Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799



Documents pareils
Prestations d audit et de conseil 2015

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Guide de bonnes pratiques de sécurisation du système d information des cliniques

État Réalisé En cours Planifié

Excellence. Technicité. Sagesse

Comprendre ITIL 2011

2012 / Excellence. Technicité. Sagesse

ISO conformité, oui. Certification?

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

Politique de Sécurité des Systèmes d Information

IAM et habilitations, l'approche par les accès ou la réconciliation globale

Les principes de la sécurité

ITIL V Préparation à la certification ITIL Foundation V3 (2ième édition)

ITIL V Préparation à la certification ITIL Foundation V3 (3ième édition)

ÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL

Auditabilité des SI et Sécurité

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

plate-forme mondiale de promotion

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ISO la norme de la sécurité de l'information

CONTEXTE GENERAL : CADRE DE REFLEXION ET D ACTION ET DOMAINES D INTERVENTION

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Rapport d'audit étape 2

Classification : Non sensible public 2 / 22

PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION

LICENCE : INFORMATIQUE GENERALE

L analyse de risques avec MEHARI

La politique de sécurité

Mise en place d une démarche qualité dans un système d information

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Brève étude de la norme ISO/IEC 27003

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

Guide DinkeyWeb. DinkeyWeb solutions d authentification et de contrôle d accès WEB

Notre offre PCA/PRA

LA QUALITE DU LOGICIEL

Risques d accès non autorisés : les atouts d une solution IAM

La sécurité applicative

Débat national sur les valeurs, missions et métiers de la Fonction publique. Synthèse des contributions des participants au débat public 25/02/2008

Menaces informatiques et Pratiques de sécurité en France Édition Paris, mercredi 25 juin 2014

Atelier A N 13. Titre : Gestion des risques, audit interne et contrôle interne

Systèmes et réseaux d information et de communication

La présentation qui suit respecte la charte graphique de l entreprise GMF

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Phase ERP : Usages et effets. Problématiques technique et organisationnelle de la phase d'exploitation de l'erp

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :

Comprendre ITIL 2011

Formation Méthode MDM. Architecture et procédés de modélisation des données de référence

METIERS DE L INFORMATIQUE

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Gestion des Incidents SSI

Les risques HERVE SCHAUER HSC

Protéger les données critiques de nos clients

A1 GESTION DE LA RELATION AVEC LA CLIENTELE

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

REF01 Référentiel de labellisation des laboratoires de recherche_v3

L'AUDIT DES SYSTEMES D'INFORMATION

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

Circuit du médicament informatisé

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Politique et charte de l entreprise INTRANET/EXTRANET

Gestion des documents associés

ManageEngine IT360 : Gestion de l'informatique de l'entreprise

Sécurité des applications Retour d'expérience

AVIS DE SOLLICITATION DE MANIFESTATION D INTERET AUPRES DE CONSULTANT INDIVIDUEL

RESUME DES CONCLUSIONS SUR LE RISQUE OPERATIONNEL. No Objet Remarques et Conclusions du superviseur. Observations après un entretien

PREVENTION EVALUATION ET MANAGEMENT DU RISQUE SOCIAL

Cédric Gendre Inra, ESR Toulouse

dans un contexte d infogérance J-François MAHE Gie GIPS

R E G L E M E N T I N T E R I E U R

COMMENT MAITRISER LA GESTION DES APPROVISIONNEMENTS ET DES STOCKS DE MEDICAMENTS

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Piloter le contrôle permanent

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :

Fiche conseil n 16 Audit

Annexe sur la maîtrise de la qualité

ITIL Mise en oeuvre de la démarche ITIL en entreprise

GUIDE SUR L ASSISTANCE A LA MAÎTRISE D'OUVRAGE EN INFORMATIQUE

NOUVEAUTES de Microsoft Dynamics CRM 2011 REF FR 80342A

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance

La pratique de l ITSM. Définir un plan d'améliorations ITSM à partir de la situation actuelle

Montrer que la gestion des risques en sécurité de l information est liée au métier

LE PROJET QUALITE-GESTION DES RISQUES- DEVELOPPEMENT DURABLE

Symantec Control Compliance Suite 8.6

Business et contrôle d'accès Web

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

IDF-DG-ESC-Architecte Poste de Travail-1936 Architecte Poste de Travail H/F

Solutions pour l'industrie de nutrition animale

Gestion des identités

Transcription:

David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information IRIAF, Université de Poitiers Octobre 2006 D. BIGOT, J. VEHENT Etude de cas ASSURAL p. 1/6

