

> home > Publications > Recherche > R2SIC - Recherche pour la Sécurité des Systèmes d´Information et de la Communication

R2SIC - Recherche pour la Sécurité des Systèmes d´Information et de la Communication

 One up

CASES Luxembourg, via le projet de recherche R2SIC (Recherche en Sécurité des Systèmes d'Information et de Communication) mené en collaboration avec le CRP Henri Tudor et le Ministère de la Culture, de l'Enseignement Supérieur et de la Recherche, souhaite mener des investigations sur la réalité des menaces et vulnérabilités des réseaux publics et, par la même, caractériser le danger réel pour les réseaux privés au Luxembourg.

Quatre principaux axes de recherche sont développes par le projet R2SIC dans les domaines des vulnérabilités et des menaces appliquées au domaine IT :

  • AXE 1 : « Etude compréhensive de la communauté des pirates informatiques sur Internet au niveau international, dans le but de développer un programme de sensibilisation adapté et contextualisé pour le Luxembourg (de l'observation à la cognition) ».

L'axe 1, dans une approche de recherche descriptive, investigue la problématique des acteurs sociaux responsables des menaces de type piratage informatique sur Internet, via une approche communicationnelle de cette communauté. Dans le cadre de la mise en oeuvre de la structure CASES, ce premier axe contribuera à collecter de l'information pour mieux comprendre la situation actuelle face aux menaces IT, à travers notamment une étude comportementale (mesure des interactions) de la communauté hackers au niveau international. Ceci, dans le but de mieux cerner ces menaces et de permettre la réalisation d'un programme pédagogique de sensibilisation et de formation adapté pour le Luxembourg.

  • AXE 2 : « Recherche sur les vulnérabilités des PME/TPE dans le domaine de la sécurité des systèmes et réseaux de l'information ».

L'axe 2 de recherche sur les vulnérabilités des PME/TPE dans le domaine de la sécurité des systèmes et réseaux de l'information vise à mieux comprendre la situation actuelle des PME/TPE dans le domaine de la sécurité des systèmes et réseaux de l'information. Ce travail s'effectuera dans les domaines de la recherche empirique (collection des données, analyse des données) et recherche scientifique (outils de sensibilisation et de prévention).

Délivrables :

Analyse de la structuration économique des PME-TPE au Luxembourg (PDF, 300Ko)

A travers l'étude du paysage économique on constate que les PME/TPE sont le véritable moteur de l'économie. Ceci est d'autant plus vrai au Luxembourg où l'on dénombre moins d'une vingtaine d'entreprises employant plus de 1000 personnes. Dans le but de soutenir ces initiatives entrepreneuriales dans le contexte économique actuel, l'Etat luxembourgeois a mis en place un plan d'action en faveur de leur développement et de celui des TIC en leur sein.
L'utilisation des nouvelles technologies et les pratiques de sécurité informatique au Luxembourg (PDF, 260Ko)

Les TIC s'implantent de plus en plus dans le paysage économique luxembourgeois et avec elles de nouvelles menaces apparaissent. Les PME/TPE sont de plus en plus sensibles à ce problème et commencent à mettre en place des contre-mesures principalement techniques. Elles sont d'ailleurs très demandeuses en information mais il manque à ces entreprises une vision qui leur soit adaptée. Ce rapport a pour vocation de dresser le panorama de l'utilisation des nouvelles technologies de l'information et de la communication et des pratiques de sécurité au Luxembourg.
Analyse de la nature des problèmes de sécurité rencontrés par les PME/TPE (PDF,1200Ko)

Parmi l'éventail complet des menaces de sécurité informatique, les PME/TPE sont plus particulièrement concernées et touchées par la fraction d'entre elles qui leur causent le plus de dommages. Ce document présente un panel des méthodes d'attaques qu'elle peuvent rencontrer, aussi bien d'un point de vue théorique que dans leurs préoccupations de tous les jours. L'aspect "attaquant" y est également abordé.
Moyens de protection pour les PME/TPE (PDF, 2300Ko)

Pour assurer leur fonctionnement, les PME/TPE doivent répondre aux défis que leur posent les problèmes de sécurité. Elle doivent mettre en place des moyens, appelés contre-mesures qui leur permettent de gérer ces risques. Ce document présente les contre-mesures majeures que se doivent de mettre en place les organisations, en particulier les PME/TPE pour se protéger de ces problèmes de sécurité.
Annexe - Synthèse des mesures de protection (PNG,380Ko)

  • AXE 3 : « Développement d'un référentiel, incluant un modèle de processus et un modèle de maturité, à l'usage des PME/TPE dans le domaine de la sécurité des systèmes et réseaux de l'information ».

