SlideShare una empresa de Scribd logo

Sécurité Internet

Descargar como PPSX, PDF
P
proximit
1 de 29
Audit sécurité Sommaire  La gestion de la sécurité vue par un standard e-SCM de Sourcing  Gestion des risques – Définition ISO  Sécurité (Le SI au cœur du Business)  Typologie des incidents de sécurité  Pratiques de nature à augmenter les risques  Budget – Priorisation  Le processus  Analyse des risques (cartographie)  Au-delà de l’audit, ProximIT apporte de l’expertise sur : o PRA : Plan de reprise d’activité o Tableau de bord sécurité o Votre charte Informatique o La CNIL
Audit sécurité e-SCM La gestion de la sécurité vue par un standard e-SCM de Sourcing (eSourcing Capability Model for Client Organizations) / Outils d’évaluation et d'amélioration des aptitudes des clients à gérer les relations fournisseurs de services (CL) / Idem versus fournisseur (SP) pour Service Provider  Identifier et gérer activement les menaces qui pèsent sur une entreprise (ou autre) de façon à lui permettre d’être en capacité d’atteindre ses objectifs et ses exigences Business  Une attention particulière doit être portée à :  L’intégrité (la donnée doit être garantie)  La confidentialité (l’accès des données aux bonnes personnes)  La disponibilité (infrastructure / Service / continuité)  Pour couvrir ce domaine, il faut :  Avoir une politique de gestion des risques  Gérer les risques liés à l’engagement (contrat)  Sécuriser la prestation  Adopter un plan de reprise d’activité  Se conformer à la réglementation
Audit sécurité Gestion des risques – Définition ISO La gestion des risques est définie par l’ISO comme l’ensemble des activités coordonnées visant à diriger et piloter un organisme vis-à-vis du risque. On dégage en général trois finalités à la gestion des risques pour les SI : 1. Améliorer la sécurisation des systèmes d’information. 2. Justifier le budget alloué à la sécurisation du système d’information. 3. Prouver la crédibilité du système d’information à l’aide des analyses effectuées. On estime qu’il existe plus de 200 méthodes de gestion des risques. Cette multiplicité entraîne une très grande diversité dans les approches des risques de sécurité. Exemple : EBIOS ou MÉHARI, permet d’apprécier ses besoins intrinsèques de sécurité et d’ordonner les priorités de mise en œuvre de plans relatifs
Audit sécurité Liste des normes ISO pour la sécurité de l’information ISO 27000 : Série de normes dédiées à la sécurité de l'information ISO/CEI 27001 : Système de Management de la Sécurité de l'Information (SMSI) — Exigences ISO/CEI 27002 : Code de bonnes pratiques pour la gestion de la sécurité de l'information (anciennement ISO/CEI 17799) ISO/CEI 27003 : Système de Management de la Sécurité de l'Information (SMSI) — Guide d'implémentation ISO/CEI 27004 : Mesure de la gestion de la sécurité de l'information ISO/CEI 27005 : Gestion du risque en sécurité de l'information ISO/CEI 27006 : Exigences pour les organismes réalisant l'audit et la certification de Systèmes de Management de la Sécurité de l'Information (SMSI) ISO/CEI 27007 : Guide pour l'audit de Systèmes de Management de la Sécurité de l'Information (SMSI). ISO/CEI 27799 : Informatique de santé - Gestion de la sécurité de l'information relative à la santé en utilisant l'ISO/CEI 27002
Audit sécurité Sécurité (Le Business au cœur de l’information) Avec un sentiment de dépendance à l'informatique toujours en hausse, les entreprises continuent d’avancer dans la prise en compte de la Sécurité des Systèmes d’Information (SSI). Toutefois, les changements concrets se font à petits pas… Les chiffres cités dans cette présentation sont essentiellement des extraits du rapport officiel du Clusif (Club pour la sécurité de l’information français) 2010
Audit sécurité saisie, Exploitatio n du système,… Coupure électricité, eau télécom Indispo système Inondation, tempê te Typologie des incidents de sécurité (Clusif 2010) Si un risque est avéré (100%), ce n ’est plus un risque mais un problème. Le traitement de la situation est différent. Destruction manuelle de données, déni de service, bombe logique, % des entreprises ayant répondues que ce type d’incident était un « problème » IMPORTANT
Audit sécurité Pratiques de nature à augmenter les risques
Audit sécurité Budget - Priorisation Bien que de plus en plus conscients des risques liés à la sécurité, la priorité des entreprises dans un contexte économique « compliqué », n’est pas dans l’augmentation du budget associé à la sécurité. Les budgets « stagnent » Priorisation
Audit sécurité « Equation du risque » RISQUE = MENACE * VULNÉRABILITÉ * IMPACT La gestion des risques se compose de trois blocs interdépendants :  l’organisation cible de l’étude, définie par ses assets (ressource ayant de la valeur pour l’entreprise) et ses besoins de sécurité / identification des assets  les risques pesant sur les assets  les mesures prises ayant pour but de traiter les risques et donc d’assurer un certain niveau de sécurité. Les contrôles sont de deux types : o Sur la menace ou la vulnérabilité, afin de limiter la cause du risque o Sur l’impact, afin de limiter la conséquence du risque.
Audit sécurité Le processus Le processus suivant est habituellement appliqué dans les méthodes pratiques de gestion des risques. • vise à spécifier les Identification besoins en termes de des assets confidentialité, intégrité et disponibilité des assets • Identifier périmètre • Identification des Détermination assets business des objectifs constituant la valeur de l’organisation, Analyse des • puis les assets risques système (cartographie) • le cœur de la Définition des • Ici sont définis les choix démarche de gestion exigences de des risques techniques des solutions de sécurité sécurité • permettra de réduire Sélection des les risques identifiés contrôles Implémentation des contrôles
Audit sécurité Analyse des risques (cartographie) Elle a pour finalité l’identification et l’estimation de chaque composante du risque (menace/vulnérabilité/impact), afin d’évaluer le risque et d’apprécier son niveau, dans le but de prendre des mesures adéquates Il y a deux grandes écoles pour l’identification des risques :  soit en réalisant un audit du système et de ses différents acteurs  soit à partir de bases de connaissances prédéfinies En pratique, il se révèle difficile de donner des valeurs absolues et on se contente bien souvent d’une échelle de valeurs relatives.
