Mise en oeuvre d'un système de management de la sécurité de l'information

Transcription

1 Mise en oeuvre d'un système de management de la sécurité de l'information 25 & 26 février 2015 Remerciements : certaines images peuvent être issues de OpenClipart gallery Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 1

2 Qu'est que la sécurité de l'information et quel lien avec une organisation? A quel secteur public ou privé s'adresse un système de management de la sécurité de l'information? Comment mettre en oeuvre un SMSI? Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 2

3 Présentation du formateur Laurent OHEIX (Animateur) Consultant-formateur-manager de projet depuis 1994 Entrepreneur, repreneur, manager Expert intelligence économique & management Synertal intége la SSI comme levier de performance durable de l'entreprise (dynamique de management intégré) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 3

4 Implémentation d'un SMSI Module 1 - Fondamentaux pratiques Module 2 - Management de la sécurité de l'information & SMSI Module 3 - Les normes iso & co (évolution v2013) Module 4 - Mise en oeuvre d'un SMSI Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 4

5 MODULE 1 Fondamentaux pratiques de la sécurité de l'information Information et sécurité de l'information Définition de sécurité de l'info Notions et principes essentiels de sécurité Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 5

6 L'information est partout Qu'est-ce qu'une information? Définition : une indication, un renseignement, un événement, un fait, un jugement, une nouvelle communiquée, un élément de connaissance, (d'après Larousse) L'information prend différentes formes : numérique (fichier, base de données) savoir document (écrit) mot (oral) L'information se dématérialise de plus en plus L'information est partout (et plus elle se dématérialise et plus elle se répand) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 6

7 L'information est partout L'organisation et ses échanges d'information Etat Administrations Externe Semi-interne Concurrent Fournisseurs produit Banques Salarié Interne Equipe IT Prestataires Manager Interim Clients Partenaire Fournisseurs externes Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 7

8 A quoi bon sécuriser l'information? Information = pétrole du XXIe siècle La détenir Force = Information utile à l'entreprise pour se développer (pouvoir, anticipation, ) Force = Influence (information à communiquer sur l entreprise) Risque = Information sensible (vol, IE, piratage...) La sécuriser Indispensable (survie) Maturité Risque (tuer la perfo, nuire au développement, alourdir le fonctionnement) démarche de sécurité de l'information intégrée Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 8

9 La sécurité de l'information Plusieurs notions, plusieurs aspects, plusieurs enjeux!!! IE (intelligence économique) : donner la bonne information, à la bonne personne, au bon moment pour lui permettre de prendre la bonne décision IAM (identity & access management) : donner les bons accès, à la bonne personne, au bon moment pour lui permettre d'exercer ses fonctions L'environnement numérique a évolué : - on trouve maintenant de l'info stratégique partout fois plus de composants à protéger qu'il y a 10 ans. - 2 giga de données : de disquettes à une clé USB Confiance numérique = sécurité de l'information + qualité des données Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 9

10 La sécurité de l'information ubiquité, inter-connectivité globale : adressage IP globale instantanéité : latence < une seconde quantité 10n bits stockés ou échangés, n > 20 coût de copie parfaite quasi nul "asymétries" de moyens, de compétences, d'opportunités : "géants" mondiaux avides de données, fracture "numérique", "effet de réseau", "transactionalisation" de la vie privée accroissement de la part des investissements dans les TIC / autres secteurs Ce que change la "convergence numérique" Source article "Risques et sécurité de augmentation de la complexité des systèmes, nécessité de compétences sans cesse plus pointues ; disponibilité de moyens autrefois réservés aux seuls espions l'information" AFNOR - Bivi - Sept 2014 production à une échelle sans précédent de traces numériques (big data) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 10

11 La sécurité de l'information Quelques faits majeurs (1/2) 2007, l'estonie, a été la cible d'attaques simultanées en dénis de services distribués (DDOS), provenant de plusieurs dizaines de pays, et qui ont abouti à la paralysie totale des services en ligne de cet état. 2008, Conficker (malware de type ver), infecte plusieurs million d'ordinateurs (sous Windows), et aurait perturber le fonctionnement des SI de plusieurs ministères de la défense 2010, Stuxnet (ver) se serait attaqué aux systèmes de type "SCADA" du programme nucléaire Iranien, provoquant la défaillance des centrifugeuses En fin d année 2010, Wikileaks dévoilait des milliers de documents confidentiels du Département d'etat US 2010, attaque de Google en Chine (Opération Aurora), provoquant son retrait partiel Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 11

12 La sécurité de l'information Quelques faits majeurs (2/2) 2011, en France, organisatrice du G20, le Ministère de l'économie et des Finances et des sociétés grandes envergures, subissent une attaque de type "APT" (Advanced Persistent Threats) qui provoque la fuite d'informations ciblées et sensibles 2012, vol de données bancaire en Suisse 2012, intrusion par "Social Engineering" dans le SI de L'Elysée 2013, LE grand scandale sur la nature des programmes de la NSA sur les écoutes ("affaire Snowden", PRISM...) 2014, failles majeures détectées dans OpenSSL "HeartBleed" (sécurité du chiffrement sur internet, https / VPN, transaction e- commerce...) 2014, le Ministère de la Défense s interroge sur la sécurité des serveurs LEVONO (chinois, anciennement IBM), "backdoors" dans le matériel? Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 12

