JaafarDEHBI; Consultant SI-TI Pragmatic Consulting

Transcription

1 Sécurité des SI ISO 2700X; MICDA M2 Année Universitaire : JaafarDEHBI; Consultant SI-TI Pragmatic Consulting 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 1 1

2 Sommaire Rappel: Approche Processus et le PDCA de DEMING Ingenierie du Risque. Le Risk Managament: la Le IT Risk management sous ISO 2700X ISO ISO ISO Cas Pratique Methodes MEHARI Approche Pragmatic Audit sous Cobit /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 2

3 Processus A propos de processus Processus : Ensemble de moyens et d activités liés qui transforment des éléments entrants en éléments sortants. Événement enclenchant les processus Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 3 Produit ou service clôturant les processus

4 L Entreprise ; Les Fonctions ; les Processus!! (2) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 4

5 Quelques notions A propos de processus 1. Un processus a une finalité 2. Il est toujours orienté vers un système bénéficiaire, interne ou externe (sous processus) 3. il y a une relation de type client-fournisseur 4. L entreprise est un processus global Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 5

6 Étude d un exemple A propos de processus Un bouquet personnalisé pour le l anniversaire de mon épouse qui a 25 ans, lundi, est-ce possible? Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 6

7 Processus de l entreprise artisanale Cde client Bouquet Composer Emballer BL client Stock Fleurs Livraison Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 7

8 Les non-conformités ou anomalies Cde client Bouquet BL client Composer Emballer Stock Fleurs Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 8

9 Toujours plus Réclamat Cde client Refus Bouquet BL client Composer Emballer Rupture Stock Fleurs Décorer Retard Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 9

10 Du contrôle Faire. Vérifier que ce que l on a fait est satisfaisant. Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 10 19/03/2013

11 À l assurance Prévoirce que l on va faire et commenton va le faire. Fairece que l on a prévu. Vérifierque ce que l on a fait est conforme à ce que l on a prévu. Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 11

12 Et à la maîtrise Prévoirce que l on va faire et commenton va le faire. Fairece que l on a prévu. Vérifierque ce que l on a fait est conforme à ce que l on a prévu. Chercher à s améliorer. Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 12

13 Prévoir - Faire - Vérifier Améliorer Plan Do Check -Act L entreprise planifie la mise en œuvre des processus pour assurer la qualité des produits et services. Faire ce que l on a prévu. L entreprise effectue des contrôles sur les produits et les services à différents niveaux des processus. L entreprise cherche à améliorer la qualité des processus en améliorant l organisation, les compétences, les méthodes, les outils. Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 13

14 La roue de Deming L approche processus s appuie sur le cadre rigoureusement établi par la politique et les objectifs qualité. L objectif de cette approche est la satisfaction des clients par le respect de leurs exigences. Le responsable qualité est non seulement garant de l application des dispositions du système qualité, mais également de son suivi et de son perfectionnement. Prévoir Améliorer Faire Vérifier SMQ Ensemble des acteurs Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 14

15 Le PDCA de DEMING Ref Wikipedia La méthode comporte quatre étapes, chacune entraînant l'autre, et vise à établir uncercle vertueux. Sa mise en place doit permettre d'améliorer sans cesse la qualité d'un produit, d'une œuvre, d'un service, etc. 1. Plan: Préparer, planifier (ce que l'on va réaliser) 2. Do: Développer, réaliser, mettre en œuvre (le plus souvent, on commence par une phase de test) 3. Check: Contrôler, vérifier 4. Act(ouAdjust): Agir, ajuster, réagir (si on a testé à l'étapedo, on déploie lors de la phaseact) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 15

16 La Rouede DEMING Ref Wikipedia Roue de Deming La première étape, Plan, consiste à planifier la réalisation. Elle se déroule généralement en trois phases: 1. Identification du problème à résoudre (par exemple à l'aide duqqoqccp) ou du processus à améliorer. 2. Recherche des causes racines (par exemple à l'aide d'undiagramme de Pareto, d'undiagramme d'ishikawa ou de la méthode des 5 pourquoi). 3. Recherche de solutions avec écriture du cahier des charges et établissement d'un planning. L'étape Do(en français «faire») est la construction, le développement, la réalisation de l'œuvre. Elle est suivie de l'étapecheck(en français «vérifier»), qui consiste à contrôler l'aptitude de la solution mise en place à résoudre le problème ou à améliorer le processus. Sont employés à cet effet des moyens de contrôle divers, tels que les indicateurs de performance. Puis l'étapeactconsiste à agir et réagir, c'est-à-dire corriger et améliorer la solution mise en place, voire à standardiser cette solution. L'étape Actamène donc un nouveau projet à réaliser, donc une nouvelle planification à établir. Il s'agit donc d'un cycle que l'on représente à l'aide d'une roue. À chaque étape, la roue avance d'un quart de tour. Cette avancée représente l'action de progresser. De plus, pour éviter de «revenir en arrière», on représente une cale sous la roue, qui empêche celle-ci de redescendre et qui symbolise par exemple un système qualité, un système d'auditsréguliers, ou un système documentaire qui capitalise les pratiques ou les décisions. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 16

