MEILLEURES PRATIQUES POUR LA



Documents pareils
Expression des Besoins et Identification des Objectifs de Sécurité EBIOS SECTION 3 TECHNIQUES. Version 2 5 février 2004

Prestations d audit et de conseil 2015

Rapport de certification PP/0101

curité des TI : Comment accroître votre niveau de curité

ASSEMBLÉE NATIONALE 17 mars 2015 AMENDEMENT

Qu'est-ce que la normalisation?

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

Formation projet informatique. Expression de besoins, définir un besoin informatique

Expression des besoins

Par la présente et conformément à notre règlement interne, je me permets de poser une question parlementaire à Monsieur le Ministre des Finances.

CCSP EN UN COUP D OEIL. Chapitre SP 4250 Présentation des entités contrôlées et apparentées dans les états financiers des organismes sans but lucratif

Les acteurs de la carte d'achat

REGLEMENT DE CANDIDATURE MARCHE DE TRAVAUX. Construction modulaire d un pôle intercommunal. Lieu-dit les Vots BLENOD LES TOUL

Sécurité des Systèmes d Information

Décompresser, créer une archive au format «ZIP»

plate-forme mondiale de promotion

inférieur par rapport aux créances de tous les autres créanciers et ne seront remboursés qu'après règlement de toutes les autres dettes en cours à ce

Circulaire n 41/G/2007 du 2 août 2007 relative à l 'obligation de vigilance incombant aux établissements de crédit

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

THEORIE ET CAS PRATIQUES

EXAMEN CRITIQUE D UN DOSSIER TECHNIQUE

Ministère de la Culture et de la Communication

Rapport de certification PP/0002

Annexe sur la maîtrise de la qualité

Gestion de la continuité des activités. Mémento

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

M.S - Direction de la réglementation et du contentieux - BASE DE DONNEES. REFERENCE : B O N 5070 du 2 janvier 2003

SEP 2B juin 20. Guide méthodologique de calcul du coût d une prestation

Document d'organisation de l'informatique de proximité

ISO 27001:2013 Béatrice Joucreau Julien Levrard


P2A POLITIQUE ET PRATIQUES D'ARCHIVAGE (SPHÈRE PUBLIQUE)

CODE PROFESSIONNEL. déontologie

Société MAINTINFO MAINTENANCE D'EQUIPEMENTS INFORMATIQUES ETUDE DE CAS (UML) Document d'expression des Besoins. Page 1

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Lilurti ÉgQ.//ti Fr41rrnili. RbuBLlQ.UE FJtANÇAISE LE SECRETAIRE D'ETAT CHARGE DU BUDGET

Guide d utilisation des services en ligne 1 S inscrire pour déposer sa demande de financement

COMMISSION DES NORMES COMPTABLES. Le traitement comptable relatif à l'application de la procédure transitoire visée à l'article 537 CIR 92

Caisse Nationale de l'assurance Maladie

Normes pour la pratique professionnelle de l'audit interne

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

Instruction n du 17 Octobre 1999 relative à la tenue de la comptabilité des titres par les intermédiaires en opérations de bourse

L'assurance responsabilité civile des administrateurs et des dirigeants

La formation adaptée s adresse aux exploitants de chambres d hôtes visés à l article L du code du tourisme.

Entrepôt de données 1. Introduction

Panorama général des normes et outils d audit. François VERGEZ AFAI

3 Les premiers résultats des plans d'actions

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

Les principes de la sécurité

La défense en profondeur appliquée aux systèmes d information

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

LIGNES DIRECTRICES ET RENSEIGNEMENTS GÉNÉRAUX

Maintenance/évolution d'un système d'information

REGLES APSAD R81 DETECTION INTRUSION

Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau; Arrêtons: Chapitre 1er - De l'agrément et du plan d'activités

Université du Québec à Trois-Rivières Politique de gestion des documents actifs, semi-actifs et inactifs de l'u.q.t.r.

CONFERENCE INTERAFRICAINE DES MARCHES D ASSURANCE

une plate-forme de services administratifs pour le territoire bourguignon

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

CIRCULAIRE AUX BANQUES NON RESIDENTES N 86-13

Sage CRM. 7.2 Guide de Portail Client

Thème 5. Proposition d'une activité d'exploration élève : Micro-trottoir «Qu'est-ce qu'une entreprise?»

