LA METHODE EBIOS. 1. Les méthodologies de sécurité 1. ÉVOLUTION DE LA SSI
|
|
- Antoine Olivier
- il y a 2 ans
- Total affichages :
Transcription
1 LA METHODE EBIOS. ÉVOLUTION DE LA SSI. Généralités 2. CC et autres méthodes d évaluation 3. La méthode EBIOS 3. Etude du contete 3.2 Epression des besoins de sécurité Anas ABOU EL KALAM L évolution de la terminologie : sécurité informatique ; sécurité des systèmes d information ; sécurité de l information ; système de sécurité de l information. La SSI doit être considérée globalement en tenant compte de toutes les ressources ; en étant prise en compte au plus haut niveau hiérarchique ; en étant prise en compte au plus tôt dans la gestion des projets. 2. LE DÉVELOPPEMENT DES MÉTHODES SSI De nouveau besoins : formalisation, retour d epérience uniformisation, standardisation qualité Enrichissement des méthodes de nombreuses méthodes éprouvées approfondissent leurs bases de connaissances, développent les domaines d application, sont complétées par des outils logiciels Multiplication des méthodes adaptées à des domaines ou contetes spécifiques parfois concurrentes (idées divergentes ou raisons commerciales) 3. Les méthodologies de sécurité Mehari, Marion, Melisa, I CAS, CRAMM, BS7799, EBIOS, RFC 244 Réalisées par des utilisateurs ayant des compétences techniques de sécurité ou des groupes de travail Souvent applicables par des prestataires de service sous forme d'audit de sécurité d analyse de risques Base propositions d'actions pour améliorer la situation 4
2 5 Q +, Q [ $- Q 6 Q ' 0%" QQHTI a a Q QQQ HTI Q GNg f Q Q Q 2. Critères communs. Généralités 2. CC et autres méthodes d évaluation 3. La méthode EBIOS fournir au utilisateurs des indications sur les produits de sécurité en terme de «degré de confiance» fonctionnalités processus conception développement Certificat délivré par DCSSI «atteste que l eemplaire du produit ou du système soumis à évaluation répond au caractéristiques de sécurité spécifiées. Il atteste également que l évaluation a été conduite conformément au règles et normes en vigueur, avec la compétence et l impartialité requises» [décret ]. 6 Common Critéria for Information Security Evaluation ISO Critères communs : PARTIE I 2. Critères communs SGJITHIGU PH POMND QJF RPKEH EQ WKSGF PH SPOM LSKG PXM SNM ETH PJOUGH QGNHVT Pays 5 pays reconnaissent ce standard PXM SNM ETH YKG YZ Profil de Protection * + & (!)$ #!$! %!!$' "! PXM SNM KETH \LNHG ]Z \GINO EQ^ ]MOFG QTN Cible de Sécurité "2$' 3""'! 4 "/.! " 0%0 PXM SNM KETH _]LNHG C` Cible d Evaluation # #!$ $'-(;,;!)$;$$$ =-2 7) PP EGH SGJGD EFGHIGJ KGJ PINO EQ PMXGI SM vision utilisateur indépendant de toute implémentation EOTHHGVGH cbqgi KGJTHGHX EGH KGJIO EU ETH KG _]SM C[ 3 parties KGJVGHMIGJ[ea KdLGDU ST EQM ETH[ QTGOF <-!$ % 98 :!;-$ 8! "! 7' &5! "$!$ % % 3""'! "2 3- "; %) 0$ 0! 8$ %' "-$ (- - /"# %,2!! "-$B "3A- % " ' -$ #-$'; eigences fonctionnelles RTNOH EQ objectifs de sécurité,> ")$' 3-$' "-$$ % 0' 0" KMHJNH KG Q^UG cm EQGH EO EH PFOGO QXT QGNOJJTN SGJN SEEJM listes de fonctions de sécurité à remplir SSREOGhM dtnj^j WVG KNTOU EQ bga Fa[ KEFGHIGJ LMJJNOMHIG KGJ PINO PEQ CD techniques employées pour la vérification 7 8
3 Q Q $ $ 9 2. Critères communs : PARTIE II 2. Critères communs : PARTIE I comprend l' eigences fonctionnelles eprimées dans PP ou ST eigences sont réparties suivant classes classes décomposées en familles de composants Tous les produits mettant en œuvre des fonctions de sécurité peuvent être évalués classes (fonctionnalités) WVGJTNV EJNHG PXM SNM ETH KG SMJ PINO PEQ EQTNJ^J YOT KN cible d évaluation /-. 0 / (classe FAU) 7899.: 05; 08: (classe <.==86 56>= 8?6;= (classe FDP) B68 08: /23 /8:: 423 C/2 D. C003; (classe FDP) E/2: F005; F005; 08: ;. (classe FIA)! cible de sécurité spécification de besoin de sécurité -/9 0: 03 08: /2 C; ; (classe FMT) " # vision développeur $ % (voir PP) inclut les spécifications dédiés à la cible d évaluation!* $ '( ) & 0 B68 08: /2 C;G 02=6 0G (classe FPR) B68 08: /23 F8:5 08:3 / /2 JIHC; 25 (classe FPT) / C0K 03; 08: (classe FRU) -55 ML3 JIHC; F/258: 0;:52 0:32 5;:;.N & ' ' ( +, ' (classe FTA) (classe FTP) 2. Critères communs : PARTIE III 2 Critères communs : PARTIE II Définit les critères d'évaluation en termes d'eigences pour le développeur et éléments de preuve que le développeur du produit doit fournir à l évaluateur de tâches pour l'évaluateur. Critères répartis en classes d'assurance puis familles de composants 0 classes(assurances) Eemple : famille de la classe FAI O-EO-P Q=8.6 C23 C/2 F005; 08: H-EO-P R=8.6 F4/C; 0: 0 08: /23; 0S. /23. C003; / I<EO-P <=8.6 C;3= F045 05; 08: -KEO-P CK=8.6 F005; 08: C/2 D. C003; 2.6 EKEO-P 0DCR=8.6 /2: F005; 08: C/2 D. C003; 2.6 <KEO-P T=8.6 CC2 02:. C003; V U Eemple : composants de la famille FIA_UAU ag; C.; /08: C0FD.:=68 /2=68 08: W5 ZJB-C; ag; C.; /08: S0D.:25 C2 / W5 ZJ<-C;332 Zc7-C;332 b23 08: F/258: 0?.6; 08: W5 ZIR-C;332 Q0G6; 038:2 C8 0; 08: W5 2N= ZdR-C;332 R4G2 C8==292: W5 ZRb-C;332 0b. /23 W5 Z7Q-C;332 <.==86 C2 /2G 02 W5 ;.5>5 Q;=68?6;99; 08: C/2 F005; EOW08: -K-P ZYKXEOW08: -K-P Z[KX F005; 08: C/2 D. C003; 2.6;G;: 8. 2;5 F005; 08: 0: F; F0C3 S0; EOWC2 -K-P Z\KXM.3;?2.: EOW0A.2 -K-P Z]KX Q239 45;: /03923 F005; 08: Q239 45;: /03923 F005; 08:9. C 0= EOWC2 -K-P Z^KX Q;6 05; EOW08: -K-P Z_KX4? EOW43 -K-P Z`KX 08:;G =68 F005; H23 W5 ZJH-C;332 3 Z-d-C;332 J3 09; 08: /23G. C: C0S46; 0 43 W5 si l U demande que le produit intègre des mécanismes 2 Z-c-C;332 C/2 D;33.6;:52 W5 c; 0: 2:;:52 d'auth multiples, il faudra inclure dans PP ou ST le composant FIA_UAU.5
4 Q-JY YQ-J6.8= Q-JMYQ-J\ \Q-JMYQ-J6.8= B B B ` ` ` )( `` # _^rrk ` 3. Méthode M.E.L.I.S.A 2. Critères communs : PARTIE III (Méthode d'évaluation de la vulnérabilité résiduelle des systèmes d'informations) Délégation générale à l'armement 985. Cette partie fournit aussi pour chaque niveau d'évaluation (EAL à EAL7 pour Evaluation Assurance Level) l'ensemble des composants d'assurance nécessaire à l'atteinte de ce niveau. MELISA est une méthode d'analyse de vulnérabilités qui fut mise au point par la DGA (Direction Générale des Armements) et qui a été reprise par la société CF6. MELISA S - Confidentialité des données sensibles MELISA P - Pérennité de fonctionnement du système MELISA M - Sécurité micro mini informatique MELISA. R - Sécurité réseau Eemple //29;: 423X d--:238: =;3 C235 Q-C; =8.6 4C>3 C258 / : 23 =;3;:; =8.6 C258 / X 62A. ]Q-J0G2;. M=;6 06 /.: 0G2;.N= 0G:2;.N= 4C.3 C2G /2=62.G23 CF8692 C23= :356 0 L623X ; : : La méthode MARIO Fonctionnement 4. La méthode MARIO «Méthode d'analyse des Risques Informatiques et Optimisation par iveau» DCEFG H?JFI HK MB EJ EFG HIG MNK CMK MOG Questionnaires Pondération Quoi? Thèmes MB MJG HMNKK? PRH? MB E> STJ MUI? indicateurs questionnaires pondérés HC?JG>> MJW EMB HNQ MUI?? HN MBG PRMNK EMB B?V> Phases! XSGJ? YZ préparation " "# \[]^_ abcd ief_gh jf_ iakld m_knhfo^ bkl_ pakll^ $ % & ' C?JFI HK MB EJ XSGJ? qz Audit ar^cr^_^lc^g^l al `_kl `rf `^c akllf imrkn p^g^l ``sn^c MJUI?J XSGJ? tz * Analyse Comment? niveau indicateurs paf ma` i^cr acsn^c ai^l baa_f aklr acsn^cd aghf_ `^ `hk ``^l +! $ & note thèmes XSGJ? uz Plan d'action,# _ e^cd ``^{d wpvflfc^gkv^lc b[f alf ir^l ay^fnc m_nr a` mz ``^baebrfo^_k ~`g ac^^l_kl bkrg a` m akl }fhhkr `^rd imi^or pmjfg akrf ::2707: ;<27.5 ;<9770< 50./-02./ & = 5 &
