Quelques réflexions sur les normes

Dimension: px

Commencer à balayer dès la page:

Download "Quelques réflexions sur les normes"

Marie-Claire Bergeron
il y a 8 ans
Total affichages :

1 EBIOS et normes internationales Présentation pour le colloque ARS sur la gouvernance de la sécurité des systèmes d information 7 juin

2 Quelques réflexions sur les normes Les normes sont avant tout des guides, des recommandations ou des exigences qui visent à assurer la confiance dans un système. Elles constituent une aide pour sécuriser les systèmes d informations Attention toutefois au piège de la bible, de ses exégètes et de ses intégristes La sécurité nécessite réflexion, inventivité, que les normes ne doivent pas «tuer» Application intelligente des normes

Elles constituent une aide pour sécuriser les systèmes d informations Attention toutefois au piège de la

3 Repartir des fondamentaux (1) Qu est ce que je souhaite protéger? Actifs primordiaux ou Patrimoine informationnel Composante informationnelle Le système d information Organisation, moyens humains Composante humaine Actifs Support systèmes informatiques systèmes de télécommunication, autres Composante technique Source : Denis Virole Société Telindus Que cherche-t-on à sécuriser?

information Organisation, moyens humains Composante humaine Actifs Support systèmes

4 Repartir des fondamentaux (2) Comment se protéger? Limites des approches par les bonnes pratiques et le tout technique S intéressent principalement aux actifs supports ; Ne peuvent pas appréhender le risque dans toutes ses dimensions Approche globale Nécessité d appréhender le risque au travers de ses composantes, de sa complexité, de ses évolutions ; Utilisation de méthode de gestion de risques EBIOS.

actifs supports ; Ne peuvent pas appréhender le risque dans toutes ses dimensions Approche globale

5 Repartir des fondamentaux (2) Pourquoi se protéger? Respect des obligation réglementaires et légales (loi informatique et liberté, LCEN, RGS ), Évolution des menaces (attention toutefois aux raisonnements basés sur la menace), Modernisation de l administration, Conception de service public : la sécurité n est pas une fin en soi mais un moyen qui concourt à la confiance entre usagers et administration. Apport indéniable du RGS

menaces (attention toutefois aux raisonnements basés sur la menace), Modernisation de l administration,

6 Repartir des fondamentaux (3) Approche analytique proposée par EBIOS Actifs informationnel Données et processus Étude de risque de l application Impact Potentialité Événements redoutés Erreur Accident Malveillance Appréciation du risque (Risque = Impact * Potentialité) Objectifs de sécurité Mesures de sécurité adaptées à l application et son contexte Compréhension des composantes du risque

Erreur Accident Malveillance Appréciation du risque (Risque = Impact * Potentialité) Objectifs de

7 Repartir des fondamentaux (3) Approche dynamique Objectifs et mesures de sécurité Mesures de sécurité Exploitation Système à protéger Étude de risque Implantation Exploitation du système Évolution du risques dans le temps Compréhension de la nature évolutive du risque

protéger Étude de risque Implantation Exploitation du système

8 Repartir des fondamentaux (3) Approche globale Démarche d amélioration continue approche globale de la sécurité des systèmes d information Étude risque pour toutes applications sensibles Système d information ou application sécurisée Homologation Surveillance et réexamen du risque Politique de sécurité choix de produits de confiance choix de prestataires de confiance Compréhension du risque dans sa complexité

information ou application sécurisée Homologation Surveillance et réexamen du risque Politique de

9 Utilisation des normes Comment utiliser les normes? Approche boite à outils

10 Utilisation des normes Connaître les normes pour les utiliser Guide Recommandations Vocabulaire Les bonnes pratiques Implémentation Métriques Gestion de risques Audit Normes certifiables Critères communs SMSI Guides pour l accréditation ou la certification Accréditation Audit SMSI Audit SMSI Certification individuelle

risques 27007 Audit Normes certifiables 15408 Critères communs 27001 SMSI Guides pour l

11 Norme ISO/IEC Utilisation des normes Catalogue de 113 mesures réparties en 11 domaines de sécurité Vue d ensemble d une mesure Domaine Sous-domaine : objectif Définition Définition de la mesure de la mesure 2 1 2n Guide d implémentation Guide d implémentation Informations Informations complémentaires complémentaires 11 domaines ou chapitres Objectif précisé par sous domaine Mesure(s) pour répondre aux objectifs précités Les mesures portent essentiellement sur les actifs supports

Guide d implémentation Informations Informations complémentaires complémentaires 11 domaines ou chapitres Objectif précisé

12 Norme ISO/IEC Utilisation des normes Démarche de gestion de risque Vue simplifiée de la démarche Communication sur le risque Étude du contexte Appréciation du risque Traitement du risque Acceptation du risque Surveillance et réexamen Appréciation du risque sur les actifs informationnels supports

contexte Appréciation du risque Traitement du risque Acceptation du risque

13 Utilisation des normes Norme ISO/IEC Système de management de la sécurité de l information Vue d ensemble du cycle PDCA Partie prenantes PLAN Établissement du SMSI Partie prenantes DO Mise en œuvre fonctionnement du SMSI Mise à jour amélioration du SMSI ACT Exigences et attentes vis-àvis de la sécurité de l information Surveillance et réexamen du SMSI CHECK Sécurité de l information gérée Approche focalisée pour l essentiel sur les actifs informationnels

Mise à jour amélioration du SMSI ACT Exigences et attentes vis-àvis de la sécurité de l information Surveillance et

14 Norme ISO/IEC Utilisation des normes Critères communs Vue simplifiée de la démarche de certification Commanditaire Cible de sécurité Organisme certificateur Analyse de conformité Résistances des mécanismes Tests de vulnérabilités RTE ANSSI Analyse Rapport de certification certification Porte exclusivement sur la composante technique des actifs supports

conformité Résistances des mécanismes Tests de vulnérabilités RTE ANSSI Analyse Rapport

15 Tentative de synthèse Confiance de l usager dans les applications mises en œuvre par l administration Confiance de l usager dans l administration EBIOS, 27005, Utilisation de produits qualifiés dont critères communs ou CSPN Rendues obligatoires par le RGS pour les télé services approche globale de la SI Étude de risque sur les applications sensibles Concerne l administration dans son ensemble Démarche ISO 27005, Adoption de certains principes de la , PSSI Préconisée dans le 2.2 du RGS

obligatoires par le RGS pour les télé services approche globale de la SI Étude de risque sur les applications sensibles

Documents pareils

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi