INF4420: Sécurité Informatique



Documents pareils
Vector Security Consulting S.A

La politique de sécurité

Certified Information System Security Professional (CISSP)

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

LA CONTINUITÉ DES AFFAIRES

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

Curriculum Vitae. CV - Cesare Gallotti - FRA Page 1 of 9

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

La révolution de l information

TIC ET SYSTEME D INFORMATION

Gestion de la sécurité de l information par la haute direction

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Formation d'experts & d'auditeurs. Sécurité de l'information Continuité d'activité Management des Risques. Catalogue des Formations 2015

Plan de Continuité des Activités Disneyland Resort Paris. Préparé par Karine Poirot/Paul Chatelot 26 mars 2009

Club toulousain

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

accompagner votre transformation IT vers le Cloud de confiance

Excellence. Technicité. Sagesse

Les conséquences de Bâle II pour la sécurité informatique

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION

ISO conformité, oui. Certification?

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

curité des TI : Comment accroître votre niveau de curité

Norme de la Chaîne de Traçabilité

ISO/CEI 27001:2005 ISMS -Information Security Management System

Le Plan de Continuité d Activité (PCA / BCP)

Rapport de certification

ITIL V2. Historique et présentation générale

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

JOURNÉE THÉMATIQUE SUR LES RISQUES

La relève dans le secteur des TIC. 6 novembre 2009

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Sécurité informatique: introduction

Symantec Control Compliance Suite 8.6

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder

Politique de sécurité de l information

METIERS DE L INFORMATIQUE

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

La conformité au service de la sécurité

Norme PCI Septembre La norme PCI : transformer une contrainte en opportunité

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

Association. Systems. Information. Audit and Control

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Certification ISO 27001

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

2012 / Excellence. Technicité. Sagesse

Certification en sécurité

Rapport de certification

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Stratégie IT : au cœur des enjeux de l entreprise

I.T.I.L. I.T.I.L. et ISO ISO La maturité? La Mêlée Numérique 10. le 8 juin Luc Van Vlasselaer

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Information Technology Services - Learning & Certification.

Gestion de la continuité des activités. Mémento

Rapport de certification

Rapport de certification

TUV Certification Maroc

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Rapport de certification

Gestion des identités et des accès pour garantir la conformité et réduire les risques

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Cycle de conférences sur Cloud Computinget Virtualisation. Cloud Computing et Sécurité Pascal Sauliere, Architecte, Microsoft France

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

Evaluation, Certification Axes de R&D en protection

Rapport de certification

When Recognition Matters

Gestion du risque numérique

Éditeur TECHNOCompétences, le Comité sectoriel de main-d œuvre en technologies de l information et des communications (TIC)

Les audits de projets, pourquoi?

Panorama général des normes et outils d audit. François VERGEZ AFAI

Charte de l'audit informatique du Groupe

Créer de la valeur commerciale grâce à une sécurité efficace et généralisée pour le nuage et grâce aux Services de déploiement de nuage

A propos de la sécurité des environnements virtuels

Opportunités s de mutualisation ITIL et ISO 27001

Août 2013 Recommandations en matière de Business Continuity Management (BCM)

COMPUTING. Jeudi 23 juin CLOUD COMPUTING I PRESENTATION

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

Rapport de certification PP/0002

Catalogue des formations 2014 #CYBERSECURITY

Montrer que la gestion des risques en sécurité de l information est liée au métier

Résultats du test comparatif de performances et de résilience Miercom - Appliances UTM

POLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES

Préparation à la certification (ISC)² CISSP Rev. 2

Rapport de certification

R E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES

Rapport de certification

Offering de sécurité technologique Sécurité des systèmes d'information

Catalogue de Formations

Transcription:

INF4420: Pratique de la : Principes de gestion - Cadre légal et déontologique José M. Fernandez D-6428 340-4711 poste 5433

Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les SE (suite) Semaine 8 Période de relâche Semaine 9 Sécurité des BD et des applications Web Semaine 10 Contrôle périodique Semaine 11, 12 et 13 Sécurité des réseaux Semaine 14 Gestion de la sécurité. Intervenants et modes d'intervention Planification de contingence Standards et organismes pertinents Aspects légaux et déontologiques 2

Acteurs et intervenants "Stakeholders" VP Responsable de la sécurité informatique CISO ou ISO Information Security Officer Moitié/moitié ou plutôt technique Responsable de la sécurité informatique Équipe de sécurité informatique Externe ou interne Responsable technique Responsable de la sécurité physique Aspects non-techniques de la sécurité des SI personnel mesures physiques, etc. Fonction d'investigation Administrateur de systèmes Admin BD Développeur d'applications Admin réseau/lan ISP et autres fournisseurs Utilisateurs Éducation Déterrent Poursuite criminelle Poursuite civile Terminaison d'emploi 3

Politique de sécurité Élaborer par CISO Équipe de sécurité Promulguer sous l'autorité du CISO et des stakeholders A force de contrat Éléments Analyse de risque Responsabilités de chacun intervenants Utilisateurs Politique d'utilisation Contrat entre utilisateurs et organisme Règles d'utilisation Consignes techniques Équipe de sécurité et administrateurs de système Modes d'interventions en sécurité Règles d'opérations des systèmes 4