I) Rédaction des préconisations I.1) Préconisations liées au rapport d'audit Thèmes Problèmes Préconisations Thème 1 : Politique de sécurité Pas de PSSI Rédiger une PSSI dans le cadre de la création d'un ISMS Thème 2 : Organisation de la sécurité de l'information Situation du RSSI dans la hiérarchie (séparation MOA/MOE) Le RSSI doit être directement rattaché à la Direction Générale (RSSI et DG sont la MOA) Les administrateurs jouent le rôle d'administrateurs de la sécurité Créer un poste Responsable Sécurité Informatique, rattaché au RSSI, qui aura la charge de l'administration de la sécurité informatique Absence de définition précise des responsabilités Définition des responsabilités du personnel par des procédures formalisées Processus d'approbation de la DG sur Revoir le processus de validation MOA -> MOE l'évolution du SI est défaillant Absence de fondamentaux en matière de gestion de la sécurité du système d'information (audits, tableau de bord, La mise en place d'un ISMS est indispensable cellule de crise,...) Thème 3 : Gestion des actifs Les rôles de propriétaires ne sont pas définis Définir les règles administratives et juridiques liés à la propriété de l'information au travers de la PSSI Evaluation empirique de la criticité de l'information Etablir une classification avec le concours des propriétaires, réaliser une analyse des risques pour affiner les procédures de traitement de l'information Thème 4 : Sécurité liée aux ressources humaines Absence de contrôles à l'embauche pour les postes sensibles Procédure de vérification des diplômes et du casier judiciaire Défault d'implication des utilisateurs dans le processus sécurité Réalisation des actions de sensibilisation pour responsabiliser les utilisateurs Pas de contrôle régulier des habilitations Faire démarrer le Workflow depuis la DRH et réaliser un audit des habilitations deux fois par an Thème 5 : Sécurité physique et environnementale La politique de contrôle d'accès par badge est inefficace Sensibiliser le personnel à l'accès aux locaux (ne pas laisser entrer de personnes non munis de badges) D. BIGOT, J. VEHENT Etude de cas ASSURAL p. 2/6

Faille dans le système de livraison Mettre en place un sas de déchargement Thème 6 : Gestion des télécommunications et de l'exploitation Absence de contrôles indépendants des processus d'exploitation et de maintenance Réaliser régulièrement des audits internes Gestion défaillante de la sécurité des systèmes Procédurer, avec une définition des responsabilités, la gestion de la sécurité Pas, ou peu, d'analyse des fichiers journaux Mettre en place un système de gestion des journaux en temps réel Thème 7 : Contrôle des accès logiques Pas de séparation des pouvoirs Etablir une matrice des droits prenant en compte les incompatibilités de pouvoirs Pas de contrôle de l'utilisation des privilèges (voir thème 4) Audit bi-annuel et gestion des habilitations par la DRH Absence de bonnes pratiques pour le rangement des données Mettre en place une politique de bureau propre, écran vide Thème 8 : Acquisition, développement et maintenance des SI Les développeurs ont accès aux environnements de production (voir thème 7) Etablir une matrice des droits prenant en compte les incompatibilités Jeux de test basés sur des données de production Les jeux de tests doivent être établis à partir de données à blanc pour interdire toute fuite d'information Pas de centralisation de la gestion des vulnérabilités, pas de veille technologique Centraliser la gestion des mises à jour (information, déploiement) au travers d'un outil dédié Thème 10 : Gestion de la continuité d'activité La continuité d'activité est limitée à des procédures techniques concernant les systèmes serveurs Mettre en place un PCA et un PRA prenant en compte l'ensemble du système d'information (utilisateurs, ressources, données, etc...) Thème 11 : Conformité Aucun audit Réaliser régulièrement des audits du système d'information, établir un suivi de ces audits dans le temps D. BIGOT, J. VEHENT Etude de cas ASSURAL p. 3/6