17 Sécurisation du processus Événement enclenchant Cde client Composer F Bouquet Emballer F BL client Stock Fleurs F Livraison Produit clôturant Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 17

18 Sécurisation du processus Cde client Préparer support fleurs décor Vérif. compo Ordonnancement P Cde Compo Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting Composer V Stock Fleurs Bouquet Fiche suiveuse F Décorer 18 Vérif. finale Vérif. décor F BL Compo Emballer V V F Fiche contrôle Vérif livraison V BL client

19 Les processus en questions Qu est-ce que le management par les processus? Le management par les processus consiste pour l entreprise à : identifier les processus et les activités qui les composent, à les décrire, à identifier les acteurs, à désigner leur «propriétaire» (pilote), à définir les dispositifs de pilotage, à améliorer en permanence les processus et leurs activités. Le management par les processus distingue : l efficacité ou l atteinte des résultats, l efficience ou la performance du triplet «fonctionnement-productivité-rendement». Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 19

20 Les différents types de processus Typologie des processus Processus de Réalisation Processus de Pilotage Processus Support & soutien Déterminent la politique et le déploiement des objectifs dans l organisme (Politique, stratégie, technologie,décision, budget, mesure) Contribuent directement à la réalisation du produit ou du service (conception, fabrication, vente, prestation) Contribuent au bon déroulement de la réalisation en leur apportant les ressources nécessaires (ressources, formation, informatique, comptabilité,maintenance) Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 20

21 Ex: Norme ISO 9001 &notion de processus (1/2) Système de Management de la Qualité Amélioration continue L approche ISO 9901 C L I E N T E x i g e n c e s Management des ressources Données d entrée Responsabilité de la direction Réalisation du produit et/ou service Mesure, analyse et amélioration Données de sortie Produit Service S a t i s f a c t i o n C L I E N T Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 21

22 Sommaire Rappel: Approche Processus et le PDCA de DEMING Ingenierie du Risque. Le Risk Managament: la Le IT Risk management sous ISO 2700X ISO ISO ISO Cas Pratique Methodes MEHARI Approche Pragmatic Audit sous Cobit /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 22

23 Gestion du RISQUE Le risque: Problème potentiel qui pourrait nuire au succès du projet s'il se matérialise. Degré d incertitude: 0 < probabilité < 1 La gestion du risque: l'organisation des activités nécessaires pour: Identifier. Analyser. Contrôler et; Réduire les risques du projet. Une perte lui est associée: Temps, Argent, Réputation, Sécurité, etc. Jaafar pragmatic.ma 23

24 Evaluation Cout Bénéfice Déterminer la probabilité d occurrence d un risque Déterminer le coût du risque (Impact) Exposition au risque (ER) =Probabilité du risque X Coût du risque Le GP doit considérer la gestion du risque Négatif et du Risque positif; l Opportunité. Jaafar pragmatic.ma 24

25 Atelier Risque Evénement à Risque Indisponibilité équipe ouvriers pendant 15 Jours Sep l usine réalise 12.MM Dhs /An Panne d une caméra de surveillance dont le MTBF est de Hrs ( approx 5Ans) acquise en Proba. (%) 10%? Impact? ER Opportunité d avoir une remise de 15% sur Appros. Quantité Supérieur «plus de clous». Le lot initial coute 2000 Dhs Arrêt du serveur Exchange smtp.matis.ma qui exporte pour 365 MM Dhs pour lequel aucun Backup n existe. Le matériel est HP-ML350 G5. (MTBF= Hrs). La remise en service MTTR dure 2 Jours. Jaafar pragmatic.ma 25 15%?????

