JaafarDEHBI; Consultant SI-TI Pragmatic Consulting

Sécurité des SI ISO 2700X; MICDA M2 Année Universitaire : 2012-2013 2013 JaafarDEHBI; Consultant SI-TI Pragmatic Consulting 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 1 1

Sommaire Rappel: Approche Processus et le PDCA de DEMING Ingenierie du Risque. Le Risk Managament: la 31000-2009 Le IT Risk management sous ISO 2700X ISO 27001 ISO 27005 ISO 27002 Cas Pratique Methodes MEHARI Approche Pragmatic Audit sous Cobit 4.1 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 2

Processus A propos de processus Processus : Ensemble de moyens et d activités liés qui transforment des éléments entrants en éléments sortants. Événement enclenchant les processus Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 3 Produit ou service clôturant les processus

L Entreprise ; Les Fonctions ; les Processus!! (2) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 4

Quelques notions A propos de processus 1. Un processus a une finalité 2. Il est toujours orienté vers un système bénéficiaire, interne ou externe (sous processus) 3. il y a une relation de type client-fournisseur 4. L entreprise est un processus global Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 5

Étude d un exemple A propos de processus Un bouquet personnalisé pour le l anniversaire de mon épouse qui a 25 ans, lundi, est-ce possible? Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 6

Processus de l entreprise artisanale Cde client Bouquet Composer Emballer BL client Stock Fleurs Livraison Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 7

Les non-conformités ou anomalies Cde client Bouquet BL client Composer Emballer Stock Fleurs Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 8

Toujours plus Réclamat Cde client Refus Bouquet BL client Composer Emballer Rupture Stock Fleurs Décorer Retard Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 9

Du contrôle Faire. Vérifier que ce que l on a fait est satisfaisant. Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 10 19/03/2013

À l assurance Prévoirce que l on va faire et commenton va le faire. Fairece que l on a prévu. Vérifierque ce que l on a fait est conforme à ce que l on a prévu. Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 11

Et à la maîtrise Prévoirce que l on va faire et commenton va le faire. Fairece que l on a prévu. Vérifierque ce que l on a fait est conforme à ce que l on a prévu. Chercher à s améliorer. Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 12

Prévoir - Faire - Vérifier Améliorer Plan Do Check -Act L entreprise planifie la mise en œuvre des processus pour assurer la qualité des produits et services. Faire ce que l on a prévu. L entreprise effectue des contrôles sur les produits et les services à différents niveaux des processus. L entreprise cherche à améliorer la qualité des processus en améliorant l organisation, les compétences, les méthodes, les outils. Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 13

La roue de Deming L approche processus s appuie sur le cadre rigoureusement établi par la politique et les objectifs qualité. L objectif de cette approche est la satisfaction des clients par le respect de leurs exigences. Le responsable qualité est non seulement garant de l application des dispositions du système qualité, mais également de son suivi et de son perfectionnement. Prévoir Améliorer Faire Vérifier SMQ Ensemble des acteurs Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 14

Le PDCA de DEMING Ref Wikipedia La méthode comporte quatre étapes, chacune entraînant l'autre, et vise à établir uncercle vertueux. Sa mise en place doit permettre d'améliorer sans cesse la qualité d'un produit, d'une œuvre, d'un service, etc. 1. Plan: Préparer, planifier (ce que l'on va réaliser) 2. Do: Développer, réaliser, mettre en œuvre (le plus souvent, on commence par une phase de test) 3. Check: Contrôler, vérifier 4. Act(ouAdjust): Agir, ajuster, réagir (si on a testé à l'étapedo, on déploie lors de la phaseact) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 15

La Rouede DEMING Ref Wikipedia Roue de Deming La première étape, Plan, consiste à planifier la réalisation. Elle se déroule généralement en trois phases: 1. Identification du problème à résoudre (par exemple à l'aide duqqoqccp) ou du processus à améliorer. 2. Recherche des causes racines (par exemple à l'aide d'undiagramme de Pareto, d'undiagramme d'ishikawa ou de la méthode des 5 pourquoi). 3. Recherche de solutions avec écriture du cahier des charges et établissement d'un planning. L'étape Do(en français «faire») est la construction, le développement, la réalisation de l'œuvre. Elle est suivie de l'étapecheck(en français «vérifier»), qui consiste à contrôler l'aptitude de la solution mise en place à résoudre le problème ou à améliorer le processus. Sont employés à cet effet des moyens de contrôle divers, tels que les indicateurs de performance. Puis l'étapeactconsiste à agir et réagir, c'est-à-dire corriger et améliorer la solution mise en place, voire à standardiser cette solution. L'étape Actamène donc un nouveau projet à réaliser, donc une nouvelle planification à établir. Il s'agit donc d'un cycle que l'on représente à l'aide d'une roue. À chaque étape, la roue avance d'un quart de tour. Cette avancée représente l'action de progresser. De plus, pour éviter de «revenir en arrière», on représente une cale sous la roue, qui empêche celle-ci de redescendre et qui symbolise par exemple un système qualité, un système d'auditsréguliers, ou un système documentaire qui capitalise les pratiques ou les décisions. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 16

Sécurisation du processus Événement enclenchant Cde client Composer F Bouquet Emballer F BL client Stock Fleurs F Livraison Produit clôturant Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 17

Sécurisation du processus Cde client Préparer support fleurs décor Vérif. compo Ordonnancement P Cde Compo Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting Composer V Stock Fleurs Bouquet Fiche suiveuse F Décorer 18 Vérif. finale Vérif. décor F BL Compo Emballer V V F Fiche contrôle Vérif livraison V BL client

Les processus en questions Qu est-ce que le management par les processus? Le management par les processus consiste pour l entreprise à : identifier les processus et les activités qui les composent, à les décrire, à identifier les acteurs, à désigner leur «propriétaire» (pilote), à définir les dispositifs de pilotage, à améliorer en permanence les processus et leurs activités. Le management par les processus distingue : l efficacité ou l atteinte des résultats, l efficience ou la performance du triplet «fonctionnement-productivité-rendement». Jaafar DEHBI - Consultant SI-TI - 19/03/2013 Pragmatic Consulting 19

Les différents types de processus Typologie des processus Processus de Réalisation Processus de Pilotage Processus Support & soutien Déterminent la politique et le déploiement des objectifs dans l organisme (Politique, stratégie, technologie,décision, budget, mesure) Contribuent directement à la réalisation du produit ou du service (conception, fabrication, vente, prestation) Contribuent au bon déroulement de la réalisation en leur apportant les ressources nécessaires (ressources, formation, informatique, comptabilité,maintenance) Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 20

Ex: Norme ISO 9001 &notion de processus (1/2) Système de Management de la Qualité Amélioration continue L approche ISO 9901 C L I E N T E x i g e n c e s Management des ressources Données d entrée Responsabilité de la direction Réalisation du produit et/ou service Mesure, analyse et amélioration Données de sortie Produit Service S a t i s f a c t i o n C L I E N T Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 21

Gestion du RISQUE Le risque: Problème potentiel qui pourrait nuire au succès du projet s'il se matérialise. Degré d incertitude: 0 < probabilité < 1 La gestion du risque: l'organisation des activités nécessaires pour: Identifier. Analyser. Contrôler et; Réduire les risques du projet. Une perte lui est associée: Temps, Argent, Réputation, Sécurité, etc. Jaafar DEHBI @ pragmatic.ma 23

Evaluation Cout Bénéfice Déterminer la probabilité d occurrence d un risque Déterminer le coût du risque (Impact) Exposition au risque (ER) =Probabilité du risque X Coût du risque Le GP doit considérer la gestion du risque Négatif et du Risque positif; l Opportunité. Jaafar DEHBI @ pragmatic.ma 24

Atelier Risque Evénement à Risque Indisponibilité équipe ouvriers pendant 15 Jours Sep 2013. l usine réalise 12.MM Dhs /An Panne d une caméra de surveillance dont le MTBF est de 40.000 Hrs ( approx 5Ans) acquise en 2010. Proba. (%) 10%? Impact? - 10.000 ER Opportunité d avoir une remise de 15% sur Appros. Quantité Supérieur «plus de clous». Le lot initial coute 2000 Dhs Arrêt du serveur Exchange smtp.matis.ma qui exporte pour 365 MM Dhs pour lequel aucun Backup n existe. Le matériel est HP-ML350 G5. (MTBF=300.000 Hrs). La remise en service MTTR dure 2 Jours. Jaafar DEHBI @ pragmatic.ma 25 15%?????

