Sécurité des systèmes d'information

La sécurité des systèmes d’information (SSI) estl’ensemble des moyens techniques, organisationnels,juridiques et humains nécessaires et mis en placepour conserver, rétablir, et garantir la sécurité dusystème d'information. Assurer la sécurité du systèmed'information est une activité du management du systèmed'information.Aujourd’hui, la sécurité est un enjeu majeur pour les en-treprises ainsi que pour l’ensemble des acteurs qui l’en-tourent. Elle n'est plus confinée uniquement au rôle del’informaticien. Sa finalité sur le long terme est de main-tenir la confiance des utilisateurs et des clients. La finali-té sur le moyen terme est la cohérence de l’ensemble dusystème d’information. Sur le court terme, l’objectif estque chacun ait accès aux informations dont il a besoin.La norme traitant des SMSI est l’ISO 27001 qui insistesur Confidentiality – Integrity – Availability, c'est-à-direen français Disponibilité – Intégrité - Confidentialité.

1 Historique

Les responsables de systèmes d'information se préoc-cupent depuis longtemps de sécuriser les données. Le casle plus répandu, et sans aucun doute précurseur en ma-tière de sécurité de l'information, reste la sécurisation del'information stratégique et militaire. Le Department ofDefense (DoD) des États-Unis est à l'origine du TCSEC,ouvrage de référence en la matière. De même, le prin-cipe de sécurité multi-niveau trouve ses origines dans lesrecherches de résolution des problèmes de sécurité del'information militaire. La défense en profondeur, toutdroit sorti d'une pratique militaire ancienne, et toujoursd'actualité aujourd'hui. Cette pratique consiste à sécuriserchaque sous-ensemble d'un système.Les conséquences d'une mauvaise sécurisation peuventconcerner les organisations, mais aussi la vie privéed'une ou plusieurs personnes, notamment par la diffusiond'informations confidentielles comme leurs coordonnéesbancaires, leur situation patrimoniale, leurs codes confi-dentiels, etc. De manière générale, la préservation desdonnées relatives aux personnes fait l'objet d'obligationslégales régies par la Loi Informatique et Libertés.Aujourd'hui, il est généralement admis que la sécurité nepeut être garantie à 100 % et requiert donc le plus souventla mobilisation d'une panoplie de mesures pour réduire leschances de pénétration des systèmes d'information.

2 Objectifs

« Le système d'information représente un patrimoine es-sentiel de l'organisation, qu'il convient de protéger. La sé-curité informatique consiste à garantir que les ressourcesmatérielles ou logicielles d'une organisation sont unique-ment utilisées dans le cadre prévu » [1].La sécurité des systèmes d'information vise les objectifssuivants :

1. La disponibilité : Le système doit fonctionner sansfaille durant les plages d'utilisation prévues et garan-tir l'accès aux services et ressources installées avecle temps de réponse attendu.

2. L'intégrité : Les données doivent être celles que l'onattend, et ne doivent pas être altérées de façon for-tuite, illicite ou malveillante. En clair, les élémentsconsidérés doivent être exacts et complets.

3. La confidentialité : Seules les personnes autoriséesont accès aux informations qui leur sont destinées.Tout accès indésirable doit être empêché.

D'autres aspects peuvent aussi être considérés comme desobjectifs de la sécurité des systèmes l'information, telsque :

1. La traçabilité (ou « Preuve ») : garantie que lesaccès et tentatives d'accès aux éléments considéréssont tracés et que ces traces sont conservées et ex-ploitables.

2. L'authentification : L'identification des utilisateursest fondamentale pour gérer les accès aux espaces detravail pertinents et maintenir la confiance dans lesrelations d'échange.

3. La non-répudiation et l'imputation : Aucun utili-sateur ne doit pouvoir contester les opérations qu'ila réalisées dans le cadre de ses actions autorisées,et aucun tiers ne doit pouvoir s’attribuer les actionsd'un autre utilisateur.