13 La sécurité de l'information Se protéger. Oui. Mais faire simple et réaliste La sécurité maximale serait invivable il faudrait théoriquement : mettre les infos confidentielles uniquement sur des PC non connectés, tout stocké chaque jour dans une armoire forte. Avoir un mot de passe par dossier, avoir des mots de passe robustes et changés toutes les semaines,... La protection absolue n'existe pas car elle nous empêcherait de travailler au quotidien Faire simple et pragmatique Classifier les personnes et les données. S'assurer de l'identité de nos interlocuteurs et leur légitimité à recevoir l'information. Définir le process de diffusion, accès et protection de l'information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 13

14 Qu est-ce que la sécurité de l'information? ISO (17799) / ISO Protection de la confidentialité, de l intégrité et de la disponibilité de l information; en outre, d autres propriétés, telles que l authenticité, l imputabilité, la nonrépudiation et la fiabilité peuvent également être concernées. Au delà des aspects confidentialité / intégrité / disponibilité : notion de preuve, de "prouvabilité", d'auditabilité, de traçabilité Les informations et les traitements qui leur sont appliqués doivent pourvoir être tracés afin De déterminer les causes en cas d'incident De pouvoir attribuer sans ambiguïté une action à une ressource (personne ou système) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 14

15 La sécurité de l'information Définition de la sécurité de l'information Objectif : Protéger l'information sensible sous tous ses aspects (l'information en soi et les process / systèmes qui les traitent) Confidentialité - Intégrité - Disponibilité Logique calquée sur le management de la qualité, basée sur la gestion du risque Toutes les informations / systèmes n'ont pas la même valeur Risque = probabilité et impact de l'exercice d'une menace sur une vulnérabilité d'un bien (information ou système ayant une valeur pour l'entreprise) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 15

16 Mise en activité Définition et termes de sécurité SI Objectif : comprendre les termes de sécurité des SI et leur application dans le contexte de votre société 1) Lier les termes suivants (schéma global) : biens - vulnérabilités - risques - risques résiduels - menaces - mesures de protection 2) Plus précisément, lier les termes suivants (placer Risque au centre du schéma) : menaces - vulnérabilités - Bien - Valeur du bien - impact sur l'organisation - exigences de sécurité - contrôles - menaces - Risques Partage et échanges en groupes (10 mn) en commun (20 mn) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 16

17 Quelques définitions Actif / Bien (asset) Tout ce qui a de la valeur pour l'entreprise Ordinateurs, machines, locaux, informations / données, logiciels, personnel, image / notoriété Menace (threat) Cause potentiel d'un incident de sécurité pouvant entraîner des dommages à un bien et, par la même, à l'entité dont dépend la ressource Vulnérabilité (vulnerability) Une faiblesse d'un bien ou d'un ensemble de biens pouvant être exploitées par une ou plusieurs menaces Disponibilité (availability) Propriété d être accessible et utilisable à la demande par une entité autorisée. Risque (risk) La possibilité qu'une menace donnée exploite les vulnérabilités d'un bien ou d'un ensemble de biens et cause ainsi des dommages à l'organisation Mesure de protection (safeguard / control) Une pratique, une procédure ou un mécanisme permettant de traiter un risque Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 17

18 CONFIDENTIALITE C'est la propriété qui assure qu'une information ne peut être lue que par des entités habilitées (selon des contraintes précises) : Un mot de passe ne doit jamais pouvoir être lu par un autre que son possesseur Un dossier médical ne doit pouvoir être consulté que par les malades et le personnel médical habilité Le but de la confidentialité est de s assurer que des informations transmises ou stockées ne sont accessibles qu aux personnes autorisées à en prendre connaissance. Cet objectif de sécurité est classiquement assuré par le chiffrement mais peut bien entendu également l être par tout autre moyen approprié, à commencer par des mesures organisationnelles non cryptographiques. Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 18

19 DISPONIBILITÉ C'est la propriété d être accessible et utilisable à la demande par une entité autorisée : une information n'a de valeur que si elle est accessible et utilisable pour la bonne personne au bon moment (si possible sans trop d'effort, et avec une bonne réactivité) le défaut de disponibilité à un impact fort sur la productivité inclus donc la disponibilité de son "support" (quand numérique, le Système d'information) se mesure généralement par un indicateur de "qualité de service" (SLA, ratio de type 99,9...% du temps de disponibilité contractuel) plus on l'augmente plus c'est coûteux (redondance) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 19

20 INTEGRITE C'est la propriété qui assure qu'une information n'est modifiée que par des entités habilitées (selon des contraintes précises) : Une modification intempestive (même très temporaire) est à interdire sur une écriture comptable validée Les codes binaires des programmes ne doivent pas pouvoir être altéré Les messages de l ingénieur système doivent pouvoir être lus et non modifiés Assurer l intégrité de données consiste à empêcher, ou tout du moins à détecter, toute altération non autorisée de données. Par altération on entend toute modification, suppression partielle ou insertion d information. L intégrité des données est classiquement assurée en cryptographie par des codes d authentification de message ou des mécanismes de signature numérique. Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 20

21 AUTHENTICITÉ, AUTHENTIFICATION Authenticité : "Propriété selon laquelle une entité est ce qu'elle revendique être" (ISO ) Authentification : "moyen pour une entité d'assurer la légitimité d'une caractéristique revendiquée" L'authenticité assurée par l'authentification protège de l'usurpation d'identité. EXEMPLE Signature (au sens classique) = Authentification La première idée contenue dans la notion habituelle de signature est que le signataire est le seul à pouvoir réaliser le graphisme (caractérisation psychomotrice) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 21