RÉSUMÉ DESCRIPTIF DE LA CERTIFICATION (FICHE RÉPERTOIRE)

Systèmes de transport public guidés urbains de personnes

Objectifs : piloter l organisation à travers des indicateurs (regroupés dans un tableau de bord), et informer des résultats la hiérarchie.

Extrait du site de l'oseo (ex.anvar) Reste à déterminer les points incontournables

La sécurité applicative

Paris, le 14 janvier La directrice des Archives de France. Mesdames et Monsieur les directeurs des centres des Archives nationales

OBJET : Mise en œuvre du décret n du 26 octobre 2004 relatif à l'exécution des marchés publics par carte d'achat.

Mise en œuvre de la certification ISO 27001

DÉCLARATION ET DEMANDE D'AUTORISATION D OPÉRATIONS RELATIVES A UN MOYEN DE CRYPTOLOGIE

NC 35 Norme comptable relative aux états financiers consolidés

MARCHE PUBLIC DE PRESTATIONS INTELLECTUELLES Code des marchés publics (décret du 1er août 2006)

Cadre commun de la sécurité des systèmes d information et de télécommunications

Peregrine. AssetCenter. Product Documentation. Solution Asset Tracking. Part No. DAC-441-FR38. Build 49

PRÉSENTATION GÉNÉRALE

GUIDE SUR L ASSISTANCE A LA MAÎTRISE D'OUVRAGE EN INFORMATIQUE

Questions / Réponses sur l'application de gestion des conventions de stage

LOCAL TRUST Charte Open-Source

Intervention des experts-comptables

Vers la création d un service d appui aux consommateurs en Wallonie

SOUTIEN INFORMATIQUE DEP 5229

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Guide du/de la candidat/e pour l élaboration du dossier ciblé

Dématérialisation et document numérique (source APROGED)

LE NOUVEAU REFERENTIEL NORMATIF ET DEONTOLOGIQUE DU PROFESSIONNEL DE L EXPERTISE COMPTABLE

Conclusions du Conseil sur l'innovation dans l'intérêt des patients

Référentiel Général de Sécurité

ET LA DÉLIVRANCE DU CERTIFICAT

Une protection antivirus pour des applications destinées aux dispositifs médicaux

CONDITIONS GENERALES DE VENTE

Tableau de Bord. Clas 1.1 Conduite d'un projet de communication

NC 06 Norme comptable relative aux Immobilisations incorporelles

Les mises à disposition de personnels ou de matériels

Baccalauréat technologique

Analyser l environnement

La pratique de l ITSM. Définir un plan d'améliorations ITSM à partir de la situation actuelle

Cahier des Clauses Particulières (CCP)

Transcription:

PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la des systèmes d information Sous-direction des opérations Bureau conseil MEILLEURES PRATIQUES POUR LA GESTION DES RISQUES SSI Utilisation spécifique de la méthode EBIOS pour élaborer une PSSI Version du 22 septembre 2004 51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tél 01 71 75 84 15 - Fax 01 71 75 84 00

Qu'est-ce qu'une PSSI? La Politique de Sécurité des Systèmes d'information (PSSI) est l'ensemble formalisé dans un document applicable, des directives, procédures, codes de conduite, règles organisationnelles et techniques, ayant pour objectif la protection des systèmes d information de l organisme. Elle traduit la reconnaissance officielle de l'importance accordée par la direction générale de l'organisme à la de ses systèmes d'information. D'une manière générale, elle contient une partie relative aux éléments stratégiques de l'organisme (périmètre, contexte, enjeux, orientations stratégiques en matière de SSI, référentiel réglementaire, échelle de sensibilité, besoins de, menaces) et une partie relative aux règles de applicables. Elle constitue donc une traduction concrète de la stratégie de de l organisme. Le guide PSSI édité par la DCSSI a pour objectif majeur l accompagnement des responsables de dans l élaboration d une politique de d un ou des systèmes d information au sein de leur organisme. Quels sont les avantages de la méthode EBIOS pour l'élaboration d'une PSSI? La réalisation préalable d'une étude EBIOS offre plusieurs avantages : - l'élaboration de la PSSI est facilitée par une démarche structurée, qui permet en outre de déduire en les justifiant une partie des principes et des règles retenus dans la PSSI ; - l exploitation des résultats de l étude EBIOS associée à d autres éléments d entrée, permet d'obtenir l'ensemble des éléments stratégiques, de choisir les principes et d'élaborer les règles de ; - les différents acteurs du SI (décideurs, responsables SSI, maîtrise d'œuvre, maîtrise d'ouvrage, acteurs financiers, utilisateurs ) sont déjà sensibilisés à la SSI, notamment aux risques SSI et au fait que la organisationnelle constitue une part importante de la globale. Comment élaborer une PSSI en utilisant EBIOS? Une solution efficace pour élaborer une PSSI consiste à : - organiser le projet PSSI ; - réaliser une étude EBIOS globale ; - extraire les données nécessaires dans l'étude EBIOS (essentiellement dans l'étude du contexte, l'expression des besoins de et l'étude des menaces) ; - réaliser les dernières tâches évoquées dans le guide PSSI : o choix des principes de et élaboration des règles de, facilités par l exploitation des objectifs et exigences de issus de l étude EBIOS, o élaboration des notes de synthèse, o finalisation et validation de la PSSI, o élaboration et validation du plan d'action. Page 2 sur 6