Arbres de Décision (Utile #11.3 & #11.4) Un arbre de décisionest un outil d'aide à la décision et à l'exploration de données. Il permet de modéliser simplement, graphiquement et rapidement un phénomène mesuré plus ou moins complexe. Il s agit de prédire avec le plus de précision possible les valeurs prises par la variable à prédire. Jaafar DEHBI @ pragmatic.ma 26

Atelier 1 Gestion du Risque / Arbre de Décision Voyager en Avion pour Real / Barca. Deux Alternatives Compagnie C1 et C2 Vol Barcelone C1 = 10.000 Dhs C2 = 3.000 Dhs On Time 90% 40.000 Dhs On Time 30% 40.000 Dhs Jaafar DEHBI @ pragmatic.ma 27

Traitement des Risques Faire face aux risques Réduction du risque: mise en place de dispositifs de sécurité Transfert du risque: assurances. Convient aux risques à faible probabilité. Acceptation du risque: ne rien faire. Convient aux situations de risque faible et de coût de contremesure élevé. Autre(s): Mitigation ; cadcombinaison de deux techniques; 19/03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne 2012 28

Approche au Risque Réactif : Rien n est fait jusqu à ce qu un problème se présente. Comportement de «Pompier». Proactif : Les risques sont identifiés, leurs probabilités et leurs impacts sont évalués. Un plan est établi pour gérer le risque.

Gravité 5-Catastrophique 11- Management des risques du projet Caractériser le risques et prévoir des actions de maîtrise Action de prévention ( action sur les causes) Zone de risque inacceptable 4-Très grave 3-Grave 2-Majeure 1-Mineure R1 Zone de risque acceptable R1 R1 Action de protection ou de secours ( action sur les effets) Probabilité 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 30

Exercice 1: (Suite) Stratégie & Contingence Événement Proba. % Impa ct Quan tificat ion Palier Quantitatif ( par 50 Kdhs) Qualifica tion du Risque Evaluation du Riisque Strategie de Traitement Actions Specifiques Indisponibilité équipe ouvriers pendant 15 Jours Sep 2011. l usine réalise 12.MM Dhs /An 10% - 500. Kdhs - 50.00 0 2 3 6 Eviter; Notifier Dir. Supports/RH et le Dir Prod pour Intérimaires et Prévoir Congés étalés. Panne d une caméra de surveillance dont le MTBF est de 40.000 Hrs ( approx 5Ans) acquise en 2008. 80% - 10.0 00-8000 1 2 2 Accepter; Ne Rien Faire >> Fin de Cycle de Vie et Consulter pour remplacement Arrêt du serveur Exchange smtp.matis.ma pour lequel aucun Backup n existe. Le matériel est HP- ML350 G5. (MTBF=300.000 Hrs). La remise en service MTTR dure 2 Jours. 1% 2.M M Dhs - 20.00 0 1 5 5 Eviter; Prevoir Serveur de Courrier Redondant avec AST=99,999% Jaafar DEHBI -Consultant SI-TI -Pragmatic 19/03/2013 31 Consulting

ISO 31000 : Le RiskManagement ISO 31000: Famille de Normes de gestion des Risques Le but de la norme ISO 31000: fournir des principes et des lignes directrices du management des risques ainsi que ; les processus de mise en œuvre au niveau stratégique et opérationnel. Hors de Portée : Promouvoir l'uniformisation du management du risque au sein des organismes, mais plutôt à harmoniser l ensemble des approches, de standards et de méthodologies existantes en matière de management des risques. Actuellement, la famille ISO 31000 comprend: ISO 31000:2009 Management du risque Principes et lignes directrices ISO/IEC 31010:2009 - Gestion des risques - Techniques d'évaluation des risques ISO Guide 73:2009 - Management du risque Vocabulaire 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 33

Les prévisions et l optimisation sont parfois complexes Allez y! Ca ne loupe pas à tous les coups! 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 34

La Famille ISO 2700X 19/03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne 2012 36

La famille ISO 27000 19/03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne 2012 37

27001 en PDCA 1. Plan : consiste à planifier les actions que l entreprise va entreprendre en termes de sécurité 2. Do : l entreprise réalise ce qu elle a planifié dans ce domaine 3. Check : l entreprise vérifie qu il n existe pas d écart entre ce qu elle a dit et ce qu elle a fait 4. Act: consiste à entreprendre des actions correctives pour les écarts qui ont été constatés précédemment La norme 27001 comporte 9 chapitres dont 5 (les chapitres 4 à 8) doivent obligatoirement être respectés pour répondre à cette norme et obtenir une certification. Le chapitre 4 est au coeurde la norme et est divisé en plusieurs parties correspondant aux 4 phases du PDCA. Il détermine la mise en place du SMSI, son implémentation et son exploitation, le contrôle du SMSI et; son amélioration. Le chapitre 5 définit les engagements et responsabilités de la direction, le chapitre 6 développe les questions d audits internes du SMSI tandis que; les 7e et 8e précisent respectivement le réexamen du SMSI par la direction et son amélioration. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 38

ISO 2700x : Fondements de la Securite Informatique 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 39

ISO 27001 & Le SMSI 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 40

ISO 2700x. Et le SMSI Fut. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 41

ISO 27005 19/03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne 2012 42

ISO 27005 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 43

Genesede l ISO27005 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 44

Le RISK Management :Un AutrePDCA 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 45

Risk Management & 2700x 27005 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 46

Risk Management & 2700x 27005 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 47

Risk Management..ISO 27005 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 48

EtablissementduContexteVs PDCA 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 49

27005 : Definition de Contexte 1. Définir ses critères de base (7.2) 2. Définir le champ et les limites du processus de gestion du risque (7.3) 3. Décrire l'environnement du processus de gestion du risque(7.3) 4. Décrire l'objet du processus de gestion du risque (7.3) 5. Organiser et gouverner la gestion du risque (7.4) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 50

Appreciation durisk (1) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 51

Appreciation durisk(2) 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 52

Appreciation durisk 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 53

Analyse de Risk 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 54

Les Actifs Identification et évaluation des actifs (8.2.1.1): Actifs non-identifiés à l'issue de cette activité ne seront pas classés >>> Même compromis Propriétaire de l'actif :responsable et redevable pour cet actif (8.2.1.1) Production, développement, maintenance, usage, sécurité,... Pas au sens droit de propriété 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 55

Les Menaces Identification des menaces (8.2.1.2): En priorité les menaces d'origine accidentelles et délibérées; De manière générique et par type: Compromission de l'information, pannes techniques, actions non autorisées Source Qui et quoi cause la menace Cible Quels éléments du système peuvent être affectés par la menace 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 56

Les Vulnerabilites Identification des vulnérabilités (8.2.1.3) : Vulnérabilités généralement reliées aux propriétés ou attributs des actifs Vulnérabilités sans aucune menaces doivent être quand même reconnues et suivies en cas de changement plus tard 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 57

Les Consequences Identification des conséquences (8.2.1.4) ou des effets induits : Identification des dommages ou des impacts sur l'organisme; Causé par une menace exploitant une vulnérabilité Lors d'un incident de sécurité (cfiso 27002 13) Impact mesuré selon les critères d'impact: Peut affecter un ou plusieurs actifs Identification des conséquences opérationelles 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 58

Le code des bonne pratiques ISO 27002 19/03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne 2012 59

ISO 27002 La normeiso/cei 27002: ISO -Publiée en remplacement de BS17799; standard étant obsolète depuis 2005; Relative aux Bonnes pratiques pour la gestion de la sécurité de l'information. L'ISO/CEI 27002 : 15 Chapitres dont: 4 pour l introduction et l organisation de la Norme; 11 chapitres pour le Management de la securite; Un ensemble de 133 mesures dites «best practices», destinées à être utilisées par tous ceux qui sont responsables de la mise; La sécurité de l'information y est définie comme la «préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information». Cette norme n'a pas de caractère obligatoire pour les entreprises; Elle n est pas certifiablepour les organismes contrairement a 27001; 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 60

ISO 27002 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 61

ISO 27002: les 4 Premiers Chapitres Chapitre n 1: Champ d'application : Recommandations pour la gestion de la sécurité des informations; Chapitre n 2: Termes et définitions: Sécurité de l'information est explicitement définie comme la préservation de la confidentialité, l intégrité et la disponibilité de l'information. Chapitre n 3: Structure de la norme: Mise en évidence des objectifs de contrôle Chapitre n 4: Évaluation des risques et de traitement : Directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 62

La norme ISO 27002 : Chap5 a Chap15 Les 11 chapitres de la norme ISO 27002 19/03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne 2012 63

Chapitre n 5: Politique de sécurité de l'information: la nécessité pour l organisme de disposer d une politique de sécurité de l information et de la réexaminer régulièrement. Chapitre n 6: Organisation de sécurité de l'information : Il décrit les mesures nécessaires pour l établissement d un cadre de gestion de la sécurité en interne et traite de tous les aspects contractuels lies a la sécurisation de l accespar des tiers (clients, sous-traitants, ) au système d information. Chapitre n 7: Gestion des actifs : Importance d inventorier et de classifier les actifs de l organisme afin de maintenir un niveau de protection adapte. Chapitre n 8: Sécurité liée aux ressources humaines Il donne les recommandations destinées a réduire le risque d erreur ou de fraude en favorisant la formation et la sensibilisation des utilisateurs; 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 64

