Comment répondre aux nouveaux enjeux de la sécurité



Documents pareils
Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

ISO 27001:2013 Béatrice Joucreau Julien Levrard

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

THEORIE ET CAS PRATIQUES

Sécurité du cloud computing

Les clauses «sécurité» d'un contrat SaaS

La conformité et sa dérive par rapport à la gestion des risques

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

Gestion des incidents

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Gestion de parc et qualité de service

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

D ITIL à D ISO 20000, une démarche complémentaire

ISO/CEI 27001:2005 ISMS -Information Security Management System

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

ITIL v3. La clé d une gestion réussie des services informatiques

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Excellence. Technicité. Sagesse

Prestations d audit et de conseil 2015

2012 / Excellence. Technicité. Sagesse

Club ISO Juin 2009

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

SYSTÈME DE MANAGEMENT ENVIRONNEMENTAL

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

Conservatoire national des arts et métiers - Centre de Marne la Vallée L'ITIL : Un référentiel pour la qualité des systèmes d'information

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Management de la. Continuité. Implémentation ISO Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Mise en œuvre de la certification ISO 27001

SMSI et normes ISO 27001

Contractualiser la sécurité du cloud computing

Opportunités s de mutualisation ITIL et ISO 27001

Stratégie IT : au cœur des enjeux de l entreprise

Audit du PCA de la Supply Chain en conformité avec la norme ISO GUIDE ADENIUM BUSINESS CONTINUITY

Les clauses sécurité dans un contrat de cloud

Table des matières. Partie I CobiT et la gouvernance TI

Vector Security Consulting S.A

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

Olivier Terrettaz, Expert diplômé en finance et controlling 1

Comprendre ITIL 2011

Programme de formation " ITIL Foundation "

ITIL : Premiers Contacts

Mise en place d'une démarche qualité et maintien de la certification ISO 9001:2008 dans un système d'information

La sécurité applicative

PASSI Un label d exigence et de confiance?

Jean- Louis CABROLIER

Information Technology Services - Learning & Certification

METIERS DE L INFORMATIQUE

ITSMby Diademys. Business plan. Présentation

Vers un nouveau modèle de sécurité

JOURNÉE THÉMATIQUE SUR LES RISQUES

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Les risques HERVE SCHAUER HSC

La politique de sécurité

CATALOGUE Expertise ITIL - ISO Lean IT

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

Menaces et sécurité préventive

2 nde édition Octobre 2008 LIVRE BLANC. ISO Le nouveau nirvana de la sécurité?

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

exemple d examen ITMP.FR

Brève étude de la norme ISO/IEC 27003

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

La gouvernance au cœur de la Transformation des systèmes d information Renault

curité des TI : Comment accroître votre niveau de curité

2.La bibliothèque ITIL est composé de 2 ouvrages La bibliothèque : Dans sa version actuelle, ITIL est composé de huit ouvrages :

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

College Du Chinchon. Torniké Sidamonidzé 3C. M. Brulé

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Utilisation des bonnes pratiques ITIL et ISO dans la construction d'un Service Informatique mutualisé d'observatoire

Groupe de travail ITIL - Synthèse 2011

DU RISQUE DANS LES CADRES RÉGLEMENTAIRES*

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

IT Gouvernance. Plan. Définition. IT gouvernance pourquoi? But et enjeux. Les bonnes pratiques et composantes d une IT gouvernance

ITSM - Gestion des Services informatiques

Analyse des protections et mécanismes de chiffrement fournis par BitLocker

A1 GESTION DE LA RELATION AVEC LA CLIENTELE

LA GESTION DES SERVICES INFORMATIQUES À L'ÉPREUVE DU TERRAIN

L innovation technologique au quotidien dans nos bibliothèques

Information Technology Services - Learning & Certification.

«Audit Informatique»

Université du Sud-Toulon Var IUT Toulon Var PROGRAMME DE LA FORMATION. Licence Professionnelle Management des Organisations

Conception et Réalisation d une Application de Gestion de Sécurité d Information pour la Poste Tunisienne

Montrer que la gestion des risques en sécurité de l information est liée au métier

ISO conformité, oui. Certification?