26 Arbres de Décision (Utile #11.3 & #11.4) Un arbre de décisionest un outil d'aide à la décision et à l'exploration de données. Il permet de modéliser simplement, graphiquement et rapidement un phénomène mesuré plus ou moins complexe. Il s agit de prédire avec le plus de précision possible les valeurs prises par la variable à prédire. Jaafar pragmatic.ma 26

27 Atelier 1 Gestion du Risque / Arbre de Décision Voyager en Avion pour Real / Barca. Deux Alternatives Compagnie C1 et C2 Vol Barcelone C1 = Dhs C2 = Dhs On Time 90% Dhs On Time 30% Dhs Jaafar pragmatic.ma 27

28 Traitement des Risques Faire face aux risques Réduction du risque: mise en place de dispositifs de sécurité Transfert du risque: assurances. Convient aux risques à faible probabilité. Acceptation du risque: ne rien faire. Convient aux situations de risque faible et de coût de contremesure élevé. Autre(s): Mitigation ; cadcombinaison de deux techniques; 19/03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne

29 Approche au Risque Réactif : Rien n est fait jusqu à ce qu un problème se présente. Comportement de «Pompier». Proactif : Les risques sont identifiés, leurs probabilités et leurs impacts sont évalués. Un plan est établi pour gérer le risque.

30 Gravité 5-Catastrophique 11- Management des risques du projet Caractériser le risques et prévoir des actions de maîtrise Action de prévention ( action sur les causes) Zone de risque inacceptable 4-Très grave 3-Grave 2-Majeure 1-Mineure R1 Zone de risque acceptable R1 R1 Action de protection ou de secours ( action sur les effets) Probabilité 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 30

31 Exercice 1: (Suite) Stratégie & Contingence Événement Proba. % Impa ct Quan tificat ion Palier Quantitatif ( par 50 Kdhs) Qualifica tion du Risque Evaluation du Riisque Strategie de Traitement Actions Specifiques Indisponibilité équipe ouvriers pendant 15 Jours Sep l usine réalise 12.MM Dhs /An 10% Kdhs Eviter; Notifier Dir. Supports/RH et le Dir Prod pour Intérimaires et Prévoir Congés étalés. Panne d une caméra de surveillance dont le MTBF est de Hrs ( approx 5Ans) acquise en % Accepter; Ne Rien Faire >> Fin de Cycle de Vie et Consulter pour remplacement Arrêt du serveur Exchange smtp.matis.ma pour lequel aucun Backup n existe. Le matériel est HP- ML350 G5. (MTBF= Hrs). La remise en service MTTR dure 2 Jours. 1% 2.M M Dhs Eviter; Prevoir Serveur de Courrier Redondant avec AST=99,999% Jaafar DEHBI -Consultant SI-TI -Pragmatic 19/03/ Consulting

32 Sommaire Rappel: Approche Processus et le PDCA de DEMING Ingenierie du Risque. Le Risk Managament: la Le IT Risk management sous ISO 2700X ISO ISO ISO Cas Pratique Methodes MEHARI Approche Pragmatic Audit sous Cobit /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 32

33 ISO : Le RiskManagement ISO 31000: Famille de Normes de gestion des Risques Le but de la norme ISO 31000: fournir des principes et des lignes directrices du management des risques ainsi que ; les processus de mise en œuvre au niveau stratégique et opérationnel. Hors de Portée : Promouvoir l'uniformisation du management du risque au sein des organismes, mais plutôt à harmoniser l ensemble des approches, de standards et de méthodologies existantes en matière de management des risques. Actuellement, la famille ISO comprend: ISO 31000:2009 Management du risque Principes et lignes directrices ISO/IEC 31010: Gestion des risques - Techniques d'évaluation des risques ISO Guide 73: Management du risque Vocabulaire 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 33

34 Les prévisions et l optimisation sont parfois complexes Allez y! Ca ne loupe pas à tous les coups! 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 34

35 Sommaire Rappel: Approche Processus et le PDCA de DEMING Ingenierie du Risque. Le Risk Managament: la Le IT Risk management sous ISO 2700X ISO ISO ISO Cas Pratique Methodes MEHARI Approche Pragmatic Audit sous Cobit /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 35