Une fois les objectifs de la sécurisation déterminés, lesrisques pesant sur chacun de ces éléments peuvent êtreestimés en fonction des menaces. Le niveau global desécurité des systèmes d'information est défini par le ni-veau de sécurité du maillon le plus faible. Les précau-tions et contre-mesures doivent être envisagées en fonc-tion des vulnérabilités propres au contexte auquel le sys-tème d'information est censé apporter service et appui.

1

24 PHASE PLAN : PLANIFICATION DE LA DÉMARCHE DE SÉCURISATION DES SYSTÈMES D'INFORMATION

Il faut pour cela estimer :

• la gravité des impacts au cas où les risques se réali-seraient,

• la vraisemblance des risques (ou leur potentialité, ouencore leur probabilité d'occurrence).

3 Démarche générale

Pour sécuriser les systèmes d'information, la démarcheconsiste à :

• évaluer les risques et leur criticité : quels risqueset quelles menaces, sur quelles données et quelles ac-tivités, avec quelles conséquences ?

On parle de « cartographie des risques ». De la qualité decette cartographie dépend la qualité de la sécurité qui vaêtre mise en œuvre.

• rechercher et sélectionner les parades : que va-t-on sécuriser, quand et comment ?

Étape difficile des choix de sécurité : dans un contextede ressources limitées (en temps, en compétences et enargent), seules certaines solutions pourront être mises enœuvre.

• mettre en œuvre les protections, et vérifier leur ef-ficacité.

C'est l'aboutissement de la phase d'analyse et là que com-mence la protection du système d'information. Une fai-blesse fréquente de cette phase est d'omettre de vérifierque les protections sont bien efficaces (tests de fonction-nement en mode dégradé, tests de reprise de données,tests d'attaque malveillante, etc.)

4 Phase PLAN : Planification dela démarche de sécurisation dessystèmes d'information

4.1 Étape 1 : Périmètre et Politique

Il est important de prendre en compte les actifs ayantde la valeur en définissant un périmètre du système demanagement du système d’information. Il peut être orien-té sur l’ensemble de l’entreprise, sur un site précis, sur unservice en fonction de la stratégie de l’entreprise. Le ca-pital intellectuel des entreprises intègre des informationssensibles, ce patrimoine informationnel doit être protégé.L’entreprise doit donc mettre en place une politique de

sécurité des systèmes d’information, de sécurité des don-nées, et des mécanismes d’identification. De plus il fautdéfinir une politique du SMSI, qui est l’engagement del’entreprise sur un certain nombre de points en matière desécurité. Ces deux points forment la pierre angulaire duSMSI, dans le but d’établir la norme ISO 27001 et ainsid’apporter la confiance aux parties prenantes.

4.2 Étape 2 : Évaluation des risques

Tenter de sécuriser un système d'information revient à es-sayer de se protéger contre les menaces intentionnelles(voir | Guide des menaces intentionnelles) et d'une ma-nière plus générale contre tous les risques pouvant avoirun impact sur la sécurité de celui-ci, ou des informationsqu'il traite.

• Méthode d'analyse des risques :

