Audit de la sécurité physique



Documents pareils
La sécurité physique et environnementale

HEBERGEMENT DANS LE DATACENTER GDC2 DE VELIZY

HEBERGEMENT DANS LE DATACENTER GDC2 DE VELIZY

HEBERGEMENT DANS LE DATACENTER GDC3 DE VELIZY

Présentation Datacenter Lausanne

Quels avantages apportent les systèmes de sécurité modernes à l aide de l informatique et de l intégration? Par exemple:

Hébergement d Infrastructures Informatiques

PRESENTATION DU STANDARD TIA (Télécommunications Industry Association) 942

- Table, chaise. - Registre de consignes. - Registre de gestion des entrées et sorties (manuscrit ou informatique) - émetteur récepteur

HEBERGEMENT DANS LE DATACENTER GDC1 DE SURESNES

1 222 rue de l Université PARIS 07 téléphone

Aséo. 2, rue Jean Perrin Colombelles. Tél : Fax :

Sécurité des systèmes informatiques Introduction

REGLEMENT GENERAL DE LA MAISON DES ASSOCIATIONS

Jusqu où aller dans la sécurité des systèmes d information?

Carrefour ARRAS. Expertise réalisée par : Vincent Cordonnier

Votre automate GSM fiable et discret

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Nom de l institution : Adresse : Ville : Province : Code postal : Adresse de livraison : (si autre que ci-dessus) Ville :

POLITIQUE SECURITE PSI - V3.2 VSI - 15/04/2014. L architecte de vos ambitions

Catalogue Audit «Test Intrusion»

GESTION DES RISQUES Méthode d optimisation globale

TAURUS SECURITY AGENCY

data center services Optimiser le data center Conformité Sécurité Efficacité Your business technologists. Powering progress

BIENVENUE À SÉCURITÉ MELALEUCA LA SÉCURITÉ POUR VOTRE FAMILLE

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

TOUT SAVOIR SUR LES DEPLACEMENTS DES PATIENTS AVEC LEUR MATERIEL

POUR LE MONTAGE ET L'EXPLOITATION DE TENTES ET STRUCTURES PNEUMATIQUES PROVISOIRES

TP DOMOTIQUE. 01 avril Objectifs : Etre capable : Découvrir quelques possibilités domotiques.

Gestion active des bâtiments. Classification des niveaux d intégration de la sécurité

Une sécurité avancée pour une qualité de vie optimale

Un seul appel protège tout.

Dossier de demande d autorisation temporaire d exploiter une centrale d enrobage à chaud SRTP le Petit Nazé ARGENTRE (53) Indice : 1.

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

CAHIER DES CHARGES GARDIENNAGE

Assurance combinée ménage

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Gestion de la prévention Planifier les mesures d urgence. étapes

Rittal l heure est venue...

ISONET. Une Référence en Fibre Optique INTEGRATEUR RÉSEAUX DATA & TELECOM

Le centre de donnees le plus écologique d Europe

Afrique du sud du 23 au 28 novembre 2011

Data Center Condorcet, Paris Excellence technique et éco-efficacité.

Total Entrance System

CENTRE NUMERIQUE DU JURA REGLEMENTS, CONDITIONS ET ACCES AUX SERVICES

MARCHE PUBLIC DE PRESTATIONS DE SERVICES CAHIER DES CLAUSES TECHNIQUES PRATICULIERES (CCTP)

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

CHAMBRE D AGRICULTURE DE LA SEINE-MARITIME Chemin de la Bretèque BP Bois-Guillaume - Bihorel Cedex NETTOYAGE ET ENTRETIEN DES LOCAUX

MALVEILLANCE ET PROTECTION PHYSIQUE

dans un contexte d infogérance J-François MAHE Gie GIPS

ANALYSE SPÉCIFIQUE AÉROPORTS

Quels sont les leviers efficaces pour réduire le risque d incendie, limiter ses conséquences et optimiser la tarification assurance?

Gestion des incidents

Appel à propositions n PTD/10/001. Annexe 4 Cahier des charges

CDROM. L amélioration continue de la gestion des risques. René FELL Ingénieur HES en informatique Administrateur chez CDROM

L analyse de risques avec MEHARI

Guide. Prévention Habitat. libea.fr

1. REGLEMENTATION : 2. INTRODUCTION :

Vous êtes artisan PLOMBIER CHAUFFAGISTE

Comment protéger ses systèmes d'information légalement et à moindre coût?