22 NON REPUDIATION C'est la propriété qui assure que l'auteur d'un acte ne peut ensuite nier l'avoir effectué. Signature (au sens habituel) = Authentification+Non répudiation : La seconde idée contenue dans la notion habituelle de signature est que le signataire s'engage à honorer sa signature: Deux aspects spécifiques de la non répudiation dans les transactions électroniques: a) La preuve d'origine Un message (une transaction) ne peut être nié par son émetteur. b) La preuve de réception Un récepteur ne peut ultérieurement nier avoir reçu un ordre s'il ne lui a pas plu de l'exécuter alors qu'il le devait juridiquement. Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 22

23 Relation entre les éléments (global) Risques résiduels Bien (actifs) Criticité du bien Mesures de protection Risques (niveau de risque) Menaces Vulnérabilités l'essentiel = connaître les menaces (causes potentielles d'incident) et les vulnérabilités (faiblesse d'un bien pouvant être exploité par une menace) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 23

24 Relation entre les éléments (détail) Contrôles ayant Protège contre Mesures induit Menace Exigences de Sécurité Objectifs de sécurité Indique Réduit Augmente Indique Exploite Risque Vulnérabilité Augmente Diminue Impact sur l Organisation Expose Bien Valeur de bien A Possède Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 24

25 RISQUES Principaux risques à prendre en compte dans un système de traitement de l'information : modification, altération ou destruction Vol, compromission Interruption de service, mise hors d'état de l'information sous toute ses formes (humain, locaux, matériel, logiciel, donnée, document,...) Ces risques incitent à la PROTECTION des informations, des services de communication et de traitement de données, ainsi que des équipements en cause et leur lieu. Source de risque Danger Facteur de risque Risque Conséquence Impact Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 25

26 ACTIFS /BIENS (identification) Sont à identifier et à estimer (valeur ie criticité) sur la base de critères déterminés comme par exemple : La violation de la réglementation et de la législation, Manque à gagner pour l entreprise, perte financière..., Impact sur la notoriété, Interruption de l activité de l entreprise, Brèches aux promesses de confidentialité avec les parties prenantes (clients, fournisseurs, partenaires,...), Endommagement de l infrastructure, Etc. Identification des actifs = Processus permanent et itératif Valorisation des actifs selon critères (par nature d'impact direct ou indirect i.e perte de, atteinte à, crise...) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 26

27 ACTIFS / BIENS (exemples de nature ) Savoir-faire métier (technique, organisationnel, ) Savoir-faire documenté (processus, brevet, procédures,...) Capital immatériel (image, base client...) Documentation contractuelle/ juridique/ Informations financières Informations commerciales, contacts / carnet d'adresses Informations techniques du système d'information Innovation (technique, organisationnelle,...) Archives et sauvegardes Moyens humains Moyens d'accès numériques des utilisateurs/ d'accès physiques Infrastructures (locaux, Matériels/ Machines / outils de production/...) Logiciels applicatifs/... Moyens de développement ou test (machines/ outils/ logiciels ) Moyens de connexion (réseaux/ ) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 27

28 MENACES A)ccidentelle, D)élibérée ou E)nvironnementale D'origine interne ou externe On distingue généralement : Menace passive : elles ne modifient pas le contenu de l'information et portent essentiellement sur la confidentialité (branchement sur une ligne de transmission, capture de signaux hertziens...). Menace active : elles modifient le contenu de l'information ou le comportement des systèmes de traitement (brouillage des communications, modification des données transmises ou résidentes, pénétration du système, destruction physique ou logique). Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 28

29 Menaces les plus courantes (selon iso27005:2011) «Type» au sens impacts (conséquences) prêter une attention particulière aux sources de menace humaines ( suivants) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 29

30 Typologie des acteurs de la malveillance Personnel de l entreprise Personnel des prestataires Concurrence Pirate Crime organisé, Mafia, petite délinquance Services de renseignement des entreprises Services de renseignement des états etc. Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 30

31 VULNERABILITES Les vulnérabilités peuvent concerner plusieurs domaines de l organisation : Locaux et infrastructure (protection des immeubles et bureaux, alimentation électrique, zone inondable, etc.) Équipement matériel (sensibilité aux radiations, à l humidité, aux fluctuations de température, à la poussière, etc.) Programmes et logiciels (pannes, interfaces, mécanismes d habilitation, d authentification et d identification, téléchargement, contrôle des mots de passe, etc.) Télécommunication (lignes et câblage réseau, reconnaissance des interlocuteurs, tenue de charge du trafic, accès TCP/IP, etc.) Documentation (archivage, mise à disposition et copie, etc.) Personnel (prise de conscience, les invités externes, etc.) 4 natures de vulnérabilités : techniques, organisationnelles, humaines, extérieures (image) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 31

32 Vulnérabilité des Systèmes d Information (1/2) Techniques (matériel, logiciel, réseaux...) Faiblesses de conception (architectures, équipements, logiciels, etc.) Programmes peu robustes Organisationnelles (site, organisation,...) Architectures permissives Emploi de versions non corrigées des erreurs Administration non sécurisée de l exploitation Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 32

33 Vulnérabilité des Systèmes d Information (2/2) Humaines Méconnaissance de la menace Insouciance des utilisateurs et/ou de la Direction Connexions internet sans sécurité suffisante Extérieures Image et notoriété Diffamation, dénigrement, décrédibilisation Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 33