I.2) Organisation des préconisations Pour faciliter la mise en place des préconisations précédemment identifiées, nous pouvons regrouper ces dernières sous forme de projets. Ces projets seront organisés selon une échelle de priorités évolutive dans le temps. Ceux ci seront plannifiés sur plusieurs années (4 à 5 ans). Constitution des projets : 1. Cartographie des processus : afin d'effectuer une analyse des risques, il faut établir une cartographie des processus du système d'information de l'entreprise. 2. Analyse de risques : utiliser les résultats globaux de l'audit sécurité pour cibler l'analyse de risque sur les points suivants : gestion des accès (logiques/physiques); classification; continuité d'activité; implication des utilisateurs; fuite d'informations. L'analyse de risque permet de connaître l'impact financier lié à la perte ou le dysfonctionnement d'un processus. 3. Définition du ISMS sur la base des résultats de l'analyse de risques avec pour périmètre la compagnie ASSURAL. On peut détailler ce projet en plusieurs sous projets : 3.1 Modification de la position du RSSI dans la hiérarchie. Création de la fonction de responsable sécurité informatique (RSI). 3.2 Rédaction de la PSSI : Définir les règles et objectifs sécurité, les projets à mener et les responsabilités des différentes entités sur ces projets. Identification et définition des indicateurs. Intégration des prestataires. 3.3 Attribution des moyens : en accord avec l'analyse de risques, le coût de mise en oeuvre d'un processus (et des procédés visant à le sécuriser) ne doit pas excéder l'impact financier des risques qu'il est amenés à subir. On chiffera également les frais nécessaire à la mise en place du ISMS, incluant la maîtrise des indicateurs. 3.4 Validation de la PSSI et des moyens relatifs par la Direction Générale. 4. Mise en place du ISMS : cette partie comprend la mise en place d'un certain nombre de sous projets visant à appliquer la PSSI dans le cadre de l'entreprise. 4.1 Responsabilité du personnel : les responsabilités collectives concernant la sécurité du système d'information sont consignées dans une charte Sécurité et les responsabilités individuelles dans le contrat de travail. Dans la même optique, on réalisera des sensibilisation et formations des employés. 4.2 Classification et rôles des propriétaires : les résultats obtenus permettent d'affiner le processus de sauvegarde. D. BIGOT, J. VEHENT Etude de cas ASSURAL p. 4/6

4.3 Audits et contrôles internes : ces actions permettent de surveiller le bon fonctionnement du ISMS et d'identifier les actions à corriger dans une logique de PDCA. On retrouvera les points suivants : Attribution des droits, processus d'exploitation, contrôle à l'embauche 4.4 Matrices des habilitations et des responsabilités : définit également les incompatiblités de pouvoir 4.5 Formalisation du Tableau de Bord Sécurité : mesures techniques de production des indicateurs de premier niveau, synthétisation et compression des indicateurs pour les niveaux 2 et 3. 5. Projets Sécurité : 5.1 Sécurisation des accès de livraison 5.2 Etablir un protocole de test et de montée en charge des applications 5.3 Infrastructure de gestion des mises à jour 5.4 Plan de continuité d'activité et plan de reprise d'activité Les différentes phases vues ci dessus peuvent être schématisée : Définition de l'isms Cartographie des processus Analyse de risques PSSI Attribution des moyens $$$$ Projets sécurité Mise en place du ISMS Infrastructure de MAJ PCA / PRA Sas Protocole de test Responsabilité du personnel Classification et rôles des propriétaires Audits et contrôles interne Matrices habilitations / responsabilités Tableau de bord D. BIGOT, J. VEHENT Etude de cas ASSURAL p. 5/6

II) Elaboration de la politique de sécurité de l'information II.1) Méthode de travail La politique de la sécurité du système d'information permet de définir la stratégie Sécurité de l'entreprise et de présenter les actions qui seront à mener. Ce document nécessite la participation du responsable de la sécurité du système d'information et de toutes les personnes qui seront acteurs de cette politique. On peut identifier un certain nombre d'acteurs en charge de la rédaction de la politique de Sécurité. PSSI contrôle rédige Valide / s'implique dans la politique Comité de pilotage Sécurité contrôle participe Groupe de Travail dirige oriente participe Direction Générale Propriétaires et acteurs métier RSSI Service Sécurité (RSI) Le RSSI prend la direction du groupe de travail qui rédige la PSSI. Ce dernier est une structure temporaire créé pour la rédaction de la PSSI. Afin d'assurer un maximum de cohérence avec le métier de l'entreprise, le rôle joué par le groupe Propriétaires et acteurs métier est primordial. Ce dernier apporte une vision pragmatique permettant à la PSSI de se détacher d'un modèle potentiellement théorique est inapplicable. Les aspects techniques sont apportés par le RSI (et éventuellement son équipe). Le Comité de pilotage Sécurité a un rôle de relecture et de validation de premier niveau. Il peut, si la structure le permet, participer à la rédaction du document final et est, dans tous les cas, impliqué dans les discussions. Enfin, la Direction Générale a la charge de la validation de la PSSI et en particulier de l'attribution des moyens qui l'accompagne. D. BIGOT, J. VEHENT Etude de cas ASSURAL p. 6/6

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back