Méthodologie. Sensibilisation à la sécurité informatique
|
|
- Richard Lavallée
- il y a 8 ans
- Total affichages :
Transcription
1 Sensibilisation à la sécurité informatique Méthodologie Intervenant : Servas Olivier Réalisation : Octobre /99 Màj: Février 2001 /Décembre 2001 /septembre 2007
2 Sommaire Introduction II. Comparatif des normes III. Présentation des principales normes A. EBIOS B. Melisa C. Marion D. Mehari E. Octave F. Cramm IV. Critères de choix V. Conclusion Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 2
3 méthodologie la sécurité c'est une chaine, si un maillon est faible l ensemble est faible Elle doit être vue globalement! "d'employer un (et un seul) «gourou prêchant des formules secrètes» et de contraindre les enfants à assister aux offices Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 3
4 méthodologi e Vos objectifs? Ce qu'il faut réellement protéger? Disproportion des moyens avec ce qu'il faut protéger la sécurité doit avoir un coût raisonnable Acheter une super porte blindée et oublier de fermer la fenêtre"? Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 4
5 méthodologie "Rien ne sert... "de se payer un super coffre-fort pour protéger quelques pacotilles et de laisser l'accès libre à une cave emplies de grands crus classés! " "de construire des remparts à la Vauban pour se protéger de l'aviation! " cela montre que l'on ne sait pas d'où peuvent venir les attaques "d'utiliser un marteau pilon pour écraser une mouche" Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 5
6 L'aspect méthodologie " Du bon sens... "Avant d'aborder la technique : la sécurité à 100% n'existe pas, Il y a nécessairement compromis entre la valeur du «protégé» et le coût de la protection, donc il faut savoir quoi protéger Il faut oeuvrer à la mise en place de moyens raisonnables, pour que le but soit suffisamment «dissuasifs». Permet de structurer votre démarche pour atteindre les objectifs qui vous sont fixés. Elaboration du cahier des charges au suivi de la solution mise en œuvre. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 6
7 méthodologie Des préconisations techniques et choix produits au transfert de compétences vers les équipes internes chargées de la sécurité, cela implique : des méthodes des moyens nécessaires pour parvenir au résultat. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 7
8 Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 8
9 Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 9
10 Centre informatique sécurisé les aspects didactiques en aidant le responsable à se poser les bonnes questions, les aspects méthodologique en l'aidant à se focaliser sur les sujets essentiels et de les traiter dans le bon ordre. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 10
11 Centre informatique sécurisé le projet et les acteurs, les missions, les besoins et les enjeux du centre informatique, les menaces et les parades, le déroulement du projet, l'emménagement et la prise en charge du centre informatique.. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 11
12 Centre informatique sécurisé Evaluer les risques internes et externes liés à l utilisation de l Internet Connaître toutes les possibilités d attaque sur votre réseau Préserver votre réseau des attaques avec les firewalls Minimiser vos risques avec les firewalls, l encryptage, Protéger l intégrité de vos données avec des techniques de chiffrement Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 12
13 Objectif Que faire si le pire devait arriver?.. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 13
14 Politique de sécurité : Définitions Spécifie l ensemble des lois, règlements et pratiques qui régissent la façon de gérer, protéger et diffuser les informations et autres ressources sensibles au sein d un système spécifique, d une organisation Une politique de sécurité doit permettre d exprimer des exigences Confidentialité Intégrité Disponibilité Quelles questions se poser? Quel est le périmètre? (notion de frontières, de domaine) Quelle est la taille du système? Quels sont les objectifs de sécurité? Quels sont les biens à protéger? Quels sont les menaces et attaquants potentiels? Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 14
15 Politique de sécurité d un système Ensemble des lois, règlements et pratiques qui régissent la façon dont l information sensible et les autres ressources sont gérées, protégées et distribuées à l intérieur d un système spécifique Ensemble de règles qui spécifie les autorisations, interdictions et obligations des acteurs Utilisateurs Applications Nécessité de prendre en compte la notion de «monde ouvert» Inventaire du système d information Classification de l information Identification des domaines de sécurité Aspects physiques et organisationnels Règles et pratiques Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 15
16 Méthodologie Analyses de différentes démarches, normes et méthodes ISO 13335,, iso BS7799, MEHARI (Méthode Harmonisée d Analyse des RIsques - CLUSIF), MARION, MELISA, EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité - DCSSI «Direction Centrale de la Sécurité des Systèmes d Information») RSSI + conduire des évaluations de risques CRAMM Basé sur la méthodologie préférée de l évaluation des risques du gouvernement BRITANNIQUE (la BS 7799) Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 16
17 Méthodologie, Norme : Norme Document de référence fondé sur un consensus couvrant un large intérêt Méthode Documents de spécification techniques ou autres critères précis devant être utilisé comme règles, définitions ou encore comme lignes directrices Norme = Label de confiance Moyen d arriver au résultat souhaité EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité - DCSSI «Direction Centrale de la Sécurité des Systèmes d Information») Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 17
18 Démarche et Méthodes ISO 13335: Composé de 4 Documents Définition des concept de base Information sur l organisation de l entité Approche d une gestion des risques Guide des mesures préventives En cours de révision Evolution vers un Standard International (IS) : ISO/IEC IS , 2 (IT) : ISO/IEC IT , 4 Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 18
19 Norme BS 7799 Le British Standard 7799 est composé de deux guides : ISO/IEC 17799:2000, qui est un catalogue regroupant 36 objectifs de contrôles, décomposés en 127 mesures, relatives à 10 domaines. Les objectifs de contrôles présentent le but à atteindre et ce qu il faut entreprendre pour y parvenir. Les mesures expliquent avec plus ou moins de détails les points à mettre en œuvre La BS :2002, présente un système de gestion de la sécurité en 4 étapes : Planifier, mettre en œuvre, vérifier, améliorer. À travers dix domaines, cette norme permet de détecter, d'analyser et de diminuer les risques liés à l'information. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 19
20 BS 7799 / ISO Classification Et contrôle des actifs Politique de sécurité Sécurité De l organisation Contrôle d accès La norme BS 7799 / Iso est développée pour créer une structure commune de sécurité de l'information et ainsi couvrir les aspects techniques, administratifs et juridiques. Sécurité Ressources Humaines Développement et maintenance Conformité Gestion des communications et des opérations Sécurité physique Et environnementale Continuité de service Aspect organisationnel Aspect physique Aspect Technique Aux travers des domaines de contrôles, cette norme permet de détecter, d'analyser et de diminuer les risques liés à l'information. Source BS 7799 / ISO décrit les concepts de sécurité " idéaux ", tandis que BS décrit les concepts de sécurité " incontournables " pour toute organisation voulant être certifiée. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 20