34 Mise en activité Performance? Sécurité? Maturité? Objectif : comprendre en quoi la sécurité est un gage de performance de l'entreprise et ses clients 1 brainstorming sur les notions de performance, efficience, efficacité de l'entreprise 2 identifier comment se situe la sécurité de l'information par rapport à ces notions (la sécurité de l'information, tueuse de performance & d'efficience de l'entreprise?) Echanges & partage groupes (10 mn) En commun (20 mn) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 34

35 A quoi bon sécuriser l'information? Performance? Sécurité? Maturité? Source : Intégrer le système de management, Fig. 7.1 sécurité Pertinence MOYENS OBJECTIFS EFFICIENCE Performance Efficacité RÉSULTATS La sécurité de l'information, tueuse de performance et d'efficience de l'entreprise? Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 35

36 MODULE 2 Management de la sécurité de l'information & SMSI Management de la SSI Système de management de la SSI Maîtrise des risques SMSI Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 36

37 Management de la Sécurité de l Information Management de la sécurité de l'information Définition Activités coordonnées permettant d'orienter et de contrôler un organisme en matière de sécurité de l'information Basé sur la maîtrise du risque Toutes les informations et tous les systèmes qui les traitent n'ont pas la même valeur, ne sont pas soumis aux mêmes menaces et non pas les mêmes vulnérabilités Processus continu afin de prendre en compte et de traiter les évolutions de l'environnement interne et externe Management = Gestion (au sens aussi stratégique et pas que gestionnaire/ suivi) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 37

38 Management de la Sécurité de l'information Approche proactive du management de la qualité Adopter une démarche de management de la qualité permettant de répondre de manière optimale aux exigences des clients Par opposition à Approche passive : Fournir des produits et/ou des services sans processus qualité et attendre les plaintes (et la perte) de clients pour prendre des mesures correctives au coup par coup Management pro-actif de la sécurité de l'information Adopter une démarche de management de la sécurité de l'information afin d'assurer le bon niveau de sécurité, au bon moment, sur les bonnes informations et au bon coût Par opposition à Approche passive : Ne rien faire (ou se contenter de mettre un anti-virus par ci et un pare-feu par là), croiser les doigts et espérer qu'il n'y aura pas de problèmes qui impacteraient vos activités et vos affaires Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 38

39 SMSI : approche systémique processus Quelle politique sécurité de l'info? Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 39

40 SMSI : Le PDCA (plan do check - act) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 40

41 Comment piloter l'entreprise vers la performance? Source : L'entrepreneur durable, Fig. 7.6 Intégrer le système de management, fig. 4.4 Iso (intégré SMS/SMSI)... mais pas que... Iso 27001, (BP), (mise en oeuvre), (voca), 27009/11/15/17/19 (sectoriel)... mais pas que 9001, 14001, Gouvernance... mais pas que Risques... mais pas que Normes chiffrement, signature numérique, authentification, hachage, non-répudiation, gestion des clés... mais pas que Mesurage / Audit certif Audit SM... mais pas que / Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 41

42 SMSI et informations documentées (celles qui sont jugées nécessaires par l'organisme) Stratégie/ Objectifs / Engagements Politique(s) métier (développement, ventes, RH, ) Domaine d'application Objectifs métiers - Exigences légales / réglementaires En gras = information documentées exigées par 27001:2013 Politique SSI et principes de SSI Système(s) d Information (architectures logiques et techniques) Analyse des risques sécurité Objectifs de SSI ( continuité d'activité, protection des informations personnelles, ) Déclaration d'applicabilité Schéma directeur sécurité Plan de traitement des risques) Politiques spécifiques (règles, contrôle accès, fournisseurs...) Mise en œuvre opérationnelle (processus) Ressources (compétences,... Preuves (respect des processus, résultats surveillance, MeO pgme d'audit, conclusion revue, NC/AC) Spécifications techniques, Contrats de services, Contrats de fourniture,procédures d'exploitation (matériels / logiciels) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 42

43 SMSI et approche Environnement externe (lois, décrets, normes, référentiels, ) Environnement de l organisme (systèmes d information et de communication, locaux, moyens humains, ) Analyse du positionnement (audit interne d identification des écarts avec l ISO27001) Analyse des risques (identification des besoins de sécurité, analyse des actifs, menaces et vulnérabilités) Déclaration d Applicabilité «DdA» (Objectifs et mesures cibles cf. ISO 27002) SSI de de l organisme (politiques, procédures, organisation, systèmes, ) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 43

44 SMSI, Clés du succès : croiser 2 approches + intégrer Direction Approche bottom-up Biens, risques, menaces, vulnérabilités, mesures, contrôles,. Intégrer SM entreprise (y/c SSI) Opérationnel Politique, objectifs, planification, R&A,. Approche top down Iso mais pas que (9001, 14001, , 18001, 22000, 50001,...) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 44

45 Risques : Niveau de risque & action de réduction Valeur de l'actif/ Criticité du bien (fort, moyen, faible) Menace / vulnérabilité Risques Mesure de protection, Moyen de Sauvegarde / Secours, de Reprise/ Restauration / Niveau de risque (fort, moyen, faible) Niveau de risque résiduel (fort, moyen, faible) Si élevé, Action -d'évitement -de réduction -de partage ou transfert -d'élimination -d'acceptation Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 45

