Sécurité des Systèmes d Information



Documents pareils
Créer un tableau de bord SSI

Prestations d audit et de conseil 2015

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Atelier Tableau de Bord SSI

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Aligner le SI sur la stratégie de l entreprise

Panorama général des normes et outils d audit. François VERGEZ AFAI

Systèmes et réseaux d information et de communication

Indicateur et tableau de bord

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

D ITIL à D ISO 20000, une démarche complémentaire

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Conseils et préconisations de mutualisation ISO 2700x et ISO / ITIL Groupe de travail du Club Toulouse 3 Avril 2012

Piloter le contrôle permanent

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

Le management des risques de l entreprise Cadre de Référence. Synthèse

SMSI et normes ISO 27001

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

ITSM - Gestion des Services informatiques

Décisionnel & Reporting

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Université Paris-Dauphine

Plan de maîtrise des risques de la branche Retraite Présentation générale

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

PASSI Un label d exigence et de confiance?

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Brève étude de la norme ISO/IEC 27003

ISO conformité, oui. Certification?

A. Le contrôle continu

INDICATIONS DE CORRECTION

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Atelier Gestion des incidents. Mardi 9 Octobre 2007

Gestion des Incidents SSI

Être conforme à la norme PCI. OUI, c est possible!

Excellence. Technicité. Sagesse

Pilot4IT Monitoring : Mesurez la qualité et la performance perçue de vos applications.

L analyse de risques avec MEHARI

Novembre Regard sur service desk

Référentiels d Interopérabilité

ISO/CEI 27001:2005 ISMS -Information Security Management System

MESURE DE L ÉNERGIE ET DES FLUIDES

Alignement stratégique du SI et gestion de portefeuille de projets

Un reporting intégré en tant qu'aide à la gestion

La Business Intelligence & le monde des assurances

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

SYNERGIE Associés Confidentiel Reproduction interdite sans autorisation préalable Page 1 de 44

Ministère de l intérieur

PROGICIELS DE GESTION INTÉGRÉS SOLUTIONS DE REPORTING

Yphise optimise en Coût Valeur Risque l informatique d entreprise

WEB15 IBM Software for Business Process Management. un offre complète et modulaire. Alain DARMON consultant avant-vente BPM

Étude «analyse, reporting et budget» Niveau d équipement et attentes des PME françaises.

dans un contexte d infogérance J-François MAHE Gie GIPS

Club ISO Juin 2009

ITIL et SLAs La qualité de service nous concerne tous!

Qu est-ce qu un système d Information? 1

Génie Logiciel LA QUALITE 1/5 LA QUALITE 3/5 LA QUALITE 2/5 LA QUALITE 4/5 LA QUALITE 5/5

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting)

La sécurité applicative

Comment réussir la mise en place d un ERP?

ITIL v3. La clé d une gestion réussie des services informatiques

Module Projet Personnel Professionnel

Pré-requis Diplôme Foundation Certificate in IT Service Management.

2012 / Excellence. Technicité. Sagesse

PÉRENNISER LA PERFORMANCE

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Programme de formation " ITIL Foundation "

Le terme «ERP» provient du nom de la méthode MRP (Manufacturing Ressource Planning) utilisée dans les années 70 pour la gestion et la planification

CLOUD PRIVÉ GENERALI - ACCOMPAGNEMENT AU CHANGEMENT - DU «POC» À LA RÉALITÉ. Alain ROY Generali Logo Société

Dynamiser la performance commerciale des réseaux : une affaire de bonnes pratiques!

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

10 USAGES DE QLIK POUR AFFINER VOS ANALYSES FINANCIÈRES. Customer Success Stories 2015

De l élaboration d une PSSI d unité de recherche à la PSSI d établissement

Release Notes POM v5

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

LE KIT DU MANAGER DE PROJETS

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

Pensezdifféremment: la supervision unifiéeen mode SaaS

10.CARBON DESKTOP : RÉDUIRE SES COÛTS GRÂCE A UN SUIVI INFORMATISE DES DONNÉES DÉCHETS ET ÉNERGIE

Quelques missions d Amedrys

AUDIT CONSEIL CERT FORMATION

Practice Finance & Risk Management BCBS 239 enjeux et perspectives. Equinox-Cognizant, tous droits réservés