5 B?? BBBB BB B B B? OKNO A?JK? N> BB GF B BB B BB G> qq 5. MEHARI Comment? règles modes de présentation C MJ>NJ MB MNK C?J IK?GO MF EMB R?K MJ? IK plan de sécurité HHC?>G HM G H?J? BBBGK LH? C? mesures schémas de décision MQ?KO?J CDG MK H?K MF?GI C?J MB E>NK CGK BGIV?V BB? PMV GO MJUI? CMK E>?K CGK BJZ Base MJ MK HIGK HG potentialité du risque MJ MK HIGK impact C?J MB E PMV BT>?J C?J GO MJUI? SGOOIKGQ MJJGK CHH? MJJIGJ MF? MF?? MNK BB?O J 8 HHMG MF?? EOI> MNK 5. La méthode MEHARI Phases Phase : établir plan stratégique de sécurité définition des métriques des risques & objectifs de sécurité, établissement d'une politique de sécurité, établissement d'une charte de management. Phase 2 : établissement de plans opérationnels de sécurité Phase 3 : consolidation des plans opérationnels (global). Plus d info :*! "# $ 20 B SN C? MJ CE? D KG HTJ? C? JUI?J 5. MEHARI : EB SN C? CI MHIJ BBBGK Quoi? MNKUIGK MBG MF? C?J EFG HIG BIK? SGUI?J MBIG MNK facteurs de risque H?JKNIF?GIV H?J modes de objectifs stratégiques MJ?GF?OIK?>N HMB MUI? C? HMB HC? D?K fonctionnement MF?GIONKF?KI MF?GIONKF?KI MKGA M?K MJUI?J IKK Idées de base? analyse des vulnérabilités MJV? BGK B? HM?K?K risques encourus mesures de sécurité vulnérabilité EJ?KO? H NI DG LJ?KO? C? ECI NIKNK MB HG>N HMG EMBBB?K MA>GO CDIKJ MK MJ MBJNJ N K DMK MNK C?O?J BT>?J IJUI DGIK MF?GIO SN MJ M 7 réduire la gravité du risque 5. MEHARI 9
6 " " " " " -. + * +!!, * + (!!#&!!! ( $## (( (!!### "! %!#&'!##$ "!!!!!! EBIOS Melisa Marion Mehari Octave Cramm SPRINT BS 7799 ISO 7799 ISO 3335 ISO 5408 SCORE CALLIO COBRA ISAMM RA2 995 * * * Comparatif des normes DCSSI Gouv Fr Log grat. % ) 2. Généralités 2. CC et autres méthodes d évaluation 3. La méthode EBIOS EBIOS méthode pour l Epression des Besoins et l Identification des Objectifs de Sécurité Vue globale 22 II. La réglementation II.2 Méthode EBIOS : Introduction Lois, décrets Loi 78-7 du 06/0/78 "informatique et liberté" (http://www.cnil.fr/inde.php?id=30) Interministérielle IGI 300 du 2/03/82 "protection du secret" Ministérielle Réglementation Interne Les informations "classifiées de défense" IGI 900 du 20/07/93 Les informations sensibles IGI 90 du 02/03/94 (www.ssi.gouv.fr/fr/reglementation/90/90.pdf ) Méthode d'analyse des risques en SSI Peut être appliquée pour un Système à Concevoir ou Eistant déterminer les actions de sécurité qu'il convient d'entreprendre s inspire des ITSEC (Information Technology Security Evaluation Criteria) input : CdCF (récapitule besoins) output : (objectifs de sécurité) = données pour FEROS (formalisation des objectifs de sécurité). l'élaboration de l'architecture fonctionnelle sécurisée L'IGI 900/SGDN/SSD/DR du 20/07/
7 II.2 Introduction II.2 Introduction Cycle de vie d une solution info spécification des besoins (définir ce que fait le système) conception (définir comment on fait le système) réalisation (faire le système) utilisation (installer et eploiter le système) Conception analyse des besoins eprimés par le maître d'ouvrage dans le CdCF eamen de l'eistant étude des solutions bilan de faisabilité et le choi d'une solution réponse au CdCF formalisé par Spécifications Techniques de Besoin Spécification des besoins définir les services que le système doit rendre déterminer le contete identifie les grands choi (stratégiques, fonctionnels...) relatifs au système concrétisée par le Cahier des Charges Fonctionnel (CdCF) objectifs stratégiques et enjeu du système à concevoir contraintes : solutions, normes, réglementations, coûts, délais, missions du système, limites du système à concevoir grandes fonctions et relations avec l'etérieur identification sous systèmes & interfaces entre ces sous-systèmes 25 Réalisation Acquisition ou développement solution intégration Validation Utilisation installation sur site, eploitation, maintenance 26 II.2 Processus en V II.2 Introduction epression des besoins spécification conception architecturale conception détaillée tests d intégration tests unitaires tests de qualification tests de recette Prise en compte sécurité lors de la spécification des besoins analyser les enjeu d un point de vue de la sécurité poids stratégique du système pour l'organisme impact sécurité système sur sécurité globale de l'organisme pertes maimales que le système peut supporter analyser le contete dans lequel se situe le système / sécurité environnement physique dans lequel va évoluer le système menaces générales pesant sur l'organisme qui abritera le système contraintes de sécurité auquelles le système est soumis définir les besoins intrinsèques de sécurité codage 27 déterminer les objectifs de sécurité pour le système 28
8 II.2 Introduction : les Objectifs de sécurité résultent d'une analyse qui intègre besoins de sécurité initiau, menaces spécifiques vulnérabilités associées au éléments connus ou supposés choi organisationnels retenus doivent se décliner en mesures non techniques de sécurité (physique, organisationnelle) qui constituent les grandes lignes de la politique non technique de sécurité mesures techniques de sécurité eprimant ce qui reste à couvrir par des fonctions techniques au sens ITSEC permet d'estimer le type de fonctionnalité de sécurité que l'on désire obtenir (e.g., une classe de fonctionnalité donnée au sens ITSEC). 29 II.2 Introduction Prise en compte sécurité lors de la Conception choisir les fonctions de sécurité répondant au objectifs de sécurité sélectionner ou spécifier les mécanismes associés consolider la politique de sécurité technique du système définir la politique d'administration de la sécurité définir, le cas échéant : mode dégradé, plan sauvegarde et plan secours Prise en compte sécurité lors de la Réalisation Réaliser (soit même) ou se procurer (produit marché) mécanismes séc les intégrer avec les autres éléments du système effectuer une analyse de vulnérabilité résiduelle. Prise en compte sécurité lors de la Réalisation installer puis configurer mécanismes sécurité sur site d'eploitation validation de la sécurisation globale du système formation des futurs responsables de la sécurité du système. 30 administration, test,sauvegarde, audit II.2 Introduction : phases & docs II.2 Démarche EBIOS Politique de Sécurité nterne (PSI) : définit règles générales de sécurité. se situe en amont du cycle de vie. DSIS : fournit cadre méthodologique pour prise en compte sécurité au cours projet dvpt. (ϕ conception et réalisation) EBIO : activités prise en compte sécurité de la phase de spéc besoins epression objectifs sécurité Epression des besoins de sécurité Étude du contete Objectifs de sécurité Étude des risques EBIOS suit une démarche naturelle et applicable par le futur utilisateur qui permet de: responsabiliser les acteurs formaliser un raisonnement analyser un système eistant rationaliser les objectifs de sécurité au sens des ITSEC ou des CC Fiche d'epression Rationnelle des Objectifs de Sécurité (FEROS) : formalisation objectifs de sécurité Réalisation des Objectifs de Sécurité par le ChOi des Fonctions (ROSCOF) : guide concepteur dans choi fonctions sécurité répondant au objectifs. (ϕ conception après epression objectifs) Guides d'aide à la RéDaction des fournitures pour l'evaluation (GARDE) : pour évaluation ITSEC 3 32