Pour cela, les activités de la méthode EBIOS sont utilisées de la manière suivante : Activités EBIOS ÉTAPE 1 Étude du contexte 1.1 Étude de l organisme 1.2 Étude du système-cible 1.3 Détermination de la cible de l étude de Mise en œuvre dans le but d'élaborer une PSSI En résumé : l'étude du contexte est approfondie et figurera dans la note de stratégie de de la PSSI L'activité doit être détaillée et complète. Elle s adaptera à l objet de la PSSI et à la nature de l organisme. Elle doit servir à identifier clairement les différents processus et fonctions présentes et les contraintes générales afin d assurer la meilleure définition du système-cible. Il est essentiel de ne pas omettre les références réglementaires et légales ainsi que les normes que l organisation doit respecter. L'activité doit être détaillée et complète. Les enjeux doivent être définis et évalués afin de pouvoir éventuellement classer le(s) système-cible(s) (les uns) par rapport aux autres et indiquer la place qu occupe le système-cible en terme de continuité d entreprise. Ne seront retenus que les éléments véritablement essentiels. Il importe que la description du système-cible soit claire, concise et aussi standardisée que possible. La définition des hypothèses, règles de et références réglementaires ainsi que les contraintes est indispensable pour disposer d un contexte complet et adéquat. Il est important de considérer les interfaces avec les autres systèmes d'information. S'il s'agit d'une PSSI globale d'organisme, les éléments essentiels considérés pourront être les domaines d'activités et les processus majeurs de l entreprise. de, qui serviront à la rédaction des règles de. Les principales entités (ou types d'entités) sont décrites et croisées avec les éléments essentiels. Page 3 sur 6

Activités EBIOS ÉTAPE 2 Expression des besoins de 2.1 Réalisation des fiches de besoins 2.2 Synthèse des besoins de ÉTAPE 3 Étude des menaces 3.1 Étude des origines des menaces 3.2 Étude des vulnérabilités 3.3 Formalisation des menaces Mise en œuvre dans le but d'élaborer une PSSI En résumé : l'échelle de besoins est détaillée et figurera dans la note de stratégie de de la PSSI L'activité doit être détaillée, complète et enrichie d'exemples issus de l'organisme. Ses résultats seront intégrés dans la note de stratégie de de la PSSI. Les critères de, l'échelle de besoins et les impacts choisis devraient être les mêmes pour l'ensemble des PSSI de l organisation. Une synthèse de cette activité pourra enrichir la note de stratégie de de la PSSI. Elle précisera les besoins de généraux en dessous desquels il est inacceptable de descendre. Il peut s avérer utile de compléter totalement les fiches d'expression des besoins de (et non de remplir uniquement les valeurs finales) afin de bien mettre en évidence le lien entre les éléments essentiels et les impacts, ainsi que l'importance relative des impacts. En résumé : l'origine des menaces est détaillée et figurera dans la note de stratégie de de la PSSI, l étude des vulnérabilités contribuera davantage à la suite de la PSSI L'activité doit être détaillée et complète. La caractérisation des méthodes d attaque et des éléments menaçants doit être particulièrement claire et précise. Le potentiel d attaque de chaque élément menaçant doit être indiqué, explicité et justifié. La liste justifiée des méthodes d attaque non retenues doit être réalisée. de, qui serviront à la rédaction des règles de. Elle peut ne pas être réalisée dans le cas d'une PSSI globale. Toutes les vulnérabilités pertinentes doivent être relevées, qu'elles soient avérées ou non. L'échelle éventuellement utilisée pour les niveaux de vulnérabilité devrait être la même pour l'ensemble des PSSI de l organisation. de, qui serviront à la rédaction des règles de. Elle doit être claire (à des fins de communication) et précise. Il est préférable de formuler des menaces unitaires et spécifiques (une vulnérabilité par menace). La hiérarchisation des menaces peut être utile dans le but de déterminer des priorités de traitement. Page 4 sur 6