Différentes méthodes d'analyse des risques sur le systèmed'information existent. Voici les méthodes d’appréciationdes risques les plus courantes :En France, la première méthode développée a étéMARION. Aujourd’hui elle a été remplacée, même sicertaines entreprises ont conservé ce modèle initial, par laméthode MEHARI (Méthode harmonisée d'analyse desrisques) développée par le CLUSIF, et par la méthodeEBIOS (Expression des besoins et identification des ob-jectifs de sécurité) développée par l'Agence nationale dela sécurité des systèmes d'information (ANSSI).En Angleterre, CRAMM est une méthode d'analyse desrisques développée par l'organisation du gouvernementbritannique ACTC (Agence centrale de communicationet des télécommunications). C’est la méthode d'analysedes risques préférée par le gouvernement britannique,mais elle est également utilisée par beaucoup d’autre pays.Les États-Unis utilisent OCTAVE (Operationally CriticalThreat, Asset, and Vulnerability Evaluation), développéepar l'Université de Carnegie Mellon.À l'international, on utilise ISO 27005, qui est une mé-thode internationale répondant point par point aux exi-gences de l’ISO 27001. C’est la norme la plus récente, deplus elle est facilement applicable car pragmatique.Voici les autres méthodes les plus utilisées àl'international :Même si le but de ces méthodes est identique, les termeset les expressions utilisés peuvent varier. Ceux utilisés ci-dessous sont globalement inspirés de la méthode Feros.Paradoxalement, dans les entreprises, la définitiond'indicateurs « sécurité du SI » mesurables, pertinents etpermettant de définir ensuite des objectifs dans le tempsraisonnables à atteindre, s’avère délicate. Pour mesurerla performance on peut désigner comme indicateurs lesétats d'installation d'outils ou de procédures, mais les in-dicateurs de résultats sont plus complexes à définir et à

4.2 Étape 2 : Évaluation des risques 3

apprécier, par exemple ceux concernant les « alertes vi-rales »[évasif].

• Identifier les actifs :

Cela consiste à faire une liste de tous les éléments im-portants en matière d’information au sein du périmètreSMSI. Il existe différent types d'actifs :

1. Matériel

2. Physique

3. Logiciel

4. Humain

5. Documents

6. Immatériels

Pour l’identification des actifs, trois problèmes se posent :

1. Le niveau de granularité : plus la notion de granula-rité est élevée plus la notion d’actif est large.

2. Lister le plus important : le but n’est pas de faireune liste exhaustive d’actifs mais de recenser les plusimportants d’entre eux.

3. Ne pas confondre les actifs avec les actifs d’infor-mation : un actif est un élément qui possède de lavaleur pour l’entreprise, alors qu'un actif d’informa-tion est ce qui possède de l’importance en matièred’information.

Il est aujourd'hui indispensable de disposer de plans desécurisation de l'activité pour en assurer la continuité etla reprise si un sinistre survient. Ces plans tentent deminimiser les pertes de données et d’accroître la réac-tivité en cas de sinistre majeur. Un Plan de Continuitéd'Activité efficace est quasi-transparent pour les utilisa-teurs, et garantie l'intégrité des données sans aucune perted'informationArticles détaillés : Plan de continuité d'activité (informa-tique) et Plan de reprise d'activité.

• Identifier les personnes responsables :

C’est la personne responsable d’un bien est celle qui enrépond. Il s’agit en général de celle qui connaît le mieuxla valeur et les conséquences de disponibilité, d’intégritéet de confidentialité de l’actif. Dans une entreprise c’estgénéralement le responsable de la sécurité des systèmesd’information qui connait le mieux les actifs de l’informa-tion.

• Identifier les vulnérabilités :

Chaque actif recensé présente des vulnérabilités, c’est unepropriété intrinsèque du bien qui l’expose à des menaces.

• Identifier les menaces :

Les vulnérabilités précédemment identifié exposent lesbiens a des menaces. La norme ISO 27001 impose l’iden-tification des menaces pour tous les biens recensés.Article détaillé : Insécurité du système d'information.

Les principales menaces auxquelles un système d’infor-mation peut être confronté sont :

1. un utilisateur du système : l'énorme majoritédes problèmes liés à la sécurité d'un systèmed'information a pour origine un utilisateur, générale-ment insouciant. Il n'a pas le désir de porter atteinteà l'intégrité du système sur lequel il travaille, maisson comportement favorise le danger ;

2. une personne malveillante : une personne parvient às’introduire sur le système, légitimement ou non, et àaccéder ensuite à des données ou à des programmesauxquels elle n'est pas censée avoir accès. Le cas fré-quent est de passer par des logiciels utilisés au seindu système, mais mal sécurisés ;

3. un programme malveillant : un logiciel destiné ànuire ou à abuser des ressources du système est ins-tallé (par mégarde ou par malveillance) sur le sys-tème, ouvrant la porte à des intrusions ou modifiantles données ; des données confidentielles peuventêtre collectées à l'insu de l'utilisateur et être réuti-lisées à des fins malveillantes ;

4. un sinistre (vol, incendie, dégât des eaux) : une mau-vaise manipulation ou une malveillance entraînantune perte de matériel et/ou de données.