9 II.2 Démarche EBIOS : vue globale objectifs de sécurité! " # $ 34 Étude contete II.3 EBIOS : Les étapes Etude Risques Epression besoins Objectifs sécurité 36 II.2 Démarche EBIOS : vue globale informations fonctions besoins de sécurité vulnérabilités Etude des risques probabilité faisabilité menaces 33 EBIOS méthode pour l Epression des Besoins et l Identification des Objectifs de Sécurité Les étapes 35
10 Plan - II.3 Etape I : Contete - -, Étude contete Epression besoins Etude Risques 3. La méthode EBIOS 3. Étude du contete 3.2 Epression des besoins de sécurité 3.3 Analyse des risques 3.4 Identification des objectifs de sécurité But : Objectifs sécurité globalement précisément Réunir les informations nécessaires à la planification de l étude! " $# % & )* +! * ' ()* " " *. " - " /0 /0! 2 " " " "32 " 37 " ( ( 38 II.3 Etape I : Contete Activité I. : Étude de l'organisme Données en Entrée : Plan stratégique, bilan d activité, charte sécurité Données Sortie : place système dans organisation, liste contraintes Trois activités Étude de l organisme Étude du système cible PRESENTATION ORGANISATION Savoir faire : recueil éléments stratégiques missions (service/destinataire), métiers (techniques, savoir faire employé) valeurs (principes, étique) aes stratégiques (lignes directrices/évolution enjeu) ORGANISATION GENERALE Structure (divisionnelle / fonctionnelle ou matricielle) Organigramme (structure liaison subordination, dépendances) Détermination de la cible de l étude 39 CONTRAINTES Stratégiques : évolution possibles structures/orientations Territoriales : dispersion des sites Conjoncturelles : continuité service même si grèves/crises Structurelle : e.g., structure internationale concilier eigences propres à chaque nation obligations légales et réglementaires relatives au personnel : sensibilisation sécurité, confid. 40 d'ordre calendaire : réorganisation service, nouvelle politique d'ordre budgétaire : mesures sécurité préconisées ont coût qui peut être important.
11 Activité I.2 : Étude du système cible Activité I.2 : Étude Système Cible Dynamique Données en Entrée : relations entre domaines d activité du SI, liens inter-domaines, évolution, priorités, évaluation risques stratégiques Données Sortie : Architecture conceptuelle du SI, relations fonctionnelles avec systèmecible, Définition du "système essentiel" du système-cible, Sélection enjeu ELEMENTS Savoir faire : fonctions, informations, enjeu contribution du système-cible au missions du SI de l'organisme description générale du système-cible (fonctions, traitements, produits), relations fonctionnelles avec le système-cible enjeu du système-cible au sein du SI Caractérisation architecture conceptuelle du SI DÉCOUPAGE EN DOMAINES FONCTIONNELS fonctions : opérationnelles, de support, de contrôle REPRÉSENTATION DES RELATIONS INTER-DOMAINES interactions entre activités : objets supports de l'information, traitements, moyens 4 42 Activité I.2 : Étude Système Cible.Etude du contete->.2.etude du système cible Début Représentation du système-cible dans le SI : DESCRIPTION FONCTIONNELLE DU SYSTÈME-CIBLE préciser pr fonction : résultats attendus, activités à réaliser, entités manipulée CARACTÉRISATION PROCESSUS contraintes informationnelles et organisationnelles : relations, interactions, flu, Sélection des enjeu du système-cible - EVALUATION DES ENJEUX DE POLITIQUE GÉNÉRALE DU SI scénarii d'évolution du SI : cibles organisa.&physiques à moyen&long terme, améliorations, rentabilité, 2 - RECUEIL ÉLÉMENTS DE POLITIQUE DE SÉCURITÉ DU SI priorités, résultats, consignes 3- IDENTIFICATION DES CONTRAINTES d'antériorité, réglementaires, financières, temps, relatives au méthodes, tech. 4- IDENTIFICATION DES EXIGENCES GÉNÉRALES Eigences techniques :fichiers, architecture, progiciels, matériel, réseau, Eigences organisationnelles ; Eploitation : délais, fourniture résultat, services, suivi, plan secours Gestion des développements : outils, organisation à mettre en place 43 Documentation concernant le SI oui Décomposer Décrire l architecture conceptuelle du SI Décomposition Décomposition en sous-systèmes Suite Non Place du système dans l organisme A Caractérisation de l architecture conceptuelle du SI Architecture conceptuelle du système cible dans le SI 44
12 $..(&"$-& Suite A Eemple Représentation des fonctions Documents de politique informatique Définir le système cible Analyse des enjeu du système cible Fin Représentation du système cible Définition du système essentiel Sélection des enjeu Liste des enjeu 45 Fichier des emplois Fichier des rémunérations Notes Enquêtes Analyse Simulation Projet de statut Statistiques Etudes Analyse Statut Decrêt Arrêté 46 Activité I.3 : Détermination de la cible de l'étude But Quoi?.Etude du contete->.3.détermination de la cible de l étude Documentation concernant l organisation des moyens Début Identifier les entités essentielles Caractérisation des moyens du système cible Caractérisation des moyens de la cible de l'étude %&' # $'!" #$ %&' %() #* #$ %&'!&"$+,' #&.)"( #(.& Définition du système essentiel Construire les liens entre - fonction / entité -information / entité Liste des entités Création du tableau des relations fonctions/entités et informations/entités 47 Suite Tableau des liens 48
13 Activité I.3 : Détermination de la cible de l'étude Création tableau Fonctions / Entités et Informations / Entités Eemple Relation entre informations sensibles et entités Matériel Logiciels Réseau Personnel Entité Information Serveur Station... OS Appli.... Ethernet X25... Admin. Ingénieurs Dévs Messagerie Edition de plans Étude du Contete : récapitulatif Plan Objectifs Résultat Actions Prise de connaissance du domaine à étudier Préciser les enjeu du système pour l organisme Réunir les informations nécessaires à la planification de l étude Contraintes et Cible de sécurité connus Étude de l organisme Étude du système cible Détermination de la cible de l étude 3. La méthode EBIOS 3. Étude du contete 3.2 Epression des besoins de sécurité 3.3 Analyse des risques 3.4 Identification des objectifs de sécurité 5 52
14 Etape 2 : Besoins 2. Epression des besoins de sécurité (2/4) _ba`$(%* ]-$(%* ] $ )* -/- ^ _%* $(%* & &'.(#'# '%Q#"% "' & "'# 4== O% )# -"Q * (' & 62 -,"'' )&!' * /, ' )*# '"' ' $#(. )* % &#%((# -,)& +#!"#$% "' (# )' & &&*%#%*'' & = FEGHIJKLJLKEEGLEJMGE FEGHIJKLHILEEGLEJMGE V 0)& [ &&#. Epression besoins sécurité Étude du contete Étude risques sensibilité fonctions et informations besoins de sécurité associés au objets sensibles et au fonctions essentielles de cible étude eprimés par U fonctionnels en Objectifs Résultat Sélectionner les fonctions essentielles et les informations sensibles Faire eprimer les utilisateurs sur les besoins en D, I, C, R Liste validée des besoins de sécurité Objectifs sécurité termes de C D I quantifiés par leurs impacts sur org. Actions Sélection des fonctions et des informations essentielles Epression des besoins sécurité des fonctions et informations sensibles Synthèse du besoin de sécurité Etape II : Besoins Trois activités Sélection info&fnct sensibles Epression besoins sécurité Synthèse besoins sécurité Activité II. : Sélection éléments sensibles DE : DS : responsable User A. Détermination des éléments sensibles «sensibilité :77;<;7 :< (# ' 46 BA82 CD -'P & P :9N -'P )'#%.P B. Création des fiches epression des besoins de sécurité S T S S U R S WJH S X S Y JW H Z \ S S `c$