46 Risque : Focus (selon ISO27001:2013) L'évolution des définitions du risque Effet de l'incertitude sur l'atteinte des objectifs (31K) => écart + ou - (risques et opportunités) exprimé en termes de combinaison des conséquences d un événement de sécurité de l information et de sa vraisemblance (27K5) = niveau de risque : Gravite x Occurrence /Protection existante associé à la possibilité que des menaces exploitent les vulnérabilités d une ressource et portent préjudice = utile pour son identification Risques residuels Vulnérabilités Menaces ACTIF Mesures de protection Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 46

47 Zoom risque : Processus maîtrise du risque (1/5) (selon ISO27001:2013) Maîtrise= analyse (1) + gestion (2) Appréciation des risques de sécurité de l information Traitement des risques de sécurité de l information 8.2 Appréciation des risques de sécurité de l information 8.3 Traitement des risques de sécurité de l information 9.3 Revue de direction Exigences de la norme sur la maîtrise du risque Cadre général. PAS l'imposition d'une méthode ou d'un vocabulaire (1) (2) Sources du risque Processus d'appréciation Risques évalués Processus de traitement Décisions Actions (1) Processus de revue Processus de surveillance (2) (1) couramment appelé analyse du risque (charge importante, au lancement) (2) couramment appelé gestion du risque (actualisation, récurrent) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 47

48 Mise en activité Management de la sécurité S'approprier le management de la sécurité 1. Quelle serait la documentation à écrire? 2. que contiendrait la Déclaration d'applicabilité (grandes lignes)? 3. Que contiendrait la politique sécurité? 4. A part les points 1 et 2, que serait-il important de faire? En commun (40 mn) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 48

49 L'ISO / Sécurité de l'information et management de la sécurité de l'information? Quelles notions essentielles de sécurité? Quels liens avec les autres normes? Que contient l'iso 27001? 2700x Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 49

50 Iso 9001, , 27001, Rebondir d'un système à l'autre (1/3) Les normes systèmes s'alignent toutes sur la HLS en 10 chapitres. Iso a été la première a s'aligner! Suivies de iso 9001 et iso ISO 9001 traite de la réalisation du produit ou du service (v & v2015 8) ISO traite de la gestion de la sécurité de l information ( v ) ISO traite de la nécessité de produire une déclaration d'applicabilité (v & v ) ISO traite des objectifs et mesures de sécurité (v2007 an. A & v2013 an. A) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 50

51 Iso 9001, , 27001, Rebondir d'un système à l'autre (2/3) ISO 9001:2015 ISO :2011 ISO 27001:2013 art. 4 art. 5 art. 6 art. 7 art. 8 chap. 6.1 chap 6.2 chap 6.3 chap 6.4 chap 6.5 chap 6.6 chap 7 chap 8 chap 9 Chap et annexe A art. 9 art. 10 Les chapitres 6 à 9 détaillent l'article 8 de l'iso 9001 Mêmes exigences appliquée aux 3 politiques qualité, gestion services & SSI Chapitre et annexe A associée détaillent l'article 6.6 de l'iso à 10 de 27001:2013 & 9001:2015 équivalent (domaine d'application différents & 9001 plus détaillé) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 51

52 Iso 9001, , 27001, Rebondir d'un système à l'autre (3/3) ISO 27001:2013 ISO 27002:2013 ISO 17799:2005 Chap 0 à 3 intro Chap 4 Contexte Chap 5 à 10 PDCA SMSI Annexe A Ax.y.z Contient : - objectifs - mesures EXIGENCES Chap. 1 Domaine d'application Chap. 2 références Chap. 3 Termes et définitions Chap. 4 Structure Chap. x.y.z Structure identique à 27002:2005 (différente de 27002:2013) mais même fond Contient : - objectifs - mesures - Préconisations de mise en oeuvre - Informations supplémentaires BONNES PRATIQUES Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 52

53 L'ISO Historique Norme d'origine britannique (BS7799 part 2) Complémentaire à la part 1 pour permettre la certification d un SMSI Publiée 10/2005 Contenu Plan similaire à ISO ISO14001 Exigences pour la mise en œuvre d un SMSI Intègre les objectifs et les mesures de sécurité de l ISO17799 dans lesquels il faut «choisir» (obligation) en fonction de l analyse de risques (possibilité de choisir, en plus, dans d autres référentiels) Des exigences systémiques & des exigences techniques Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 53

54 L'ISO 27001:2013 Evolution Publiée en 10/2013 Alignement HLS ("Hight Level Structure") en 10 chap. Alignement ISO (risque) Cadre général, termes et définitions ISO Evolution de l'annexe A - ISO Contenu Exigences pour établissement (Plan), mise en œuvre (Do), mise à jour (Check), amélioration (Act) d un SMSI Globalement très similaire : changement ordre et niveau des articles, alignement vocabulaire, peu de changement d'exigences, clarification des mesures Notion de propriétaire "du risque", d'actif (asset / bien) Exigences systémique 4 à 10 & exigences techniques regroupées dans annexe A Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 54

55 L ISO : Quels engagements? Norme ISO version 2013 : 7 articles de management (+ 3 «introductifs») 70 Objectifs de Sécurité (Annexe A) 114 Mesures de Sécurité (Annexe A) Exigences et attentes en Sécurité des parties prenantes 4 Salariés, dirigeants Contexte de l organisation : Enjeux, besoins/ attentes, domaine d'application, SMSI 5 6 Leadership : Engagement Politique Responsabilité Planification : Risques < & > Objectifs & Planif 7 Support : Ressources, Compétences, Sensibilisation, Communication, Infos documentées Exigences satisfaites Salariés, dirigeants Partenaires Fournisseurs Clients 10 Amélioration : Actions correctives, Amélioration continue A Objectifs de Sécurité Mesures de Sécurité 8 Fonctionnement : Maîtrise Processus Appréciation & Traitement des risques Partenaires Fournisseurs Clients Autres parties intéressées 9 Evaluation des performances : Surveillance, Audit, Revue Autres parties intéressées Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 55

56 Mise en activité Comprendre la portée de la norme iso Objectif : S'approprier les exigences iso dans son ensemble VRAI OU FAUX. D après ISO 27001, 1 - la sécurité de l information est définie principalement par : la confidentialité, l intégrité, la disponibilité 2 Les contrôles et les guides de la norme considérés comme bonnes pratiques sont un strict minimum 4 la Direction doit avoir un Forum de la sécurité 5 - il est obligé d avoir des propriétaires des biens liés à la SI 7 pour démontrer la complétude de l évaluation des risques, il faut commencer d abord par :Inventorier les actifs/ biens 8 le concept de périmètre de sécurité est cité dans le domaine Sécurité du personnel 9 les procédures de gestion des incidents de sécurité sont recommandées principalement dans La gestion des incidents 10 le thème de protection de la propriété intellectuelle est abordé dans Les domaines organisationnels Individuel (10 mn) En commun (20 mn) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 56

57 Annexe A v2013: objectifs & mesures de sécurité (global 1/3) A.5 à A.18 en phase avec 5 à 18 de ISO 27002:2013 Applicable dans le cadre du de ISO 27001:2013 (cohérence avec l'analyse de risque et en lien direct avec la déclaration d'applicabilité) Principaux changement v2005 vs v2013 : fait référence à ISO (en lieu et place de ISO 17799) est découpé en 14 domaines (contre 11) comprend 113 mesures (contre 133) globalement même objectifs-mesures restructurés Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 57

58 Annexe A v2013: objectifs & mesures de sécurité (global 2/3) Libellé 27001: :2005 Politique de sécurité A.5 A.5 Organisation de la sécurité de l information A.6 A.6 + A11.7 Sécurité des ressources humaines A.7 A.8 Gestion des actifs A.8 A.7 Contrôle d accès A.9 A.11 Cryptographie A.10 A.12.3 Sécurité physique et environnementale A.11 A.9 Sécurité liée à l exploitation A.12 A.10 Sécurité des communications A.13 A A A.10.8 Acquisition, développement et maintenance des systèmes d information A.14 A.12 Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 58

59 Annexe A v2013: objectifs & mesures de sécurité (global 2/3) Libellé 27001: :2005 Relations avec les fournisseurs A.15 A A.6.2 Gestion des incidents liés à la sécurité de l information Aspects de la sécurité de l information dans la gestion de la continuité de l activité A.16 A.17 A.13 A.14 Conformité A.18 A.15 Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 59

60 Annexe A v2013: objectifs et mesures de sécurité (en détail) A.5 Politiques de sécurité A.5.1 Orientations de la direction en matière de sécurité de l'information A Politiques de sécurité de l'information A Revue des politiques de sécurité de l information A.6 Organisation de la sécurité de l'information A.6.1 Organisation interne A Fonctions et responsabilités liées à la sécurité de l'information A Fonctions et responsabilités liées à la sécurité de l'information A Relations avec les autorités A Relations avec des groupes de travail spécialisés A La sécurité de l'information dans la gestion de projet A Séparation des tâches A.6.2 Appareils mobiles et télétravail A Politique en matière d'appareils mobiles A Télétravail Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 60

61 Annexe A v2013: objectifs et mesures de sécurité (en détail) A.7 Sécurité des ressources humaines A.7.1 Avant l'embauche A Sélection des candidats A Termes et conditions d embauche A.7.2 Pendant la durée du contrat A Responsabilités de la direction A Sensibilisation, apprentissage et formation à la sécurité de l information A Processus disciplinaire A.7.3 Rupture, terme ou modification du contrat de travail A Achèvement ou modification des responsabilités associées au contrat de travail Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 61

62 Annexe A v2013: objectifs et mesures de sécurité (en détail) A.8 Gestion des actifs A.8.1 Responsabilités relatives aux actifs A Inventaire des actifs A Propriété des actifs A Utilisation correcte des actifs A.8.2 Classification de l'information A Classification des informations A Marquage des informations A Manipulation des actifs A Restitution des actifs A.8.3 Manipulation des supports A Gestion des supports amovibles A Mise au rebut des supports A Transfert physique des supports A.10 Cryptographie A.10.1 Mesures cryptographiques A Politique d utilisation des mesures cryptographiques A Gestion des clés Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 62

63 Annexe A v2013: objectifs et mesures de sécurité (en détail) A.9 Contrôle d'accès A.9.1 Exigences métier en matière de contrôle d'accès A Politique de contrôle d accès A Politique relative à l'utilisation de services en réseau A.9.2 Gestion de l accès utilisateur A Enregistrement et désinscription des utilisateurs A Gestion des privilèges A Gestion des informations secrètes d'authentification des utilisateurs A Revue des droits d accès utilisateurs A Suppression ou adaptation des droits d'accès A.9.3 Responsabilités des utilisateurs A Utilisation d'informations secrètes d'authentification A.9.4 Contrôle de l'accès au système et à l information A Restriction d accès à l information A Sécuriser les procédures de connexion A Système de gestion des mots de passe A Utilisation de programmes utilitaires à privilèges A Contrôle d accès au code source du programme Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 63

