Objectifs & Introduction P-F. Bonnefoi



Documents pareils
THEORIE ET CAS PRATIQUES

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Opportunités s de mutualisation ITIL et ISO 27001

ISO/CEI 27001:2005 ISMS -Information Security Management System

Les clauses «sécurité» d'un contrat SaaS

L analyse de risques avec MEHARI

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

MANUEL DE MANAGEMENT QUALITE

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

La norme ISO 9001, outil d organisation. de laboratoire. Du bon usage des normes SÉCURITÉ S O M M A I R E. ISO 9001 et qualité en recherche

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

intégration tri ogique Démarches Processus au service des enjeux de la Santé

METIERS DE L INFORMATIQUE

SMSI et normes ISO 27001

La présentation qui suit respecte la charte graphique de l entreprise GMF

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

"Le Référentiel des Métadonnées Documentaires" ou "le MDM appliqué au Records Management"

ISO 27001:2013 Béatrice Joucreau Julien Levrard

La sécurité applicative

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Service Cloud Recherche

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Conditions de l'examen

Présentation de l Université Numérique de Paris Île-de-France

Sinistres majeurs : comment assurer la continuité d activité?

Gestion de parc et qualité de service

Mise en place d'une démarche qualité et maintien de la certification ISO 9001:2008 dans un système d'information

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

D ITIL à D ISO 20000, une démarche complémentaire

Catalogue des formations 2014 #CYBERSECURITY

L Audit selon la norme ISO27001

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Initiation à la sécurité

MailStore Server 7 Caractéristiques techniques

La sécurité des solutions de partage Quelles solutions pour quels usages?

Activité : Élaboration, mise en forme et renseignement de documents

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA


Mise en œuvre de la certification ISO 27001

Information Security Management Lifecycle of the supplier s relation

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

La sécurité dans les grilles

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Zimbra Collaboration 8.X

Gestion du risque avec ISO/EIC17799

LIVRET DES PRESTATIONS DE LA CONVENTION INTERNET ET DEMATERIALISATION DU CDG46 (au 01/01/2015)

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :

GLOBAL CAPABILITY. PERSONAL ACCOUNTABILITY.

Montrer que la gestion des risques en sécurité de l information est liée au métier

Formation en SSI Système de management de la SSI

ACTE DE VENTE D'UN NAVIRE DE PLAISANCE

TUV Certification Maroc

CAHIER DES CHARGES DE REALISATION DE SITE INTERNET

PROGRAMME DE FORMATION

dans un contexte d infogérance J-François MAHE Gie GIPS

Groupement ICS eau et William Terry Conseil, représenté par:

MARCHE 2015/05 : Ré informatisation de l Espace Culturel et maintenance associée

ISFA INSTITUT DE SCIENCE FINANCIÈRE ET D ASSURANCES GRANDE ÉCOLE D ACTUARIAT ET DE GESTION DES RISQUES

L'opérateur Économique Agréé

ISO conformité, oui. Certification?

Démarche Lean management

LEA.C1. Réseautique et sécurité informatique

CIMAIL SOLUTION: EASYFOLDER SAE

Evaluation, Certification Axes de R&D en protection

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Les audits de l infrastructure des SI

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Systèmes et réseaux d information et de communication

La métrologie au laboratoire. vigitemp 10. centrale de surveillance et de traçabilité vigitemp kit de cartographie vigicart

Etudier à l'etranger. Informations. Enseignement ETATS UNIS

Club ISO Juin 2009

Intégrateur de compétences

UFR d Informatique. FORMATION MASTER Domaine SCIENCES, TECHNOLOGIE, SANTE Mention INFORMATIQUE

Développement d une application partagée pour la gestion du système de qualité (ISO 9001/2008) dans la sucrerie

L innovation technologique au quotidien dans nos bibliothèques

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Vers un nouveau modèle de sécurité

mieux développer votre activité

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

ITIL v3. La clé d une gestion réussie des services informatiques

FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"

Organisme de certification de personnes et d entreprises. Certification en technologies de l information et monétique.