15 263 = = 9629 = ; = = Fonction/Informations essentiels Classifiées : secret défense Vitales : mission de l'organisme ominatives : loi informatique et liberté Stratégiques : contrats/accords Coûteuses : délai / coût Information mission impossible suite dégradation fcnt traitement secret Fonction 58 otation d'évaluation d'impact Eemple Notation (C & I) dans domaine militaire 38 ;<:92 3 2B :27 3A2<7:27 ;3HCA ;=C 35C 3<4CA F/ :27 J/ L424< M;2?C45 H<4A 3<442B24 C 3567C4 K/ :C5 Eemple Notation pour une organisation!" #$ ' &%$ $ # ( $!" #$ $ )*" + # &,*#" Activité II.2 : Epression besoins sécurité Comment? ><299 < Users 4 9 ;6 4> 26 chaque fonction chaque information Les besoins de sécurité sont indépendants des risques encourus et 82 ; ; 2 < B 9<2>< :926 ==26 intrinsèque des moyens de sécurité mis en : 4?44= > 2 ; =; 4<2 N ; :4= 26 4?2<62 ; 2 < ==< = : ;99 42< 927<2 : Eemple de la sensibilité des objets Commentaires Besoin de sécurité Pertes financières Infraction au lois Image de marque I m p a c Fonction/Information sensible. t Sinistres Inaccessibilité D Destruction Modif. Accidentelle I Modif. Délibérée Divulg. Interne C Divulg. Eterne
16 Eemple d échelle d évaluation des sensibilités Activité II.3 : Synthèse besoins sécurité - «0» la perte du critère est sans conséquence pour l organisme - La perte du critère entraînerait des conséquences défavorables au intérêts de l organisme, - «2» La perte du critère entraînerait des conséquences dommageables au intérêts de l organisme, - «3» La perte du critère entraînerait des conséquences graves au intérêts de l organisme, - «4» La perte du critère entraînerait des conséquences eceptionnellement graves au intérêts de l organisme But Affecter, pour chaque information et/ou sous-fonction, la valeur finale de sensibilité qui résulte de la synthèse des valeurs attribuées par les utilisateurs. L'auditeur reporte les valeurs de sensibilité déterminées par les utilisateurs sur la fiche "synthèse des besoins de sécurité" et détermine la valeur considérée comme la synthèse
17 Plan 3. Risques 3. La méthode EBIOS 3. Étude du contete 3.2 Epression des besoins de sécurité 3.3 Analyse des risques Epression des besoins de sécurité Étude du contete Objectifs de sécurité Étude des risques Quelles sont les menaces? Quelles sont les risques qui peuvent réellement affecter l'organisme? Activités de l'étape 3.4 Identification des objectifs de sécurité Étude des risques (3/4) 3. Étude des menaces génériques Objectifs Résultat Actions Déterminer les risques qui doivent être couverts par les objectifs de sécurité de la cible de l étude Liste validée des risques retenus Étude des menaces génériques Étude des vulnérabilités spécifiques Analyse des risques spécifiques Confrontation des besoins de sécurité au risques spécifiques 67 Les menaces sont sélectionnées à partir d'une liste de menaces génériques relatives à des thèmes : Accidents physiques Événements naturels Pertes des services essentiels Perturbations dues au rayonnements Compromission des informations Défaillance technique Agression physique Fraude Compromission des fonctions Erreurs 68
18 3. Eemple de sélection de menaces génériques 3. Étude de l'impact de la menace Thème menace Cause Accidentelle Délibérée Ludique Avide Origine Stratégique Terroriste Évaluer les impacts des menaces sur la cible de l'étude en affectant une valeur en terme de sévérité (gravité) Une sévérité s'eprime sur une échelle de 0 à 4 où : III Pertes de service VIII Actions illicites Défaillance de la climatisation Perte d'alimentation électrique Perte de moyens de télécom. Piégeage de matériel Piégeage de logiciel - 0 : la menace n'entraîne aucune conséquence - : la menace implique une conséquence faible - 2 : équivaut à une perte moyenne - 3 : signifie une perte importante - 4 : correspond à une perte complète. Abus de droit Usurpation de droit Fraude Eemple de sévérité des menaces pertinentes 3.2 Etude des Vulnérabilités spécifiques Menace 0.Défaillance de la climatisation Sévérité D I C Commentaires Local aéré Définition Une vulnérabilité est une "caractéristique" du système qui peut être eploitée par une menace.perte d'alimentation électrique 0 0 Groupe électrogène disponible 2.Perte de moyens de télécom. 30.Piégeage de matériel 33.Piégeage de logiciel Mission essentielle Menace 33 - Possibilité de créer ou modifier des commandes systèmes - Possibilité d'implanter des programmes pirates - Possibilité de modifier ou changer les applicatifs - Possibilité d'eistence de fonctions cachées 39.Abus de droit 40.Usurpation de droit 42.Fraude Menace 8 - Matériel ayant des éléments permettant l'écoute passive (câblage, prises de conneion...) 7
19 3.2 Caractérisation des vulnérabilités Les vulnérabilités sont caractérisées par leur faisabilité ou leur probabilité. La faisabilité caractérise les vulnérabilités associées au menaces délibérées (intentionnelles) La probabilité caractérise les vulnérabilités associées au menaces accidentelles Faisabilité (F) 0: menace infaisable 0.25: nécessité de moyens très importants des connaissances pointues 0.5: nécessité d'un certain niveau d'epertise ou matériel spécifique 0.75: réalisable avec moyens standards et connaissance de base : menace réalisable par tout public Probabilité (P) 0: menace improbable 0.25: menace faiblement probable 0.5: menace moyennement probable 0.75: menace fortement probable : la menace est certaine Liste des vulnérabilités associée à la menace 33 Menace n 33 Piégeage de logiciel Libellé de la vulnérabilité Possibilité de modifier les applicatifs Possibilité d'implanter des programmes pirates Possibilité d'eistence de fonctions cachées introduite en phase de conception Personnel manipulable Facilité de pénétrer dans les locau Mat & Log 0.5 Réseau interne Site Personnel utilisateur Personnel développeur Organisation Absence de consigne de sécurité Analyse des risques spécifiques Un risque est considéré comme une menace associée à un ensemble de vulnérabilités qui permettent sa réalisation. Il est caractérisé par son : impact direct en (D, I, C) issu de la menace et une faisabilité / probabilité issue des vulnérabilités retenues Chaque risque, ainsi caractérisé doit être eplicité clairement. C'est l'objet de la fiche des risques spécifiques, qui synthétise, pour le système-cible, l'ensemble des risques spécifiques qui le concernent Analyse des risques spécifiques Eemple : Infection par virus provoquée par une disquette d'origine douteuse amené par le personnel. Piégeage logiciel fait par le personnel d'entretien en dehors des heures ouvrables. Les vulnérabilités eploitées se trouvent dans la fiche des vulnérabilités spécifiques. Un risque est référencé par son numéro de menace, et par un numéro d'ordre dans la menace si cela est nécessaire. 76