Audit sécurité Analyse des risques Scénarios D’une manière générale, on considère que :  Les risques ayant une occurrence et un impact faible sont négligeables.  Les risques ayant une forte occurrence et un impact important ne doivent pas exister, autrement une remise en cause des activités de l’entreprise est nécessaire  Les risques ayant une occurrence forte et un impact faible sont acceptés, leur coût est généralement inclus dans les coûts opérationnels de l’organisation (acceptation du risque).  Les risques ayant une occurrence faible et un impact lourd sont à transférer. Ils peuvent être couverts par une assurance ou un tiers (transfert du risque).  Enfin, les autres risques, en général majoritaires, sont traités au cas par cas et sont au centre du processus de gestion des risques ; l’objectif, étant de diminuer les risques en les rapprochant au maximum de l’origine de l’axe (allègement du risque à l’aide de contrôles).
Audit sécurité Cartographie des risques : Exemple 1 Inondation 2 Vol de matériel 3 Attaque logique 4 Sabotage physique 5 Incendie Perte de services 6 essentiels 7 Panne d’origine interne
Audit sécurité Analyse des risques : Budget à associer aux prises de risques
Audit sécurité On constate que :  Des audits de sécurité : 25% des entreprises n’en font pas …,  Les PRA (Plan de Reprise d’Activité)  33% (-7% vs 2008) des entreprises ne disposent pas d’un plan de continuité d’activité pour traiter les crises majeures !  Tableau de bord de la sécurité informatique : 34% seulement en disposent  Une charte sécurité / des règles élémentaires…  Des « obligations CNIL » : en légère progression par rapport à 2008
Audit sécurité PRA : Plan de reprise d’activité (1/1) Un plan de reprise d'activité (Disaster Recovery Plan ou DRP) permet d'assurer, en cas de crise majeure ou importante d'un centre informatique, la reconstruction de son infrastructure et la remise en route des applications supportant l'activité d'une organisation. La durée maximale d'interruption admissible, en anglais Recovery Time Objective (RTO) constitue le temps maximal acceptable durant lequel une ressource (généralement informatique) peut ne pas être fonctionnelle après une interruption majeure de service Le RTO est considéré en conjonction avec le Recovery Point Ojbective (RPO) qui quantifie la capacité de reprise sur sauvegarde de la ressource.
Audit sécurité Tableau de bord sécurité (1/4) Quels objectifs ?  Que veut-on mesurer ?  Le niveau d’exposition / attaques / menaces ?  Le niveau de vulnérabilités résiduelles ?  Le nombre d’incidents de sécurité identifiés ?  L’évolution de la couverture des risques ?  Le niveau de déploiement d’une PSSI ?  L’état d’avancement des plans d’actions ?  Le niveau de conformité aux règlements et autres standards (SOX, PCI DSS,  ISO2700x, etc.) ?  Vers qui veut-on communiquer ?  La DG ? (Indicateurs stratégiques)  La DSI ?  Les métiers ? (indicateurs opérationnels)  Les corps d’audit et d’inspection ?  A quelle fréquence ?  Hebdomadaire ? Mensuelle ? Trimestrielle ? Annuelle ?
Audit sécurité Tableau de bord sécurité (2/4) Quels indicateurs ?  On peut partir de zéro et faire une séance de… brainstorming !  Mais il est plus efficace d’utiliser les référentiels existants comme l’ISO17799 (future ISO27002)  Il s’agit de définir des grandes familles d’indicateurs, …..pas forcément d’utiliser les recommandations de l’ISO comme carcan  Une fois les familles (domaines et sous-domaines ISO) retenues, identifier deux ou trois indicateurs pertinents par sous-famille  Ne pas dépasser une trentaine (maximum) d’indicateurs
Audit sécurité Tableau de bord sécurité (3/4) Exemples d’indicateurs  % de serveurs conformes, basés sur des masters homologués sécurisés (d’où proportion de machines à migrer, ex: Windows NT 4.0)  % de postes de travail conformes (sous contrôle DSI)  % d’antivirus activés et à jour des signatures  Nb de partage de fichiers avec des permissions d’accès en lecture générale / nb de partages (domaine bureautique / domaine production)  Nb de documents classifiés confidentiels et stockés non chiffrés  Nb d’alertes de sécurité traitées par le Service Desk  Nb d’alertes de sécurité critiques remontées par les IDS (Intrusion Detection System) ou système de détection d'intrusion  Nb de correctifs appliqués sur le parc / nb de correctifs diffusés par les éditeurs (développeurs) présents sur le parc  % de projets lancés prenant en compte les normes de sécurité de l’entreprise  % de serveurs secourus (reprise sur incident majeur)  % de serveurs sauvegardés  % d’équipements critiques redondés  Nb de comptes génériques / nb de comptes total  % d’accès prestataires (TMA) sécurisés (authentification individuelle, …)  % de serveurs configurés par outil de gestion de parc (cf CMDB – ITIL)  Etc…
Audit sécurité Suivi global des indicateurs sur les 12 derniers mois Tableau de bord sécurité (4/4) Le tableau de bord de sécurité est un instrument de communication privilégié pour le RSSI Vs DSI Vs DG Evolution des Interruptions de Service applicatif/exploitation (prévues ou non) sur les douze derniers m ois Sa conception nécessite de la réflexion et sa 25000 production a un coût, mais le jeu en vaut la chandelle 20000 Répartition applicatif/exploitation (prévues ou non) : cum ul 12 derniers m ois 15000 IS applicatif IS exploitation 6% 10000 IS indéterminées 20% 5000 IS applicatif IS exploitation IS indéterminées 0 ai l ar ov n p Ju Ja Se 74% M M N Exemple : indicateurs opérationnels
Audit sécurité Une charte sécurité : (1/3) Quels objectifs ?  Créer un outil juridique (opposable à un utilisateur) et pédagogique (sensibilisation) au sein du système d’information;  Définir les règles de bonne utilisation des ressources informatiques de l’entreprise :  Protection du patrimoine informationnel de l’entreprise, des données personnelles des utilisateurs, des ressources informatiques;  Respect des dispositions légales et des règles de déontologies en vigueur;