Chapitre n 9: Sécurités physiques et environnementales : les mesures pour protegerles locaux de l organisme contre les accesnon autorises et les menaces exterieureset environnementales ainsi que protegerles materiels(emplacement, maintenance, alimentation electrique ). Chapitre n 10: Exploitation et gestion des communications : les mesures permettant : d assurer une exploitation correcte et sécurisée des moyens de traitement de l information ; de gérer les prestations de service assurées par des tiers ; de réduire les risques de panne ; de protéger l integrite des informations et des logiciels ; de maintenir l integrite, la confidentialiteet la disponibilitedes informations et des moyens de traitement de l information ; d assurer la protection des informations sur les reseauxet la protection de l infrastructure ; De maintenir la securitedes informations et des logiciels echangesau sein de l organisme et avec une entite exterieure; et enfin de détecter les traitements non autorises de l information. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 65

Chapitre n 11: Contrôle d'accès : mesures pour gereret controlerles acceslogiques aux informations, pour assurer la protection des systemesen reseau, et pour detecterles activitesnon autorisees. Ce themecouvre aussi la securitede l information lors de l utilisation d appareils informatiques mobiles et d equipements de teletravail. Chapitre n 12: Acquisition, développement et maintenance des systèmes d'informations : mesures pour veiller a ce que la securitefasse partie integrantedes systemesd information. Ce themetraite aussi des mesures visant a prevenirla perte, la modification ou la mauvaise utilisation des informations dans les systemesd'exploitation et les logiciels d'application et enfin a protegerla confidentialite, l authenticite ou l integrite de l information par des moyens cryptographiques. Chapitre n 13: Gestion des incidents: Necessitede mettre en place des procedurespour la detectionet le traitement des incidents de securite. Chapitre n 14: Gestion de la continuité d'activité.: Mesures pour la gestion d un plan de continuite de l activitevisant a reduirele plus possible l impact sur l organisme et a recupererles actifs informationnels perdus notamment a la suite de catastrophes naturelles, d accidents, de pannes de materiel et d actes deliberes. Chapitre n 15: Conformité Respect des lois et des reglementations ; Respect de la conformite des procedures en place au regard de la politique de securite Mesure de efficacitedes dispositifs de tracabiliteet de suivi des procedures, notamment les journaux d'activites, Audits et les enregistrements de transactions. 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 66

Avantagesd utiliseriso 27002 Organisation : image positive auprès des actionnaires lorsque l'entreprise tend a maitriser ses risques pour maximiser ses profits Conformite: la norme insiste sur la necessited'identifier toutes les lois et reglementationss'appliquant a l'entreprise et la mise en oeuvrede processus adaptes pour identifier et suivre les obligations permet de prouver au moins la volontede conformiteet instancie effectivement la culture de veille et d amelioration constante; Gestion des risques : la norme insiste dans ses chapitres d introduction sur la necessitede realiserune analyse de risques periodiquementet definitdans les domaines politique de securite et organisation de la securite les pratiques a mettre en oeuvrepour gererles risques mis en lumierepar l analyse de risque.; d où Une meilleure connaissance des risques et donc une meilleure allocation des ressources permettant d ameliorer la fiabilite du systeme. Finances : elle permet de maitriser les couts induits par la getsiondu Risque SMSI; Enfin; elle permet d instancier la culture de l amelioration de la gouvernance du SMSI et d envisagerla certification ISO 27001; pour le sorganismesdesireuxde se faire certifier sous ISO 27001; 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 67

Politique de sécurité L objectif est, pour la Direction, de: o Exprimer formellement la stratégie de sécurité de la société o Communiquer clairement son appui à sa mise en œuvre. Un document exposant la politique de sécurité doit être approuvé Il doit être révisé et adapté périodiquement en prenant en compte l efficacité de ses mesures, le coût et l impact des contrôles sur l activité, les effets des évolutions technologiques. La sécurité est une responsabilité partagée par tous les membres de l équipe de direction. Un comité de direction multifonction doit être formé pour assurer un pilotage clair et une visibilité élevée de l engagement de la direction. Il définit les rôles et responsabilités, les méthodes et procédures, approuve et supporte les initiatives de communication internes.

Politique de sécurité Politique de sécurité de l'information o Objectif: Apporter à la sécurité de l information une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur. Document de politique de sécurité de l information o Mesure: Un document de politique de sécurité de l information doit être approuvé par la direction, puis publié et diffusé auprès de l ensemble des salariés et des tiers concernés. Réexamen de la politique de sécurité de l information o Mesure: Pour garantir la pertinence, l adéquation et l efficacité de la politique de sécurité de l information, la politique doit être réexaminée à intervalles fixés préalablement ou en cas de changements majeurs.

Organisation de la sécurité de l information RSSI CSSI

Les acteurs de la SSI RSICP : Responsable sécurité informatique du Centre de profit CISI : Correspondant informatique du site La sécurité doit être structurée : une organisation particulière doit être mise en place afin de gérer les différents composants de la sécurité, les acteurs et leurs évolutions. Les responsabilités doivent être partagées entre les différents niveaux hiérarchiques : - Niveau décisionnel : il conçoit, met en place, et assure le respect de la politique de sécurité. - Niveau de pilotage : il s agit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la charge (consignes, directives, contrôle interne, sensibilisation). 71 - Niveau opérationnel : il s agit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité.

Responsable de la Sécurité des Systèmes d Information (RSSI) Définition: «Le RSSI est le garant de la sécurité des systèmes d information de l entreprise. Ses domaines d action sont multiples mais ils répondent à un seul objectif : assurer l intégrité, la cohérence et la confidentialité des données de tous les systèmes d information de l entreprise.» Positionnement hiérarchique (ideal) : - rattaché directement à la Direction générale - dispose d un budget spécifique Pourquoi? - SSI = partie intégrante de la stratégie de l entreprise - La SSI doit venir de la volonté du sommet de l entreprise - La SSI exige une vision globale de l entreprise Missions Fonctions 72 - Bonne connaissance de l ensemble des métiers, ancienneté - Bonnes compétences techniques (système et réseau) - Sens avéré de la stratégie et de la communication - Analyse des risques. - Contrôle, audit. - Architecture, conception. - Veille technologique. - Sensibilisation, formation.

Organisation de la sécurité de l information Organisation interne Objectif: Gérer la sécurité de l information au sein de l organisme. Implication de la direction vis-à-vis de la sécurité de l'information Mesure: La direction doit soutenir activement la politique de sécurité au sein de l organisme au moyen de directives claires, d un engagement démontré, d attribution de fonctions explicites et d une reconnaissance des responsabilités liées à la sécurité de l information. Coordination de la sécurité de l'information Mesure: Les activités relatives à la sécurité de l information doivent être coordonnées par des intervenants ayant des fonctions et des rôles appropriés représentatifs des différentes parties de l organisme.

Organisation de la sécurité de l information Attribution des responsabilités en matière de sécurité de l information Mesure: Toutes les responsabilités en matière de sécurité de l information doivent être définies clairement. Système d autorisation concernant les moyens de traitement de l information Mesure: Un système de gestion des autorisations doit être défini et mis en œuvre pour chaque nouveau moyen de traitement de l information. Engagements de confidentialité Mesure: Les exigences en matière d engagements de confidentialité ou de non-divulgation, conformément aux besoins de l organisme, doivent être identifiées et réexaminées régulièrement.

Organisation de la sécurité de l information Relations avec les autorités Mesure: Des relations appropriées doivent être mises en place avec les autorités compétentes. Relations avec des groupes de spécialistes Mesure: Des contacts appropriés doivent être entretenus avec des groupes de spécialistes, des forums spécialisés dans la sécurité et des associations professionnelles. Réexamen indépendant de la sécurité de l information Mesure: Des réexamens réguliers et indépendants de l approche retenue par l organisme pour gérer et mettre en œuvre sa sécurité (c'est-à-dire le suivi des objectifs de sécurité, les politiques, les procédures et les processus relatifs à la sécurité de l information) doivent être effectués ; de tels réexamens sont également nécessaires lorsque des changements importants sont intervenus dans la mise en œuvre de la sécurité

Organisation de la sécurité de l information Tiers Objectif : Assurer la sécurité de l'information et des moyens de traitement de l'information appartenant à l'organisme et consultés, traités, communiqués ou gérés par des tiers. Identification des risques provenant des tiers Mesure: Les risques pesant sur l information et les moyens de traitement de l organisme qui découlent d activités impliquant des tiers doivent être identifiés, et des mesures appropriées doivent être mises en œuvre avant d accorder des accès La sécurité et les clients Mesure: Tous les besoins de sécurité doivent être traités avant d accorder aux clients l accès à l information ou aux actifs de l organisme. La sécurité dans les accords conclus avec des tiers Mesure : Les accords conclus avec des tiers qui portent sur l accès, le traitement, la communication ou la gestion de l information, ou des moyens de traitement de l information de l organisme, ou qui portent sur l ajout de produits ou de services aux moyens de traitement de l information, doivent couvrir l ensemble des exigences applicables en matière de sécurité.