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

Panorama général des normes et outils d audit. François VERGEZ AFAI

Projet 2. Gestion des services enseignants CENTRE D ENSEIGNEMENT ET DE RECHERCHE EN INFORMATIQUE. G r o u p e :

FORMATION PostgreSQL Réplication / Haute Disponibilité

Le Management Lean. Michael Ballé. Excellence Systems Group Consultants 1

- Véritable projet de service -

UNIVERSITE PARIS 1 PANTHEON SORBONNE

Certification ISO 27001

Mise en place d une démarche qualité dans un système d information

C N F - Tunis. Manuel du stagiaire. Intitulé de l'atelier : Animer la qualité au quotidien Dans un établissement universitaire juin 2015

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Rédiger : le numérique dans la préparation de la thèse

Transcription:

Master 2 Audit des risques informatiques Objectifs & Introduction P-F. Bonnefoi Version du 30 septembre 2015

Programmation de l UE Volume horaire 15h Agenda mercredi 30 septembre 13h30-16h30 ; mercredi 21 octobre 16h30-19h30 ; vendredi 23 octobre 16h30-18h30 ; mercredi 18 novembre 13h30-16h30 ; mercredi 2 décembre 8h30-12h30 (Salle Informatique). Examen écrit d 1h, documents non autorisés

Ressources Un site Web http://libpfb.so/cca/ dessus : les supports de cours ; les annales d examen ; une version imprimée des supports sera également distribuée. Contact bonnefoi@unilim.fr Laboratoire XLIM, 123 av Albert Thomas, bureau 421

But & Objectif But de l enseignement Présenter la sécurité dans le cadre des échanges électroniques qu ils soient synchrones (communication directe avec un serveur, comme un serveur Web par exemple) ou asynchrone (remise de courrier, stockage de document). Les points abordés sont : l authentification des interlocuteurs ou propriétaires ; la garantie de confidentialité et d intégrité ; la signature électronique et la non répudiation ; la mise en place de la confiance au travers des certificats et des infrastrutures à clé publiques ; les obligations légales et le référentiel national d usage ; les risques et les atteintes possibles à la fiabilité de ces opérations ; l utilisation dans le cadre de son activité professionnelle et des règles administratives. Objectifs Maîtriser son identité électronique et celle de ses interlocuteurs et assurer la sécurité de son travail dématérialisé.

Contenu et objectifs Programme du DSCG Sécurité des Systèmes informatiques Mise en place d une architecture de confiance : Comprendre le fonctionnement d une infrastructure à clé publique ; certificat numérique, signature électronique. Prendre les dispositions pour garantir la continuité de l activité : surveillance des processus ; analyse des risques ; mise en place d outils de protection techniques et juridiques. Programme de l UE Présentation des risques informatiques : la notion d audit de sécurité ; fonctionnement d un réseau local ; protection du réseau et du poste de travail ; analyse des risques et proposition d une politique de sécurité. Introduction à la cryptographie et application : chiffrement symétrique et asymétrique ; Fonction de hachage ; Signature électronique ; Certificat et infrastructure de confiance ; Partie pratique : utilisation des certificats et chiffrement/signature du courrier électronique.

Une affaire de standards l ISO, Organisation internationale de normalisation, «International organization for standardization» organisation internationale, créée en 1947 ; composée de représentants des organismes de normalisation nationaux d environ 150 pays ; produit des normes internationales dans les domaines industriels et commerciaux. Différentes normes, IS, «International Standard» : IS 9000 : consacrée à la définition d un «système de management» : établir une politique et fixer des objectifs : référentiel écrit ; ensemble de mesures organisationnelles et techniques destinées à mettre en place un certain contexte organisationnel et à en assurer la pérennité et l amélioration ; vérifier que l on a atteint les objectifs fixés : réaliser un audit qui consistera à comparer le référentiel à la réalité pour relever les divergences, nommées écarts ou non-conformités. sans référentiel, l auditeur en peut réaliser sa mission ; mais il existe de nombreux référentiels IS 9001 : consacrée aux systèmes de management de la qualité et aux exigences associées ; IS 14001 : consacrée aux systèmes de management de l environnement ; IS 27001 : consacrée aux systèmes de management de la sécurité de l information ; IS 19001 : directives à respecter pour la conduite de l audit d un système de management.