Audit sécurité Une charte sécurité : (2/3) La charte protège l’espace individuel de chacun au sein de l’entreprise et l’entreprise d’une mauvaise utilisation de son outil informatique, ceci en toute transparence :  Responsabilités : En utilisant l’outil informatique de l’entreprise, les personnes physiques et morales (l’entreprise) ont une responsabilité civile et pénale (au-delà d’être un utilisateur responsable),  Activités interdites : utilisation de documents inconvenants et illégaux, Utilisation extra professionnelle des ressources informatiques, copie et utilisation des logiciels piratés, gaspillage des ressources informatiques, accords en ligne sans autorisation préalable ;  Vie privée / vie professionnelle :  Les ressources informatiques sont mises à disposition des utilisateurs par la société pour un usage professionnel et interdit d’utilisation à toute autre personne non habilité (jeux sur Internet à titre familial).  La Société considèrera comme personnel et non professionnel le seul courrier électronique indiquant « personnel » dans l’objet du message ou stocké dans un dossier de la messagerie intitulé « personnel ». Ce principe est applicable aux répertoires et fichiers marqués comme « personnels » dans l’Explorateur Windows.  Messagerie électronique : Il est interdit d’ouvrir une pièce jointe dans un message d'un émetteur inconnu ou avec un objet douteux (.exe, .gif,.com…), pour prévenir l'introduction d'intrus et la diffusion de virus à l’insu, il est demandé de le détruire immédiatement.  Accès à Internet : La Société n’assume aucune responsabilité sur l’utilisation d’Internet et notamment en ce qui concerne le contenu des sites visités. Le partage d’espace disque est interdit (Peer-to-Peer).
Audit sécurité Une charte sécurité : (3/3)  Forums : l’inscription à des forums à titre privé avec l’adresse mail de l’entreprise est interdite. De même l’inscription à des forums sensibles doit se faire avec une adresse mail anonyme (Hotmail et en dehors du réseau Société).  Réseaux sociaux : l’utilisateur ne doit pas faire référence à son employeur actuel ou à tout sujet professionnel et doit éviter de donner des informations privées pouvant être utilisées comme mots de passe dans les systèmes de la société (nom de jeune fille de la mère…) ;  Surveillance : l’entreprise peut techniquement surveiller la navigation sur Internet et toute activité au sein du système d’information dans le respect de la charte et de la CNIL (Commission Nationale Informatique et Liberté);  Mots de passe : Les utilisateurs disposent de droits d’accès et de mots de passe qui sont personnels et ne peuvent être en aucun cas transmis à des tiers non autorisés.  Propriétaire de l’information : Le propriétaire d’une information doit la classifier dans une des catégories suivantes :  Non classifié  Sensible (pouvant entrainer des dommages irréversibles pour l’entreprise en cas de perte de confidentialité, intégrité, trace) Et la protéger conformément à la politique de sécurité en accord avec le service informatique (chiffrement, mots de passe, transport à l’extérieur …)  Utilisateurs d’informations nomades : utilisateur ayant extrait un fichier d’un poste fixe ou serveur de données stocké sur un support nomade (ordinateur portable, Smartphone, clé USB, DVD, support papier…). Tout support hébergeant un fichier sensible doit obligatoirement être chiffré conformément à la politique de sécurité et en accord avec le service informatique.
Audit sécurité C.N.I.L. : (1/4) Pourquoi faire ? La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi du 6 janvier 1978 modifiée le 6 août 2004. Qu’est-ce qu’une donnée personnelle ? Il s’agit selon la loi, de toute information relative à une personne physique identifiée ou susceptible de l’être, directement ou indirectement, par référence à un numéro d’identification (ex : n° de sécurité sociale) ou à un ou plusieurs éléments qui lui sont propres (ex : nom et prénom, date de naissance, éléments biométriques, empreinte digitale, ADN...)
Audit sécurité C.N.I.L. : (2/4) Les 5 principes à respecter 1°) le principe de finalité: Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime. « Un autocommutateur ne doit pas être utilisé pour surveiller les utilisateurs » Tout détournement de finalité est passible de sanctions pénales de finalité est passible de sanctions pénales 2°) le principe de proportionnalité et de pertinence des données: Seules doivent être traitées les informations pertinentes et nécessaires au regard des objectifs poursuivis. « le n° de sécurité sociale n’est pas utile à un recrutement » 3°) le principe d’une durée limitée de conservation des données : Les informations ne peuvent être conservées de façon indéfinies dans le système d’information. Une durée de conservation précise doit être déterminée en fonction de la finalité du fichier. « cinq ans pour la paie, un mois vidéosurveillance… »
Audit sécurité C.N.I.L. : (3/4) Les 5 principes à respecter ? 4°) le principe de sécurité et de confidentialité des données : L’employeur est astreint à une obligation de sécurité et doit prendre les mesures nécessaires pour garantir la confidentialité des données . « mesures de contrôles d’accès: politique de mots de passe… » les données personnelles ne doivent être accessibles qu’aux personnes habilitées (interne: RH, paie…/externe: inspection du travail, police…) 5°) le principe du respect des droits des personnes : Information des personnes: clairement informées des objectifs poursuivis, du caractère obligatoire ou facultatif de leurs réponses, des destinataires, des modalités d’exercice de leurs droits conformément à la CNIL (ci-dessous). Droits d’accès et de rectification: toute personne peut demander au détenteur du fichier de lui communiquer toutes informations la concernant et de faire rectifier ou supprimer toute information erronée. « dossier professionnel… »
Audit sécurité C.N.I.L. : (4/4) Déclaration Simplifiée ou Normale / Le correspondant informatique et Libertés et libertés (CIL)
Merci Christophe Nouhau christophe.nouhau@proximit.fr | www.proximit.fr