64 Annexe A v2013: objectifs et mesures de sécurité (en détail) A.11 Sécurité physique et environnementale A.11.1 Zones sécurisées A Périmètre de sécurité physique A Contrôles physiques des accès A Sécurisation des bureaux, des salles et des équipements A Protection contre les menaces extérieures et environnementales A Travail dans les zones sécurisées A Zones de livraison et de chargement A.11.2 Matériels A Emplacement et protection du matériel A Services généraux A Sécurité du câblage A Maintenance du matériel A Sortie des actifs A Sécurité du matériel et des actifs hors des locaux A Mise au rebut ou recyclage sécurisé(e) du matériel A Matériel utilisateur laissé sans surveillance A Politique du bureau propre et de l écran vide Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 64

65 Annexe A v2013: objectifs et mesures de sécurité (en détail) A.12 Sécurité liée à l'exploitation A.12.1 Procédures et responsabilités liées à l exploitation A Procédures d exploitation documentées A Gestion des changements A Dimensionnement A Séparation des environnements de développement, de test et d'exploitation A.12.2 Protection contre les logiciels malveillants A Mesures contre les logiciels malveillants A.12.3 Sauvegarde A Sauvegarde des informations A.12.4 Journalisation et surveillance A Journalisation des événements A Protection de l information journalisée A Journaux administrateur et opérateur A Synchronisation des horloges Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 65

66 Annexe A v2013: objectifs et mesures de sécurité (en détail) A.12 Sécurité liée à l'exploitation A.12.5 Maîtrise des logiciels en exploitation A Installation de logiciels sur des systèmes en exploitation A.12.6 Gestion des vulnérabilités techniques A Gestion des vulnérabilités techniques A Restrictions liées à l'installation de logiciels A.12.7 Considérations sur l audit des systèmes d information A Mesures relatives à l audit des systèmes d information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 66

67 Annexe A v2013: objectifs et mesures de sécurité (en détail) A.13 Sécurité des communications A.13.1 Gestion de la sécurité des réseaux A Contrôle des réseaux A Sécurité des services de réseau A Cloisonnement des réseaux A.13.2 Transfert de l'information A Politiques et procédures de transfert de l'information A Accords en matière de transfert d'information A Messagerie électronique A Engagements de confidentialité ou de non-divulgation Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 67

68 Annexe A v2013: objectifs et mesures de sécurité (en détail) A.14 Acquisition, développement et maintenance des systèmes d information A.14.1 Exigences de sécurité applicables aux systèmes d information A Analyse et spécification des exigences de sécurité A Sécurisation des services d'application sur les réseaux publics A Protection des transactions liées aux services d'application A.14.2 Sécurité des processus de développement et d assistance technique A Politique de développement sécurisé A Procédures de contrôle des changements A Revue technique des applications après changement apporté à la plateforme d exploitation A Restrictions relatives aux changements apportés aux progiciels A Procédures de développement des systèmes A Environnement de développement sécurisé A Développement externalisé A Phase de test de la sécurité du système A Test de conformité du système A.14.3 Données de test A Protection des données de test Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 68

69 Annexe A v2013: objectifs et mesures de sécurité (en détail) A.15 Relations avec les fournisseurs A.15.1 Sécurité dans les relations avec les fournisseurs A Politique de sécurité de l'information dans les relations avec les fournisseurs A La sécurité dans les accords conclus avec les fournisseurs A chaîne d'approvisionnement informatique A.15.2 Gestion de la prestation du service A Surveillance et revue des services des fournisseurs A Gestion des changements apportés dans les services des fournisseurs Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 69

70 Annexe A v2013: objectifs et mesures de sécurité (en détail) A.16 Gestion des incidents liés à la sécurité de l information A.16.1 Gestion des incidents liés à la sécurité de l information et améliorations A Responsabilités et procédures A Signalement des événements liés à la sécurité de l information A Signalement des failles liées à la sécurité de l information A Appréciation des événements liés à la sécurité de l'information et prise de décision A Réponse aux incidents liés à la sécurité de l information A Tirer des enseignements des incidents liés à la sécurité de l information A Recueil de preuves Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 70

71 Annexe A v2013: objectifs et mesures de sécurité (en détail) A.17 Aspects de la sécurité de l information dans la gestion de la continuité de l activité A.17.1 Continuité de la sécurité de l'information A Organisation de la continuité de la sécurité de l'information A Mise en œuvre de la continuité de la sécurité de l'information A Vérifier, revoir et évaluer la continuité de la sécurité de l'information A.17.2 Redondances A Disponibilité des moyens de traitement de l information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 71

72 Annexe A v2013: objectifs et mesures de sécurité (en détail) A.18 Conformité A.18.1 Revue de la sécurité de l information A Revue indépendante de la sécurité de l information A Conformité avec les politiques et les normes de sécurité A Examen de la conformité technique A.18.2 Conformité aux obligations légales et réglementaires A Identification de la législation et des exigences contractuelles applicables A Droits de propriété intellectuelle (DPI) A Protection de l information documentée A Protection de la vie privée et protection des données à caractère personnel A Réglementation relative aux mesures cryptographiques Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 72