20 3.2 Analyse des vulnérabilités spécifiques R Libellé du risque Un informaticien développeur a introduit une fonction cachée dans les applicatifs Un informaticien développeur a introduit une fonction cachée dans les logiciels réseau Le personnel utilisateur modifie les applicatifs Un membre du service implante des programmes pirates Un intrus pénètre dans le site pour implanter des programmes pirates F = = = = = Liste des vulnérabilités associée à la menace 33 Menace n 33 Piégeage de logiciel Libellé de la vulnérabilité Possibilité de modifier les applicatifs Possibilité d'implanter des programmes pirates Possibilité d'eistence de fonctions cachées introduite en phase de conception Personnel manipulable Facilité de pénétrer dans les locau Mat & Log 0.5 Réseau interne Site Personnel utilisateur Personnel développeur Organisation Absence de consigne de sécurité Un informaticien développeur a introduit une fonction cachée dans les applicatifs Liste des vulnérabilités associée à la menace 33 Menace n 33 Piégeage de logiciel Libellé de la vulnérabilité Possibilité de modifier les applicatifs Possibilité d'implanter des programmes pirates Possibilité d'eistence de fonctions cachées introduite en phase de conception Personnel manipulable Mat & Log 0.5 Réseau interne Site Personnel utilisateur Personnel développeur Organisation Un informaticien développeur a introduit une fonction cachée dans les logiciels réseau Analyse des risques spécifiques Synthétiser pour le système cible l'ensemble des risques spécifiques qui le concernent N menace N risque Libellé du risque D I C F/P la centrale de clim % Tombe en panne 22 Impact menace F/P vulnérabilité Un utilisateur du CECP diffuse une information sensible par le réseau RTC % Facilité de pénétrer dans les locau 0.5 Absence de consigne de sécurité
21 3.4 Confrontation des risques au besoins 3.4 Confrontation des risques au besoins Le but de cette activité est de retenir les risques qui sont véritablement susceptibles de porter une atteinte au fonctions ou au informations sensibles. La sélection s'effectue par la mise en relation des risques spécifiques avec les besoins de sécurité, pour mettre en évidence l'impact final de la réalisation d'un risque. Actions : détermination pour chaque fonction et info de la liste des risques qui les concernent confrontation des risques au fonctions et informations. réfleion qui est menée lors de cette activité sert également à orienter la décision de partage entre les mesures techniques et non-techniques. La synthèse s'effectue par la rédaction de la liste des risques retenus pour le système cible, classés en catégories représentatives de leur gravité. Les besoins de sécurité ont été eprimés pour les fonctions et les info. La confrontation des besoins au risques consiste à déterminer les liens directs entre les menaces d'une part et les fonctions et informations d'autre part. Fonction K Menaces Menace_ i Besoin (sensibilité) D I C Impact Impact final (sévérité) D I C D I C 3.4 Eemple de confrontation des risques au besoins Plan - Si une sévérité est nulle, alors l'impact réel est nul - Si une sévérité est non nulle, alors l'impact réel est égal à la sensibilité Fonction K Sensibilité Sévérité Impact final Menaces D I C D I C Défaillance de la clim Généralités 2. Réglementation et FEROS 3. La méthode EBIOS 3. Étude du contete 3.2 Epression des besoins de sécurité 3.3 Analyse des risques 3.4 Identification des objectifs de sécurité Un utilisateur du CECP diffuse une
22 4. Identification objectifs de sécurité 4.Identification des objectifs de sécurité (4/4) Epression des besoins de sécurité Étude du contete Étude des risques Que peut faire l'organisme pour que son système soit mieu sécurisé? Activités de l'étape Objectifs DE Résultat eprimer ce que doit réaliser la cible de l'étude pour que le système-cible fonctionne de manière sécurisé. Listes besoins sécurité / risques /contraintes Rédaction de la FEROS/Liste des objectifs de sécurité Objectifs de sécurité Actions choi des fonctionnalités de base en fonction de la politique de sécurité de l'information et du mode d'eploitation du système, sélection des objectifs de sécurité pour le système comprenant fonctionnalités techniques complémentaires choi des contre-mesures non techniques, 85 prise en compte des contraintes/enjeu. 86 Activités 4. Choi du mode d'eploitation des informations Le mode d'eploitation des informations consiste à indiquer comment le système traite, transmet ou conserve des informations de sensibilités différentes pour des utilisateurs de catégories différentes. Catégorie : Le mode d'eploitation eclusif Tous U ont même niveau + besoin commun d'en connaître Catégorie 2: Le mode d'eploitation dominant Tous U ont même niveau + n ont pas tous besoin commun d'en connaître Catégorie 3: Le mode d'eploitation du système multi-niveau U ne sont pas tous habilitées + n ont pas tous besoin commun d'en connaître 87 88
23 4. Choi du mode d'eploitation des informations 4.2 Epression des objectifs de sécurité choi du mode d'eploitation s'effectue après avoir déterminé si : les types de sensibilité des infos (CDI) correspondent à des classifications et si notions d'habilitation eistent. Il convient ensuite de se reporter au tableau suivants pour trouver le type du mode d'eploitation. but : epression complète objectifs de sécurité de la cible de l'étude. s'appuient sur les objectifs de sécurité minimums et prennent en compte les risques et les contraintes Cf. Tableau page 54 (Techniques) Classification maimum des informations Niveau d'habilitation minimum des utilisateurs Niveau d'habilitation minimum des utilisateurs Classification maimum des informations Sans besoin d'en connaître Si sensibilité d'une info C=4 et si tous les users doivent accéder alors habilitation =4 Avec besoin d'en connaître 9 Administrateur Utilisateur Habilitation Niveau d'habilitation minimum des utilisateurs D I C Classification maimum des informations Courrier élect. Compte rendu Sensibilité D I C Classe de fonctionnalité pour la C = F-B, I=F-IN, D=F-Q2
Devenir Responsable de la sécurité des systèmes d'information (RSSI)
Titre de la formation Devenir Responsable de la sécurité des systèmes d'information (RSSI) Date prévue de la formation Week-end : 31 Mars et 01 Avril, Milieu de semaine : 27 et 28 Mars Objectifs : 2 Jours
Cours 1 : Introduction à la Sécurité des Systèmes d Information
Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours
Systèmes et réseaux d information et de communication
233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques
Panorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Gestion de la sécurité de l information dans une organisation. 14 février 2014
Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité
MÉMENTO. Élaboration de tableaux de bord SSI. Version du 5 février 2004
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous Direction des Opérations Bureau Conseil Élaboration de tableaux de bord SSI
Etabli le : 19.12.14 Par : Hervé De Nicola Remplace la version du :
CAHIER DES CHARGES 1. Actualisation Etabli le : 19.12.14 Par : Hervé De Nicola Remplace la version du : Motif d actualisation : Internalisation ressources 2. Identification du poste Département : INFRASTRUCTURES
Règles relatives à la qualification des produits de sécurité par la DCSSI
Secrétariat général de la défense nationale Paris, le 26 février 2004 N 000451/SGDN/DCSSI/SDR Direction centrale de la sécurité des systèmes d information Règles relatives à la qualification des produits
BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES
BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES 1 FINALITÉ 1 Soutien à la communication et aux relations internes et externes L assistant facilite la communication à tous les niveaux (interpersonnel,
Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»
Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...