Recomendados

earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?Lexing - Belgium
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants Kiwi Backup
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...Kiwi Backup
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésThierry Pertus
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 

Recomendados

earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?Lexing - Belgium
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants Kiwi Backup
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...Kiwi Backup
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésThierry Pertus
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficienteELCA Informatique SA / ELCA Informatik AG
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieApec
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéChristian Charreyre
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationDimassi Khoulouda
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéNaully Nicolas
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Bertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19Laurent Pingault
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
User centric security
User centric securityUser centric security
User centric securityAlain EJZYN
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...Ouest Online
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & ContinuitéBertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciRadouane Mrabet
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Pourquoi less stratégies de formation ne fonctionnent pas?
Pourquoi less stratégies de formation ne fonctionnent pas? Pourquoi less stratégies de formation ne fonctionnent pas?
Pourquoi less stratégies de formation ne fonctionnent pas? PECB
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 

Más contenido relacionado

La actualidad más candente

Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieApec
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéChristian Charreyre
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationDimassi Khoulouda
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéNaully Nicolas
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19Laurent Pingault
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
User centric security
User centric securityUser centric security
User centric securityAlain EJZYN
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...Ouest Online
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciRadouane Mrabet
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Pourquoi less stratégies de formation ne fonctionnent pas?
Pourquoi less stratégies de formation ne fonctionnent pas? Pourquoi less stratégies de formation ne fonctionnent pas?
Pourquoi less stratégies de formation ne fonctionnent pas? PECB
 

La actualidad más candente (20)

Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficiente
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
User centric security
User centric securityUser centric security
User centric security
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & Continuité
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Pourquoi less stratégies de formation ne fonctionnent pas?
Pourquoi less stratégies de formation ne fonctionnent pas? Pourquoi less stratégies de formation ne fonctionnent pas?
Pourquoi less stratégies de formation ne fonctionnent pas?
 