La norme ISO 27001 Système de management de la sécurité de l information ou SMSI s applique à un SMSI ; fournie un schéma de certification pouvant être appliqué au SMSI au moyen d un audit ; s appuie sur approche par processus : exemple du PDCA, «Plan, Do, Check, Act» phase Plan : définir lechamp du SMSI, identifier et évaluer les risques, produire le document (Statement of applicability, SOA) qui énumère les mesures de sécurité à appliquer ; phase Do : affecter les ressources nécessaires, rédiger la documentation, former le personnel, appliquer les mesures décidées, identifier les risques résiduels ; phase Check : audit et revue périodiques du SMSI,qui produisent des constats et permettent d imaginer des corrections et des améliorations ; phase Act : prendre les mesures qui permettent de réaliser les corrections et les améliorations dont l opportunité a été mise en lumière par la phase Check, préparer une nouvelle itération de la phase Plan. Le SMSI a pour buts de : maintenir et d améliorer la position de l organisme qui le met en œuvre du point de vue : de la compétitivité, de la profitabilité, de la conformité aux lois et aux règlements, de l image de marque. protéger les actifs «assets» de l organisme, définis au sens large comme tout ce qui compte pour lui. Le vocabulaire du SMSI est fournie dans l IS 27000. Les mesures de sécurité énumérées dans la phase Plan peuvent être prises dans le catalogue de «mesures» et «bonnes pratiques» proposé par l IS 27002.

Les méthodes d analyse des risques IS 27001 impose une analyse des risques, mais ne propose aucune méthode pour la réaliser : liberté de choisir une méthode pour le SMSI, à condition que : elle soit documentée ; elle garantisse que les évaluations réalisées avec son aide produisent des résultats comparables et reproductibles. Un risque identifié peut être : accepté, transféré à un tiers (assurance, prestataire), réduit à un niveau accepté. Exemples de méthodes d analyse des risques : IS 27005, méthode d analyse fournie par l ISO ; EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) : «permet d apprécier et de traiter les risques relatifs à la sécurité des systèmes d information (SSI). Elle permet aussi de communiquer à leur sujet au sein de l organisme et vis-à-vis de ses partenaires afin de contribuer au processus de gestion des risques SSI.» Pour obtenir une certification IS 27001 : définir le champ du SMSI ; en formuler la politique de management ; préciser la méthode d analyse de risques utilisée ; identifier, analyser et évaluer les risques ; déterminer les traitements qui seront appliqués aux différents risques, ainsi que les moyens d en vérifier les effets ; attester l engagement de la direction de l organisme dans la démarche du SMSI ; rédiger le Statement of Applicability (SOA) qui sera la charte du SMSI et qui permettra de le soumettre à un audit.

Les méthodes et l aspect législatif Les différents IS IS 27001 : système de management de la sécurité des systèmes d information (SMSI) ; IS27000 : vocabulaire SSI ; IS 27002 (ex-17799) : catalogue de mesures de sécurité ; IS 27003 : implémentation du SMSI ; IS 27004 : indicateurs de suivi du SMSI ; IS 27005 : évaluation et traitement du risque ; IS 27006 : certification du SMSI ; IS 27007 : audit du SMSI. L historique et l évolution de la législation juillet 2002, USA : loi Sarbanes-Oxley, «SOX» : impose aux entreprises qui font appel au capital public (cotées en bourse) toute une série de règles comptables et administratives destinées à assurer la traçabilité de leurs opérations financières, pour garantir plus de transparence pour les actionnaires (éviter les comptes truqués comme dans le cas du scandale «Enron») ; 1er août 2003, France : loi du sur la sécurité financière (LSF) qui concerne principalement trois domaines : modernisation des autorités de contrôle des marchés financiers ; sécurité des épargnants et des assurés ; contrôle légal des comptes ainsi que la transparence et le gouvernement d entreprise. Cette loi française ne concerne pas seulement les sociétés cotées, mais toutes les sociétés anonymes. 2004, dispositif réglementaire européen «Bâle 2» qui concerne les établissements financiers. La loi Sarbanes-Oxley concerne la sécurité du système d information : elle impose aux entreprises des procédures de contrôle interne, de conservation des informations, et de garantie de leur exactitude : la continuité des opérations ; la sauvegarde et l archivage des données ; l externalisation et son contrôle.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back