CONTEXTE GENERAL : CADRE DE REFLEXION ET D ACTION ET DOMAINES D INTERVENTION

Panorama général des normes et outils d audit. François VERGEZ AFAI

PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION

Club toulousain

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Transcription:

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Comment répondre aux nouveaux enjeux de la sécurité CLUSIR Tahiti Papeete, 24 septembre 2010 Alexandre.Fernandez-Toro@hsc.fr

Quelques tendances de fond Conformité Règlementations sectorielles Bâle 2, Solvency 2 Législation : protection des données à caractère personnel Référentiels divers : SAS 70, PCI-DSS, RGS,... Concurrence Les monopoles cessent de l'être. Exigence croissante des clients en matière de sécurité auprès de leurs prestataires Transparence Importance de la certification des comptes. Prouver que le SI ne permet pas de détourner l'information. Preuves de bonnes pratiques 2

Quelques tendances de fond Dans l'organisation de l'entreprise Transversalisation Suppression des «baronnies» Une formule qui revient souvent : «business oriented» Standardisation ITIL pour la production ISO 27001 pour la sécurité CoBIT pour la gouvernance CMMI pour le développement Mutualisation Tous ces référentiels ont des points communs 3

Risques récurrents Risques environnementaux Cyclones Tsunami Risques sociaux Blocage de sites Dégradation de matériel Risques Incidents de production Virus Intrusions sur le système etc... 4

Question Le DSI ainsi que le RSSI doivent composer avec ces tendances et ces risques Question : comment organiser le système d'information pour satisfaire toutes ces exigences? Dans le domaine de la sécurité, la réponse est apportée par la norme ISO 27001 5

Séquence des points abordés L'essentiel de l'iso 27001 Incidence de la norme sur l'opérationnel Apports de la norme Retour sur les questions de fond 6

L'essentiel de l'iso 27001 La norme ISO 27001 est à la sécurité de l'information ce que l'iso 9001 est à la qualité Elle impose la mise en place d'un Système de Management de la Sécurité de l'information (SMSI) Basée sur le modèle Plan / Do / Check / Act PLAN : Dire ce que l'on va faire DO : Faire ce que l'on a dit CHECK : Vérifier ce ce que l'on fait correspond à ce que l'on a dit ACT : Si delta, alors entreprendre des actions correctives et préventives Il est possible de se faire certifier 7

L'essentiel de l'iso 27001 Organisation Partenaires Système de Management Fournisseurs Formulent des exigences Planification Plan Clients Pouvoirs Publics Satisfait les exigences Action Do Correction Act Services Vérification Check 8

L'essentiel de l'iso 27001 Système de management Processus Planification Plan Action Do Correction Act Vérification Check 9

L'essentiel de l'iso 27001 Grandes étapes de la mise en place d'un SMSI Politique / Périmètre Appréciation des risques Documentation Mise en place des mesures de sécurité Audit interne Suivi d'actions Gestion des incidents etc... 10

L'essentiel de l'iso 27001 Focus sur l'appréciation des risques C'est une modélisation des risques Aucune méthode n'est explicitement exigée par la norme Démarche Inventaire des actifs Valorisation Vulnérabilités Menaces Impacts (Disponibilité, Intégrité, Confidentialité) Conséquences opérationnelles Niveau de risque Traitement (Acceptation, Refus, Transfert, Réduction) Validation de l'ensemble par la direction générale 11

L'essentiel de l'iso 27001 Focus sur la documentation L'ISO 27001 oblige à formaliser les processus du SMSI Tout processus doit être documenté Donc, ISO 27001 = Tradition orale Tradition écrite Idée reçue «L'ISO 27001 c'est faire du papier, du papier... plein de papier!» C'est FAUX! 12

L'essentiel de l'iso 27001 Focus sur la documentation Qu'est-ce qu'un bon document de procédure? Qui Fait quoi Quand En générant quel enregistrement Pas de contrainte sur le volume ou la forme Possible d'avoir des documents très concis (une à deux pages) Format variable selon le service et les équipes, en fonction de la culture de chacun Qualité Ingénierie Production 13

L'essentiel de l'iso 27001 Focus sur les mesures de sécurité On croit souvent que l'iso 27001 oblige à lancer de nombreux nouveaux projets de sécurité. En fait, souvent, vous n'avez pas attendu l'iso 27001 pour faire le minimum indispensable en matière de sécurité L'essentiel des mesures de sécurité sont déjà en place Le travail consiste surtout à les rendre conformes au modèle PDCA Dans les faits Mise en conformité PDCA des mesures de sécurité existantes (90 %) Déploiement de nouvelles mesures de sécurité (10 %) 14

Séquence des points abordés L'essentiel de l'iso 27001 Incidence de la norme sur l'opérationnel Apports de la norme Retour sur les questions de fond 15

Incidence de la norme sur l'opérationnel En général, le déploiement de l'iso 27001 a peu d'incidence sur les processus opérationnels Les gens continuent à travailler comme avant En revanche, l'utilisateur doit prendre conscience de trois points La documentation La notion d'enregistrement Le suivi d'actions Ce point concerne plutôt le management 16