• Identifier les impacts :

La norme ISO 27001 oblige l’évaluation de consé-quences ; tel que : la perte de confidentialité, de disponibi-lité ou d’intégrité. Cela revient à donner une note en troisdimensions (confidentialité ; disponibilité et intégrité), se-lon des critères définis, pour chaque actif.

• Identifier les dommages :

Deux types de dommages peuvent affecter le systèmed'information d'une organisation :

1. Les dommages financiers :

(a) Sous forme de dommages directs, c'est l'actionde reconstituer des bases de données qui ontdisparu, de reconfigurer un parc de postes in-formatiques ou de réécrire une application ;

4 5 PHASE DO : MISE EN PLACE DES OBJECTIFS

(b) Sous la forme de dommages indirects, c'est ledédommagement des victimes d'un piratage,le vol d'un secret de fabrication ou la perte demarchés commerciaux.

2. La perte de l'image de marque :

(a) Perte directe par la publicité négative faiteautour d'une sécurité insuffisante tel quel'hameçonnage ;

(b) Perte indirecte par la baisse de confiance dupublic dans une société, par exemple, les tech-niques répandues de défacement.

• Évaluer la vraisemblance

Il s’agit de remettre le bien d’information dans soncontexte environnemental et donc de prendre en compteles mesures qui sont déjà mises en place. (Ex : si un fi-chier client est déjà chiffré, alors la vraisemblance de voirsa confidentialité compromise est limitée.) . Il est possibled’évaluer la notion de vraisemblance par une note sur uneéchelle de 1 à 5.

• Estimer les niveaux de risque

L’attribution d’une note finale reflètera le niveau de risqueréel tout en tenant compte des éléments ci-dessus. Lanorme ISO 27001 n’impose aucune formule c’est doncà l’implémenteur de la choisir. Il peut s’agir d’une noteallant de 0 à 100 ou bien d’un code couleur.

4.3 Étape 3 : Traiter le risque et identifierle risque résiduel

L’entreprise peut traiter les risques identifiés de 4 façons :

• Accepter le risque : solution ponctuelle lorsque lasurvenance du risque entraîne de faibles répercus-sions pour l’entreprise.

• Éviter le risque : solution lorsque les conséquencesd’une attaque sont jugées trop périlleuses pourl’entreprise.

• Transférer le risque : solution quand l’entreprisene peut pas faire face au risque par ses propresmoyens (souscription d’une assurance ou contrat desous-traitances).

• Réduire le risque : solution pour rendre le risqueacceptable.

Enfin, il ne faut pas oublier de prendre en compte lesRisques résiduels qui persistent après la mise en placede l’ensemble des mesures de sécurité. Il faut prendre desmesures complémentaires de protection pour rendre cesrisques acceptables.

4.4 Étape 4 : Sélectionner les mesuresà mettre en place (Annexe A àISO27001)

L'implémentation de la norme ISO27001 se déroule gé-néralement en cinq phases complémentaires :

• Phase 1 Réunion de lancement : cette réunion sertà cadrer la prestation et à présenter la démarche desconsultants.

• Phase 2 Entretiens : rencontres avec les différentsresponsables des services clé de l'entreprise dans lebut de faire le point sur leur niveau de conformitéavec la norme ISO 27001.

• Phase 3 Prise de connaissance de la documenta-tion : documents de la politique générale (politiquede sécurité, charte utilisateurs, etc), documents depolitique spécifiques (mots de passe, accès distantet procédure.