21 BS 7799 / ISO en 10 points 1 Management : Politique de sécurité Conformité, Prévention, Formation, Implication de la direction, Conséquence de la violation de PS 2 Management : Organisation Interne Instance de sécurité, Coordination, Responsabilités, Processus d autorisation, Conseil de spécialiste 3 Management : Classification et contrôle actifs Identification d un propriétaire (responsable)pour chaque actif, Inventaire des actifs, classification en fonction des besoins. Exemple : les Actifs applicatifs sont : les progiciels, les logiciels maisons, 4 Environnement Humain et physique : Sécurité liée aux Personnes Culture d entreprise sur la sécurité, Recrutement, Formation, Signalement des dysfonctionnement et processus disciplinaire 5 Environnement Humain et physique: Sécurité physique et de l environnement Sécurité physique (différentes zones), matériel (procédures des entrées et sortie), méthode de suppression de fichiers, et élément de stockage. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 21
22 BS 7799 / ISO en 10 points suite 6 Opérationnel : Sécurité de l exploitation et des réseaux Sécurité de l exploitation : Gestion des évolutions du SI Séparation des fonctions : Développement et Exploitation, contrat infogérance, recette Sécurité du réseau et des échanges 7 Opérationnel : Contrôle d accès logique Gestion et contrôle des accès, authentification, 8 Opérationnel : Développement et maintenance des systèmes d information Politique sur l utilisation des mesures cryptographiques, procédures de secours, validation des données, impératif de sécurité avant développement du SI 9 Opérationnel :Continuité d activité Plan de secours : systèmes, réseaux, voix, autre services, unités opérationnelle, 10 Opérationnel : Gestion de la conformité Législation Française, conformité nationale et réglementaire. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 22
23 MEHARI (Méthode Harmonisée d Analyse de Risques) 1983 Méthode MELISA Méthode MARION = 1993 Méthode MEHARI Méthode d analyse des risques Norme: et Logiciel : RISICARE Synoptique de la démarche MEHARI Le Plan Stratégique de Sécurité (PSS) Les Plans Opérationnels de Sécurité (POS) Le Plan Opérationnel d'entreprise (POE) Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 23
24 MEHARI (Méthode Harmonisée d Analyse de Risques) la démarche MEHARI Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 24
25 MEHARI (Méthode Harmonisée d Analyse de Risques) Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 25
26 Une approche : D analyse des risques informatiques en 8 étapes (DESS 226 Ludovic Blin Université Paris Dauphine) 1. Identifier ce qu il faut protéger. 2. Identifier les menaces. 3. Identifier les points faibles. 4. Estimer la probabilité des risques. 5. Calculer les prévisions de pertes annuelles pour chaque point faible (P.P.A.). 6. Identifier les mesures protectrices nécessaires. 7. Estimer (statistiquement) la réduction du PPA pour chaque mesure protectrice. 8. Sélectionner les meilleures mesures de protection (rapport prix /réduction du PPA) Le PPA est calculé par des méthodes mathématiques. On peut citer la méthode basée sur le travail de Robert Courtney et d IBM. Cette méthode calcule le PPA en fonction de 2 valeurs V et P, expression de la valeur du bien protégé et de la probabilité d une menace, sur une échelle de 1 à 8. On obtient ces valeur à partir de v :valeur du bien (en unité monétaire) et p : fréquence (en probabilité par an ), et par les conversions logarithmiques suivantes : P=3+log103p et V=log10V Ce qui nous permet de calculer une expression du PPA : PPA= (0,3) (10P+V-3) On voit donc qu il est possible de quantifier les risques avec une précision qui va dépendre des méthodes employées. Ceci va permettre d établir des règles de sécurité informatiques cohérentes et adaptées aux objectifs. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 26
27 Une approche financière : Retour sur investissement en sécurité des SI La problématique de la rentabilité des investissements en sécurité Coûts ponctuels: Dépenses de l ensemble des dispositifs de sécurité et effets consécutif aux incidents Coûts récurrents : Dépenses d exploitations, administration, maintenance et de contrôle de ces dispositifs Coûts tangibles : coût du remplacement, assurance, perte de revenus,. Coûts intangibles : Réputation, perte non chiffrable, Confiance, poursuite juridique, RoSI (Return On Security Investment) Dérivé du ROI (Return On Investment), on peut l interpréter comme le gain financier net d un projet en sécurité par rapport a son coût total dans une période donnée. Standard de fait publier par FIPS* : Prévision de Pertes Annuelles ALE*= Σ Coût i x fréquence de survenance i Avec i : incident de sécurité, Σ la somme annuelle des incidents de sécurité prévisibles ayant un coût et une fréquence de survenance définie Calcul du ROSI = ALE 1 ALE 2 - CS Avec ALE 1 :Coût du dommage sans mesure de protection, ALE 2 :Coût du dommage avec mesure de protection et CS :Coût de la solution mise en place. URL : *FIPS: (Federal Information Processing Standards), ALE : (Annual Loss Expectancy), Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 27
28 Cramm (CCTA Risk Analysis and Management Method) Phases de la méthode Cramm identification de l'existant évaluation des menaces et des vulnérabilités choix des remèdes. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 28
29 Démarche et Méthodes Ces méthodes actuelles séparent bien différentes notions: Notion informelle Notion stratégique Notion de périmètre Vulnérabilités techniques Menaces Pour en déduire et évaluer les risques afin de réaliser ou de prendre des mesures sécurités. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 29
30 Guide PSSI (Politique de Sécurité de Système d Information) Objectif Ce guide a pour objectif de fournir un support aux responsables SSI pour élaborer une politique de sécurité du ou des systèmes d information (PSSI) au sein de leur organisme. Ce guide présente une méthode et un ensemble de principes de sécurité et de références, pour élaborer une PSSI adaptée à un environnement. Il ne constitue pas un résultat final qu un responsable SSI peut recopier. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 30
31 Guide PSSI (Politique de Sécurité de Système d Information) Composition : quatre sections Introduction qui définit la PSSI, son rôle, ses domaines d application, sa légitimité et sa place dans l organisme pour lequel elle a été élaborée Méthodologie qui présente la méthode d élaboration de politiques de sécurité ; élaboration qui se déroule en quatre phases avec pour chacune des recommandations Référentiel des principes de sécurité ; seize domaines sont couverts ; répartis en organisationnels, mise en œuvre, techniques Liste de documents de références (critères d évaluation, textes législatifs, normes, codes d éthiques, notes complémentaires...) Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 31
32 Guide PSSI (Politique de Sécurité de Système d Information) Schéma directeur de de l organisme Méthode d élaboration de de politique de de sécurité (PSSI) Principes de sécurité Enjeux PSSI globale Règles de sécurité Objectifs de sécurité Méthode d analyse des risques PSSI spécifiques Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 32
33 PSSI Elaboration d une PSSI avec EBIOS Organiser le projet Réaliser une étude EBIOS globale Extraire les données nécessaires dans l étude EBIOS Choix des principes de sécurité, rédaction des règles de sécurité et des notes de synthèses Finalisation et validation de la PSSI Elaboration et validation du Plan d action Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 33
34 EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) Permet d identifier les besoins de sécurité d un système Fournit : Une démarche Des techniques Un outillage Des classes de fonctionnalités issues d ITSEC et à présent des Critères Communs Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 34
35 EBIOS : Une démarche 5 étapes pour une démarche complète : Étude du contexte Expression des besoins de sécurité Étude des menaces Identification des objectifs de sécurité Détermination des exigences de sécurité 3 étapes dans notre contexte d une politique de sécurité Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 35
36 Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 36
37 EBIOS version2.0 : Démonstration de l outil Introduction Fonctionnalités Etude de sécurité Synthèse d étude Auto formation Base de connaissances Administration système Compléments d informations Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 37