73 Mise en activité Mettre en œuvre une déclaration d'applicabilité Identifier parmi les thématiques de l'annexe A de la norme (Objectifs et mesures de sécurité), celles qui s'appliquent dans votre contexte opérationnel. Faites le liens avec les risques (issus de votre analyse de risque ou pré-sentis) Vérifier la cohérence d'ensemble Individuel (45 min) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 73

74 Module 4 Mise en oeuvre d'un SMSI Etat des lieux préalable Process de mise en oeuvre Cerner le capital humain Cohérence, système Coûts SMSI Clés du succès Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 74

75 Mise en oeuvre : Etat des lieux préalable (par rapport aux acteurs) Clients payeurs Équipe SI, resp sécurité Services Support (achats, RH,...) Clients utilisateurs Fournisseurs du système d'information Fournisseurs de l'entreprise définir, financer, évaluer préparer, animer, réaliser, contrôler aider, contribuer définir, utiliser, réceptionner, évaluer contribuer à la sécurité de l'information, à la maîtrise du système fournir des biens & services Trouver le maillon faible Sécurité de l'information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 75

76 Mise en oeuvre : Etat des lieux préalable (par rapport aux briques techniques) Infrastructure physique matériel Infrastructure d'application Application Utilisateur réseaux Système d'exploitation Serveurs Applications Gestion données Poste de travail Matériel Données technique Données opérationnelles Trouver le maillon faible Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 76

77 Mise en oeuvre : La question des besoins Système de management de la Sécurité des SI Produit/ services conforme aux exigences contexte pratiques. Techniques réglementaires, internes, contractuelles,... contraintes, coûts, moyens,... Orientations de la direction Risques Besoin et contraintes des opérationnels,. Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 77

78 Mise en oeuvre : un niveau homogène La sécurité est un tout Niveau de sécurité Domaines sécurité Quelle approche des 2 adopter à votre avis? A partir de quoi déterminer le bon niveau? Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 78

79 Mise en œuvre : partir de l'existant et améliorer 1 Valoriser l'existant sécurité Identifier, structurer et valoriser tout ce qui existe. Compléter les composantes essentielles qui n'existent pas analyse v/v systèmes de management existants analyse des risques et opportunités analyse v/v 113 mesures ISO (Ann A) 2 Renforcer les mesures de protection - prévention, pour diminuer le risque Recenser l'existant (capital humain, contrôle, procédures,...) Vérifier que suffisant (cotation & recalcul du niveau de risque résiduel + analyse indicateurs maturité/ perfo/...) Compléter selon besoin 3 Surveiller : les moyens de surveillance Identifier l'existant (TdB, audit, contrôles, revues...) S'assurer de la cohérence Optimiser selon besoin 4 Améliorer l'édifice entrepreneurial (y/c Sécurité de l'information) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 79

80 Process de mise en oeuvre Implémentation de la SSI Politiques de sécurité Organisation Procédures 2 Mise en 4 conformité Continuité (PCA,PRA) Évaluation et Contrôle Formation et Charte d utilisation Analyse des Risques adapté de la méthodologie topdown adapté de la méthodologie bottomup Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 80

81 Process de mise en oeuvre Les thèmes traités (les maillons faibles les plus courants) Contraintes, exigences stratégie, Etat des lieux Groupe de travail n 1 Cartographie des biens et des risques 2. Définition politique Exemple en conclusion 3. Mise en oeuvre 4. Amélioration continue Groupe de travail n 2 Se protéger contre les erreurs humaines Groupe de travail n 3 Pilotage de la sécurité de l'information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 81

82 Process de mise en oeuvre Gestion de la SSI Évaluer des risques par domaines (couple information/systèmes) Suivi de l efficacité Référentiel Sécurité Objectifs & Planifier Former & mettre en oeuvre adapté de la méthodologie PDCA (Plan-Do-Check-Act) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 82

83 Process de mise en place Mise en oeuvre de la sécurité des SI Phase 1 Analyse qualitative et quantitative du risque EXEMPLE risque actuel et potentiel sur actifs et ressources humaines révision des procédures examen des interactions avec tierces parties Phase 2 Analyse des écarts lister les écarts avec standards identifier efforts et coûts pour combler les écarts Fixer les priorités pour réduction des écarts Phase 3 Phase 4 Phase 5 Politiques Remédiation (mesures) Contrôle Faire ou refaire Politiques (PGSI / PSI) Établir les responsabilités Facteur humain Système information Facteur humain Système information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 83

84 Process de mise en place Politique de sécurité (exemple) Patients Stratégie de l'entreprise Médecins Société de traitement d'informations médicales Devenir leader de la production d'informations fiables à forte valeur ajoutée Professionnels de santé Politique de sécurité Communiquer, rassurer, donner confiance Garantir la protection des données clientes Assurer la traçabilité des données (sourcetraitement-résultat) Rendre le système de gestion de la sécurité facilement auditable orientations vis-à-vis des différents axes de mise en oeuvre Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 84

85 Cerner le capital humain & mesures de protection Identifier le capital humain (acteurs) INTERNE EXTERNE P l an Responsabiliser - définir les responsabilités des acteurs liées à la sécurité (RACI) Documenter - identifier les documents existants ou nécessaires - affecter les thèmes de sensibilisation aux différents documents d' ac t I on s Sensibilisation Formation - Information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 85