Classification des actifs L objectif est de maintenir le niveau de protection adapté à chaque actif d information en accord avec la politique de sécurité. Tout élément d actif important doit être répertorié et alloué à un responsable nominatif. L information doit être classifiée en fonction du besoin, de la priorité et du degré de sa sécurité. Les procédures de classification des informations doivent être définies et couvrir la manipulation des informations sous forme physique aussi bien que électronique, et pour les différentes activités de copie, stockage, transmission et destruction.

Classification des actifs Gestion des actifs Responsabilités relatives aux actifs Objectif : Mettre en place et maintenir une protection appropriée des actifs de l organisme. Inventaire des actifs Mesure: Tous les actifs doivent être clairement identifiés et un inventaire de tous les actifs importants doit être réalisé et géré. Propriété des actifs Mesure: La propriété de chaque information et des moyens de traitement de l information doit être attribuée à une partie définie de l organisme. Utilisation correcte des actifs Mesure: Des règles permettant l utilisation correcte de l information et des actifs associés aux moyens de traitement de l information doivent être identifiées, documentées et mises en œuvre.

Classification des actifs Classification des informations Objectif : Garantir un niveau de protection approprié aux informations. Lignes directrices pour la classification Mesure Mesure: Les informations doivent être classées en termes de valeur, d exigences légales, de sensibilité et de criticité. Marquage et manipulation de l'information Mesure: Un ensemble approprié de procédures pour le marquage et la manipulation de l information doit être élaboré et mis en œuvre conformément au plan de classification adopté par l organisme. Cas pratique

Sécurité liée aux ressources humaines Plus de 60% des incidents proviennent de l intérieur de l entreprise!. L objectif est de: Réduire le risque d erreur, de vol, de fraude ou de mauvais usage des moyens de traitement. Assurer que les utilisateurs sont informés des risques et menaces concernant les informations. Assurer que les utilisateurs sont formés et sont équipés pour appliquer la politique de sûreté lors de leurs activités normales. Minimiser les dommages en cas d incident. Apprendre de ces incidents.

Sécurité liée aux ressources humaines Avant le recrutement (ou changement de domaine d activité) Objectif : Garantir que les salariés, contractants et utilisateurs tiers connaissent leurs responsabilités et qu ils conviennent pour les fonctions qui leur sont attribuées et réduire le risque de vol, de fraude ou de mauvais usage des équipements. Rôles et responsabilités Mesure: Les rôles et responsabilités en matière de sécurité des salariés, contractants et utilisateurs tiers doivent être définis et documentés conformément à la politique de sécurité de l information de l organisme. Sélection Mesure: Qu il s agisse de postulants, de contractants ou d utilisateurs tiers, les vérifications des informations concernant tous les candidats doivent être réalisées conformément aux lois, aux règlements et à l étique et doivent être proportionnelles aux exigences métier, à la classification des informations accessibles et aux risques identifiés.

Conditions d embauche Sécurité liée aux ressources humaines Mesure: Dans le cadre de leurs obligations contractuelles, les salariés, contractants et utilisateurs tiers doivent se mettre d accord sur les modalités du contrat d embauche les liant et le signer. Ce contrat doit définir leurs responsabilités et celles de l organisme quant à la sécurité de l information. Pendant la durée du contrat Objectif : Veiller à ce que tous les salariés, contractants et utilisateurs tiers soient conscients des menaces pesant sur la sécurité de l information, de leurs responsabilités financières ou autres, et disposent des éléments requis pour prendre en charge la politique de sécurité de l organisme dans le cadre de leur activité normale et réduire le risque d erreur humaine. Responsabilités de la direction Mesure: La direction doit demander aux salariés, contractants et utilisateurs tiers d appliquer les règles de sécurité conformément aux politiques et procédures établies de l organisme.

Sécurité liée aux ressources humaines Sensibilisation, qualification et formations en matière de sécurité de l information Mesure: L ensemble des salariés d un organisme et, le cas échant, les contractants et utilisateurs tiers doivent suivre une formation adaptée sur la sensibilisation et doivent recevoir régulièrement les mises à jour des politiques et procédures de l organisme, pertinentes pour leurs fonctions. Processus disciplinaire Mesure: Un processus disciplinaire formel doit être élaboré pour les salariés ayant enfreint les règles de sécurité. Fin ou modification du contrat Objectif : Veiller à ce que les salariés, contractants et utilisateurs tiers quittent un organisme ou changent de poste selon une procédure définie.

Sécurité liée aux ressources Responsabilités en fin de contrat humaines Mesure: Les responsabilités relatives aux fins ou aux modifications de contrats doivent être clairement définies et attribuées. Restitution des actifs Mesure: Tous les salariés, contractants et utilisateurs tiers doivent restituer la totalité des actifs de l organisme qu ils ont en leur possession à la fin de leur période d emploi, contrat ou accord. Retrait des droits d accès Mesure: Les droits d accès de l ensemble des salariés, contractants et utilisateurs tiers à l information et aux moyens de traitement de l information doivent être supprimés à la fin de leur période d emploi, ou modifiés en cas de modification du contrat ou de l accord.

Sécurité physique et environnementale L objectif est de: Prévenir les accès non autorisés, les dommages et les interférences sur les informations, les activités et les locaux de l organisation. Prévenir la compromission ou le vol d information ou de moyens de traitement.

Zones sécurisées Objectif : Empêcher tout accès physique non autorisé, tout dommage ou intrusion dans les locaux ou portant sur les informations de l organisme. Périmètre de sécurité physique Sécurité physique et environnementale Mesure: Les zones contenant des informations et des moyens de traitement de l information doivent être protégées par des périmètres de sécurité (obstacles tels que des murs, des portes avec un contrôle d accès par cartes, ou des bureaux de réception avec personnel d accueil). Contrôles physiques des accès Mesure: Les zones sécurisées doivent être protégées par des contrôles à l entrée adéquats pour s assurer que seul le personnel habilité est admis. Sécurisation des bureaux, des salles et des équipements Mesure: Des mesures de sécurité physique doivent être conçues et appliquées pour les bureaux, les salles et les équipements.

Sécurité physique et environnementale Protection contre les menaces extérieures et environnementales Mesure: Des mesures de protection physique contre les dommages causés par les incendies, les inondations, les tremblements de terre, les explosions, les troubles civils et autres formes de catastrophes naturelles ou de sinistres provoqués par l homme, doivent être conçues et appliquées. Travail dans les zones sécurisées Mesure: Des mesures de protection physique et des directives pour le travail en zone sécurisée doivent être conçues et appliquées. Zones d accès public, de livraison et de chargement Mesure: Les points d accès tels que les zones de livraison/chargement et les autres points par lesquels des personnes non habilitées peuvent pénétrer dans les locaux doivent être contrôlés. Les points d accès doivent également, si possible, être isolés des moyens de traitement de l information, de façon à éviter les accès non autorisés.

Sécurité physique et environnementale A.9.2 Sécurité du matériel Objectif : Empêcher la perte, l endommagement, le vol ou la compromission des actifs et l interruption des activités de l organisme. Choix de l emplacement et protection du matériel Mesure: Le matériel doit être situé et protégé de manière à réduire les risques de menaces et de dangers environnementaux et les possibilités d accès non autorisé. Services généraux Mesure : Le matériel doit être protégé des coupures de courant et autres perturbations dues à une défaillance des services généraux. Sécurité du câblage Mesure: Les câbles électriques ou de télécommunications transportant des données doivent être protégés contre toute interception d information ou dommage. Maintenance du matériel Mesure: Le matériel doit être entretenu correctement pour garantir sa disponibilité permanente et son intégrité.

Sécurité du matériel hors des locaux Sécurité physique et environnementale Mesure: La sécurité doit être appliquée au matériel utilisé hors des locaux de l organisme en tenant compte des différents risques associés au travail hors site. Mise au rebut ou recyclage sécurisé(e) du matériel Mesure: Tout le matériel contenant des supports de stockage doit être vérifié pour s assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant sa mise au rebut. Sortie d'un actif Mesure: Un matériel, des informations ou des logiciels ne doivent pas être sortis des locaux de l organisme sans autorisation préalable.

Gestion de l exploitation et des télécommunications Exploitation et réseaux : L objectif est de: Assurer une exploitation correcte et sûre des moyens de traitement. Minimiser les risques de pannes et leur impact. Assurer l intégrité et la disponibilités des informations, des traitements et des communications. Prévenir les dommages aux actifs et les interruptions de service. Prévenir les pertes, les modifications et les mauvaises utilisations d informations échangées entre organisations.