38 EBIOS version2.0 : Introduction 1. Introduction à EBIOS 2. Fonctionnalités 3. Étude EBIOS 4. Synthèse d'étude 5. Etude de cas 6. Bases de connaissances 7. Administration système 8. Compléments d'information Guide de la méthode à télécharger sur le site du SGDN / DCSSI. Le but de ce logiciel est de fournir aux experts sécurité un outil pratique leur permettant de réaliser ces études EBIOS de manière simple et sans nécessiter de documents supplémentaires. L'application a de plus été conçue de façon à s'adapter facilement à l'ensemble des domaines rencontrés (administrations de l'état, organismes militaires, entreprises...) Installation : Le package regroupe les données suivantes : 1. Les binaires de l'application 2. Une base de connaissances par défaut 3. La machine virtuelle JAVA spécifique à la plate-forme. Utilisation : ebios.exe, sh ebios.sh Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 38
39 EBIOS version2.0 : Fonctionnalités L'application EBIOS est décomposée en fonctionnalités distinctes, définissant chacune une activité (boutons au démarrage de l application) : 1. La réalisation d'études EBIOS 2. La création de documents de synthèse d'études 3. L'étude de cas 4. La création de bases de connaissances 5. L'administration des composants du logiciel Authentification : Administrateur système : section Administration système -> Utilisateurs Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 39
40 EBIOS : Etude de sécurité 1/3 Caractéristiques d une étude L'objectif d'une étude EBIOS réside dans l'appréciation et le traitement des risques SSI. Elle passe par une étude du contexte, l'expression des besoins de sécurité, l'étude des menaces, l'identification des objectifs de sécurité et la détermination des exigences de sécurité. Cette étude est caractérisé par son Nom et Unité, sa Base de connaissance et le contenu de l étude (Questionnaires et audités, étude du contexte, expression des besoins de sécurité, étude des menaces, identification des objectifs, détermination des exigences de sécurité et un complément). Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 40
41 EBIOS : Etude de sécurité 2/3 Fonctionnalités d une étude Création, Chargement, Sauvegarde, Migration Activités Arborescences, Edition (activité et activité validée), validation ( d une activité ou d une étape) Impression d une étude : Fonctions, complète, données, contextuelle Edition des activités Questionnaires et audités L'étape "Questionnaires et audités" consiste a recueillir auprès de différentes sources des informations concernant l'organisme, le système-cible, ou tout autre objet relatif à l'étude en cours. Etude du contexte L'étape "Étude du contexte" a pour objectif d'identifier globalement le système-cible, de le situer dans son environnement pour déterminer précisément la cible de l'étude. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 41
42 EBIOS : Etude de sécurité 3/3 Étude du contexte suite : 1. Etude de l organisme :Cela consiste à recueillir les éléments significatifs qui caractérisent l'organisme concerné par le projet de sécurité 2. Etude du système-cible : Elle a pour but de préciser le contexte d'utilisation du système à concevoir ou existant (système-cible), sujet de l'étude générale. 3. Détermination de la cible de l Etude:Cette activité a pour but la détermination précise des entités sur lesquelles s'appuie la réalisation des mesures de sécurité. C'est en effet par rapport à la cible de l'étude que seront exprimés les objectifs de sécurité. Expression des besoins de sécurité : détermination des besoins de sécurité qui sont associés aux objets sensibles et aux fonctions essentielles de la cible de l'étude (Fiches et synthèse des besoins). Etude des menaces : Elle a pour objectif la détermination des menaces pouvant affecter la cible de l étude ( Etude des vulnérabilités retenues et détermination des menaces) Identification des objectifs : Ils constituent la synthèse des résultats précédents, et ils expriment ce que doit réaliser la cible de l'étude pour que le système-cible fonctionne de manière sécurisé. Détermination des exigences : Le but de cette étape est de sélectionner les exigences de sécurité, qu'elles soient fonctionnelles ou d'assurance, afin de couvrir les objectifs de sécurité retenus lors de l'étape précédente. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 42
43 EBIOS version2.0 : Synthèse d étude Création d un document de synthèse d étude EBIOS Cette activité permet aux utilisateurs de générer un document de synthèse regroupant le travail effectué sur l'ensemble d'une étude EBIOS. Le format utilisé pour les documents de synthèse varie suivant les implémentations effectuées au sein du logiciel, le format HTML étant fourni par défaut. Choix de l étude, de la trame et génération du document Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 43
44 EBIOS version2.0 : Auto Formation L'auto-formation reprend le principe de la réalisation d'une étude EBIOS en proposant à l'utilisateur de suivre la création d'une étude de démonstration déjà effectuée. Chaque activité de l'étude est accompagnée d'explications afin que l'utilisateur comprenne les choix réalisés par les auteurs de l'étude et appréhende l'utilisation des différentes interfaces. Etude de démonstration Assistant EBIOS Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 44
45 EBIOS version2.0 : Base de connaissances Caractéristique : Ces bases de connaissances regroupent un ensemble de données concernant le métier de la sécurité et exploitables pour remplir une étude. Les bases de connaissances peuvent différer suivant les secteurs d'activité (civil, militaire...) ou le contexte d'application du métier de la sécurité. Une base de connaissances est fournie par défaut au sein du logiciel. CAPSEC fournit une étude dans le contexte des unités du CNRS Fonctionnalités Création, chargement, sauvegarde, migration, modification, importation Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 45
46 EBIOS version2.0 : Administration système 2 types d utilisateurs ( Auditeur et Administrateur) Auditeur: Réalisation d'une étude EBIOS. Création du document de synthèse. Auto-formation Administrateur: Réalisation d'une étude EBIOS. Création du document de synthèse. Auto-formation. Administration des bases de connaissances. Administration système Les Fonctions : Ajout, Modification, Suppression Trames de synthèse (documents XML) 2 types Des données brutes au format associé à la trame (HTML, RTF...). Ces données permettent de définir le contenu général du document de synthèse Des éléments 'Export' indiquant l'insertion à cet emplacement de données provenant de l'étude à synthétiser. A ces éléments sont associés le type de données à exporter (Questionnaires, contraintes...). Les Fonctions : Ajout, Modification, Suppression Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 46
47 EBIOS version2.0 : Compléments d informations Licence LIBRE USAGE L'utilisation et l'installation du logiciel sont libres, sur un nombre quelconque de machines, avec un nombre quelconque de personnes l'utilisant en même temps (si le logiciel le supporte) et sans aucune restriction de lieux, de personnes, de groupes ou de domaines d'application. La loi de fond applicable sera la loi du donneur de licence. CONDITIONS DE DUPLICATION Les copies sont autorisées sur n'importe quel support sans restriction de nombre ou de personne, à la seule condition qu'il s'agisse d'une copie intégrale du logiciel. Contacts DIRECTION CENTRALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (DCSSI) 51 boulevard de Latour-Maubourg PARIS 07 SP France Site HTTP : Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 47
48 EBIOS version2.0 : Compléments d informations Licence LIBRE USAGE L'utilisation et l'installation du logiciel sont libres, sur un nombre quelconque de machines, avec un nombre quelconque de personnes l'utilisant en même temps (si le logiciel le supporte) et sans aucune restriction de lieux, de personnes, de groupes ou de domaines d'application. La loi de fond applicable sera la loi du donneur de licence. CONDITIONS DE DUPLICATION Les copies sont autorisées sur n'importe quel support sans restriction de nombre ou de personne, à la seule condition qu'il s'agisse d'une copie intégrale du logiciel. Contacts DIRECTION CENTRALE DE LA SÉCURITÉ DES SYSTÈMES D'INFORMATION (DCSSI) 51 boulevard de Latour-Maubourg PARIS 07 SP France Site HTTP : Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 48