Mini-Rapport d Audit basé sur la méthode d analyse MEHARI
Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments
Référentiel de compétences en système d'information
ANTICIPER ET COMPRENDRE Référentiel de compétences en système d'information OCTOBRE 2013 Publication réalisée dans le cadre du programme national Hôpital numérique Métiers Management des soins Cadre responsable
Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com
Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI
La gestion de la documentation
La gestion de la documentation Des aspects méthodologiques & organisationnels.vers la mise en œuvre d un outil de GED M S. CLERC JOSY 13 OCTOBRE 2015 PLAN Définition d un projet de gestion de la documentation
Introduction à la conduite de projet "systèmes d'information"
Centre national de la recherche scientifique Direction des systèmes d'information REFERENTIEL QUALITE Guide méthodologique Introduction à la conduite de projet "systèmes d'information" Référence : CNRS/DSI/conduite-projet/principes/guide-introduction
Cours. Plan. Définitions. Objectifs. Chapitre 4: Analyse de risques. Définitions et objectifs. Méthodes d analyse de risques. Méthode du NIST 8000-30
Plan Définitions et objectifs Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode Conclusion Hdhili M.H Cours sécurité
Quel audit de Sécurité dans quel contexte?
Emplacement du logo client Quel audit de Sécurité dans quel contexte? Hervé Morizot (herve.morizot@solucom.fr) 09 avril 2002 Agenda Quel audit? Selon quelle démarche et avec quels outils? Une "stratégie
Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799
David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information
Plan de secours. Marie-pascale Delamare d'après "Plan de continuité d'activité publié par le CLUSIF" LE PLAN DE CONTINUITÉ DE SERVICE (PCS)
Plan de secours Un plan de continuité de service (PCS) contient à la fois un plan de secours informatique (PSI) et un plan de reprise d'activité (PRA). Avant de commencer une étude de Plan de Secours Informatique,
Cliquez pour modifier le style du titre du Contribution AREVA
Cliquez pour le style du titre du Club masque 27001 Contribution AREVA Objectifs et enjeux du projet Système de Management Référentiels pris en compte dans le cadre du projet Aspects Sécurité de l information
s é c u r i t é Conférence animée par Christophe Blanchot
s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)
L analyse de risques avec MEHARI
L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de
La politique de sécurité
La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,
ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES
ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES Introduction : Le management des risques est un processus qui permet au Business Manager d équilibrer les coûts économiques et opérationnels et faire du
Livre Blanc. Optimiser la gestion et le pilotage des opérations. Août 2010
Livre Blanc Optimiser la gestion et le pilotage des opérations Août 2010 Un livre blanc édité par : NQI - Network Quality Intelligence Tél. : +33 4 92 96 24 90 E-mail : info@nqicorp.com Web : http://www.nqicorp.com
PSSI, SMSI : de la théorie au terrain. Journées Informatique IN2P3/IRFU, Le Grau du Roi, Octobre 2014, BARBET JM Subatech
PSSI, SMSI : de la théorie au terrain 1/23 Plan Introduction : nécessité de la SSI Problématiques en SSI Cadre légal, réglementaire, normes Pilotage de la SSI : de la théorie au terrain Expérience SSI
Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours
Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours
MEILLEURES PRATIQUES POUR LA
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la des systèmes d information Sous-direction des opérations Bureau conseil MEILLEURES PRATIQUES POUR LA GESTION DES RISQUES
Introduction à la norme ISO 27001. Eric Lachapelle
Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2
Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement
Centre Africain de Formation et de Recherche Administratives pour le développement Fondation pour le Renforcement des Capacités en Afrique (ACBF) Forum panafricain sur le leadership et le management de
Qu est-ce qu un système d Information? 1
Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,
Cahier des Charges de l étude de définition de l observatoire de l eau de la Martinique
Cahier des Charges de l étude de définition de l observatoire de l eau de la Martinique I. Présentation générale du contexte : Afin de faciliter aux aménageurs, aux décideurs et au grand public l accès
PROPOSER UNE SOLUTION OPEN SOURCE AU GOUVERNEMENT DU QUEBEC
PROPOSER UNE SOLUTION OPEN SOURCE AU GOUVERNEMENT DU QUEBEC PLAN DE MATCH LE WEB A QUÉBEC 23 au 25 février 2011 - Version 1.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com Au programme
Utilisation de la méthode EBIOS :
Utilisation de la méthode EBIOS : de l organisation projet aux composants du SMSI (Système de Management de la Sécurité de l Information) Philippe TOURRON Direction Opérationnelle des Systèmes d'information/université
METHODOLOGIE : INGENIERIE DES SYSTEMES
METHODOLOGIE : INGENIERIE DES SYSTEMES L ingénierie de systèmes regroupe l ensemble des activités de pilotage des projets de construction effective d un système en s appuyant sur sa décomposition architecturale
Télésanté Aquitaine Version : 1.0 18/02/2011. TéléSanté Aquitaine. Cahier des Clauses Techniques Particulières CTTP
Télésanté Aquitaine Version : 1.0 18/02/2011 TéléSanté Aquitaine Formalisation d'une PSSI et d'une Charte de sécurité informatique Cahier des Clauses Techniques Particulières CTTP Marché passé selon une
Journées techniques de l Ouest
Journées techniques de l Ouest La sécurité des systèmes d information Par Gilles BIZET gilles.bizet@aql.fr [Sommaire] I. [La SSI, qu est ce que c est?] II. [Qu avons-nous à protéger?] III. [Comment se
FICHE D IDENTITÉ DE LA QUALIFICATION VALIDÉE OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE
COMMISSION PARITAIRE NATIONALE DE L'EMPLOI DE LA METALLURGIE Qualification : 2001 01 89 0195 (Cette fiche annule et remplace, à compter du 9 janvier 2007, la précédente fiche d identité) FICHE D IDENTITÉ
MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala
MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte
Concours EXTERNE d ingénieur des systèmes d information et de communication. «Session 2009»
Concours EXTERNE d ingénieur des systèmes d information et de communication «Session 2009» Meilleure copie "Rapport Technique" Thème : conception et développement logiciel Note : 15,75/20 Rapport technique
Améliorer votre approche processus
Améliorer votre approche processus Décrire de manière complète les processus, Mettre en place des tableaux de bord de manière à en surveiller le fonctionnement et à en déterminer l efficacité, Réaliser
Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :
Annonces internes Sonatrach recherche pour sa DC Informatique et Système d Information : Un Directeur Système d Information Système d Information Gestion Système d Information Métier Décisionnel et Portail
C11.2 Identifier les solutions à mettre en œuvre C11.3 Préparer le cahier des charges