Destacado

Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 

Destacado (6)

Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 

Similar a Sécurité Internet

AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesmoussadiom
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnelsonepoint x weave
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSmartnSkilled
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449M'hammed Hamdaoui
 
Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)
Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)
Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)Gimélec
 
E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1MustaphaChaoui1
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?BPMSinfo
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt convertiIsmailElouarga
 

Similar a Sécurité Internet (20)

Mehari
MehariMehari
Mehari
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
EBIOS
EBIOSEBIOS
EBIOS
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Support formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiquesSupport formation en ligne : Manager et auditer les risques informatiques
Support formation en ligne : Manager et auditer les risques informatiques
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Guide ineris-sips-1459850449
Guide ineris-sips-1459850449Guide ineris-sips-1459850449
Guide ineris-sips-1459850449
 
Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)
Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)
Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)
 
E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risques
 
Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?
 
Mehari
MehariMehari
Mehari
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt converti
 

Sécurité Internet

  • 1.
  • 2. Audit sécurité Sommaire  La gestion de la sécurité vue par un standard e-SCM de Sourcing  Gestion des risques – Définition ISO  Sécurité (Le SI au cœur du Business)  Typologie des incidents de sécurité  Pratiques de nature à augmenter les risques  Budget – Priorisation  Le processus  Analyse des risques (cartographie)  Au-delà de l’audit, ProximIT apporte de l’expertise sur : o PRA : Plan de reprise d’activité o Tableau de bord sécurité o Votre charte Informatique o La CNIL
  • 3. Audit sécurité e-SCM La gestion de la sécurité vue par un standard e-SCM de Sourcing (eSourcing Capability Model for Client Organizations) / Outils d’évaluation et d'amélioration des aptitudes des clients à gérer les relations fournisseurs de services (CL) / Idem versus fournisseur (SP) pour Service Provider  Identifier et gérer activement les menaces qui pèsent sur une entreprise (ou autre) de façon à lui permettre d’être en capacité d’atteindre ses objectifs et ses exigences Business  Une attention particulière doit être portée à :  L’intégrité (la donnée doit être garantie)  La confidentialité (l’accès des données aux bonnes personnes)  La disponibilité (infrastructure / Service / continuité)  Pour couvrir ce domaine, il faut :  Avoir une politique de gestion des risques  Gérer les risques liés à l’engagement (contrat)  Sécuriser la prestation  Adopter un plan de reprise d’activité  Se conformer à la réglementation
  • 4. Audit sécurité Gestion des risques – Définition ISO La gestion des risques est définie par l’ISO comme l’ensemble des activités coordonnées visant à diriger et piloter un organisme vis-à-vis du risque. On dégage en général trois finalités à la gestion des risques pour les SI : 1. Améliorer la sécurisation des systèmes d’information. 2. Justifier le budget alloué à la sécurisation du système d’information. 3. Prouver la crédibilité du système d’information à l’aide des analyses effectuées. On estime qu’il existe plus de 200 méthodes de gestion des risques. Cette multiplicité entraîne une très grande diversité dans les approches des risques de sécurité. Exemple : EBIOS ou MÉHARI, permet d’apprécier ses besoins intrinsèques de sécurité et d’ordonner les priorités de mise en œuvre de plans relatifs
  • 5. Audit sécurité Liste des normes ISO pour la sécurité de l’information ISO 27000 : Série de normes dédiées à la sécurité de l'information ISO/CEI 27001 : Système de Management de la Sécurité de l'Information (SMSI) — Exigences ISO/CEI 27002 : Code de bonnes pratiques pour la gestion de la sécurité de l'information (anciennement ISO/CEI 17799) ISO/CEI 27003 : Système de Management de la Sécurité de l'Information (SMSI) — Guide d'implémentation ISO/CEI 27004 : Mesure de la gestion de la sécurité de l'information ISO/CEI 27005 : Gestion du risque en sécurité de l'information ISO/CEI 27006 : Exigences pour les organismes réalisant l'audit et la certification de Systèmes de Management de la Sécurité de l'Information (SMSI) ISO/CEI 27007 : Guide pour l'audit de Systèmes de Management de la Sécurité de l'Information (SMSI). ISO/CEI 27799 : Informatique de santé - Gestion de la sécurité de l'information relative à la santé en utilisant l'ISO/CEI 27002
  • 6. Audit sécurité Sécurité (Le Business au cœur de l’information) Avec un sentiment de dépendance à l'informatique toujours en hausse, les entreprises continuent d’avancer dans la prise en compte de la Sécurité des Systèmes d’Information (SSI). Toutefois, les changements concrets se font à petits pas… Les chiffres cités dans cette présentation sont essentiellement des extraits du rapport officiel du Clusif (Club pour la sécurité de l’information français) 2010
  • 7. Audit sécurité saisie, Exploitatio n du système,… Coupure électricité, eau télécom Indispo système Inondation, tempê te Typologie des incidents de sécurité (Clusif 2010) Si un risque est avéré (100%), ce n ’est plus un risque mais un problème. Le traitement de la situation est différent. Destruction manuelle de données, déni de service, bombe logique, % des entreprises ayant répondues que ce type d’incident était un « problème » IMPORTANT
  • 8. Audit sécurité Pratiques de nature à augmenter les risques
  • 9. Audit sécurité Budget - Priorisation Bien que de plus en plus conscients des risques liés à la sécurité, la priorité des entreprises dans un contexte économique « compliqué », n’est pas dans l’augmentation du budget associé à la sécurité. Les budgets « stagnent » Priorisation
  • 10. Audit sécurité « Equation du risque » RISQUE = MENACE * VULNÉRABILITÉ * IMPACT La gestion des risques se compose de trois blocs interdépendants :  l’organisation cible de l’étude, définie par ses assets (ressource ayant de la valeur pour l’entreprise) et ses besoins de sécurité / identification des assets  les risques pesant sur les assets  les mesures prises ayant pour but de traiter les risques et donc d’assurer un certain niveau de sécurité. Les contrôles sont de deux types : o Sur la menace ou la vulnérabilité, afin de limiter la cause du risque o Sur l’impact, afin de limiter la conséquence du risque.
  • 11. Audit sécurité Le processus Le processus suivant est habituellement appliqué dans les méthodes pratiques de gestion des risques. • vise à spécifier les Identification besoins en termes de des assets confidentialité, intégrité et disponibilité des assets • Identifier périmètre • Identification des Détermination assets business des objectifs constituant la valeur de l’organisation, Analyse des • puis les assets risques système (cartographie) • le cœur de la Définition des • Ici sont définis les choix démarche de gestion exigences de des risques techniques des solutions de sécurité sécurité • permettra de réduire Sélection des les risques identifiés contrôles Implémentation des contrôles
  • 12. Audit sécurité Analyse des risques (cartographie) Elle a pour finalité l’identification et l’estimation de chaque composante du risque (menace/vulnérabilité/impact), afin d’évaluer le risque et d’apprécier son niveau, dans le but de prendre des mesures adéquates Il y a deux grandes écoles pour l’identification des risques :  soit en réalisant un audit du système et de ses différents acteurs  soit à partir de bases de connaissances prédéfinies En pratique, il se révèle difficile de donner des valeurs absolues et on se contente bien souvent d’une échelle de valeurs relatives.
  • 13. Audit sécurité Analyse des risques Scénarios D’une manière générale, on considère que :  Les risques ayant une occurrence et un impact faible sont négligeables.  Les risques ayant une forte occurrence et un impact important ne doivent pas exister, autrement une remise en cause des activités de l’entreprise est nécessaire  Les risques ayant une occurrence forte et un impact faible sont acceptés, leur coût est généralement inclus dans les coûts opérationnels de l’organisation (acceptation du risque).  Les risques ayant une occurrence faible et un impact lourd sont à transférer. Ils peuvent être couverts par une assurance ou un tiers (transfert du risque).  Enfin, les autres risques, en général majoritaires, sont traités au cas par cas et sont au centre du processus de gestion des risques ; l’objectif, étant de diminuer les risques en les rapprochant au maximum de l’origine de l’axe (allègement du risque à l’aide de contrôles).
  • 14. Audit sécurité Cartographie des risques : Exemple 1 Inondation 2 Vol de matériel 3 Attaque logique 4 Sabotage physique 5 Incendie Perte de services 6 essentiels 7 Panne d’origine interne
  • 15. Audit sécurité Analyse des risques : Budget à associer aux prises de risques
  • 16. Audit sécurité On constate que :  Des audits de sécurité : 25% des entreprises n’en font pas …,  Les PRA (Plan de Reprise d’Activité)  33% (-7% vs 2008) des entreprises ne disposent pas d’un plan de continuité d’activité pour traiter les crises majeures !  Tableau de bord de la sécurité informatique : 34% seulement en disposent  Une charte sécurité / des règles élémentaires…  Des « obligations CNIL » : en légère progression par rapport à 2008