L'axe 3, dans une approche constructiviste, investigue le développement d'un référentiel couvrant la problématique SSIC dans le contexte des PME et des TPE au Luxembourg. Ce référentiel sera constitué d'un modèle de processus et d'un modèle de maturité. Il permettra, d'une part, une interprétation structurante des menaces et des vulnérabilités analysées dans les axes 1 et 2 ; et, d'autre part, il donnera un cadre référentiel à une approche d'amélioration gérée et construite de la SSIC des PME et des TPE au travers des campagnes de sensibilisation CASES.

Délivrables :

Veille sur les standards et méthodes en sécurité (PDF,800Ko)

Ce rapport présente les principaux référentiels, normes et méthodes dans le domaine de la sécurité informatique. La liste n'est pas exhaustive mais elle a pour but de donner une vision globale des approches les plus répandues dans ce domaine.
Annexe - Poster récapitulatif des normes et référentiels (GIF,85Ko)
2009.05: NOUVEAU: Etude comparée des méthodes de gestion des risques - version Mai 2009 (PDF,1,4Mo)

Dans ce document, sont présentés :
  • La norme internationale ISO/IEC 27005 qui traite de la gestion des risques des SI (Système d’Information)
  • Les méthodes les plus utilisées à savoir EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), MEHARI (Méthode Harmonisée d'Analyse de RIsques), OCTAVE/OCTAVE‐S (Operationally Critical Threat, Asset, and Vulnerability Evaluation/Small) et IT‐Grundschutz
Etude comparée des référentiels et méthodes utilisés en sécurité (PDF,800Ko)

Cette étude présente quatre référentiels de sécurité de façon très poussée : EBIOS, OCTAVE/OCTAVE-S, ITBPM, et SSE-CMM. Une synthèse des points pertinents de chacun est proposée. Ces référentiels ont été retenus parmi ceux succinctement présentés lors de l'étude de veille.
Modèle de référence de processus (PDF,380Ko)

Ce modèle de référence de processus est un portefeuille des processus relatifs à la gestion de la sécurité de l'information reposant sur les exigences de la norme ISO 27001 pour former un ISMS. Il répond à la définition de PRM proposée par la norme ISO 15504 tout en apportant des éléments supplémentaires permettant une sélection des processus à évaluer ou à améliorer.
Elaboration d'un modèle de référence de processus (PDF,240Ko)

Après un bref aperçu des notions de processus, de PRM et de maturité, ce document présente les éléments retenus et l'approche originale utilisée pour la constitution du modèle de référence de processus à destination des PME/TPE.

Elaboration d'un modèle de maturité (PDF,375Ko)

La notion de maturité permet d'évaluer, au sens qualitatif, un processus. Afin de fournir une échelle d'évaluation et d'amélioration des activités sécurité d'une organisation liée au PRM proposé ci-dessous, un modèle de maturité bivalent (sécurité et qualité) à été développé. Ce modèle a fait l'objet de publications scientifiques internationales.

Annexe 1 - Composition des niveaux de maturité (PDF,15Ko))

Annexe 2 - Présentation réalisée dans le cadre du forum EUROSEC dédié à la sécurité de l'information (ZIP,1.5Mo)

Annexe 3 - Article scientifique présenté à la conférence SPICE 2006 dédié à la norme ISO 15504 (PDF,880Ko)

  • AXE 4 : « Développement d'une méthode d'e-learning visant à démultiplier les moyens de sensibilisation et d'éducation de la structure CASES ».

L'axe 4, dans une approche d'innovation méthodologique, investigue la démultiplication des moyens de sensibilisation et d'éducation de la structure CASES. Il comprend le développement d'un contenu e-learning à destination des citoyens et des PME et des TPE dans une optique de type
« formation des formateurs ». Il vise à optimiser les retombées opérationnelles des résultats des axes 1 et 2.

Haut de page


  Dernière mise à jour de
  cette page le :
  07-05-2009

Copyright © Cyberworld Awareness Security Enhancement Structure   Aspects légaux | Contact