• Phase 4 Rédaction du rapport : rapport tenantcompte de tous les éléments obtenus lors des phasesprécédentes.

• Phase 5 Présentation des résultats réunion aucours de laquelle les points suivants sont traités ; rap-pel synthétique des points clé, présentation du plande mise en conformité ISO 27001 et discussion.

5 Phase DO :Mise en place des ob-jectifs

• Plan de traitement des risques :

L’étape de planification identifie les mesures à prendredans l’organisation, mais ne permet pas de les mettre enplace concrètement. Il faut les organiser, sélectionner lesmoyens nécessaires et définir le responsabilités en établis-sant un plan de traitement des risques. Cette étape relèvede la gestion de projet.

• Déployer les mesures de sécurité :

De nombreux moyens techniques peuvent être misen œuvre pour assurer une sécurité du systèmed'information. Il convient de choisir les moyens né-cessaires, suffisants, et justes. Voici une liste nonexhaustive de moyens techniques pouvant répondreà certains besoins en matière de sécurité du systèmed'information :

1. Contrôle des accès au système d'information

2. Surveillance du réseau : sniffer, système de détectiond'intrusion

5

3. Sécurité applicative : séparation des privilèges, auditde code, rétro-ingénierie

4. Emploi de technologies ad hoc : pare-feu, UTM,anti-logiciels malveillants (antivirus, anti-spam,anti-logiciel espion)

5. Cryptographie : authentification forte, infrastructureà clés publiques, chiffrement.

• Générer des indicateurs :

Une des nouveautés de la norme ISO 27001 est d’exigerune vérification régulière de la sécurité. Le responsabledoit choisir des indicateurs qui permettent de mesurer safiabilité. Ils peuvent être de deux sortes :

1. Indicateurs de performances : ils mesurent l’effica-cité des mesures

2. Indicateurs de conformité : ils mesurent l’adéquationdes mesures aux normes.

• Former et sensibiliser le personnel :

L’information du personnel est primordiale dans la réus-site d’un projet de sécurisation du SI, pour qu’il en com-prenne l’utilité et sache l’appliquer. Une bonne pratiqueest donc de sensibiliser l’ensemble du personnel aux en-jeux de la sécurité informatique pour leur organisation,de manière généraliste. Cette explication doit rappelerles engagements de l’organisation, et donner des exemplestrès pratiques pour éviter les incidents les plus habituels.Les employés directement concernés par la sécurité in-formatique doivent être formés pour qu’ils sachent utilisercorrectement les outils.

• Gérer le SMSI au quotidien :

La norme ISO 27001 n’impose pas seulement de mettreen place un système de sécurité, mais aussi de prouverson efficacité. Les entreprises doivent donc gérer correc-tement leurs ressources et développer la traçabilité.

• Détection et réaction rapide des incidents :

Cette phase repose sur la théorie de time-based security.Le principe est de prendre en compte le délai nécessairepour qu’une attaque contre la sécurité réussisse. Pendantce laps de temps, l’entreprise doit être capable de détecterla menace et de la contrer, avec une marge de sécuritésupplémentaire.

6 Phase CHECK :Mise en place demoyens de contrôle

Il doit y avoir des moyens de contrôle pour surveiller l’ef-ficacité du SMSI ainsi que sa conformité.

Il existe des outils pour vérifier cela comme :Les audits internes : Audit planifié longtemps en avanceet faisant appel à des auditeurs.Le contrôle interne : Contrôle en permanence au seinde l’organisation, pour vérifier que chacun appliquent lesprocédures aux quotidiens.Les réexamens : Prendre du recul pour mettre en adéqua-tion le SMSI et son environnement.On peut s’aider de :

• COBIT : permet l’analyse des risques et le contrôledes investissements

• ITIL : l’objectif est de favoriser l’efficacité des af-faires dans l’utilisation du SI dans le but de satisfaireles demandes d’organisation pour réduire les coûtstous en maintenant ou améliorant les services infor-matiques

• ISO 27007 : lignes directrices pour aider les audi-teurs internes ou externes à contrôler si le SMSI estcorrectement développé.