Inspections de sécurité Audit de sécurité "Open Book" Audit par rapport aux politiques de sécurité et standards d'industrie Révision des configurations N'utilise pas d'outils automatisées Vise à conseiller : les administrateurs de systèmes les responsables de la sécurité informatique Livrable : livret de recommandation techniques et politiques Blue Teaming Inspection "ouverte" de nature technique Prévue à l'avance Avec la collaboration et la connaissance des administrateurs de systèmes Utilisation d'outils automatisés de détection de vulnerabilités Livrable : liste de vulnérabilités détectées et action correctives Red Teaming Inspection "clandestine" de nature technique "No rules" - Répond à la question : "Que pourrait nous faire un adversaire dans un scénario réaliste?" Livrable : "Pink slip" 5

Méthodologie de la sécurité informatique 1. Identifier la menace Qui ou quoi? Comment (vulnérabilités)? 2. Évaluer les risques Probabilité Impact 3. Considérer les mesures de protection par rapport au risque Efficacité (risque résiduel) Coût Difficulté d'utilisation 4. Mettre en place et opérer les mesures protections Modification et/ou installation Changer les politiques Éduquer les utilisateurs 5. Retourner à 1 6

Et si août 2003? José M. Fernandez, 2004 7

Planification de contingence Contingency Planning Incident Response/ Handling Disaster Recovery Planning (DRP) Business Continuity Planning (BCP) 8

Étapes majeures de la planification de contingence Business threat/impact analysis Incident response planning Disaster recovery planning Business continuity planning Identification of threats and attacks Incident planning Plan for disaster recovery Establish continuity strategy Business unit analysis Incident detection Scenarios of successful attacks Assessment of potential damages Classification of subordinate plans Incident reaction (contain.) Incident recovery Investigation Crisis management Recovery operations Plan for continuity of operations Continuity management Stakeholders Sysadmin Sysadmin Inspecteurs Sysadmin Stakeholders Sysadmin 9

Considérations techniques dans un DRP Préservation des données Backup Quantité de données Profondeur dans le temps Incrémental vs. total Qualité Mirroring Gestions des ressources Électricité Bande passante Capacité de calcul Site alternatifs Hot Site Cold Site Redundant Site Reprise services informatique vs. reprise affaires Nécessité d'un BCP 10

Cadre légal et déontologique Protection de la vie privée (renseignement "désignés") Commissariat à la protection de la vie privée au Canada (privcomm.gc.ca) Agence qui relève directement du Parlement et du Sénat Cadre légal Loi sur la Protection des renseignements personnels (1980) Loi sur la Protection des renseignements personnels et les documents électroniques (2000) Protection des renseignements classifiés Loi des secrets officiels Politique de sécurité du Gouvernement du Canada Protection des droits des actionnaires Loi Sarbanes/Oxley (US) Auditeurs financiers externes Répartition et gestion du risque Compagnie d'assurances Protection du consommateur et du public Médical : Health Insurance Portability and Accountability Act (HIPAA) 11

Standards applicables Gestion de la sécurité ISO/IEC 17799:2000 Information technology - Code of practice for information security management (www.iso.org, pour la modique somme de 179$ US) HIPAA (US) Health Insurance Portability and Accountability Act Standard de sécurité pour tout systèmes traitant des informations médicales Date limite d'application : avril 2004 Le prix à payer pour une violation du règlement va de 100$ d amende à 25 000$ + 10 ans de prison 12

Standards applicables (2) Constructions et accréditations des systèmes Common Criteria Origine dans le Trusted Computing System Evaluation Criteria de la NSA ("Orange Book") "Internationalisé" et adapté par plusieurs pays (Canada, Europe) Langage et terminologie commune Processus d'évaluation et d'accréditation de produits en termes de sécurité 13

Crypto PKix/PKCS Infrastructure à clé publique X.509 Certificat de clé publique Modèle et normes PGP 14

Organismes ISC2 www.isc2.org La doyenne de ces organisations plus ancienne Maintenant accrédité ISO/ANSI (standard des accréditations) Certifications SSCP (Systems Security Certified Practitioner) et CISSP (Certified Information Systems Security Professional) SANS Institute www.sans.org Nature essentiellement technique Offre formation par cours intensifs Programme de certifications GIAC (très technique et spécialisé) Organisme privé (à but lucratif ) Opère de façon "volontaire" le Internet Storm Center (isc.sans.org) ISACA - Information Systems Audit Control Association www.isaca.org Certifications CISA et CISM (Certified Information Systems Auditor et Manager) OIQ Ordre des Ingénieurs du Québec Cadre légal Profession "restreinte" "Actes protégés" Code déontologique Mécanisme d'inspections de l'exercice de la profession Sanctions, radiations et autres pertes de privilèges Détection et poursuite d'actes protégés par non-membres Standardisation De l'éducation Des pratiques professionnelles Problème N'opère pas dans le domaine de l'informatique Encore moins dans la sécurité informatique 15

Programme d'études en sécurité informatique Intro INF 4420/6420 Crypto U de M, DIRO - IFT-6180, Cryptologie : théorie et applications Sécurité des réseaux INF 6421 Hiver 06 Sécurité du logiciel et des SE INF 66XX Hiver 07 Gestion de la sécurité des risques HEC, MAGI -?? Aspects légaux U de M, Faculté de droit (M.Sc. en commerce électronique) 16

Considérations déontologiques Protection de la vie privée 17

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back