36 La Famille ISO 2700X 19/03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne

37 La famille ISO /03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne

38 27001 en PDCA 1. Plan : consiste à planifier les actions que l entreprise va entreprendre en termes de sécurité 2. Do : l entreprise réalise ce qu elle a planifié dans ce domaine 3. Check : l entreprise vérifie qu il n existe pas d écart entre ce qu elle a dit et ce qu elle a fait 4. Act: consiste à entreprendre des actions correctives pour les écarts qui ont été constatés précédemment La norme comporte 9 chapitres dont 5 (les chapitres 4 à 8) doivent obligatoirement être respectés pour répondre à cette norme et obtenir une certification. Le chapitre 4 est au coeurde la norme et est divisé en plusieurs parties correspondant aux 4 phases du PDCA. Il détermine la mise en place du SMSI, son implémentation et son exploitation, le contrôle du SMSI et; son amélioration. Le chapitre 5 définit les engagements et responsabilités de la direction, le chapitre 6 développe les questions d audits internes du SMSI tandis que; les 7e et 8e précisent respectivement le réexamen du SMSI par la direction et son amélioration. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 38

39 ISO 2700x : Fondements de la Securite Informatique 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 39

40 ISO & Le SMSI 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 40

41 ISO 2700x. Et le SMSI Fut. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 41

42 ISO /03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne

43 ISO /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 43

44 Genesede l ISO /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 44

45 Le RISK Management :Un AutrePDCA 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 45

46 Risk Management & 2700x /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 46

47 Risk Management & 2700x /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 47

48 Risk Management..ISO /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 48

49 EtablissementduContexteVs PDCA 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 49

50 27005 : Definition de Contexte 1. Définir ses critères de base (7.2) 2. Définir le champ et les limites du processus de gestion du risque (7.3) 3. Décrire l'environnement du processus de gestion du risque(7.3) 4. Décrire l'objet du processus de gestion du risque (7.3) 5. Organiser et gouverner la gestion du risque (7.4) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 50

51 Appreciation durisk (1) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 51

52 Appreciation durisk(2) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 52

53 Appreciation durisk 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 53

54 Analyse de Risk 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 54

55 Les Actifs Identification et évaluation des actifs ( ): Actifs non-identifiés à l'issue de cette activité ne seront pas classés >>> Même compromis Propriétaire de l'actif :responsable et redevable pour cet actif ( ) Production, développement, maintenance, usage, sécurité,... Pas au sens droit de propriété 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 55

56 Les Menaces Identification des menaces ( ): En priorité les menaces d'origine accidentelles et délibérées; De manière générique et par type: Compromission de l'information, pannes techniques, actions non autorisées Source Qui et quoi cause la menace Cible Quels éléments du système peuvent être affectés par la menace 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 56

57 Les Vulnerabilites Identification des vulnérabilités ( ) : Vulnérabilités généralement reliées aux propriétés ou attributs des actifs Vulnérabilités sans aucune menaces doivent être quand même reconnues et suivies en cas de changement plus tard 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 57

58 Les Consequences Identification des conséquences ( ) ou des effets induits : Identification des dommages ou des impacts sur l'organisme; Causé par une menace exploitant une vulnérabilité Lors d'un incident de sécurité (cfiso ) Impact mesuré selon les critères d'impact: Peut affecter un ou plusieurs actifs Identification des conséquences opérationelles 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 58

59 Le code des bonne pratiques ISO /03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne

60 ISO La normeiso/cei 27002: ISO -Publiée en remplacement de BS17799; standard étant obsolète depuis 2005; Relative aux Bonnes pratiques pour la gestion de la sécurité de l'information. L'ISO/CEI : 15 Chapitres dont: 4 pour l introduction et l organisation de la Norme; 11 chapitres pour le Management de la securite; Un ensemble de 133 mesures dites «best practices», destinées à être utilisées par tous ceux qui sont responsables de la mise; La sécurité de l'information y est définie comme la «préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information». Cette norme n'a pas de caractère obligatoire pour les entreprises; Elle n est pas certifiablepour les organismes contrairement a 27001; 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 60

61 ISO /03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 61

62 ISO 27002: les 4 Premiers Chapitres Chapitre n 1: Champ d'application : Recommandations pour la gestion de la sécurité des informations; Chapitre n 2: Termes et définitions: Sécurité de l'information est explicitement définie comme la préservation de la confidentialité, l intégrité et la disponibilité de l'information. Chapitre n 3: Structure de la norme: Mise en évidence des objectifs de contrôle Chapitre n 4: Évaluation des risques et de traitement : Directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 62

63 La norme ISO : Chap5 a Chap15 Les 11 chapitres de la norme ISO /03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne

64 Chapitre n 5: Politique de sécurité de l'information: la nécessité pour l organisme de disposer d une politique de sécurité de l information et de la réexaminer régulièrement. Chapitre n 6: Organisation de sécurité de l'information : Il décrit les mesures nécessaires pour l établissement d un cadre de gestion de la sécurité en interne et traite de tous les aspects contractuels lies a la sécurisation de l accespar des tiers (clients, sous-traitants, ) au système d information. Chapitre n 7: Gestion des actifs : Importance d inventorier et de classifier les actifs de l organisme afin de maintenir un niveau de protection adapte. Chapitre n 8: Sécurité liée aux ressources humaines Il donne les recommandations destinées a réduire le risque d erreur ou de fraude en favorisant la formation et la sensibilisation des utilisateurs; 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 64

65 Chapitre n 9: Sécurités physiques et environnementales : les mesures pour protegerles locaux de l organisme contre les accesnon autorises et les menaces exterieureset environnementales ainsi que protegerles materiels(emplacement, maintenance, alimentation electrique ). Chapitre n 10: Exploitation et gestion des communications : les mesures permettant : d assurer une exploitation correcte et sécurisée des moyens de traitement de l information ; de gérer les prestations de service assurées par des tiers ; de réduire les risques de panne ; de protéger l integrite des informations et des logiciels ; de maintenir l integrite, la confidentialiteet la disponibilitedes informations et des moyens de traitement de l information ; d assurer la protection des informations sur les reseauxet la protection de l infrastructure ; De maintenir la securitedes informations et des logiciels echangesau sein de l organisme et avec une entite exterieure; et enfin de détecter les traitements non autorises de l information. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 65

66 Chapitre n 11: Contrôle d'accès : mesures pour gereret controlerles acceslogiques aux informations, pour assurer la protection des systemesen reseau, et pour detecterles activitesnon autorisees. Ce themecouvre aussi la securitede l information lors de l utilisation d appareils informatiques mobiles et d equipements de teletravail. Chapitre n 12: Acquisition, développement et maintenance des systèmes d'informations : mesures pour veiller a ce que la securitefasse partie integrantedes systemesd information. Ce themetraite aussi des mesures visant a prevenirla perte, la modification ou la mauvaise utilisation des informations dans les systemesd'exploitation et les logiciels d'application et enfin a protegerla confidentialite, l authenticite ou l integrite de l information par des moyens cryptographiques. Chapitre n 13: Gestion des incidents: Necessitede mettre en place des procedurespour la detectionet le traitement des incidents de securite. Chapitre n 14: Gestion de la continuité d'activité.: Mesures pour la gestion d un plan de continuite de l activitevisant a reduirele plus possible l impact sur l organisme et a recupererles actifs informationnels perdus notamment a la suite de catastrophes naturelles, d accidents, de pannes de materiel et d actes deliberes. Chapitre n 15: Conformité Respect des lois et des reglementations ; Respect de la conformite des procedures en place au regard de la politique de securite Mesure de efficacitedes dispositifs de tracabiliteet de suivi des procedures, notamment les journaux d'activites, Audits et les enregistrements de transactions. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 66

67 Avantagesd utiliseriso Organisation : image positive auprès des actionnaires lorsque l'entreprise tend a maitriser ses risques pour maximiser ses profits Conformite: la norme insiste sur la necessited'identifier toutes les lois et reglementationss'appliquant a l'entreprise et la mise en oeuvrede processus adaptes pour identifier et suivre les obligations permet de prouver au moins la volontede conformiteet instancie effectivement la culture de veille et d amelioration constante; Gestion des risques : la norme insiste dans ses chapitres d introduction sur la necessitede realiserune analyse de risques periodiquementet definitdans les domaines politique de securite et organisation de la securite les pratiques a mettre en oeuvrepour gererles risques mis en lumierepar l analyse de risque.; d où Une meilleure connaissance des risques et donc une meilleure allocation des ressources permettant d ameliorer la fiabilite du systeme. Finances : elle permet de maitriser les couts induits par la getsiondu Risque SMSI; Enfin; elle permet d instancier la culture de l amelioration de la gouvernance du SMSI et d envisagerla certification ISO 27001; pour le sorganismesdesireuxde se faire certifier sous ISO 27001; 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 67

68 Politique de sécurité L objectif est, pour la Direction, de: o Exprimer formellement la stratégie de sécurité de la société o Communiquer clairement son appui à sa mise en œuvre. Un document exposant la politique de sécurité doit être approuvé Il doit être révisé et adapté périodiquement en prenant en compte l efficacité de ses mesures, le coût et l impact des contrôles sur l activité, les effets des évolutions technologiques. La sécurité est une responsabilité partagée par tous les membres de l équipe de direction. Un comité de direction multifonction doit être formé pour assurer un pilotage clair et une visibilité élevée de l engagement de la direction. Il définit les rôles et responsabilités, les méthodes et procédures, approuve et supporte les initiatives de communication internes.