7 Phase ACT : Mise en placed'actions

Après la mise en lumière de dysfonctionnement grâce à laphase Check, il est important de les analyser et de mettreen place des :

• Actions correctives : Il faut agir sur le dysfonction-nement et en supprimer son effet

• Actions préventives : On agit avant que le dysfonc-tionnement ne se produise

• Actions d'amélioration : On améliore les perfor-mances d’un processus.

8 Voir aussi

8.1 Articles connexes

• Agence nationale de la sécurité des systèmesd'information ou ANSSI

• CERTA, (Centre d'expertise gouvernemental de ré-ponse et de traitement des attaques informatiques)

• CIGREF,(Club Informatique des grandes entre-prises françaises)

• CLUSIF, (Club de la sécurité de l'information fran-çais)

6 9 NOTES ET RÉFÉRENCES

• Computer Security Incident Response Team ouCERT, coordination européenne sur la sécurité in-formatique

• EBIOS, la méthode de gestion des risques del'ANSSI

• Forum international de la cybersécurité (FIC)

• Fuite d'information

• Insécurité du système d'information

• ITSEC (standard pour la sécurité des systèmesd'information)

• MEHARI, méthode de gestion des risques duCLUSIF[2]

• Plausibilité

• Politique de sécurité du système d'information

• Politique de sécurité informatique

• Sécurité de l'information

• Sécurité des systèmes téléphoniques

• Souveraineté numérique

• (en) logiciel PROMIS Prosecutor’s Management In-formation System (en)

• (de) logiciel PROMIS Prosecutor’s Management In-formation System (de)

• (en) Société Inslaw Institute for Law and Social Re-search (en)

8.2 Liens externes

• (fr) Catégorie Informatique/Sécurité de l’annuaireDMOZ

• (en) Catégorie Computers/Security de l’annuaireDMOZ

• (fr) Normes de sécurité : les méthodes d'analyse desrisques

• (en) Site de l'European Union Agency for Networkand Information Security

• Site institutionnel de l'ANSSI] et la noted'information N° CERTA-2006-INF-002

• Site de l'ANSSI sur la sécurité informatique pour legrand public

• Site d'information de l'État français sur la sécuritéinformatique pour le grand public

• Les obligations de sécurité informatique qui existenten droit français, en particulier dans la réglementa-tion des données personnelles

8.3 Bibliographie

• Daniel Guinier, Sécurité et qualité des systèmesd'information - Approche systémique, Masson, 1992

• Laurent Bloch et Christophe Wolfhugel, Sécurité in-formatique - Principes et méthode, Eyrolles, 2011

• Fernandez-Toro, Management de la sécurité del'information.Implémentation ISO 27001 et audit decertification, Eyrolles, 2012

9 Notes et références[1] JF Pillou, Tout sur les systèmes d'information, Paris Du-

nod 2006, Collect° Commentcamarche.net

[2] clusif.asso.fr

• Portail de la sécurité de l’information

• Portail de la sécurité informatique

7

10 Sources, contributeurs et licences du texte et de l’image

10.1 Texte• Sécurité des systèmes d'information Source : http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d'

information?oldid=115120100 Contributeurs : Mm, David Latapie, Orthogaffe, Jon~frwiki, Céréales Killer, Oz, ( :Julien :), Alno, Greu-din, Tieno, Anakin, Archeos, Spooky, Nicolas STAMPF, Nguyenld, Archibald, Sanao, Phe, Scullder, Marc Mongenet, MedBot, Iznogoud,Wishmaster, Sam Hocevar, Iznogood, Phe-bot, FabienSchwob, Vev, Lachaume, Gwalarn, Bradipus, Dake, Acidben, Poleta33, T~frwiki,Criric, Leag, Bob08, Sportet, Julien06200, Koko90, Salsamontreal, Ripounet, L'amateur d'aéroplanes, Michel.hoffmann, Kalimsshar, Doc-teurCosmos, Jmfrance, Aris~frwiki, Outs, Merlin8282, Zetud, Vazkor, Romanc19s, David Berardan, Lmaltier, Pok148, Gzen92, Robot-Quistnix, Gpvosbot, YurikBot, Gene.arboit, Medium69, Jerome66, Bortzmeyer, Askywhale, Litlok, Toutoune25, ChevalierOrange, Gui-mard, Serge.philippe, Klipper, Rolphin~frwiki, BasEI, Noel.guillet, Papagrieng, Heureux qui comme ulysse, Alain.Darles, Thireus, Pau-tard, Moloko~frwiki, DainDwarf, Esprit Fugace, Wmarcmc, Karl1263, Manu1400, MetalGearLiquid, Kilianours, Lamiot, Liquid-aim-bot,Fatiha Benali, GaMip, Genium, Vintotal, Mrambil, Elimerl, NicoV, FGacquer, Chaoborus, JnRouvignac, En passant, PCcliniqueNet,Ecid, Laurent Nguyen, Clintm, Rémih, Pierre Coustillas, Le Pied-bot, Dauphiné, JAnDbot, Gui82, Rhizome, Pejman~frwiki, Nono64,Sebleouf, J-L Cavey, TranceFusion, Ticho, Zouavman Le Zouave, Eybot, Yool~frwiki, ISDecisions~frwiki, Alterte, Irønie, Salebot, Kari-makov, ADELKIKI, Rolyz, Speculos, Velero, Sebf, Smaret, TXiKiBoT, Karl3i, Localhost, VolkovBot, Cdiot, Awk, Chicobot, PHO3N !X,A1b2c, Alphonzoano, R3f3, SecurInfos, Galoric, Jpjp507, Bergom, Octo-bvi, Moreseed, Vlaam, Dhatier, Hercule, PipepBot, Windharp,Typhon07, Clearpowers, DragonBot, Web33, Balougador, Expertom, Chrono1084, Rinaku, Superjuju10, Mro, BodhisattvaBot, WikiClea-nerBot, Maurilbert, ZetudBot, Jazzzz, Jerome234, JackPotte, Luckas-bot, GrouchoBot, Loi219, Billinghurst, Copyleft, ArthurBot, Marii-wakura, T.vanderkluft, Ebesanco, Coyote du 57, Lomita, Xiglofre, RedBot, Ramboutan, Jlrwiki, Kilith, Savh, EBIOS, Célestin Moreau,Karima Rafes, ChuispastonBot, Jules78120, Jramio, Lotje, Daehan, Pols12, MerlIwBot, OrlodrimBot, Le pro du 94 :), Thales Communi-cations & Security, Lydie Noria, Ecosoq, Makecat-bot, Claude1980, LectriceDuSoir, Hamrttp, Addbot, AméliorationsModestes, SGlad,Mr47, Tibo747, Symeof, Chaudeau, Altadil, Do not follow, MCCA SSI et Anonyme : 182

10.2 Images• Fichier:Logo_securite_informatique.png Source : http://upload.wikimedia.org/wikipedia/commons/b/b4/Logo_securite_

informatique.png Licence : Public domain Contributeurs : travail personnel (discussion sur la création) Artiste d’origine : Romainhk• Fichier:Nuvola_apps_kgpg.png Source : http://upload.wikimedia.org/wikipedia/commons/a/a2/Nuvola_apps_kgpg.png Licence : LGPLContributeurs : http://icon-king.com Artiste d’origine : David Vignoni / ICON KING

10.3 Licence du contenu• Creative Commons Attribution-Share Alike 3.0