Pourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité

Documents pareils

ISO/CEI 27001:2005 ISMS -Information Security Management System

L'infonuagique, les opportunités et les risques v.1

curité des TI : Comment accroître votre niveau de curité

ISO la norme de la sécurité de l'information

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Panorama général des normes et outils d audit. François VERGEZ AFAI

Gestion des incidents

Management de la sécurité des technologies de l information

Table des matières. Partie I CobiT et la gouvernance TI

Les Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle

C H A P I T R E. Contrôles généraux des technologies de l information

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

L analyse de risques avec MEHARI

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Standard de contrôle de sécurité WLA

Montrer que la gestion des risques en sécurité de l information est liée au métier

1. La sécurité applicative

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Sécurité des systèmes informatiques Introduction

LA CONTINUITÉ DES AFFAIRES

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

La gestion des risques en entreprise de nouvelles dimensions

s é c u r i t é Conférence animée par Christophe Blanchot

Gestion des Incidents SSI

IT Gouvernance. Plan. Définition. IT gouvernance pourquoi? But et enjeux. Les bonnes pratiques et composantes d une IT gouvernance

Politique de sécurité de l actif informationnel

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Fiche de l'awt La sécurité informatique

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Politique de sécurité de l information

BALISAGE PROCESSUS DE SOUTIEN EN MATIÈRE DE SERVICES TI

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

Gestion du risque numérique

La sécurité informatique

Evaluation, Certification Axes de R&D en protection

JOURNÉE THÉMATIQUE SUR LES RISQUES

Introduction à l ISO/IEC 17025:2005

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

Stratégie IT : au cœur des enjeux de l entreprise

AUDIT CONSEIL CERT FORMATION

Services Financiers Mobiles Risques technologiques

ITIL 2011 Fondamentaux avec certification - 3 jours (français et anglais)

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

L Audit selon la norme ISO27001

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Economic Cyber Crime. Exigences minimales de prévention pour les PME. Romain Roubaty, novembre 2012

Sécurité informatique : règles et pratiques

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

D ITIL à D ISO 20000, une démarche complémentaire

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information

Options de déploiement de Seagate Instant Secure Erase

Créer un tableau de bord SSI

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

L UTILISATEUR, CIBLE DE TOUTES LES MENACES

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Symantec CyberV Assessment Service

Risques liés aux systèmes informatiques et de télécommunications

Rapport de certification

Rapport de certification

Atelier B 06. Les nouveaux risques de la cybercriminalité

éq studio srl Gestion des informations pour un choix- consommation raisonnée - GUIDE EXPLICATIVE

Malveillances Téléphoniques

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

Impression de sécurité?

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Qu est-ce qu un système d Information? 1

L impact d un incident de sécurité pour le citoyen et l entreprise

ITIL V Préparation à la certification ITIL Foundation V3 (2ième édition)

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

Charte de Qualité sur l assurance vie

ITIL V Préparation à la certification ITIL Foundation V3 (3ième édition)

L'écoute des conversations VoIP

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

1. Le m-paiement. 2. Le régime juridique du m- paiement. 3. Le m-paiement et les failles de sécurité

ITIL v3. La clé d une gestion réussie des services informatiques

Bibliographie. Gestion des risques

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Vers un nouveau modèle de sécurité

ITIL nouvelle version et état de situation des démarches dans le réseau

HySIO : l infogérance hybride avec le cloud sécurisé

Transcription:

Cours 3 : Sécurité

160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents www.cert.org

Vulnérabilitées 7000 6000 5000 4000 3000 2000 1000 0 2000 2001 2002 2003 2004 Croissance rapide des vulnérabilités www.cert.org

Protéger tout les actifs L'information est un actif qui, comme les autres actif importants pour l organisation, a une valeur et par conséquent a besoin d'être protégé. ISO/IEC 17799:2000

Fichiers stockés numériquement; Informations sur support papier, imprimé ou manuscrit; Images, films, radiographies; Vidéo, musique; Conversations. Types d informations

Protection de l informations Quelle que soit la forme prise par l information ou quels que soient les moyens par lesquels elle est transmise ou stockée, il faut qu elle soit toujours protégée de manière appropriée. ISO/IEC 17799:2000

Définitions La sécurité de l information est définie comme l ensemble des actions et des procédures conçues pour prévenir, avec un niveau de certitude démontrable, la divulgation, le transfert, la modification ou la destruction non autorisée, volontaire ou accidentelle de données.

Définitions Une menace consiste en une situation ou une condition avec le potentiel de compromettre la sécurité de l information.

Définitions Le risque est l impact négatif net résultant de l exploitation d une menace en considérant sa probabilité et ses impacts.

Définitions Les mesures de protection sont les éléments, les outils ou les processus mis en place pour réduire le niveau d exposition, mitiger les conséquences d une vulnérabilité technologique, contrer une menace ou solutionner un problème de sécurité particulier. En général, des mesures de protection pertinentes et bien utilisées réduisent le risque.

Définitions L évaluation des menaces et du risque consiste à observer, dans un processus formel, la relation entre la menace et le risque pour en évaluer la probabilité. Cette analyse aidera l organisation à déterminer les mesures de protection disponibles et prendre des décisions concernant la pertinence de leur mise en place.

Définitions Une cyber attaque est définie comme l exploitation d une menace par l intermédiaire des systèmes d information ou de réseaux de télécommunications, tel que le réseau InterNet.

Fondements d une solution Utilisation de normes Utilisation de méthodes Engagement de haut niveau Création d un comité de gouvernance Audit Définition des objectifs Politique de sécurité Création de comité(s) de sécurité(s)

Définition des objectifs L organisation doit déterminer ses objectifs de sécurité en alignement avec ses objectifs d affaires

Objectifs de la sécurité la confidentialité des données; l intégrité des données; la disponibilité des données; la non répudiation des transactions; l authentification des utilisateurs; l authentification de l origine des données; et le contrôle des accès.

Confidentialité La confidentialité identifie la sensibilité de l'information ou des biens à une divulgation non autorisée.

Intégrité des données L intégrité est l'exactitude et l'intégralité des renseignements et des biens ainsi que l'authenticité des transactions.

Disponibilité des données La disponibilité est l'accessibilité d un système d information ou des données qu il contient, au moment opportun, pour exécuter certains processus.

Non répudiation des transactions La non répudiation ou l irrévocabilité réfère à la permanence dans le temps et à la démontrabilité tangible de l existence d une transaction.

Authentification des utilisateurs L authentification des utilisateurs définit des mécanismes et des processus qui sont utilisés pour identifier, avec un niveau de certitude déterminé, l identité d un utilisateur d un système d information.

Authentification de l origine des données L authentification de l origine des données définit des mécanismes et des processus qui sont utilisés pour identifier, avec un niveau de certitude déterminé, la source d une donnée stockée dans un système d information.

Contrôle des accès Le contrôle des accès aux informations contenues dans un système d information d une organisation devrait être établi en fonction de ses objectifs et de ses obligations.

Analyse de risque Analyse de vulnérabilités ISMS ISO 17799 Conformité (Gouvernance) ITSM (ITIL) Gestion du changement Architecture de sécurité Les pistes de solution