Gestion de l exploitation et des télécommunications Procédures et responsabilités liées à l'exploitation Objectif : Assurer l exploitation correcte et sécurisée des moyens de traitement de l information. Procédures d exploitation documentées Mesure: Les procédures d exploitation doivent être documentées, tenues à jour et disponibles pour tous les utilisateurs concernés. Management des modifications Mesure: Les changements apportés aux systèmes et moyens de traitement de l information doivent être contrôlés. Séparation des tâches Mesure: Les tâches et les domaines de responsabilité doivent être séparés pour réduire les occasions de modification ou de mauvais usage non autorisé(e) ou involontaire des actifs de l organisme. Séparation des équipements de développement, d'essai et d exploitation Mesure: Les équipements de développement, d'essai et d exploitation doivent être séparés pour réduire les risques d accès ou de changements non autorisés da ns le système d information en exploitation.

Gestion de l exploitation et des télécommunications Gestion de la prestation de service conclus avec un tiers Objectif : Mettre en œuvre et maintenir un niveau de sécurité de l information et de service adéquat et conforme aux accords de prestation de service conclus avec un tiers. Prestation de service Mesure: Il doit être assuré que les mesures de sécurité, les définitions du service et les niveaux de prestation prévus dans l accord de prestation de service tiers sont mis en œuvre, appliqués et tenus à jour par le tiers. Surveillance et examen des services tiers Mesure: Les services, rapports et enregistrements fournis par les tiers doivent être régulièrement contrôlés et réexaminés, et des audits doivent être régulièrement réalisés. Gestion des modifications dans les services tiers Mesure: Les changements effectués dans la prestation de service, comprenant le maintien et l amélioration des politiques, procédures et mesures existant en matière de sécurité de l information, doivent être gérés en tenant compte de la criticité des systèmes et processus de gestion concernés et de la réévaluation du risque.

Gestion de l exploitation et des télécommunications Planification et acceptation du système Objectif : Réduire le plus possible le risque de pannes du système. Dimensionnement Mesure: L utilisation des ressources doit être surveillée et ajustée au plus près, et des projections doivent être faites sur les dimensionnements futurs pour assurer les performances requises par le système. Acceptation du système Mesure: Les critères d acceptation doivent être fixés pour les nouveaux systèmes d information, les nouvelles versions et les mises à niveau, et les tests adaptés du (des) système(s) doivent être réalisés au moment du développement et préalablement à leur acceptation.

Gestion de l exploitation et des télécommunications Protection contre les codes malveillant et mobile Objectif : Protéger l intégrité des logiciels et de l information. Mesures contre les codes malveillants Mesure: Des mesures de détection, de prévention et de recouvrement pour se protéger des codes malveillants ainsi que des procédures appropriées de sensibilisation des utilisateurs doivent être mises en œuvre. Mesures contre le code mobile Mesure: Lorsque l utilisation de code mobile est autorisée, la configuration doit garantir que le code mobile fonctionne selon une politique de sécurité clairement définie et tout code mobile non autorisé doit être bloqué. Sauvegarde Objectif : Maintenir l intégrité et la disponibilité des informations et des moyens de traitement de l information. Sauvegarde des informations Mesure: Des copies de sauvegarde des informations et logiciels doivent être réalisées et soumises régulièrement à essai conformément à la politique de sauvegarde convenue.

Gestion de l exploitation et des télécommunications Gestion de la sécurité des réseaux Objectif : Assurer la protection des informations sur les réseaux et la protection de l infrastructure sur laquelle elles s appuient. Mesures sur les réseaux Mesure: Les réseaux doivent être gérés et contrôlés de manière adéquate pour qu ils soient protégés des menaces et pour maintenir la sécurité des systèmes et des applications utilisant le réseau, notamment les informations en transit. Sécurité des services réseau Mesure: Pour tous les services réseau, les fonctions réseau, les niveaux de service et les exigences de gestion doivent être identifiés et intégrés dans tout accord sur les services réseau, qu ils soient fournis en interne ou en externe.

Gestion de l exploitation et des télécommunications Manipulation des supports Objectif : Empêcher la divulgation, la modification, le retrait ou la destruction non autorisé(e) d'actifs et l interruption des activités de l organisme. Gestion des supports amovibles Mesure: Des procédures doivent être mises en place pour la gestion des supports amovibles. Mise au rebut des supports Mesure: Les supports qui ne servent plus doivent être mis au rebut de façon sûre, en suivant des procédures formelles. Procédures de manipulation des informations Mesure: Des procédures de manipulation et de stockage des informations doivent être établies pour protéger ces informations d une divulgation non autorisée ou d un mauvais usage. Sécurité de la documentation système Mesure: La documentation système doit être protégée contre les accès non autorisés.

Gestion de l exploitation et des Echange des informations télécommunications Objectif : Maintenir la sécurité des informations et des logiciels échangés au sein de l organisme et avec une entité extérieure. Politiques et procédures d échange des informations Mesure: Des politiques, procédures et mesures d échange formelles doivent être mises en place pour protéger les échanges d informations liées à tous types d équipements de télécoms. Accords d échange Mesure: Des accords doivent être conclus pour l échange d informations et de logiciels entre l organisme et la partie externe. Supports physiques en transit Mesure: Les supports contenant des informations doivent être protégés contre les accès non autorisés, le mauvais usage ou l altération lors du transport hors des limites physiques de l organisme. Messagerie électronique Mesure: Les informations liées à la messagerie électronique doivent être protégées de manière adéquate..

Gestion de l exploitation et des Services de commerce électronique télécommunications Objectif : Assurer la sécurité des services de commerce électronique, ainsi que leur utilisation sécurisée. Commerce électronique Mesure: Les informations liées au commerce électronique transmises sur les réseaux publics doivent être protégées contre les activités frauduleuses, les litiges sur les contrats et la divulgation et la modification non autorisées. Transactions en ligne Mesure: Les informations liées aux transactions en ligne doivent être protégées pour empêcher la transmission incomplète, les erreurs d acheminement, la modification non autorisée, la divulgation non autorisée, la duplication non autorisée du message ou la réémission. Informations à disposition du public Mesure: L intégrité des informations mises à disposition sur un système accessible au public doit être protégée pour empêcher toute modification non autorisée.

Gestion de l exploitation et des télécommunications Surveillance Objectif : Détecter les traitements non autorisés de l information. Journaux d audit Mesure: Les journaux d audit, qui enregistrent les activités des utilisateurs, les exceptions et les événements liés à la sécurité doivent être produits et conservés pendant une période préalablement définie afin de faciliter les investigations ultérieures et la surveillance du contrôle d accès. Surveillance de l exploitation du système Mesure: Des procédures permettant de surveiller l utilisation des moyens de traitement de l information doivent être établies et les résultats des activités de surveillance doivent être réexaminés périodiquement. Protection des informations journalisées Mesure: Les équipements de journalisation et les informations journalisées doivent être protégés contre le sabotage et les accès non autorisés.

Gestion de l exploitation et des Journal administrateur et télécommunications journal des opérations Mesure: Les activités de l administrateur système et de l opérateur système doivent être journalisées. Rapports d anomalies Mesure: Les éventuels défauts doivent être journalisés et analysés et les mesures appropriées doivent être prises. Synchronisation des horloges Mesure: Les horloges des différents systèmes de traitement de l information d un organisme ou d un domaine de sécurité doivent être synchronisées à l aide d une source de temps précise et préalablement définie.

Contrôle d'accès L objectif est de: gérer et contrôler l accès aux informations prévenir les accès non autorisés assurer la protection des systèmes en réseau détecter les activités non autorisées La politique de contrôle comprend notamment: l'enregistrement unique de chaque utilisateur, une procédure écrite de délivrance d'un processus d'authentification signée du responsable hiérarchique, des services de déconnexion automatique en cas d'inactivité, une politique de révision des mots de passe

Contrôle d'accès Exigences métier relatives au contrôle d'accès Objectif : Maîtriser l accès à l information. Politique de contrôle d accès Mesure: Une politique de contrôle d accès doit être établie, documentée et réexaminée sur la base des exigences métier et de sécurité. Gestion des accès des utilisateurs Objectif : Contrôler l accès des utilisateurs autorisés et empêcher les accès non autorisés aux systèmes d information. Enregistrement des utilisateurs Mesure: Une procédure formelle d inscription et désincription des utilisateurs destinée à accorder et à supprimer l accès à tous les systèmes et services d information doit être définie..

Contrôle d'accès Gestion des privilèges Mesure: L attribution et l utilisation des privilèges doivent être restreintes et contrôlées. Gestion du mot de passe utilisateur Mesure: L attribution de mots de passe doit être réalisée dans le cadre d un processus formel. Réexamen des droits d accès utilisateurs Mesure : La direction doit réexaminer les droits d accès utilisateurs à intervalles réguliers par le biais d un processus formel. examinée sur la base des exigences métier et de sécurité.

Contrôle d'accès Responsabilités de l'utilisateurs Objectif : Empêcher l accès d utilisateurs non habilités et la compromission ou le vol d informations et de moyens de traitement de l information. Utilisation du mot de passe Mesure: Il doit être demandé aux utilisateurs de respecter les bonnes pratiques de sécurité lors de la sélection et de l utilisation de mots de passe. Matériel utilisateur laissé sans surveillance Mesure: Les utilisateurs doivent s assurer que tout matériel laissé sans surveillance est doté d une protection appropriée. Politique du bureau propre et de l écran vide Mesure: Une politique du bureau propre doit être adoptée pour les documents papier et les supports de stockage amovibles, et une politique de l écran vide doit également être adoptée pour les moyens de traitement de l information.