Meilleures pratiques de l authentification:

Une approche globale, des solutions personnalisées STOP A L INSECURITE

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

CONVENTION DE MISE A DISPOSITION SALLES COMMUNALES EMILE ROUSSEAU

Introduction Le phénomène que représentent les Services de Gestion des Documents Managed Document Services (MDS) Une définition du concept

5211 Entretien général d immeubles. Fiches descriptives. Reconnaissance des acquis et des compétences FP

Jean-Marie RENARD Université Lille2 - octobre 2007

Circuit du médicament informatisé

RÉPUBLIQUE FRANÇAISE. Liberté Égalité Fraternité MINISTÈRE DE L INTÉRIEUR DEPARTEMENT PREVENTION COMMUNICATION. Cellule Sécurité du Secteur Economique

Ce que vous devez savoir sur: La Biométrie

Comment améliorer la sécurité de nos habitations?

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité incendie dans les garages

CONSULTATION PROPRETE DES LOCAUX

UserLock Quoi de neuf dans UserLock? Version 8.5

Qu est-ce qu un système d Information? 1

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

DECLARATION DES PERFORMANCES N 1

Livre blanc. SaaS : garantir le meilleur niveau de service. (2e partie)

Montrer que la gestion des risques en sécurité de l information est liée au métier

Attaques ciblées : quelles évolutions dans la gestion de la crise?

ITIL FOUNDATION 2011 & PREPARATION A LA CERTIFICATION

AFFECTATION. ETABLISSEMENT : Université Blaise Pascal COMPOSANTE : Institut Universitaire de Formation des Maîtres d Auvergne VILLE : Chamalières

Gestion des Incidents SSI

Management de la sécurité des technologies de l information

Notre enquête chez les pompiers de Dottignies

AMBASSADE DE FRANCE EN BELGIQUE REPRÉSENTATION PERMANENTE DE LA FRANCE AUPRÈS DE L UNION EUROPÉENNE

Centre multifonctionnel EUROVEA à Bratislava

Une offre globale pour les datacenters. Siemens France.

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Système d alarme sans fil. guide SOMFY

Invitation à soumissionner n PTD/10/056. Annexe I Cahier des charges

Phase avant-projet : Liste de vérification pour la protection incendie d'appartements multi-étagés

Sûr, Simple, Mhouse! GSM + RTC. Alarme Mhouse : la solution d alarme sans fil à installer soi même.

Nos solutions d hébergement mutualisés

PROVINCE DE QUÉBEC MUNICIPALITÉ DE SAINTE-CÉCILE-DE-WHITTON RÈGLEMENT NO SUR LES SYSTÈMES D ALARME

s é c u r i t é Conférence animée par Christophe Blanchot

Guide de procédures. Situations d urgence au Nunavik

Transcription:

Ecole des Hautes Etudes Commerciales (HEC) Cédric Gaspoz Agenda OBJECTIF RISQUES Objectifs de contrôle Cours Audit des SI >> 16.11.2005 CONCEPT GLOBAL PROCESSUS D AUDIT Sécurité physique Discrétion du site Visiteurs Santé et sécurité Environnement Alimentation électrique Conclusion Audit de la sécurité physique Cédric Gaspoz Assistant recherche et enseignement HEC Lausanne Internef / 127.2-1015 Lausanne - Switzerland - Tel. +41 21 692 3408 cedric.gaspoz@unil.ch - http://www.hec.unil.ch/cgaspoz

Objectif Fournir un environnement physique adapté qui protège l équipement informatique et les personnes contre les risques humains et naturels. L accès aux installations L identification du site La sécurité physique Les politiques d inspection et d escalade Le plan de continuité des activités et la gestion de crise La santé et la sécurité du personnel Les politiques de maintenance préventive La protection contre les menaces de l environnement La surveillance automatisée 2005 Cédric Gaspoz OBJECTIF RISQUES CONCEPT AUDIT 2

Risques Les hommes sont essentiels pour la bonne marche des data centers. Toutefois les études montrent que les hommes sont responsables de 60% du downtime des data centers à cause d accidents et d erreurs procédures non respectées, équipements mal identifiés, objets ou liquides renversés, commandes mal entrées et autres erreurs plus ou moins importantes. Processus CobiT Efficacité Efficience Confidentialité Intégrité Disponibilité Conformité Fiabilité DS Livraison et Support 12 Sécurité physique P P X Personnes Applications Technologie Equipements Données 2005 Cédric Gaspoz OBJECTIF RISQUES CONCEPT AUDIT 3

Objectifs de contrôle du CobiT (DS12) 12.1 Sécurité physique 12.2 Discrétion du site informatique 12.3 Accompagnement des visiteurs 12.4 Santé et sécurité du personnel 12.5 Protection contre les risques liés à l environnement 12.6 Continuité de l alimentation électrique 2005 Cédric Gaspoz 4

Concept général La sécurité physique est le premier rempart (après l humain) pour assurer la protection des données de l entreprise Réseau Intérieur Ressources Extérieur Données Programmes + Applications OS Plates-formes Bureaux, locaux, Immeubles, équipements 2005 Cédric Gaspoz OBJECTIF RISQUES CONCEPT AUDIT 5