Incidence de la norme sur l'opérationnel Focus sur la gestion des enregistrements C'est ce qui prouve que les processus sont opérés conformément à ce qui est spécifié Ce peut être Des comptes rendus de réunions Des fichiers logs Des formulaires Etc. Deux cas possibles Soit ils existent déjà. C'est le cas le plus courant. Il suffit alors de prendre soin de les gérer correctement. Soit, dans certains cas, il faut les créer. 17

Séquence des points abordés L'essentiel de l'iso 27001 Incidence de la norme sur l'opérationnel Apports de la norme Retour sur les questions de fond 18

Apports de l'iso 27001 Attention! L'ISO 27001 permet d'adopter de bonnes pratiques de mettre en place un processus cohérent en matière de sécurité En revanche, l'iso 27001 ne garantit pas un niveau de sécurité. On peut avoir mis en place l'iso 27001 et être confronté à des incidents majeurs de sécurité Dans ces conditions, on peut se demander quel est l'intérêt de de la démarche 27001... 19

Apports de l'iso 27001 D'un point de vue opérationnel Adoption de bonnes pratiques en matière de sécurité Harmonisation des procédures Amélioration progressive du niveau de sécurité Apports business Confiance auprès des clients, en matière de sécurité Grâce à la certification Image de sérieux Avantage concurrentiel Pour l'entreprise Projet fédérateur, car transverse 20

Séquence des points abordés L'essentiel de l'iso 27001 Incidence de la norme sur l'opérationnel Apports de la norme Retour sur les questions de fond 21

Retour sur les tendances de fond Conformité Règlementations sectorielles Bâle 2, Solvency 2 ISO 27001 Appréciation des risques Réflexion sur les risques opérationnels Audit interne Législation : protection des données à caractère personnel Mise en place de mesures de sécurité et de contrôle Référentiels divers : SAS 70, PCI-DSS, RGS, Très nombreux points communs entre ces référentiels et l'iso 27001 Chaque référentiel insiste sur certains points plus que d'autres L'ISO 27001 est structurant : Il sert de socle de base aux autres référentiels 22

Retour sur les tendances de fond Concurrence Les monopoles cessent de l'être. Exigence croissante des clients en matière de sécurité auprès de leurs prestataires Apports de l'iso 27001dans ce domaine Appréciation des risques Notion de «Déclaration d'applicabilité» On peut montrer au client de façon claire quels sont les choix qui ont été faits en matière de sécurité 23

Retour sur les tendances de fond Transparence Importance de la certification des comptes. Prouver que le SI ne permet pas de détourner l'information. Preuves de bonnes pratiques Apports de l'iso 27001dans ce domaine Audit interne Schéma de certification Possibilité de se faire certifier ISO 27001 Audit indépendant par un organisme de certification Suivi d'actions 24

Retour sur les tendances de fond Organisation de l'entreprise Transversalisation 25 L'ISO 27001 est une démarche fondamentalement transverse Standardisation ITIL, ISO 27001, CoBIT, CMMI, etc. L'ISO 27001 est devenue la référence omniprésente en sécurité Mutualisation Points communs avec CoBIT processus DS 5 ITIL Gestion des incidents Gestion des problèmes Gestion des changements Gestion de la configuration

Retour sur les risques récurrents Risques environnementaux Cyclones Tsunami Risques sociaux Blocage de sites Dégradation de matériel Apports de l'iso 27001 dans ce domaine A proprement parler, aucune exigence de l'iso 27001 n'oblige à mettre en place un Plan de continuité de l'activité... mais la démarche rend quasiment incontournable un PCA. 26

Retour sur les risques récurrents Risques Incidents de production Virus Intrusions sur le système Apports de l'iso 27001 dans ce domaine On a tendance à penser que l'iso 27001 est une démarche exclusivement organisationnelle C'est faux! Les aspects techniques sont aussi importants que les aspects organisationnels L'appréciation des risques oblige à sélectionner les bonnes mesures de sécurité techniques... et à contrôler leur efficacité et leur bonne exploitation. 27

Conclusion L'ISO 27001 Est devenue un espéranto de la sécurité Oblige à adopter de bonnes pratiques en matière de sécurité Bonne pratique reconnue On ne vous reprochera pas de ne pas avoir eu de bonnes pratiques si vous implémentez l'iso 27001 Attention toutefois Aux SMSI exclusivement organisationnels Aux SMSI dont le périmètre est très restreint Aux SMSI non contrôlés par une instance indépendante 28

Questions 29

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back