Contrôle d'accès Contrôle d'accès réseau Objectif : Empêcher les accès non autorisés aux services disponibles sur le réseau. Politique relative à l utilisation des services en réseau Mesure : Les utilisateurs doivent avoir uniquement accès aux services pour lesquels ils ont spécifiquement reçu une autorisation. Authentification de l utilisateur pour les connexions externes Mesure: Des méthodes d authentification appropriées doivent être utilisées pour contrôler l accès des utilisateurs distants. Identification des matériels en réseaux Mesure: L identification automatique de matériels doit être considérée comme un moyen d authentification des connexions à partir de lieux et matériels spécifiques.

Contrôle d'accès Protection des ports de diagnostic et de configuration à distance Mesure: L accès physique et logique aux ports de diagnostic et de configuration à distance doit être contrôlé. Cloisonnement des réseaux Mesure: Les groupes de services d information, d utilisateurs et de systèmes d information doivent être séparés sur le réseau. Mesure relative à la connexion réseau Mesure : Pour les réseaux partagés, en particulier les réseaux qui s étendent au-delà des limites de l organisme, la capacité de connexion réseau des utilisateurs doit être restreinte, conformément à la politique de contrôle d accès et aux exigences relatives aux applications métier Contrôle du routage réseau Mesure: Des mesures du routage des réseaux doivent être mises en œuvre afin d éviter que les connexions réseau et les flux d informations ne portent atteinte à la politique de contrôle d accès des applications métier.

Contrôle d'accès Contrôle d'accès au système d'exploitation Objectif : Empêcher les accès non autorisés aux systèmes d exploitation. Ouverture de sessions sécurisées Mesure: L accès aux systèmes d exploitation doit être soumis à une procédure sécurisée d ouverture de session. Identification et authentification de l utilisateur Mesure: Un identifiant unique et exclusif doit être attribué à chaque utilisateur et une technique d authentification doit être choisie, permettant de vérifier l identité déclarée par l utilisateur. Système de gestion des mots de passe Mesure: Les systèmes qui gèrent les mots de passe doivent être interactifs et doivent fournir des mots de passe de qualité.

Contrôle d'accès Emploi des utilitaires système Mesure: L emploi des programmes utilitaires permettant de contourner les mesures d un système ou d une application doit être limité et contrôlé étroitement. Déconnexion automatique des sessions inactives Mesure: Les sessions inactives doivent être déconnectées après une période d inactivité définie. Limitation du temps de connexion Mesure: Les temps de connexion doivent être restreints afin d apporter un niveau de sécurité supplémentaire aux applications à haut risque.

Contrôle d'accès Contrôle d'accès aux applications et à l'information Objectif : Empêcher les accès non autorisés aux informations stockées dans les applications. Restriction d accès à l information Mesure: Pour les utilisateurs et le personnel chargé de l assistance technique, l accès aux informations et aux fonctions applicatives doit être restreint conformément à la politique de contrôle d accès. Isolement des systèmes sensibles Mesure: Les systèmes sensibles doivent disposer d'un environnement informatique dédié (isolé). Informatique mobile et télétravail Objectif : Garantir la sécurité de l information lors de l utilisation d appareils informatiques mobiles. Informatique et communications mobiles Mesure: Une procédure formelle et des mesures de sécurité appropriées doivent être mises en place pour assurer une protection contre le risque lié à l utilisation d appareils et de communication mobiles. Télétravail Mesure: Une politique, des procédures et des programmes opérationnels spécifiques au télétravail doivent être élaborés et mis en œuvre.

L objectif est de: Acquisition, développement et maintenance des systèmes d information Assurer que la sécurité est incluse dès la phase de conception. Prévenir la perte, la modification ou la mauvaise utilisation des informations dans les systèmes. Protéger la confidentialité, l intégrité et la disponibilité des informations. Assurer que les projets et les activités de maintenance sont conduits de manière sûre. Maintenir la sécurité des systèmes d application, tant pour le logiciel que pour les données.

Acquisition, développement et maintenance des systèmes d information Exigences de sécurité applicables aux systèmes d'information Objectif : Veiller à ce que la sécurité fasse partie intégrante des systèmes d information. Analyse et spécification des exigences de sécurité Mesure: Les exigences métier relatives aux nouveaux systèmes d information ou les améliorations apportées aux systèmes d information existants doivent spécifier les exigences de sécurité. Bon fonctionnement des applications Objectif : Empêcher toute erreur, perte, modification non autorisée ou tout mauvais usage des informations dans les applications. Validation des données en entrée Mesure: Les données entrées dans les applications doivent être validées afin de vérifier si elles sont correctes et appropriées. Mesure relative au traitement interne Mesure: Des contrôles de validation doivent être inclus dans les applications afin de détecter les éventuelles altérations de l information dues à des erreurs de traitement ou des actes délibérés.

Acquisition, développement et maintenance des systèmes d information Intégrité des messages Mesure: Les exigences permettant d assurer l authentification et la protection de l intégrité des messages dans les applications doivent être identifiées, et des mesures appropriées doivent être identifiées et mises en oeuvre. Validation des données en sortie Mesure: Les données de sortie d une application doivent être validées pour assurer que le traitement des informations stockées est correct et adapté aux circonstances. Mesures cryptographiques Objectif : Protéger la confidentialité, l authenticité ou l intégrité de l information par des moyens cryptographiques. Politique d utilisation des mesures cryptographiques Mesure: Une politique d utilisation des mesures cryptographiques en vue de protéger l information doit être élaborée et mise en oeuvre. Gestion des clés Mesure: Une procédure de gestion des clés doit favoriser l utilisation par l organisme de techniques cryptographiques.

Acquisition, développement et Sécurité des fichiers système Objectif : Garantir la sécurité des fichiers système. maintenance des systèmes d information Mesure relative aux logiciels en exploitation Mesure: Des procédures doivent être mises en place pour contrôler l installation du logiciel sur les systèmes en exploitation. Protection des données système d essai Mesure: Les données d essai doivent être sélectionnées avec soin, protégées et contrôlées. Contrôle d accès au code source du programme Mesure: L accès au code source du programme doit être restreint. Sécurité en matière de développement et d assistance technique Objectif : Garantir la sécurité du logiciel et des informations d application. Procédures de contrôle des modifications Mesure: La mise en oeuvre des modifications doit être contrôlée par le biais de procédures formelles.

Acquisition, développement et maintenance des systèmes d information Réexamen technique des applications après modification du système d exploitation Mesure: Lorsque des modifications sont apportées aux systèmes d exploitation, les applications critiques métier doivent être réexaminées et testées afin de vérifier l absence de tout effet indésirable sur l activité ou sur la sécurité. Restrictions relatives à la modification des progiciels Mesure : La modification des progiciels ne doit pas être encouragée, et doit être limitée aux changements nécessaires. Un contrôle strict doit également être exercé sur ces modifications. Fuite d informations Mesure: Toute possibilité de fuite d informations doit être empêchée. Externalisation du Développement logiciel Mesure: Le développement logiciel externalisé doit être encadré et contrôlé par l'organisme.

Acquisition, développement et maintenance des systèmes d information Gestion des vulnérabilités techniques Objectif : Réduire les risques liés à l exploitation des vulnérabilités techniques ayant fait l objet d une publication. Mesure relative aux vulnérabilités techniques Mesure: Toute information concernant toute vulnérabilité technique des systèmes d information en exploitation doit être obtenue à temps, l exposition de l organisme aux dites vulnérabilités doit être évaluée et les actions appropriées doivent être entreprises pour traiter le risque associé.

Gestion des incidents liés à la sécurité de l information L objectif est de: Assurer que les incidents de sécurité sont enregistrés, résolus et qu un reporting adéquat est mis en place (ITIL).

Gestion des incidents liés à la sécurité de l information Gestion des incidents liés à la sécurité de l information et des améliorations Objectif : Garantir la mise en place d une approche cohérente et efficace pour la gestion des incidents liés à la sécurité de l information. Responsabilités et procédures Mesure: Des responsabilités et des procédures doivent être établies, permettant de garantir une réponse rapide, efficace et pertinente en cas d incident lié à la sécurité de l information. Exploitation des incidents liés à la sécurité de l information déjà survenus Mesure: Des mécanismes doivent être mis en place, permettant de quantifier et surveiller les différents types d incidents liés à la sécurité de l information ainsi que leur volume et les coûts associés. Collecte de preuves Mesure: Lorsqu une action en justice civile ou pénale est engagée contre une personne physique ou un organisme, à la suite d un incident lié à la sécurité de l information, les éléments de preuve doivent être recueillis, conservés et présentés conformément aux dispositions légales relatives à la présentation de preuves régissant la ou les juridiction(s) compétente(s).