69 Politique de sécurité Politique de sécurité de l'information o Objectif: Apporter à la sécurité de l information une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur. Document de politique de sécurité de l information o Mesure: Un document de politique de sécurité de l information doit être approuvé par la direction, puis publié et diffusé auprès de l ensemble des salariés et des tiers concernés. Réexamen de la politique de sécurité de l information o Mesure: Pour garantir la pertinence, l adéquation et l efficacité de la politique de sécurité de l information, la politique doit être réexaminée à intervalles fixés préalablement ou en cas de changements majeurs.

70 Organisation de la sécurité de l information RSSI CSSI

71 Les acteurs de la SSI RSICP : Responsable sécurité informatique du Centre de profit CISI : Correspondant informatique du site La sécurité doit être structurée : une organisation particulière doit être mise en place afin de gérer les différents composants de la sécurité, les acteurs et leurs évolutions. Les responsabilités doivent être partagées entre les différents niveaux hiérarchiques : - Niveau décisionnel : il conçoit, met en place, et assure le respect de la politique de sécurité. - Niveau de pilotage : il s agit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la charge (consignes, directives, contrôle interne, sensibilisation) Niveau opérationnel : il s agit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité.

72 Responsable de la Sécurité des Systèmes d Information (RSSI) Définition: «Le RSSI est le garant de la sécurité des systèmes d information de l entreprise. Ses domaines d action sont multiples mais ils répondent à un seul objectif : assurer l intégrité, la cohérence et la confidentialité des données de tous les systèmes d information de l entreprise.» Positionnement hiérarchique (ideal) : - rattaché directement à la Direction générale - dispose d un budget spécifique Pourquoi? - SSI = partie intégrante de la stratégie de l entreprise - La SSI doit venir de la volonté du sommet de l entreprise - La SSI exige une vision globale de l entreprise Missions Fonctions 72 - Bonne connaissance de l ensemble des métiers, ancienneté - Bonnes compétences techniques (système et réseau) - Sens avéré de la stratégie et de la communication - Analyse des risques. - Contrôle, audit. - Architecture, conception. - Veille technologique. - Sensibilisation, formation.

73 Organisation de la sécurité de l information Organisation interne Objectif: Gérer la sécurité de l information au sein de l organisme. Implication de la direction vis-à-vis de la sécurité de l'information Mesure: La direction doit soutenir activement la politique de sécurité au sein de l organisme au moyen de directives claires, d un engagement démontré, d attribution de fonctions explicites et d une reconnaissance des responsabilités liées à la sécurité de l information. Coordination de la sécurité de l'information Mesure: Les activités relatives à la sécurité de l information doivent être coordonnées par des intervenants ayant des fonctions et des rôles appropriés représentatifs des différentes parties de l organisme.

74 Organisation de la sécurité de l information Attribution des responsabilités en matière de sécurité de l information Mesure: Toutes les responsabilités en matière de sécurité de l information doivent être définies clairement. Système d autorisation concernant les moyens de traitement de l information Mesure: Un système de gestion des autorisations doit être défini et mis en œuvre pour chaque nouveau moyen de traitement de l information. Engagements de confidentialité Mesure: Les exigences en matière d engagements de confidentialité ou de non-divulgation, conformément aux besoins de l organisme, doivent être identifiées et réexaminées régulièrement.

75 Organisation de la sécurité de l information Relations avec les autorités Mesure: Des relations appropriées doivent être mises en place avec les autorités compétentes. Relations avec des groupes de spécialistes Mesure: Des contacts appropriés doivent être entretenus avec des groupes de spécialistes, des forums spécialisés dans la sécurité et des associations professionnelles. Réexamen indépendant de la sécurité de l information Mesure: Des réexamens réguliers et indépendants de l approche retenue par l organisme pour gérer et mettre en œuvre sa sécurité (c'est-à-dire le suivi des objectifs de sécurité, les politiques, les procédures et les processus relatifs à la sécurité de l information) doivent être effectués ; de tels réexamens sont également nécessaires lorsque des changements importants sont intervenus dans la mise en œuvre de la sécurité