49 l'élaboration d'une Politique de Sécurité Interne (P.S.I.) à l'usage du responsable de la sécurité du système d'information Les fondements de la politique de sécurité interne La politique de sécurité interne Les bases de légitimité pour une politique de sécurité interne Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 49
50 (P.S.I.) à l'usage du responsable de la sécurité du système d'information La politique de sécurité interne Représentation d'un système d'information et définitions Lien entre la politique de sécurité interne et les Critères d'évaluation de la sécurité des systèmes informatiques (ITSEC) Lien entre la politique de sécurité interne et les Lignes directrices régissant la sécurité des systèmes d'information (document de l'ocde) Finalités de la politique de sécurité interne Champ d'application de la politique de sécurité interne Les recommandations pour la mise en œuvre de la politique de sécurité interne Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 50
51 (P.S.I.) à l'usage du responsable de la sécurité du système d'information Les bases de légitimité pour une politique de sécurité interne Les bases de légitimité reposant sur la déontologie Les grands principes d'éthique Les codes d'éthique des métiers des technologies de l'information Les bases de légitimité reposant sur la lutte contre les accidents Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 51
52 (P.S.I.) Les bases de légitimité pour une P.S.I Les bases de légitimité reposant sur la préservation des intérêts vitaux de l'état Les informations relevant du secret de défense La protection du secret et des informations concernant la défense nationale et la sûreté de l'état La sécurité des systèmes d'information qui font l'objet d'une classification de défense pour eux-mêmes ou pour les informations traitées La protection du secret dans les rapports entre la France et les états étrangers. La protection du secret et des informations pour les marchés et autres contrats Les instructions techniques particulières pour la lutte contre les signaux parasites compromettants Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 52
53 (P.S.I.) Les bases de légitimité Les informations ne relevant pas du secret de défense Les bases de légitimité reposant sur l'arsenal juridique pour la lutte contre la malveillance Les bases de légitimité reposant sur les contrôles technologiques Le contrôle étatique dans le domaine de la cryptologie Le contrôle consumériste La normalisation La certification Les bases de légitimité reposant sur la préservation des intérêts particuliers de l'organisme La mission ou le métier de l'organisme La culture de l'organisme Les orientations stratégiques et la structure de l'organisme Les relations de l'organisme avec son environnement : les contrats passés avec des tiers Les ressources de l'organisme Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 53
54 l'élaboration d'une Politique de Sécurité Interne (P.S.I.) à l'usage du responsable de la sécurité du système d'information Principes de sécurité liés à l'information Principes de sécurité liés aux biens physiques Principes de sécurité liés au personnel Principes de sécurité liés au cycle de vie du système d'information Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 54
55 Comparatif Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 55
56 Critères de choix d'une méthode d'analyse des risques Critères de choix l'origine géographique de la méthode, la culture du pays jouant beaucoup sur le fonctionnement interne des entreprises et leur rapport au risque la langue de la méthode, il est essentiel de maîtriser le vocabulaire employé l'existence d'outils logiciels en facilitant l'utilisation l'existence d'un club d'utilisateurs afin d'avoir un retour d'expériences La qualité de la documentation la facilité d'utilisation et le pragmatisme de la méthode la compatibilité avec une norme nationale ou internationale le coût de la mise en oeuvre la quantité de moyens humains qu'elle implique et la durée de mobilisation la taille de l'entreprise à laquelle elle est adaptée le support de la méthode par son auteur, une méthode abandonnée n'offre plus la possibilité de conseil et de support de la part son éditeur Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 56
57 Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 57
58 Critéres : ITSEC «ITSEC» : CRITÈRES HARMONISÉS POUR L'ÉVALUATION DE LA SÉCURITÉ DES SYSTÈMES ET PRODUITS INFORMATIQUES Dans le but de favoriser le développement du marché des produits de sécurité, plusieurs nations européennes (Allemagne, France, Pays- Bas et Royaume-Uni) ont uni leurs efforts pour mettre au point un ensemble unique de critères harmonisés pour l'évaluation de la sécurité des systèmes et produits informatiques. Ces critères sont destinés aux constructeurs, aux utilisateurs et aux organismes d'évaluation et de certification prévus ou existants dans ces pays et, pourquoi pas, dans une plus vaste zone. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 58
59 Critéres : ITSEC Ils visent à satisfaire à la fois les besoins des marchés de sécurité commerciaux et gouvernementaux. Ils traitent de la sécurité sous ses trois aspects : confidentialité, intégrité et disponibilité. Dans les ITSEC, le terme cible d'évaluation (Target Of Evaluation ou TOE) est utilisé pour désigner un système ou produit particulier soumis à une évaluation de sécurité. La partie la plus importante d'une cible de sécurité est, bien sûr, la définition des fonctions de sécurité qui seront réalisées par cette TOE l'ensemble de ces fonctions est désigné sous le terme de fonctionnalité. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 59
60 Critéres : ITSEC Identification et authentification - fonctions destinées à établir et vérifier l'identité annoncée par un utilisateur. Contrôle d'accès - fonctions destinées à contrôler l'utilisation des ressources et le flux d'informations entre objets, utilisateurs et processus. Ceci comprend l'administration et la vérification des droits d'accès. Imputabilité (Accountability) - fonctions destinees à enregistrer l'exercice du droit à effectuer des actions engageant la sécurité pour pouvoir remonter à leur auteur. Audit - fonctions concourant à détecter et investiguer les événements qui peuvent constituer une menace pour la sécurité. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 60
61 Critéres : ITSEC Réutilisation d'objet - fonctions contrôlant la réutilisation des objets supports de données en vue d'éviter les flux non contrôlés d'informations. Fidélité (Accuracy) - fonctions destinées à s'assurer que les données n'ont pas été modifiées indûment. Fiabilité du service - fonctions destinées à s'assurer que les ressources sont accessibles et disponibles à la demande d'une entité autorisée (utilisateur ou processus). Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 61
62 Critéres : ITSEC Echange de données - fonctions qui garantissent la sécurité des données sur les voies de transmission. Il n'existe pas de restriction pour spécifier la fonctionnalité dans une cible de sécurité. On trouve certes, en annexe des ITSEC, 10 classes de fonctionnalités prédéfinies et il est probable que d'autres classes seront définies plus tard pour répondre à l'attente du marché à mesure de l'évolution des besoins, mais la fonctionnalité peut aussi être établie explicitement, ou bien comme la combinaison de classes de fonctionnalité et de fonctions additionnelles définies de façon précise, ou encore par référence à des normes existant par ailleurs. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 62
63 Critéres : ITSEC Un système TI ou un produit TI (issu des Technologies de l'information) aura ses exigences propres pour maintenir la confidentialité, l'intégrité et la disponibilité. Pour satisfaire à ces exigences, il implémentera un certain nombre de mesures techniques de sécurité, appelées dans ce document fonctions dédiées à la sécurité, qui recouvrent par exemple des domaines tels que le contrôle d'accès, l'audit et la reprise sur incident. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 63