Gestion de la continuité de l activité L objectif est de développer la capacité à répondre rapidement aux interruptions des activités critiques de l organisation, résultant de pannes, d incident, de sinistre ou de catastrophe. Une analyse de risques à partir de divers scénarii de sinistre et une Une analyse de risques à partir de divers scénarii de sinistre et une évaluation de la criticité des applications, permet d'établir différents plans de poursuite des opérations depuis le mode dégradé en cas de dysfonctionnements mineurs jusqu'à la reprise dans un local distant en cas de sinistre grave (incendie, attentat, grève, etc ).

Gestion de la continuité de l activité Gestion de la continuité de l activité d un point de vue aspects de la sécurité de l information Objectif : Empêcher les interruptions des activités de l organisme, protéger les processus métier cruciaux des effets causés par les défaillances majeures des systèmes d information ou par des sinistres et garantir une reprise de ces processus dans les meilleurs délais. Intégration de la sécurité de l information dans le processus de gestion du plan de continuité de l activité Mesure: Un processus de continuité de l activité dans l ensemble de l organisme doit être élaboré et géré, qui satisfait aux exigences en matière de sécurité de l information requises pour la continuité de l activité de l organisme. Continuité de l activité et appréciation du risque Mesure: Les événements pouvant être à l origine d interruptions des processus métier doivent être identifiés, tout comme la probabilité et l impact de telles interruptions et leurs conséquences pour la sécurité de l information.

Gestion de la continuité de l activité Élaboration et mise en oeuvre des plans de continuité intégrant la sécurité de l information Mesure: Des plans doivent être élaborés et mis en oeuvrepour maintenir ou restaurer l exploitation et assurer la disponibilité des informations au niveau et dans les délais requis suite à une interruption ou une panne affectant les processus métier cruciaux. Cadre de la planification de la continuité de l activité Mesure: Un cadre unique pour les plans de continuité de l activité doit être géré afin de garantir la cohérence de l ensemble des plans, de satisfaire de manière constante aux exigences en matière de sécurité de l information et d identifier les priorités en matière de mise à l essai et de maintenance. Mise à l essai, gestion et réévaluation constante des plans de continuité de l activité Mesure: Les plans de continuité de l activité doivent être testés et mis à jour régulièrement afin de s assurer qu ils sont actualisés et efficaces.

Conformité La conformité se décline en 3 volets: 1. Le respect des lois et réglementations: licences logiciels, propriété intellectuelle, règles de manipulation des fichiers contenant des informations touchant la confidentialité des personnes, 2. La conformité des procédures en place au regard de la politique de sécurité de l'organisation, c'est à dire quels dispositifs ont été mis en place pour assurer les objectifs décrits par la Direction Générale 3. L'efficacité des dispositifs de traçabilité et de suivi des procédures en place, notamment les journaux d'activités, les pistes d'audit, les enregistrements de transaction.

Conformité Conformité aux exigences légales Objectif : Eviter toute violation des obligations légales, statutaires, réglementaires ou contractuelles et des exigences de sécurit Identification de la législation en vigueur Mesure :Pour chaque système d information et pour l organisme, toutes les exigences légales, réglementaires et contractuelles en vigueur doivent être définies, documentées et mises à jour, ainsi que la procédure utilisée par l organisme pour satisfaire à ces exigences. Droits de propriété intellectuelle (DPI) Mesure: Des procédures appropriées doivent être mises en œuvre, visant à garantir la conformité avec les exigences légales, réglementaires et contractuelles concernant l utilisation du matériel pouvant être soumis à des droits de propriété intellectuelle et l utilisation des logiciels propriétaires. Protection des enregistrements de l organisme Mesure: Les enregistrements importants doivent être protégés contre la perte, destruction et falsification conformément aux exigences légales, réglementaires et aux exigences métier.

Conformité Protection des données et confidentialité des informations relatives à la vie privée Mesure: La protection et la confidentialité des données doivent être garanties, telles que l exigent la législation ou les réglementations applicables, et les clauses contractuelles le cas échéant. Mesure préventive à l égard du mauvais usage des moyens de traitement de l information Mesure: Les utilisateurs doivent être dissuadés de toute utilisation de moyens de traitement de l information à des fins illégales. Réglementation relative aux mesures cryptographiques Mesure: Des mesures cryptographiques doivent être prises conformément aux accords, lois et réglementations applicables.

Conformité Conformité avec les politiques et normes de sécurité et conformité technique Objectif : S assurer de la conformité des systèmes avec les politiques et normes de sécurité de l organisme. Conformité avec les politiques et les normes de sécurité Mesure: Les responsables doivent s assurer de l exécution correcte de l ensemble des procédures de sécurité placées sous leur responsabilité en vue de garantir leur conformité avec les politiques et normes de sécurité. Vérification de la conformité technique Mesure: La conformité des systèmes d information avec les normes relatives à la mise en oeuvre de la sécurité doit être vérifiée régulièrement.

Conformité Prises en compte de l'audit du système d'information Objectif : Optimiser l efficacité et réduire le plus possible l interférence avec le/du processus d audit du système d information. Contrôles de l audit du système d information Mesure: Les exigences d audit et les activités impliquant des contrôles des systèmes en exploitation doivent être planifiées de manière précise et doivent être le résultat d un accord afin de réduire le plus possible le risque de perturbations des processus métier. Protection des outils d audit du système d information Mesure: L accès aux outils d audit du système d information doit être protégé afin d empêcher tous mauvais usage ou compromission éventuels.

Sommaire Rappel: Approche Processus et le PDCA de DEMING Ingenierie du Risque. Le Risk Managament: la 31000-2009 Le IT Risk management sous ISO 2700X ISO 27001 ISO 27002 Cas Pratique ISO 27005 Methodes MEHARI Approche Pragmatic Audit sous Cobit 4.1 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 127

Gérer ses risques avec la norme ISO 27005 et MEHARI Gérer les risques : comment? 1. L identification des risques Les concepts fondamentaux mis en avant par l ISO 27005 sont ainsi : Les actifs Les menaces Les vulnérabilités et ces concepts nécessitent d être définis. CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 128

Gérer ses risques avec la norme ISO 27005 et MEHARI Gérer les risques : comment? 1. L identification des risques Définitions complémentaires nécessaires : Les actifs Pour garantir que tous les risques seront identifiés, MEHARI 2010 part de la notion de «besoinde l activité». Ce besoin peut revêtir trois formes : Un besoin de services Un besoin d informations (ou données) nécessaires à l accomplissement des services Un besoin de conformité (des processus et comportements) à un référentiel (éthique, réglementaire, légal, etc.) CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 129

Gérer ses risques avec la norme ISO 27005 et MEHARI Gérer les risques : comment? 1. L identification des risques Définitions complémentaires nécessaires : Les actifs Pour garantir que tous les risques seront identifiés, MEHARI 2010 précise comment ces besoins ou actifs primaires se matérialisent : Sous quelles formes ou sur quels supports En dépendant de quelles contingences La recherche exhaustive des besoins et de leurs matérialisations permet d identifier les actifs «primaires» et «secondaires» de l entreprise ou de l organisme CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 130

Gérer ses risques avec la norme ISO 27005 et MEHARI Gérer les risques : comment? 1. L identification des risques Définitions complémentaires nécessaires Les vulnérabilités La définition donnée à ce terme par l ISO 27000 est la suivante : «Faille dans un actifou dans une mesure de sécuritéqui peut être exploitée par une menace». Les deux aspects de cette définition sont de nature totalement différente. CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 131

Gérer ses risques avec la norme ISO 27005 et MEHARI Gérer les risques : comment? 1. L identification des risques Définitions complémentaires nécessaires Les vulnérabilités Pour garantir que tous les risques seront identifiés, MEHARI 2010 précise ces deux notions : Vulnérabilité intrinsèque: caractéristique intrinsèque d un actif pouvant être le point d application d une menace Vulnérabilité contextuelle: faille dans un dispositif de sécurité pouvant être exploitée par une menace L identification des risques doit s appuyer sur la recherche des vulnérabilités intrinsèques CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 132

Gérer ses risques avec la norme ISO 27005 et MEHARI Gérer les risques : comment? 1. L identification des risques Définitions complémentaires nécessaires Les menaces Pour pouvoir estimer les risques, la description de la menace doit comprendre tous ses éléments caractéristiques. MEHARI 2010 précise ce que doit comprendre cette description : L événement déclencheur et son caractère volontaire ou accidentel L acteur déclenchant cet événement Les circonstances dans lesquelles survient cet événement L identification des risques doit s appuyer sur une recherche de l ensemble de ces éléments CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 133

Gérer ses risques avec la norme ISO 27005 et MEHARI Gérer les risques : comment? 1. L identification des risques MEHARI 2010 précise le processus d identification des risques selon le schéma suivant : Besoin : Service, données, Forme ou contingence Vulnérabilité intrinsèque Menace éventuelle Mesures de sécurité Risque à évaluer CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 134