Classe de situation (3) Clas.1.1. Conduite d'un projet de F1 Mise en œuvre et suivi de projets de (3 classes de situations / 10 situations / 12 compétences) Situations (4+2+4) Compétences (6+2+4) Compétences
MEILLEURES PRATIQUES POUR LA
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la des systèmes d information Sous-direction des opérations Bureau conseil MEILLEURES PRATIQUES POUR LA GESTION DES RISQUES
Introduction à l'iso 27001
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Introduction à l'iso 27001 Séminaire sur la Sécurité Informatique
Gestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Management par les processus Les facteurs clés de succès. Lionel Di Maggio Master 1 MIAGE
Management par les processus Les facteurs clés de succès Lionel Di Maggio Master 1 MIAGE 1 1. Objectifs et définitions 2. Le retour sur investissement des démarches 3. Les éléments structurants 4. Mise
UE 5 Management des systèmes d informations. Le programme
UE 5 Management des systèmes d informations Le programme Légende : Modifications de l arrêté du 8 mars 2010 Suppressions de l arrêté du 8 mars 2010 Partie inchangée par rapport au programme antérieur 1.
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001
ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse
Tableau de Bord. Clas 1.1 Conduite d'un projet de communication
Bande de Com! Tableau de Bord Julien Pansier PROJET Clas 1.1 Conduite d'un projet de communication 1.1.1 Prise en charge du dossier de l annonceur C11.1. S approprier la demande de l annonceur - Comprendre
Le tableau de bord de la DSI : un outil pour mieux piloter son informatique.
Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Introduction Face à l évolution constante des besoins fonctionnels et des outils informatiques, il est devenu essentiel pour
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Auditabilité des SI et Sécurité
Auditabilité des SI et Sécurité Principes et cas pratique Géraldine GICQUEL ggicquel@chi-poissy-st-germain.fr Rémi TILLY remi.tilly@gcsdsisif.fr SOMMAIRE 1 2 3 4 Les leviers d amélioration de la SSI Les
PROCEDURE GESTION DOCUMENTAIRE
1- Objet & finalité Cette procédure définit les modalités d élaboration et de gestion des documents du Système de management de la Qualité de l école. Elle a pour but : de garantir la conformité, d apporter
CQP Inter-branches Technicien de la Qualité
CQP Inter-branches Technicien de la Qualité Référentiels d activités et de compétences Référentiel de certification OBSERVATOIRE DES INDUSTRIES CHIMIQUES Désignation du métier ou des composantes du métier
THEORIE ET CAS PRATIQUES
THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise
Prestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
L application doit être validée et l infrastructure informatique doit être qualifiée.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés
INDUSTRIALISATION ET RATIONALISATION
INDUSTRIALISATION ET RATIONALISATION A. LA PROBLEMATIQUE La mission de toute production informatique est de délivrer le service attendu par les utilisateurs. Ce service se compose de résultats de traitements
S5 - MANAGEMENT. 511 L organisation notion d organisation modèles organisationnels
S5 - MANAGEMENT Le Management est un élément central de la formation. C est d ailleurs la fonction n 1 du référentiel des activités professionnelles. Il mobilise non seulement des savoirs issus de la psychologie,
CHARTE DE L AUDIT INTERNE
CHARTE DE L AUDIT INTERNE Septembre 2009 Introduction La présente charte définit la mission et le rôle de l audit interne de l Institut National du Cancer (INCa) ainsi que les modalités de sa gouvernance.
Cours de Génie Logiciel. David Janiszek. Le projet. En résumé. Troisième partie III. Eléments de gestion de projet
Troisième partie III Eléments de gestion de projet Un projet informatique est l ensemble des activités et des actions à entreprendre pour répondre au besoin d informatisation d un ensemble de tâches dans
Choisissez un pôle d activité ou un profil et cliquez
Organisation et planification des activités du service Gestion des ressources matérielles Gestion et coordination des informations Relations professionnelles Rédaction et mise en forme de documents professionnels
Projet en entreprise Cadrage du Projet de Fin d Etudes «Un projet informatique.»
Projet en entreprise Cadrage du Projet de Fin d Etudes «Un projet informatique.» Projet de fin d études 2 Sommaire OBJET DU DOCUMENT... 3 LES ETAPES DU PROJET... 4 ETUDE PREALABLE...5 1 L étude d opportunité...
Gouvernance de la sécurité des systèmes d information
Gouvernance de la sécurité des systèmes d information Hicham El Achgar, CISA, COBIT, ISO 27002, IS 27001 LA ITIL, ISO 20000, Cloud Computing ANSI Tunis, le 14 Fév 2013 2003 Acadys - all rights reserved
Gérer concrètement ses risques avec l'iso 27001
SMSI Oui! Certification? Peut être Gérer concrètement ses risques avec l'iso 27001 «L homme honorable commence par appliquer ce qu il veut enseigner» Confucius 23 octobre 2008 Agenda 1. L'ISO 27001 : pour
Etabli le : 30.04.15 Par : F. Genoud / V. Borin Remplace la version du :
CAHIER DES CHARGES 1. Actualisation Etabli le : 30.04.15 Par : F. Genoud / V. Borin Remplace la version du : Motif d actualisation : Mise au concours du poste 2. Identification du poste Département : INFRASTRUCTURES
curité des TI : Comment accroître votre niveau de curité
La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos
S8 - INFORMATIQUE COMMERCIALE
S8 - INFORMATIQUE COMMERCIALE Les savoirs de l Informatique Commerciale doivent être abordés en relation avec les autres savoirs (S4 à S7). Les objectifs généraux sont : o de sensibiliser les étudiants
Piloter le contrôle permanent
Piloter le contrôle permanent Un cadre règlementaire en permanente évolution L évolution des réglementations oblige les institutions financières à revoir leur dispositif de contrôle Secteur bancaire CRBF
Démarche de Choix de Progiciels (d'après le CXP)
Démarche de Choix de Progiciels (d'après le CXP) Page 1 1. PRÉSENTATION DE LA DÉMARCHE...3 1.1 SPÉCIFICITÉS DE LA DÉMARCHE...3 1.2 LA DÉMARCHE...3 2 LES QUATRE ÉTAPES DE LA DÉMARCHE...4 2.1 EXPLORATION
Projet : Plan Assurance Qualité
Projet : Document : Plan Assurance Qualité 2UP_SPEC_DEV1 VERSION 1.00 Objet Ce document a pour objectif de définir la démarche d analyse et de conception objet ainsi les activités liées. Auteur Eric PAPET
Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition
E M M A N U E L Préface de Dominique Guinet B E S L U A U Management de la Continuité d activité Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition Groupe
CLUB EBIOS réunion du 17 Janvier 2008 ISO 27001. Par Mauro ISRAEL certifié Lead Auditor ISO27001 mise à jour janvier 2008
CLUB EBIOS réunion du 17 Janvier 2008 ISO 27001 Présentation & Caractéristiques Par Mauro ISRAEL certifié Lead Auditor ISO27001 mise à jour janvier 2008 1 ISO 27001 en 6 questions D où vient la norme ISO
Les contraintes d appel d offre
RESUME Ce document propose une liste, des contraintes d appel d offre s plus standards. ont un objectif doub : définir s attentes du client sur la démarche d acquisition et préparer la contractualisation
MISE EN PLACE D'UN SYSTEME DE MANAGEMENT ENVIRONNEMENTAL ACCOMPAGNEMENT A LA CERTIFICATION ISO 14001.