64 Critéres : ITSEC Dans ce contexte, la sécurité des TI est caractérisée par : la confidentialité - prévention d'une divulgation non autorisée de l'information ; l'intégrité - prévention d'une modification non autorisée de l'information ; la disponibilité - prévention d'un déni non autorisé d'accès à l'information ou à des ressources. Une confiance appropriée dans ces fonctions sera nécessaire : dans le présent document, on emploie le terme d'assurance, qu'il s'agisse de la confiance dans la conformité des fonctions dédiées à la sécurité (tant du point de vue de leur développement que de celui de leur exploitation) ou de la confiance dans l'efficacité de ces fonctions. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 64
65 Critéres : ITSEC Les sept niveaux d'évaluation : Niveau E0 : Ce niveau représente une assurance insuffisante. Niveau E1 : A ce niveau, il doit exister une cible de sécurité et une description informelle de la conception générale de la TOE. Les tests fonctionnels doivent indiquer que la TOE satisfait à sa cible de sécurité. Niveau E2 : Outre les exigences du niveau E1, il doit exister une description informelle de la conception détaillée. Les éléments de preuve des tests fonctionnels doivent être évalués. Il doit exister un système de gestion de configuration et un processus approuvé de diffusion. Niveau E3 : En plus des exigences du niveau E2, le code source et/ou les schémas descriptifs des matériels correspondants aux mécanismes de sécurité doivent être évalués. Les éléments de preuve des tests de ces mécanismes doivent être évalués. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 65
66 Critéres : ITSEC Les sept niveaux d'évaluation : Niveau E4 : En plus des exigences du niveau E3, il doit exister un modèle formel sous-jacent de politique de sécurité supportant la cible d'évaluation. Les fonctions dédiées à la sécurité, la conception générale et la conception détaillée doivent être spécifiées en style semi-formel. Niveau E5: En plus des exigences du niveau E4, il doit exister une correspondance étroite entre la conception détaillée et le code source et/ou les schémas descriptifs des matériels. Niveau E6 : En plus des exigences du niveau E5, les fonctions dédiées à la sécurité ainsi que la conception générale doivent être spécifiées en style formel de manière cohérente avec le modèle formel sous-jacent de politique de sécurité. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 66
67 Les Critères communs (CC) Les Critères communs (CC) sont une norme internationale (ISO 15408) portant sur l évaluation de produits et systèmes de sécurité des TI. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 67
68 Le Livre Orange Le National Computer Security Center (NCSC) a réalisé le document Trusted Computer System Evaluation Criteria pour servir de base à l'évaluation des systèmes informatiques. Ses auteurs qui n'ont pas voulu que le document reste sur des étagères lui ont mis une couverture orange, ce qui a conduit à abréger son nom en Livre Orange. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 68
69 Le Livre Orange Le US Department of Defense l'a publié en Le Livre Orange n'est pas facile à lire. Il définit quatre divisions, de la division D (protection minimale) à la division A (protection vérifiée). À l'intérieur de ces quatre divisions, il y a en tout sept niveaux. Chaque niveau inclut tous les critères d'évaluation de sécurité des niveaux précédentes, si bien que les niveaux sont placés les uns sur les autres. Chaque niveau est désigné par la lettre de sa division suivi d'un nombre. Plus le nombre est grand, plus la sécurité est grande. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 69
70 Le Livre Orange D - Protection minimale Un système qui entre dans la division D ne sera pas classé. Ces systèmes n'ont fondamentalement pas d'autre sécurité que la sécurité physique. Les PC fonctionnant avec MS-DOS, ainsi que les Macintosh, entrent tous dans cette division. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 70
71 C1 - Protection de sécurité discrétionnaire Le Livre Orange Une sécurité discrétionnaire fait que chaque utilisateur du système a le parfait contrôle sur les objets qui lui appartiennent. Il peut restreindre l'accès en lecture, en écriture, ou en exécution. Les droits et privilèges d'accès sont basés sur trois catégories d'utilisateurs: le propriétaire, le groupe et tous les autres. L'utilisateur doit s'identifier à l'aide d'un nom de «login» et d'un mot de passe. La plupart des systèmes UNIX sont classés en C1. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 71
72 Le Livre Orange C2 - Protection d'accès contrôlé Comme C1 avec, en plus, l'audit et une authentification améliorée. L'audit crée des enregistrements d'événements liés à la sécurité. L'amélioration d'authentification exige que les mots de passe chiffrés doivent être cachés aux utilisateurs non privilégiés. Cacher les mots de passe chiffrés contribue à empêcher les tentatives de deviner des mots de passe. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 72
73 Le Livre Orange B1 - Protection de sécurité avec labels Comme C2 avec, en plus, l'exigence d'une preuve informelle de la validité du modèle de sécurité. B1 est le premier niveau qui supporte une sécurité à niveau multiple. Elle comprend un contrôle d'accès impératif qui empêche le propriétaire de changer les droits d'accès d'un objet sous contrôle impératif. Les labels ajoutent des descriptions plus complètes du niveau de sécurité et de la catégorie des sujets et objets. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 73
74 B2 - La protection structurée Comme B1 avec, en plus, l'exigence d'une preuve Le Livre Orange formelle de la validité du modèle de sécurité. La B2 exige que tout objet ait un label. Les périphériques peuvent posséder un seul ou plusieurs niveaux de sécurité et sont capables de préserver les labels des objets sous leur garde. B2 limite les canaux cachés qui impliquent toujours une utilisation inappropriée du système en permettant des moyens indirects de communication entre un sujet travaillant à un haut niveau avec un autre processus s'exécutant à un niveau plus bas. Un exemple de B2 est le système Multics de Honeywell, l'ancêtre et précurseur du système UNIX. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 74
75 Le Livre Orange B3 - Les domaines de sécurité Comme B2 avec, en plus, l'isolement des domaines de sécurité avec la partie matérielle. Le domaine de sécurité peut faire partie de la base de traitement de confiance. La partie matérielle de la gestion de mémoire protège le domaine de sécurité de l'accès ou de la modification par le logiciel opérant dans d'autres domaines. Les systèmes B3 doivent fournir un chemin de confiance qui garantit à l'utilisateur que le terminal utilisé est connecté directement au logiciel de confiance. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 75
76 A1 - La conception vérifiée Le Livre Orange Comme B3 avec, en plus, l'exigence d'une preuve mathématique formelle de la validité du modèle de sécurité. Ce classement nécessite également une analyse formelle des canaux cachés, une spécification formelle au plus hau niveau, et une distribution de confiance. Très peu de systèmes atteignent le niveau A1. Le système SCOMP de Honeywell fait partie de ce groupe sélect. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 76
77 Le Livre Orange Une version intégrale du Livre Orange en format HTML se trouve à l'adresse nbow/ std.html. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 77
78 CLASSES DE FONCTIONNALITE Classe de fonctionnalité F-C1 Objectif : L'exemple de classe F-C1 est dérivé des exigences fonctionnelles de la classe C1 du TCSEC américain. Elle offre un contrôle d'accès discrétionnaire ("besoin d'en connaître"). Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 78
79 CLASSES DE FONCTIONNALITE Classe de fonctionnalité F-C2 Objectif : L'exemple de classe F-C2 est dérivé des exigences fonctionnelles de la classe C2 du TCSEC américain. Elle offre un contrôle d'accès discrétionnaire plus fin que la classe C1, en rendant les utilisateurs individuellement responsables de leurs actions à travers des procédures d'identification, l'audit des événements relatifs à la sécurité et l'isolation des ressources.- Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 79