1-Introduction II-Le Contrôle de Gestion III-Le Rôle du Système d information d une banque IV-Le Contrôle de gestion du SI dans une banque

Mise en œuvre de la certification ISO 27001

Atelier " Gestion des Configurations et CMDB "

M2S. Formation Management. formation. Animer son équipe Le management de proximité. Manager ses équipes à distance Nouveau manager

Programme Hôpital numérique

Maîtriser les mutations

Formations Licensing & SAM 1er semestre 2015

CERT! OSIRIS! Présentation du CERT OSIRIS!! Guilhem Borghesi, Magali Daujat, Marc Herrmann!

Présentation à l EIFR. 25 mars 2014

TUTORIEL Qualit Eval. Introduction :

Gestion réussie d un portefeuille de projets

Transcription:

Sécurité des Systèmes d Information Tableaux de bord SSI 29% Nicolas ABRIOUX / Consultant Sécurité / Intrinsec Nicolas.Abrioux@Intrinsec.com http://www.intrinsec.com Conférence du 23/03/2011 Tableau de bord sécurité & Gestion de logs Page 0

AGENDA Pourquoi faire un tableau de bord SSI? Types de tableaux de bord Problématiques Principe & Vocabulaire Méthodologie d élaboration Mise en œuvre Points d attention Conclusions Conférence du 23/03/2011 Tableau de bord sécurité & Gestion de logs Page 1

PILOTAGE DE LA SÉCURITÉ & TABLEAUX DE BORD SSI Piloter la sécurité de son SI : Identifier ses risques, objectifs de sécurité, mesures de sécurité Appui sur des référentiels internes (PSSI) ou externes (ISO:27002 ) Contrôler son niveau de sécurité, son niveau de conformité Nombreuses vues : technique / organisationnelle, domaines, périmètres Le Tableau de Bord SSI, un support au pilotage de la SSI Objectifs du tableau de bord sécurité : Donner de la visibilité : niveau de risque, conformité (PSSI, réglementations ) Aider à prendre des décisions : quelles actions, quelles priorités? Arbitrages. Communiquer : reporting à sa Direction, ses clients ; sensibilisation interne Conférence du 23/03/2011 Tableau de bord sécurité & Gestion de logs Page 2

POURQUOI COLLECTER DES LOGS? Conférence du 23/03/2011 Tableau de bord sécurité & Gestion de logs Page 3

DIFFÉRENTS TYPES DE TABLEAUX DE BORD Le Tableau de Bord doit être adapté : A ses destinataires : RSSI? Direction? Clients? Equipes d exploitation? Aux objectifs et préoccupation de ceux-ci Un outil à personnaliser : pas de «recette» générique LE tableau de bord SSI ou LES tableaux de bord SSI? Tableaux de bord stratégiques : Destinataires : Direction Générale, DAF, Risks Managers Préoccupations : Quels sont les risques? Vision par activité, branche, site Tableaux de bord fonctionnels : Destinataires : RSSI, DSI, Responsables d activités Préoccupations : Point de situation par branche / par domaine. Tableaux de bord opérationnels : Destinataires : RSSI, Equipes opérationnels Préoccupations : Les mesures de sécurité sont-elles appliquées? Des anomalies? Conférence du 23/03/2011 Tableau de bord sécurité & Gestion de logs Page 4

PROBLÉMATIQUES Un tableau de bord pour aider au pilotage SSI : oui, mais Nombreuses problématiques : Coût, ressources, outils Pertinence, utilité réelle Maturité SSI Approfondissement dans les présentations suivantes! Adopter une construction progressive : Débuter avec un TdB opérationnel, portant sur un nombre réduite de thématiques Elargir progressivement les thématiques couvertes, au fur de leur maîtrise Accompagner l évolution de la maturité SSI en s orientant vers l approche stratégique Finalement : Le manque de maturité SSI n est pas un frein (TdB opérationnel dans 1 er temps) L intérêt et l utilité dépendent du choix dindicateurs d indicateurs pertinents La charge de travail peut être limitée (indicateurs pertinents) et progressive Conférence du 23/03/2011 Tableau de bord sécurité & Gestion de logs Page 5