Processus d audit La sécurité de tout l ensemble sera toujours à la sécurité du maillon le plus faible! La sécurité physique des SI doit être partie intégrante de la politique de sécurité globale de l entreprise L audit de la sécurité physique des SI se base en premier lieu sur la politique de sécurité définie par l entreprise, son respect par le personnel, la formation de ce dernier ainsi que l analyse des traces et des historiques 2005 Cédric Gaspoz OBJECTIF RISQUES CONCEPT AUDIT 6

12.1 Sécurité physique Protéger le périmètre avec des clôtures de sécurité Entrée des véhicules des employés/livraisons surveillée par un gardien Parking visiteurs à l extérieur du périmètre Protéger le bâtiment par des éléments naturels Limiter les points d accès au minimum et les répartir en fonction des besoins des personnes Eviter les fenêtres, poser des vitres blindées Eviter les murs communs entre le data center et l extérieur Poser des issues de secours à sens unique Protéger les équipements de secours s ils sont à l extérieur du centre de calcul Surveiller les sorties Utiliser des caméras de surveillance (LPD!) Mettre le data center sous alarme complète: feu, mouvement, paramètres env, 2005 Cédric Gaspoz 7

12.1 Sécurité physique (accès) Accès en fonction des besoins et non des personnes Former des périmètres concentriques (une personne est authentifiée N fois avant d entrer dans le data center) Utiliser des badges sur les portes (mantrap), verrouiller les racks Garder des traces de tous les accès (positifs ou négatifs) Gestion restrictive des droits d accès (one-time, échéance, ) 2005 Cédric Gaspoz 8

12.1 Sécurité physique (authentification) Authentification à deux facteurs Le gardien est toujours plus performant qu un système automatique Empêcher le vol d identité Panacher les systèmes 2005 Cédric Gaspoz 9

12.1 Sécurité physique (compromis) 20/80 2005 Cédric Gaspoz 10

12.2 Discrétion du site informatique Rendre le site totalement anonyme (ne pas l identifier ou le rendre identifiable), si nécessaire utiliser un nom fantaisiste Si le site n est pas dédié, mélanger les utilisations pour «noyer» le data center parmi les autres activités En cas de recours fréquents à des prestataires, prévoir des parkings à l abri des regards 2005 Cédric Gaspoz 11

12.3 Accompagnement des visiteurs Etablir une politique d accès globale comprenant toutes les exceptions Tous les utilisateurs du site doivent s y soumettre Identifier clairement les visiteurs par un badge spécial à durée limitée Accompagner et raccompagner les visiteurs Installer des sanitaires/vestiaires pour les visiteurs Ne jamais laisser un visiteur seul se promener dans le bâtiment Tout visiteur doit avoir une autorisation d accès délivrée par un responsable (maintenance, entretien, visites, réunions, ) Concevoir le data center de façon à ce que la présence d équipes de nettoyage ne soit pas nécessaire dans la salle des serveurs (mobilier anti-statique, filtres à particules, ) Ne pas placer le NOC avec les systèmes Séparer les accès 2005 Cédric Gaspoz 12

12.4 Santé et sécurité du personnel Eviter les possibilités de contrainte sur le personnel (vol d identité, vol de matériel, ) Utiliser des systèmes d extinction neutres sur les humains Equiper le data center d aspiration de fumée et/ou de respirateurs Placer l éclairage, les systèmes de sécurité ainsi que les mécanismes d ouverture des issues sur une alimentation sécurisée Marquer les issues de secours et les mesures à prendre en cas d alarme Tester les scénarios en cas de faille de sécurité (intrusion, vol, ) 2005 Cédric Gaspoz 13

12.5 Protection contre les risques liés à l environnement Considérer les risques environnementaux (inondations, aéroport, avalanches, glissements de terrain, raffinerie, lignes haute-tension, gazoduc, tremblement de terre, ) et prévoir des mesures de protection Considérer les risques externes ET internes (inondations, feu, ) Construction résistante, normes anti-feu, Stocker les matières inflammables à l extérieur des zones sensibles (cartons, emballages, manuels, ) Tester les mesures régulièrement 2005 Cédric Gaspoz 14

12.6 Continuité de l alimentation électrique Définir ce qui doit être placé sur l alimentation de secours (systèmes, NOC, éclairage, senseurs, gestion accès, ) Utiliser deux alimentations électriques provenant de deux sous-stations différentes géographiquement séparées Doubler tous les systèmes techniques (UPS, génératrices, climatisation) Tester l alimentation électrique de secours mensuellement (générateurs et/ou batteries) Stocker suffisamment de carburant pour 24 heures et signer un contrat pour un approvisionnement immédiat en cas de besoin 2005 Cédric Gaspoz 15

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back