  • 17. Audit sécurité PRA : Plan de reprise d’activité (1/1) Un plan de reprise d'activité (Disaster Recovery Plan ou DRP) permet d'assurer, en cas de crise majeure ou importante d'un centre informatique, la reconstruction de son infrastructure et la remise en route des applications supportant l'activité d'une organisation. La durée maximale d'interruption admissible, en anglais Recovery Time Objective (RTO) constitue le temps maximal acceptable durant lequel une ressource (généralement informatique) peut ne pas être fonctionnelle après une interruption majeure de service Le RTO est considéré en conjonction avec le Recovery Point Ojbective (RPO) qui quantifie la capacité de reprise sur sauvegarde de la ressource.
  • 18. Audit sécurité Tableau de bord sécurité (1/4) Quels objectifs ?  Que veut-on mesurer ?  Le niveau d’exposition / attaques / menaces ?  Le niveau de vulnérabilités résiduelles ?  Le nombre d’incidents de sécurité identifiés ?  L’évolution de la couverture des risques ?  Le niveau de déploiement d’une PSSI ?  L’état d’avancement des plans d’actions ?  Le niveau de conformité aux règlements et autres standards (SOX, PCI DSS,  ISO2700x, etc.) ?  Vers qui veut-on communiquer ?  La DG ? (Indicateurs stratégiques)  La DSI ?  Les métiers ? (indicateurs opérationnels)  Les corps d’audit et d’inspection ?  A quelle fréquence ?  Hebdomadaire ? Mensuelle ? Trimestrielle ? Annuelle ?
  • 19. Audit sécurité Tableau de bord sécurité (2/4) Quels indicateurs ?  On peut partir de zéro et faire une séance de… brainstorming !  Mais il est plus efficace d’utiliser les référentiels existants comme l’ISO17799 (future ISO27002)  Il s’agit de définir des grandes familles d’indicateurs, …..pas forcément d’utiliser les recommandations de l’ISO comme carcan  Une fois les familles (domaines et sous-domaines ISO) retenues, identifier deux ou trois indicateurs pertinents par sous-famille  Ne pas dépasser une trentaine (maximum) d’indicateurs
  • 20. Audit sécurité Tableau de bord sécurité (3/4) Exemples d’indicateurs  % de serveurs conformes, basés sur des masters homologués sécurisés (d’où proportion de machines à migrer, ex: Windows NT 4.0)  % de postes de travail conformes (sous contrôle DSI)  % d’antivirus activés et à jour des signatures  Nb de partage de fichiers avec des permissions d’accès en lecture générale / nb de partages (domaine bureautique / domaine production)  Nb de documents classifiés confidentiels et stockés non chiffrés  Nb d’alertes de sécurité traitées par le Service Desk  Nb d’alertes de sécurité critiques remontées par les IDS (Intrusion Detection System) ou système de détection d'intrusion  Nb de correctifs appliqués sur le parc / nb de correctifs diffusés par les éditeurs (développeurs) présents sur le parc  % de projets lancés prenant en compte les normes de sécurité de l’entreprise  % de serveurs secourus (reprise sur incident majeur)  % de serveurs sauvegardés  % d’équipements critiques redondés  Nb de comptes génériques / nb de comptes total  % d’accès prestataires (TMA) sécurisés (authentification individuelle, …)  % de serveurs configurés par outil de gestion de parc (cf CMDB – ITIL)  Etc…
  • 21. Audit sécurité Suivi global des indicateurs sur les 12 derniers mois Tableau de bord sécurité (4/4) Le tableau de bord de sécurité est un instrument de communication privilégié pour le RSSI Vs DSI Vs DG Evolution des Interruptions de Service applicatif/exploitation (prévues ou non) sur les douze derniers m ois Sa conception nécessite de la réflexion et sa 25000 production a un coût, mais le jeu en vaut la chandelle 20000 Répartition applicatif/exploitation (prévues ou non) : cum ul 12 derniers m ois 15000 IS applicatif IS exploitation 6% 10000 IS indéterminées 20% 5000 IS applicatif IS exploitation IS indéterminées 0 ai l ar ov n p Ju Ja Se 74% M M N Exemple : indicateurs opérationnels
  • 22. Audit sécurité Une charte sécurité : (1/3) Quels objectifs ?  Créer un outil juridique (opposable à un utilisateur) et pédagogique (sensibilisation) au sein du système d’information;  Définir les règles de bonne utilisation des ressources informatiques de l’entreprise :  Protection du patrimoine informationnel de l’entreprise, des données personnelles des utilisateurs, des ressources informatiques;  Respect des dispositions légales et des règles de déontologies en vigueur;
  • 23. Audit sécurité Une charte sécurité : (2/3) La charte protège l’espace individuel de chacun au sein de l’entreprise et l’entreprise d’une mauvaise utilisation de son outil informatique, ceci en toute transparence :  Responsabilités : En utilisant l’outil informatique de l’entreprise, les personnes physiques et morales (l’entreprise) ont une responsabilité civile et pénale (au-delà d’être un utilisateur responsable),  Activités interdites : utilisation de documents inconvenants et illégaux, Utilisation extra professionnelle des ressources informatiques, copie et utilisation des logiciels piratés, gaspillage des ressources informatiques, accords en ligne sans autorisation préalable ;  Vie privée / vie professionnelle :  Les ressources informatiques sont mises à disposition des utilisateurs par la société pour un usage professionnel et interdit d’utilisation à toute autre personne non habilité (jeux sur Internet à titre familial).  La Société considèrera comme personnel et non professionnel le seul courrier électronique indiquant « personnel » dans l’objet du message ou stocké dans un dossier de la messagerie intitulé « personnel ». Ce principe est applicable aux répertoires et fichiers marqués comme « personnels » dans l’Explorateur Windows.  Messagerie électronique : Il est interdit d’ouvrir une pièce jointe dans un message d'un émetteur inconnu ou avec un objet douteux (.exe, .gif,.com…), pour prévenir l'introduction d'intrus et la diffusion de virus à l’insu, il est demandé de le détruire immédiatement.  Accès à Internet : La Société n’assume aucune responsabilité sur l’utilisation d’Internet et notamment en ce qui concerne le contenu des sites visités. Le partage d’espace disque est interdit (Peer-to-Peer).
  • 24. Audit sécurité Une charte sécurité : (3/3)  Forums : l’inscription à des forums à titre privé avec l’adresse mail de l’entreprise est interdite. De même l’inscription à des forums sensibles doit se faire avec une adresse mail anonyme (Hotmail et en dehors du réseau Société).  Réseaux sociaux : l’utilisateur ne doit pas faire référence à son employeur actuel ou à tout sujet professionnel et doit éviter de donner des informations privées pouvant être utilisées comme mots de passe dans les systèmes de la société (nom de jeune fille de la mère…) ;  Surveillance : l’entreprise peut techniquement surveiller la navigation sur Internet et toute activité au sein du système d’information dans le respect de la charte et de la CNIL (Commission Nationale Informatique et Liberté);  Mots de passe : Les utilisateurs disposent de droits d’accès et de mots de passe qui sont personnels et ne peuvent être en aucun cas transmis à des tiers non autorisés.  Propriétaire de l’information : Le propriétaire d’une information doit la classifier dans une des catégories suivantes :  Non classifié  Sensible (pouvant entrainer des dommages irréversibles pour l’entreprise en cas de perte de confidentialité, intégrité, trace) Et la protéger conformément à la politique de sécurité en accord avec le service informatique (chiffrement, mots de passe, transport à l’extérieur …)  Utilisateurs d’informations nomades : utilisateur ayant extrait un fichier d’un poste fixe ou serveur de données stocké sur un support nomade (ordinateur portable, Smartphone, clé USB, DVD, support papier…). Tout support hébergeant un fichier sensible doit obligatoirement être chiffré conformément à la politique de sécurité et en accord avec le service informatique.
  • 25. Audit sécurité C.N.I.L. : (1/4) Pourquoi faire ? La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi du 6 janvier 1978 modifiée le 6 août 2004. Qu’est-ce qu’une donnée personnelle ? Il s’agit selon la loi, de toute information relative à une personne physique identifiée ou susceptible de l’être, directement ou indirectement, par référence à un numéro d’identification (ex : n° de sécurité sociale) ou à un ou plusieurs éléments qui lui sont propres (ex : nom et prénom, date de naissance, éléments biométriques, empreinte digitale, ADN...)
  • 26. Audit sécurité C.N.I.L. : (2/4) Les 5 principes à respecter 1°) le principe de finalité: Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime. « Un autocommutateur ne doit pas être utilisé pour surveiller les utilisateurs » Tout détournement de finalité est passible de sanctions pénales de finalité est passible de sanctions pénales 2°) le principe de proportionnalité et de pertinence des données: Seules doivent être traitées les informations pertinentes et nécessaires au regard des objectifs poursuivis. « le n° de sécurité sociale n’est pas utile à un recrutement » 3°) le principe d’une durée limitée de conservation des données : Les informations ne peuvent être conservées de façon indéfinies dans le système d’information. Une durée de conservation précise doit être déterminée en fonction de la finalité du fichier. « cinq ans pour la paie, un mois vidéosurveillance… »
  • 27. Audit sécurité C.N.I.L. : (3/4) Les 5 principes à respecter ? 4°) le principe de sécurité et de confidentialité des données : L’employeur est astreint à une obligation de sécurité et doit prendre les mesures nécessaires pour garantir la confidentialité des données . « mesures de contrôles d’accès: politique de mots de passe… » les données personnelles ne doivent être accessibles qu’aux personnes habilitées (interne: RH, paie…/externe: inspection du travail, police…) 5°) le principe du respect des droits des personnes : Information des personnes: clairement informées des objectifs poursuivis, du caractère obligatoire ou facultatif de leurs réponses, des destinataires, des modalités d’exercice de leurs droits conformément à la CNIL (ci-dessous). Droits d’accès et de rectification: toute personne peut demander au détenteur du fichier de lui communiquer toutes informations la concernant et de faire rectifier ou supprimer toute information erronée. « dossier professionnel… »
  • 28. Audit sécurité C.N.I.L. : (4/4) Déclaration Simplifiée ou Normale / Le correspondant informatique et Libertés et libertés (CIL)
  • 29. Merci Christophe Nouhau christophe.nouhau@proximit.fr | www.proximit.fr