Activités EBIOS ÉTAPE 4 Identification des objectifs de 4.1 Confrontation des menaces aux besoins 4.2 Formalisation des objectifs de 4.3 Détermination des niveaux de ÉTAPE 5 Détermination des exigences de 5.1 Détermination des exigences de fonctionnelles 5.2 Détermination des exigences de d assurance Mise en œuvre dans le but d'élaborer une PSSI En résumé : les objectifs de sont factorisés et figureront dans la note de stratégie de, ils constituent une aide au choix et à la justification des principes et règles retenus de, qui serviront à la rédaction des règles de. Les risques doivent être identifiés et formulés de manière uniforme. Ils doivent également être hiérarchisés afin de déterminer des priorités de traitement et les éventuels risques résiduels doivent être mis en évidence. Dans la mesure du possible, les objectifs de doivent être factorisés pour enrichir les axes stratégiques de la note de stratégie de de la PSSI. La rédaction des objectifs de doit être claire, précise et uniforme afin de les justifier par leur contenu. Les éventuels risques résiduels doivent être mis en évidence. Cette activité contribue à la détermination des exigences de, qui serviront à la rédaction des règles de. Elle peut ne pas être réalisée dans le cas d'une PSSI globale. Les niveaux de doivent être explicites et dûment justifiés. En résumé : les exigences de fonctionnelles et d'assurance pourront directement constituer des règles de de la PSSI, elles seront éventuellement complétées par d autres règles, élaborées en réponse à des besoins non couverts par l étude EBIOS. Idéalement, les exigences de fonctionnelles doivent être spécifiques (un acteur, un domaine à la fois), mesurables (définition du moyen de contrôle), atteignables (éventuellement en plusieurs étapes, en donnant les ressources nécessaires), réalistes (en fonction des acteurs, de leurs capacités) et liés au temps (il y a une date buttoir, un délai, une période définie). Une fois triées, elles pourront constituer directement une partie des règles de de la PSSI. Les éventuels risques résiduels doivent être mis en évidence. Les exigences de devraient être classées selon les domaines couverts par la PSSI. Dans la mesure du possible, les exigences de d'assurance doivent être spécifiques (un acteur, un domaine à la fois), mesurables (définition du moyen de contrôle), atteignables (éventuellement en plusieurs étapes, en donnant les ressources nécessaires), réalistes (en fonction des acteurs, de leurs capacités) et liés au temps (il y a une date buttoir, un délai, une période définie). Une fois triées, elles pourront constituer directement une partie des règles de de la PSSI. Page 5 sur 6

En résumé, les données exploitables sont les suivantes : EBIOS Étude du contexte Étude de l'organisme PSSI Éléments stratégiques Périmètre de la PSSI Étude du système-cible Détermination de la cible de l'étude Enjeux et orientations stratégiques Aspects légaux et réglementaires Expression des besoins de Réalisation des fiches de besoins Synthèse des besoins de Détermination du mode d'exploitation Extraction et synthèse des éléments nécessaires Échelle de besoins Besoins de Menaces Étude des menaces Étude des origines des menaces Étude des vulnérabilités Détermination des menaces Identification des objectifs de Justification du choix des principes de Règles de Thème 1... Thème N Confrontation des menaces aux besoins Détermination des objectifs de Détermination des niveaux de Détermination des exigences de Détermination des exigences fonctionnelles Détermination des exigences d'assurance Déclinaison des exigences de en règles de justifiées (pour tout complément d'information : ebios.dcssi@sgdn.pm.gouv.fr) Page 6 sur 6

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back