MISE EN PLACE D'UN SYSTEME DE MANAGEMENT ENVIRONNEMENTAL ACCOMPAGNEMENT A LA CERTIFICATION ISO 14001. Public : Objectif : Direction Membres du comité de direction - Responsable de service Responsables
Systèmes d information
11 Systèmes Cette famille rassemble des métiers dont la finalité est de concevoir, développer, exploiter et entretenir des solutions (logicielles et matérielles) répondant aux besoins collectifs et individuels
Les métiers de l assistanat Evolutions Compétences - Parcours
Les métiers de l assistanat Evolutions Compétences - Parcours Neuf pôles d activité La majorité des assistantes ont des activités couvrant ces différents pôles, à des niveaux différents, à l exception
INGENIEUR SPECIALITE GESTION ET PREVENTION DES RISQUES DIPLOMÉ DE ARTS ET METIERS PARISTECH EN PARTENARIAT AVEC ITII 2 SAVOIES
INGENIEUR SPECIALITE GESTION ET PREVENTION DES RISQUES DIPLOMÉ DE ARTS ET METIERS PARISTECH EN PARTENARIAT AVEC ITII 2 SAVOIES RÉFÉRENTIEL D ACTIVITÉS ET RÉFÉRENTIEL DE CERTIFICATION ACTIVITE et TACHES
PROGRAMME DE FORMATION
F-5.04 : METHODOLOGIE D UN PROJET DE DEMATERIALISATION ET D ARCHIVAGE ELECTRONIQUE, APPLICATION AUX MAILS /// Objectifs pédagogiques Apporter aux participants les informations essentielles pour aborder
Services et solutions pour le Correspondant à la Protection des Données Personnelles. Protection de la vie privée. Vos contacts
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Services et solutions pour le Correspondant à la Protection des Données Personnelles Vos contacts M. Thierry RAMARD
DSCG. Diplôme Supérieur de Comptabilité et de Gestion. UE 5 Management des systèmes d information. VAE R é f é r e n t i e l d e c o m p é t e n c e s
Diplôme Supérieur de Comptabilité et de Gestion DSCG D é c r e t N 2 0 0 6-1 7 0 6 d u 2 2 d é c e m b r e 2 0 0 6 - A r r ê t é d u 8 m a r s 2 0 1 0 Validation des Acquis de l Expérience VAE R é f é
Vous accompagner à la maîtrise de vos projets SIRH
Vous accompagner à la maîtrise de vos projets SIRH I.Vous accompagner au pilotage métier de projet Le pilotage métier est le levier de sécurisation du projet de refonte SIRH. Avec Magn Ulteam, conjuguez
Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle
Sûreté de fonctionnement Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sommaire Evolution des réseaux industriels et conséquences Modèle de prévention selon
Le Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification
1 sur 8 26/09/2013 16:49 Le Répertoire National des Certifications Professionnelles (RNCP) Résumé descriptif de la certification Intitulé Licence : Licence Sciences, technologies, santé mention Informatique
JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information
JEAN LARROUMETS Co-fondateur FIDENS Consultant en Sécurité des Systèmes d Information Copyright Fidens 2013 - All rights reserved 04/04/13 1 2! Consultant sécurité des SI et Co-fondateur de Fidens Chef
FORMATION. Connaître les exigences réglementaires appliquées aux Systèmes d Information. 1 JOUR soit 7 heures. Réf.AQ-Q1
Réf.AQ-Q1 Les Systèmes d'information des entreprises réglementées font l'objet d'exigences spécifiques. Celles-ci sont souvent difficiles à appréhender pour les spécialistes métier de l'assurance Qualité,
I OBJECTIF PROFESSIONNEL DU CQPM
COMMISSION PARITAIRE NATIONALE DE L'EMPLOI DE LA METALLURGIE Qualification : 2012 07 31 0297 Catégorie : C* Dernière modification : 31/07/2012 REFERENTIEL DU CQPM TITRE DU CQPM : Gestionnaire de configuration
Modèle d implémentation
Modèle d implémentation Les packages UML: Unified modeling Language Leçon 5/6-9-16/10/2008 Les packages - Modèle d implémentation - Méthodologie (RUP) Un package ou sous-système est un regroupement logique
CHARTE DE L AUDIT INTERNE DU CMF
CHARTE DE L AUDIT INTERNE DU CMF Approuvée par le Collège du CMF en date du 3 juillet 2013 1 La présente charte définit officiellement les missions, les pouvoirs et les responsabilités de la structure
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI)
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION (PGSSI) Date : 15.06.2011 Version : 1.0 Auteur : DSI Statut : Approuvé Classification : Publique Destinataires : ACV TABLE DES MATIÈRES 1 RESUME
Exigences de contrôle pour les fournisseurs externes
Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données
Altaïr Conseil. Gestion des risques et pilotage des projets informatiques
Gestion des risques et pilotage des projets informatiques Altaïr Conseil 33, rue Vivienne 75 002 Paris - Tél. : 01 47 33 03 12 - Mail : contact@altairconseil.fr Constats Des projets de plus en plus nombreux
Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher
Titre de la présentation Le management par le risque informatique 24 mai 2011 Jean-Louis Bleicher Quelques données Le chiffre d affaires annuel de la cybercriminalité serait environ deux fois supérieur
Les normes de sécurité informatique
Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002, ISO 27001, BS 7799-2 Présenté par Dr. Ala Eddine Barouni Plan Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 Normes
Politique de sécurité de l information. Adoptée par le Conseil d administration
Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8
La sécurité informatique
1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues
Objectifs et gestion de la sécurité
INF4470 : Fiabilité et sécurité informatique Par Eric Gingras Hiver 2010 Objectifs et gestion de la sécurité Qu'est ce que la sécurité? «Situation où l'on a aucun danger à craindre.» (dictionnaire Larousse)
LA QUALITE DU LOGICIEL
LA QUALITE DU LOGICIEL I INTRODUCTION L'information est aujourd'hui une ressource stratégique pour la plupart des entreprises, dans lesquelles de très nombreuses activités reposent sur l'exploitation d'applications
REFERENTIEL D AMENAGEMENT DES ESPACES DE BUREAU DE LA MAIRIE DE PARIS
REFERENTIEL D AMENAGEMENT DES ESPACES DE BUREAU DE LA MAIRIE DE PARIS V2. 3/23/2011 1 / 7 SOMMAIRE DU REFERENTIEL INTRODUCTION PREAMBULE POURQUOI UN REFERENTIEL D AMENAGEMENT DES ESPACES DE BUREAU? P.