80 CLASSES DE FONCTIONNALITE Classe de fonctionnalité F-B1 Objectif L'exemple de classe F-B1 est dérivé des exigences fonctionnelles de la classe B1 du TCSEC américain. En plus du contrôle d'accès discrétionnaire, elle introduit des fonctions pour maintenir des marques de sensibilité et les utilise pour faire respecter un ensemble de règles de contrôle d'accès par mandats à tous les sujets et à tous les objets de stockage sous son contrôle. Il est possible d'attribuer de façon précise un label aux informations exportées.- Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 80
81 CLASSES DE FONCTIONNALITE Classe de fonctionnalité F-B2 Objectif L'exemple de classe F-B2 est dérivé des exigences fonctionnelles de la classe B2 du TCSEC américain. Elle étend le contrôle d'accès par mandats à tous les sujets et objets et renforce les exigences d'authentification de la classe B1.- Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 81
82 CLASSES DE FONCTIONNALITE Classe de fonctionnalité F-B3 Objectif L'exemple de classe F-B3 est dérivé des exigences fonctionnelles des classes B3 et A1 du TCSEC américain. En plus des fonctions de la classe B2, elle fournit des fonctions pour permettre la mise en œuvre de rôles distincts d'administration de la sécurité, et l'audit est étendu pour signaler les événements touchant à la sécurité. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 82
83 CLASSES DE FONCTIONNALITE Les cinq exemples de classes de fonctionnalité F- C1, F-C2, F-B1, F-B2, et F-B3 forment une hiérarchie puisqu'elles sont issues des exigences fonctionnelles des classes hiérarchiques du TCSEC. Dans la description de ces classes, les parties de chaque classe qui sont nouvelles ou qui ont été changées par rapport aux classes précédentes sont imprimées en gras. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 83
84 CLASSES DE FONCTIONNALITE D'autres classes de fonctionnalité basées sur une hiérarchie pourront être créées dans le futur, par des organismes de normalisation et des organisations industrielles, pour aborder d'autres types d'objectifs de sécurité (par exemple pour l'intégrité et la disponibilité). En attendant, les classes F-IN, F-AV, F-DI,F-DC, et F-DX ont été incluses pour illustrer la large gamme d'exigences de sécurité qui peuvent être exprimées sous la forme d'une classe de fonctionnalité prédéfinie Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 84
85 Classe de fonctionnalité F-IN Objectif : L'exemple de classe de fonctionnalité F-IN concerne les TOE pour lesquelles il y a des exigences élevées d'intégrité pour les données et les programmes. De telles exigences peuvent être nécessaires par exemple pour des TOE bases de données. Classe de fonctionnalité F-AV CLASSES DE FONCTIONNALITE Objectif : La classe de fonctionnalité F-AV impose des exigences élevées pour la disponibilité d'une TOE complète ou de fonctions particulières d'une TOE. De telles exigences sont importantes par exemple pour des TOE qui contrôlent des processus industriels. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 85
86 CLASSES DE FONCTIONNALITE Classe de fonctionnalité F-DI Objectif : L'exemple de classe de fonctionnalité F-DI impose des exigences élevées en ce qui concerne la préservation de l'intégrité des données au cours de leur échange. Classe de fonctionnalité F-DC Objectif : L'exemple de classe de fonctionnalité F-DC est destiné aux TOE très exigeantes en matière de confidentialité des données au cours de leur échange. Un équipement cryptographique est un exemple de candidat pour cette classe. Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 86
87 CLASSES DE FONCTIONNALITE Classe de fonctionnalité F-DX Objectif : L'exemple de classe de fonctionnalité F-DX est destiné aux réseaux très exigeants en matière de confidentialité et d'intégrité des informations à échanger. Par exemple, cela peut être le cas lorsque des informations sensibles doivent être échangées à travers des réseaux non protégés (par exemple des réseaux publics). Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 87
88 Webographie La Sécurité Informatique DESS 226 Ludovic Blin Université Paris Dauphine EBIOS Cyril DEMONCEAUX Elève-Ingénieur Supinfo Paris Promotion SUPINFO Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 88
La politique de sécurité
La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,
Plus en détailSECURITE DES SYSTEMES D INFORMATION COURS 2 ème partie Sûreté ou sécurité? Sécurité : ensemble des éléments permettant d établir la confiance dans un système, un environnement, etc. (se sentir en sécurité)
Plus en détailLes principes de la sécurité
Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailcurité des TI : Comment accroître votre niveau de curité
La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos
Plus en détailANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Plus en détailGuide de bonnes pratiques de sécurisation du système d information des cliniques
Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,
Plus en détailCatalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4
Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à
Plus en détailSage CRM. 7.2 Guide de Portail Client
Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,
Plus en détailTHEORIE ET CAS PRATIQUES
THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise
Plus en détailAnnexe 5. Kaspersky Security For SharePoint Servers. Consulting Team
Annexe 5 Kaspersky Security For SharePoint Servers Consulting Team 2015 K A S P E R S K Y L A B Immeuble l Européen 2, rue 1 Joseph Monier 92859 Rueil Malmaison Cedex Table des matières Table des matières...
Plus en détailMenaces et sécurité préventive
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailQu est-ce qu un système d Information? 1
Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,
Plus en détailSpécifications de l'offre Surveillance d'infrastructure à distance
Aperçu du service Spécifications de l'offre Surveillance d'infrastructure à distance Ce service comprend les services Dell de surveillance d'infrastructure à distance (RIM, le «service» ou les «services»)
Plus en détailBrève étude de la norme ISO/IEC 27003
RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr
Plus en détailCinq questions sur la vraie utilité de l'iso 27001. Alexandre Fernandez-Toro <Alexandre.Fernandez-Toro@hsc.fr>
Cinq questions sur la vraie utilité de l'iso 27001 Alexandre Fernandez-Toro Contexte On parle de SMSI depuis 2002 Est-ce un effet de mode? Est-ce une bulle entretenue
Plus en détailLe modèle de sécurité windows
Le modèle de sécurité windows Cours Windows 2008-2009 Franck Rupin - Laurent Gydé 1 Le modèle de sécurité windows 1 Généralités 2 Les composants du système de sécurité 3 La protection des objets 4 Audit
Plus en détailColloque 2005. Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires
Colloque 2005 de la Sécurité des Systèmes d Information Du contrôle permanent à la maîtrise globale des SI Jean-Louis Bleicher Banque Fédérale des Banques Populaires Mercredi 7 décembre 2005 Du contrôle
Plus en détailISO 17799 la norme de la sécurité de l'information
ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.
Plus en détailConcepts et définitions
Division des industries de service Enquête annuelle sur le développement de logiciels et les services informatiques, 2002 Concepts et définitions English on reverse Les définitions qui suivent portent
Plus en détailRetour sur investissement en sécurité
Retour sur investissement en sécurité Comment essayer de démontrer l'utilité de vos investissements en sécurité? Les Assises de la Sécurité Monaco, 21 octobre 2005 Hervé Schauer Hervé Schauer
Plus en détailÉvaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information
Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information Organisme de certification Comité directeur de la certification des T.I.
Plus en détailContrôle interne et organisation comptable de l'entreprise
Source : "Comptable 2000 : Les textes de base du droit comptable", Les Éditions Raouf Yaïch. Contrôle interne et organisation comptable de l'entreprise Le nouveau système comptable consacre d'importants
Plus en détailStorageTek Tape Analytics
StorageTek Tape Analytics Guide de sécurité Version 2.1 E60949-01 Janvier 2015 StorageTek Tape Analytics Guide de sécurité E60949-01 Copyright 2012, 2015, Oracle et/ou ses affiliés. Tous droits réservés.
Plus en détailDDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations
DDN/RSSI Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations Page 1 10/03/2015 SOMMAIRE. Article I. Définitions...3 Section I.1 Administrateur...3 Section
Plus en détailSymantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web
Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé
Plus en détailProjet Personnalisé Encadré PPE 2
BTS Services Informatiques aux Organisations Session 2014 Projet Personnalisé Encadré PPE 2. GESTION D'UTILISATEURS SYSTÈMES ET BASE DE DONNÉES, INSTALLATION ET CONFIGURATION D'OUTILS DE SUPERVISION ET
Plus en détailPolitique de Référencement Intersectorielle de Sécurité (PRIS)
PREMIER MINISTRE ADAE PREMIER MINISTRE SGDN - DCSSI =========== Politique de Référencement Intersectorielle de Sécurité (PRIS) Service de confiance "Authentification" =========== VERSION 2.0 1.2.250.1.137.2.2.1.2.1.5
Plus en détailMV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala
MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte
Plus en détailRapport de certification PP/0101
PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de
Plus en détailÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL
ÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL Au niveau du second degré, l'économie et gestion recouvre un ensemble de champs disciplinaires relevant de l'économie, du droit, des sciences de
Plus en détailL analyse de risques avec MEHARI
L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de
Plus en détailService d'installation et de démarrage de la solution de stockage réseau HP StoreEasy 1000/3000
Service d'installation et de démarrage de la solution de stockage réseau Services HP Données techniques Le service d'installation et de démarrage de la solution de stockage réseau offre l'installation
Plus en détailHEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification
Les référentiels SMI, normes, processus de certification 1 Définitions selon le Guide ISO/IEC 2:2004 Norme Document, établi par consensus et approuve par un organisme reconnu, qui fournit, pour des usages
Plus en détailService de réplication des données HP pour la gamme de disques Continuous Access P9000 XP
Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP Services HP Care Pack Données techniques Le service de réplication des données HP pour Continuous Access offre
Plus en détailGestion des incidents
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence
Plus en détailNORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE
NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE SOMMAIRE Paragraphes Introduction... 1-4 Personnes
Plus en détailLa sécurité applicative
La sécurité applicative De quoi s'agit-il? Quel en est l'enjeu? Emilien Kia CLUSIR - antenne de Grenoble / UPMF-IUT2 8 juin 2009 La sécurité applicative Introduction : qu'est-ce et pourquoi? Les attaques
Plus en détailUniversité du Québec à Trois-Rivières Politique de gestion des documents actifs, semi-actifs et inactifs de l'u.q.t.r.
Université du Québec à Trois-Rivières Politique de gestion des documents actifs, semi-actifs et inactifs de l'u.q.t.r. (Résolution 398-CA-3497, 25 novembre 1996) 1. Énoncé Par cette politique, l'université
Plus en détailParmi elles, deux ont accédé à un statut véritablement mondial et sont aujourd hui entièrement intégrées à l économie mondiale :
Norme ISO ISO signifie International Standards Organization. Il s agit de l organisation internationale de normalisation, qui chapeaute tous les organismes de normalisation nationaux et internationaux.
Plus en détailGUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES
REPUBLIQUE FRANÇAISE PREMIER MINISTRE Secrétariat Général de la Défense Nationale N 730/ SCSSI Issy-les-Moulineaux, le 13 janvier 1997 GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS
Plus en détailArticle 2 : Conseils et meilleures pratiques pour gérer un cloud privé
Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé Sponsored by Mentions relatives aux droits d'auteur 2011 Realtime Publishers. Tous droits réservés. Ce site contient des supports
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailMini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Plus en détailFiche méthodologique Rédiger un cahier des charges
Fiche méthodologique Rédiger un cahier des charges Plan de la fiche : 1 : Présentation de la fiche 2 : Introduction : les grands principes 3 : Contenu, 1 : positionnement et objectifs du projet 4 : Contenu,
Plus en détailRapport de certification PP/0002
PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de
Plus en détailSafeGuard Enterprise Aide administrateur. Version du produit : 5.60
SafeGuard Enterprise Aide administrateur Version du produit : 5.60 Date du document : avril 2011 Table des matières 1 Le SafeGuard Management Center...4 2 Connexion au SafeGuard Management Center...4 3
Plus en détailPOLITIQUE DE BIOSÉCURITÉ
Date d entrée en vigueur: Mai 2006 Remplace/amende: VRS-52/s/o Origine: Vice-rectorat aux services Numéro de référence: VPS-52 DÉFINITION Une substance biologique dangereuse se définit comme un organisme
Plus en détailPrésentation CERT IST. 9 Juin 2009. Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.
Présentation CERT IST 9 Juin 2009 Enjeux et Mise en Œuvre du DLP Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.fr Sommaire Constats, Riques & Enjeux Qu'est ce que le DLP? Quelle Démarche
Plus en détailpolitique de la France en matière de cybersécurité
dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le
Plus en détailNom-Projet MODELE PLAN DE MANAGEMENT DE PROJET
Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET Glossaire La terminologie propre au projet, ainsi que les abréviations et sigles utilisés sont définis dans le Glossaire. Approbation Décision formelle, donnée
Plus en détailwww.netexplorer.fr contact@netexplorer.fr
www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...
Plus en détailE-mail : contact@nqicorp.com - Web : http://www.nqicorp.com
- 5, rue Soutrane - 06560 Valbonne Sophia-Antipolis E-mail : contact@nqicorp.com - Web : http://www.nqicorp.com NQI Orchestra 3.3 - Guide d'installation Windows.................................................................
Plus en détailTraçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés
Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés 1. Définition et implications de la traçabilité en droit 2. La protection des données personnelles 3. La responsabilité
Plus en détail1. La sécurité applicative
ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité
Plus en détailSANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents
Créée en 1989, Hervé Schauer Consultants (HSC), est une société spécialisée dans l expertise de conseil en sécurité des systèmes d information. De taille humaine (28 personnes dont 22 consultants), HSC
Plus en détailEtude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799
David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information
Plus en détailJean-Luc Archimbaud. Sensibilisation à la sécurité informatique.
Sensibilisation à la sécurité informatique Jean-Luc Archimbaud To cite this version: Jean-Luc Archimbaud. Sensibilisation à la sécurité informatique. lieux en France, 1997, pp.17. École
Plus en détailKASPERSKY SECURITY FOR BUSINESS
KASPERSKY SECURITY FOR BUSINESS IDENTIFIER. CONTRÔLER. PROTÉGER. Guide de migration RENOUVELLEMENTS ET MISES À NIVEAU DES LICENCES : Guide de migration PRÉSENTATION DE LA NOUVELLE GAMME ENDPOINT SECURITY
Plus en détailGestion de parc et qualité de service
Gestion de parc et qualité de service Journée Josy, 14 octobre 2008 A. Rivet Gestion de parc et qualité de service Gestion de parc Fonctions de base GT «Guide de bonnes pratiques» Référentiels et SI ITIL/ISO
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO 27001 DCSSI/CFSSI 28 mars 2007 Alexandre Fernandez Hervé
Plus en détailR E G L E M E N T I N T E R I E U R
19, rue Cognacq-Jay 75007 PARIS Tél. 01 44 15 60 00 Fax : 01 44 15 90 05 www. Edificas.fr ASSOCIATION LOI 1901 CREEE A L INITIATIVE DE L ORDRE DES EXPERTS-COMPTABLES R E G L E M E N T I N T E R I E U R
Plus en détailLa pratique de l ITSM. Définir un plan d'améliorations ITSM à partir de la situation actuelle
La pratique de l ITSM Définir un plan d'améliorations ITSM à partir de la situation actuelle Création : avril 2012 Mise à jour : avril 2012 A propos A propos du document Ce document pratique est le résultat
Plus en détailLa sécurité IT - Une précaution vitale pour votre entreprise
Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien
Plus en détailDSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...