PRINCIPES & VOCABULAIRE Mesure = La donnée brute Ex : nombre de postes, criticité d une vulnérabilité, etc. Métrique = Fonction de plusieurs mesures (formule de calcul) Ex : la couverture antivirus (nb de postes avec antivirus / nb de postes du parc) Indicateur = Evaluation d une métrique en fonction d un seuil Ex : «CRITICAL», «WARNING», «FEU VERT» Tableau de Bord = Présentation synthétique et organisée d indicateurs dindicateurs Conférence du 23/03/2011 Tableau de bord sécurité & Gestion de logs Page 6

MÉTHODOLOGIES D ÉLABORATION «Top-Down» : 1. Fixer des objectifs SSI (ou ceux du TdB) étape fondamentale (utilité du TdB) 2. Déterminer des indicateurs représentatifs, les seuils associés 3. Identifier les métriques et mesures appropriées p 4. Construction du tableau de bord (calculs, représentation, seuils) 5. Mise en œuvre (documentations, procédures, fréquence, restitutions) «Bottom-up» : Partir des données disponibles pour monter vers les indicateurs Avantage : Certitude de disposer des mesures, de pouvoir les collecter facilement Inconvénient : Risque de sélectionner des indicateurs inutiles / incohérents. Ne pas oublier le principal : le tableau de bord doit être un outil d aide à la décision, en phase avec des objectifs. Conférence du 23/03/2011 Tableau de bord sécurité & Gestion de logs Page 7

MISE EN ŒUVRE Une fréquence dépendante : Des indicateurs (finalité, complexité de collecte) Des décisions prises (laisser le temps d appliquer les actions, alerter au bon moment) Des destinataires (TdB opé. : quotidien à mensuel, TdB strat. : trimestriel à annuel) Approbation du TdB: Les indicateurs ne doivent pas prêter à discussion (nuisible à compréhension / décision) On doit notamment s assurer de leur pérenité Validation des destinataires et acteurs ; documentation des indicateurs. Autour du TdB : Implémentation des mesures (action manuelle, scripts, reportings intégrés, outils ) Procédures et/ ou documentation des indicateurs pour assurer la pérennité du TdB Documentation des indicateurs (sources, fréquence, calcul, seuils ) Modèle de restitution : indicateur + rappel de l objectif + action / arbitrage requis Conférence du 23/03/2011 Tableau de bord sécurité & Gestion de logs Page 8

POINTS D ATTENTION Restitution : Outil de communication soigner la présentation, ti la lisibilité ibilité Choix des graphes : peut nuire / aider à l analyse (ex : représenter les seuils) Choix des seuils : Peut être politique («tout va bien» ou «j ai besoin de budget!») étape critique Rester réaliste : 100% du parc ne sera jamais 100% à jour Des objectifs atteignables : doit motiver le travail, pas accabler sous les alertes Démarrer avec des seuils bas, quitte à les rehausser rapidement après accord commun (élévation du niveau de sécurité) Outil de communication : Indicateurs fiables, données cohérentes attendre plusieurs itérations avant de communiquer Conférence du 23/03/2011 Tableau de bord sécurité & Gestion de logs Page 9

CONCLUSIONS Le tableau de bord SSI, un outil précieux : Pour le pilotage SSI Pour communiquer sur sa SSI et échanger entre équipes / branches / directions Pour contrôler sa conformité (PSSI, réglementations ) Peut contribuer à structurer une démarche de gestion de la SSI (PDCA ) Sous quelques q conditions : Une conception réfléchie Qu il permette de prendre des décisions, des actions Rester réaliste (objectifs cohérents, ressources nécessaires ) Quelques références : Guide ANSSI «Elaboration de tableaux de bord SSI» CLUSIF «Démarche de conception d'un tableau de bord qualité appliqué à la sécurité» CIGREF «Guide méthodologique pour un tableau de bord sécurité opérationnel et stratégique» ISO:27004 «Information security management Measurement» Conférence du 23/03/2011 Tableau de bord sécurité & Gestion de logs Page 10

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back