Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI,

Transcription

1 Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information Awatef HOMRI, ISO27001 Lead Auditor, ITIL Ingénieur en chef, ANSI 1

2 Agenda Management de la Sécurité de l Information Approches de Management de la Sécurité de l Information Evaluation de la Maturité

3 Gouvernance VS Management de la sécurité des systèmes d information Gouvernance Surveillance Autoriser les droits de décision Promulguer la politique Imputabilité Planification de la stratégie Allocation de ressources Management Implémentation Est autorisé de décider Imposer la politique Responsabilité Planification du projet Utilisation de ressources

4 Management de la sécurité des systèmes d information

5

6 Management de la sécurité du Système d Information par le bricolage Antivirus gratuit Logiciel de Récupération de données suite à un Incident Suppression de fichiers douteux Téléchargement d un Kit de nettoyage

7 Management de la Sécurité du Système d Information par l intuition Temps Failover Clustering

8 Management de la Sécurité du Système d Information par la normalisation Confiance Maîtrise Progrès A P A C P D C Certification D Deming dit : "Commençons par améliorer ce que nous savons faire, mais pas encore assez bien. Ensuite nous innoverons. Mais pas l'inverse ". Temps

9 Management basé sur les enjeux de la SSI Niveau des conséquences potentielles Adhérence au système d information Niveau des impacts internes Niveau des impacts externes Degré d exposition aux menaces Fréquence des incidents SSI Degré de motivation des attaquants Moyens des attaquants Sensibilité du patrimoine informationnel Besoins de disponibilité Besoins d intégrité Besoins de confidentialité Importance des vulnérabilités Hétérogénéité du système d information Ouverture du système d information Variabilité du système d information Somme des quatre valeurs De 0 à 2 De 3 à 5 De 6 à 8 De 9 à 10 De 11 à 12 Niveau adéquat de maturité 1 - Pratique informelle : Actions isolées 2 - Pratique répétable et suivie : Actions reproductible 3 - Processus définis : Standardisation des pratiques 4 - Processus contrôlés : des mesures quantitatives 5 - Processus continuellement optimisés

10 Maturité des entreprises

11

12 L Audit, pour évaluer la Maturité du SMSI Comment? Input - Un périmètre - Un référentiel - Une méthode - Des moyens et des compétences Output - Des écarts - Des recommandations - Un label

13 Comment évaluer la maturité du SMSI 1. Préparation & Démarrage de la Mission 2. Etude & Description de l Existant 3. Audit Organisationnel & Physique 4. Audit Technique 5. Analyse du Risque 6. Synthèse & Plan d Action 7. Elaboration du Rapport d Audit 8. Clôture de la mission 13

14 L audit, pour améliorer le SMSI -Schéma directeur -Améliorer la sécurité Parties intéressés Attentes et exigences en terme de sécurité Mettre en place et exploiter le SMSI Act Améliorer Plan Planifier Cycle de développement, maintenance et d amélioration Établir le SMSI Do Déployer -Expression des besoins en sécurité -Analyse de risques -Choix et planification des mesures de sécurité Parties intéressés Sécurité effective fournie -Audit interne et externe -Réunion de la comité de sécurité -Suivi des indicateurs Contrôler et évaluer le SMSI Check Contrôler Déployer et améliorer le SMSI -Rédaction de politique de sécurité -Mise en place des mesures -Plan de gestion de crises -Plan de reprise d activité

15 Références Normatives pour la mise en place d un SMSI

16 Mise en place d un SMSI selon la norme ISO Scope Politique de sécurité Appréciation des risques Contrôles de sécurité Plan de traitement des risques Domaine d applicabilité SMSI Audit interne, Monitoring, Revues, Audits de surveillance

17 Management des risques

18 Politique de Sécurité : Expression des besoins, des objectifs et des directives de sécurité

19