Table des matières CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 CONCEPTION... 3 RÉALISATION... 3 ÉVALUATION ET CONTRÔLE... 3 AMÉLIORATION... 3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...3 LA PROTECTION
Plus en détailHERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité
Plus en détailModule 197 Développer et implanter un concept de gestion des versions et des configurations
Module 197 Développer et implanter un concept de gestion des versions et des configurations Copyright IDEC 2002-2009. Reproduction interdite. Sommaire Introduction... 3 Délimitation du domaine... 3 Fonctions
Plus en détailSPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES
92038 PARIS LA DEFENSE CEDEX Page 1 / 11 SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES 29/11/00 13 Indice
Plus en détailLa sécurité de l'information
Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 2 Quelques statistiques 3 Sécurité de l information Définition 4 Bref historique de la sécurité 4 La sécurité un processus
Plus en détailAUDIT CONSEIL CERT FORMATION
www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,
Plus en détailTHEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques
THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr
Plus en détailUniversité de Lausanne
Université de Lausanne Records management et archivage électronique : cadre normatif Page 2 Ce qui se conçoit bien s énonce clairement Nicolas Boileau Page 3 Table des matières Qu est- ce que le «records
Plus en détailCharte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet
Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une
Plus en détailType de document : Politique Révision prévue : 2008 Objet : Politique sur la sécurité des actifs informationnels du CSSSNL
Code : CA-139-2007 Page 1 de 14 DOCUMENT DE GESTION Type de document : Politique Révision prévue : 2008 Adopté par : Conseil d'administration du CSSSNL Document(s) remplacé(s) : Adopté le : 28 mars 2007
Plus en détailBUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final
Il y a un astérisque quand des renseignements sensibles ont été enlevés aux termes de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. BUREAU DU CONSEIL
Plus en détailFiche conseil n 16 Audit
AUDIT 1. Ce qu exigent les référentiels Environnement ISO 14001 4.5.5 : Audit interne EMAS Article 3 : Participation à l'emas, 2.b Annexe I.-A.5.4 : Audit du système de management environnemental SST OHSAS
Plus en détailPOLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE
BELAC 2-003 Rev 1-2014 POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE Les versions des documents du système de management de BELAC telles que disponibles sur le site
Plus en détailCadre commun de la sécurité des systèmes d information et de télécommunications
Cadre commun de la sécurité des systèmes d information et de télécommunications Sommaire 1. Introduction............................. page 09 1.1 Contexte et enjeux.......................... page 09 1.2
Plus en détailFiche de l'awt La sécurité informatique
Fiche de l'awt La sécurité informatique La sécurité informatique est essentielle pour l'entreprise, particulièrement dans le contexte de l'ebusiness: définition, dangers, coûts, outils disponibles Créée
Plus en détailL utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes
L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...
Plus en détailTexte de l'arrêté "Site e-business"
Texte de l'arrêté "Site e-business" Arrêté relatif à l'octroi d'une prime aux entreprises qui créent un site e-business tel que modifié par l'arrêté du 15 juin 2006 (MB 12.07.2006) Le Gouvernement wallon,
Plus en détailMeilleures pratiques de l authentification:
Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données
Plus en détaildans un contexte d infogérance J-François MAHE Gie GIPS
Management de la sécurité dans un contexte d infogérance J-François MAHE Gie GIPS Mise en place d une convention de service Traitant les points suivants : L organisation de la sécurité du SI La gestion
Plus en détailportnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.
portnox Livre blanc réseau Janvier 2008 Access Layers portnox pour un contrôle amélioré des accès access layers Copyright 2008 Access Layers. Tous droits réservés. Table des matières Introduction 2 Contrôle
Plus en détailLes clauses «sécurité» d'un contrat SaaS
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric
Plus en détailL'AUDIT DES SYSTEMES D'INFORMATION
L'AUDIT DES SYSTEMES D'INFORMATION ESCI - Bourg en Bresse (2005 2006) Audit s Système d'information - P2 1 lan d'ensemble Audit s Systèmes d'information GENERALITES SUR L'AUDIT AUDIT FONCTIONNEL OU D'APPLICATION
Plus en détailSingle Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO
Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction
Plus en détailPrésentation d'un Réseau Eole +
Présentation d'un Réseau Eole + Le Pourquoi du comment... Comprendre les différents types de documentation fournit avec la solution Eole Plus. Novice Confirmé Expert Version 1.0 Mai 2006 Permission est
Plus en détailPanda Managed Office Protection. Guide d'installation pour les clients de WebAdmin
Panda Managed Office Protection Sommaire I. Introduction... 3 II. Installation de Panda Managed Office Protection à partir de Panda WebAdmin... 3 A. Accès à la console Web de Panda Managed Office Protection...
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailET LA DÉLIVRANCE DU CERTIFICAT
RÉFÉRENTIEL POUR L'ATTRIBUTION ET LE SUIVI D'UNE QUALIFICATION PROFESSIONNELLE D'ENTREPRISE ET LA DÉLIVRANCE DU CERTIFICAT Date d'application : 29 octobre 2014 DOCUMENT QUALIBAT 005 VERSION 06 OCTOBRE
Plus en détailGestion des incidents
Gestion des incidents Jean-Marc Robert Génie logiciel et des TI Incidents Un incident de sécurité est une violation, ou l imminence d une violation, d une politique de sécurité p.ex., une politique de
Plus en détailPRESENTATION MEHARI: Process Reference Model MEHARI. Version Modification Date Author V00_00 23.02.2006 CSI
MEHARI DOCUMENT HISTORY Version Modification Date Author V00_00 23.02.2006 CSI V00_01 DIFFUSION Organisation Name Diffusion mode CLUSSIL GT ANARISK Membres présents Electronique PRM_Mehari_v0 Page 1 sur
Plus en détailL audit Informatique et la Qualité
L audit Informatique et la Qualité Bennani Samir Ecole Mohammadia d Ingénieurs sbennani@emi.ac.ma emi.ac.ma Qu'est-ce que l'audit informatique? Pour Directeur général : voir plus clair dans l'activité
Plus en détailDOSSIER SOLUTION : CA RECOVERY MANAGEMENT
DOSSIER SOLUTION : CA RECOVERY MANAGEMENT Comment la solution CA Recovery Management peut-elle nous aider à protéger et garantir la disponibilité des informations essentielles au fonctionnement de notre
Plus en détailRapport de certification
Rapport de certification, version de base RÉVISION v2.8.2 préparé par le Centre de la sécurité des télécommunications Canada à titre d organisme de certification dans le cadre du Schéma canadien d évaluation
Plus en détail