Gérer ses risques avec la norme ISO 27005 et MEHARI Gérer les risques : comment? 2. L estimation des risques Le modèle doit permettre d évaluer les effets des mesures de sécurité, ce qui impose de : Différencier les types d effets Pouvoir quantifier l influence de chaque mesure sur les paramètres du risque, impact et potentialité Savoir évaluer les effets cumulés de plusieurs mesures de sécurité Savoir tenir compte de la qualité (efficacité) des mesures de sécurité mises en oeuvre CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 135

Gérer ses risques avec la norme ISO 27005 et MEHARI Gérer les risques : comment? 2. L estimation des risques Le modèle de risque MEHARI répond, depuis l origine, à ce besoin et n évolue que très peu avec la version 2010. CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 136

Gérer ses risques avec la norme ISO 27005 et MEHARI Le processus de gestion des risques CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 137

Gérer ses risques avec la norme ISO 27005 et MEHARI Le développement d une base de situations de risques La gestion des risques comprend, de fait, une partie qui correspond au développement d une base décrivant des situations de risques (ou scénarios de risques). Dès lors l organisation systématique et systémique d un tel développement est, pour le moins, une opportunité. CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 138

Gérer ses risques avec la norme ISO 27005 et MEHARI Des fonctions de calcul nécessaires Le modèle de risque impose un minimum de fonctions de calcul pour estimer les niveaux de risque : Niveaux de qualité des services de sécurité Facteurs de réduction de risques Effets combinés de plusieurs services et de plusieurs facteurs Estimation des paramètres du risque Estimation de la gravité du risque CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 139

Gérer ses risques avec la norme ISO 27005 et MEHARI Une confiance raisonnée Les mécanismes de calcul peuvent donner une fausse impression de précision : Certains paramètres, nécessaires pour les calculs, sont des estimations et non des mesures scientifiques Les formules elles-mêmes sont raisonnables et rationnelles mais ne sont pas «démontrables» Il reste que, comme tout processus d analyse, les modèles de calcul permettent de décomposer un problème complexe en problèmes élémentaires plus simples. Ce sont des supports au raisonnement et des aides à la décision CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 140

Gérer ses risques avec la norme ISO 27005 et MEHARI Une confiance raisonnée La construction de la base de connaissance du CLUSIF a été menées avec un tel principe de prudence : Prise en compte de la robustesse et de la mise sous contrôle (ou permanence) dans l évaluation de la qualité d un service de sécurité. Prise en compte des services de sécurité si et seulement si on peut garantir qu ils auront une effet. Prudence dans les grilles de décision CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 141

Gérer ses risques avec la norme ISO 27005 et MEHARI La mise en pratique Une mise en pratique raisonnée consiste alors à définir et sélectionner des projets à déployer en fonction des présélections présentées par les automatismes mais aussi de l expérience des acteurs (RSSI en particulier) Un usage recommandé des automatismes est alors de simuler l effet des projets de sécurité envisagés sur l ensemble des situations de risque pour mettre en évidence les risques non réduits (ou insuffisamment réduits et restant inadmissibles) CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 142

Gérer ses risques avec la norme ISO 27005 et MEHARI La mise en pratique Méhari 2010 incorpore différentes fonctions de calcul : Ce sont des aides essentielles dans les processus de décision Ce ne sont que des aides à la décision CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 143

Gérer ses risques avec la norme ISO 27005 et MEHARI Rappel: Sommaire Approche Processus et le PDCA de DEMING Ingenierie du Risque. Le Risk Managament: la 31000-2009 Le IT Risk management sousiso 2700X ISO 27001 ISO 27002 Cas Pratique ISO 27005 Methodes MEHARI Approche Pragmatic Audit sous Cobit 4.1 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting CLUSIS > Lausanne/Jean-Philippe Jouas 9 mars 2010 144 144

AVRIL 2005 Thierry RAMARD 145

Stratégie générale d entreprise Démarche Générale : ISO 27005 Modèle Général (2/2) Définition de la politique de sécurité du SI Mesure et analyse des enjeux «métiers» 2 3 1 Mesure et analyse des risques résiduels Approche «Top-down» 4 5 Définition & mise en œuvre d un plan d actions sécurité pluriannuel Définition & mise en œuvre d un tableau de bord sécurité Act. Technique Act. Fonctionnelle s Approche «Botton-up» Analyses financières AVRIL 2005 Thierry RAMARD 146

1 2 3 4 1. Cartographier et classifier les flux d informations 2. Mesurer le coût de son insécurité (calcul du coût des incidents) 3. Evaluer les menaces et les risques potentiels qui pèsent sur l entreprise 4. Définir les exigences de protection 5. Rédiger une politique générale de sécurité 6. Définir les directives techniques et fonctionnelles de protection du SI 7. Rédiger une charte informatique à destination des utilisateurs internes 8. Identifier ses vulnérabilités 9. Cartographier ses risques réels Liste des actions à mener MOSAIC = 15 actions 10. Définir les actions de protection à déployer 11. Planifier les actions dans un plan pluriannuel «Techniques et Fonctionnelles» 12. Calculer les retours sur investissement (ROI) et les gains escomptés 13. Calculer les budgets pluriannuels 5 14. Désigner les Responsabilités en matière de sécurité du SI 15. Définir des tableaux de bord sécurité AVRIL 2005 Thierry RAMARD 147

Domaines CobiT Les domaines Planification & Organisation Acquisition & Mise en Place Distribution & Support Surveillance 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 149

Planification et Organisation (PO) PO1 Définir un plan informatique stratégique PO2 Définir l architecture de l information PO3 Déterminer l orientation technologique PO4 Définir l organisation et les relations de travail PO5 Gérer l investissement en informatique PO6 Communiquer les objectifs et les orientations du management PO7 Gérer les ressources humaines PO8 S assurer de la conformité aux exigences externes PO9 Évaluer les risques PO10 Gérer les projets PO11 Gérer la qualité 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 150

PO9 Évaluer et gérer les risques Un référentiel de gestion des risques est créé et maintenu à niveau. Ce référentiel documente un niveau commun et agréé de risques informatiques, de stratégies pour les réduire et de risques résiduels.tout impact potentiel d un événement imprévu sur les objectifs de l entreprise est identifié, analysé, et évalué.

PO9 Évaluer et gérer les risques Représentation schématique des flux internes du processus PO9

PO9 Évaluer et gérer les risques

Distribution et Support (DS) DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 Définir les niveaux de service Gérer les services assurés par des tiers Gérer la performance et la capacité Assurer un service continu Assurer la sécurité des systèmes Identifier et imputer les coûts Sensibiliser et former les utilisateurs Assister et conseiller les clients Gérer la configuration Gérer les problèmes et les incidents Gérer les données Gérer les installations Gérer l exploitation 19/03/2013 Jaafar DEHBI - Consultant SI-TI - Pragmatic Consulting 154

DS5 Assurer la sécurité des systèmes Le besoin de maintenir l intégrité de l information et de protéger les actifs informatiques exige un processus de gestion de la sécurité. Ce processus comporte la mise en place et la maintenance de rôles et responsabilités, politiques, plans et procédures informatiques. La gestion de la sécurité implique aussi une surveillance de la sécurité, des tests périodiques et des actions correctives lors d incidents ou de découverte de failles dans la sécurité.

DS5 Assurer la sécurité des systèmes Représentation schématique des flux internes du processus DS 5

DS5 Assurer la sécurité des systèmes

La réglementation liée à la sécurité de l information 09-08 07-03 53-05 19/03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne 2012 158

Loi n 09-08 La loi n 09-08 sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel est une loi qui introduit, pour la première fois, dans le paysage juridique marocain, un ensemble de dispositions légales dont l'interprétation ne peut se faire que par rapport à un principe énoncé dans son article premier selon lequel : " L'informatique est au service du citoyen et évolue dans le cadre de la coopération internationale. Elle ne doit pas porter atteinte à l'identité, aux droits et aux libertés collectives ou individuelles de l'homme. Elle ne doit pas constituer un moyen de divulguer des secrets de la vie privée des citoyens.». C'est dire que ce qui est visé par cette nouvelle législation c'est la protection de l'identité, des droits et des libertés individuelles et collectives ainsi que de la vie privée, contre toutes les atteintes susceptibles de les affecter par l'usage de l'informatique. Extrait de la loi Un emprisonnement de 3 mois à 1 an et/ou une amende de 20.000 à 200.000 dirhams: Collecter des données par un moyen frauduleux, déloyal ou illicite Mettre en œuvre un traitement à des fins autres que celles déclarées ou autorisées ; Soumettre les données à un traitement ultérieur incompatible avec les finalités déclarées ou autorisées ; 19/03/2013 Jaafar DEHBI - Consultant Auditeur SI-TI - Licorne 2012 159

MERCI de VOTRE PARTICIPATION; Jaafar DEHBI ; Consultant Management des SI-TI Jdehbi.consult@gmail.com