Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel



Documents pareils
En vue de l'obtention du. Présentée et soutenue par Michel KAMEL Le 29 Septembre 2008

Panorama général des normes et outils d audit. François VERGEZ AFAI

Table des matières. Partie I CobiT et la gouvernance TI

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CERTIFICATION LA CERTIFICATION

ITSMby Diademys. Business plan. Présentation

L innovation technologique au quotidien dans nos bibliothèques

Les bonnes pratiques d un PMO

When Recognition Matters

repensez votre courrier transactionnel pour une nouvelle expérience clients

GROUPE SYNERGIE PME INC. 800, boul. René-Lévesque O., #161, Stn B, Montréal, QC, H3B 3J5 Tél. :

Conditions de l'examen

Notre Approche. Le concept de projet. Les 4 Pas. 4. Nous Evaluons et Améliorons. 3. Nous Exécutons. 2. Nous Concevons. 1. Nous Analysons.

METIERS DE L INFORMATIQUE

D ITIL à D ISO 20000, une démarche complémentaire

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Optimiser la Gestion des réserves ou des excédents de trésorerie des Entreprises et des Associations

Catalogue de Formations

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

IT Gouvernance. Plan. Définition. IT gouvernance pourquoi? But et enjeux. Les bonnes pratiques et composantes d une IT gouvernance

La gestion du personnel

exemple d examen ITMP.FR

ITIL et les outils. À l ordre du jour. senté par Johanne L HeureuxL. Consultante. Mise en contexte Quelques exemples.

ISO/CEI 27001:2005 ISMS -Information Security Management System

Par ailleurs, vous trouverez ci-dessous un questionnaire à retourner à la CGPME avant le 22 octobre 2008.

QU EST-CE QUE LE SAAS?

QU EST-CE QUE LE SAAS?

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

L approche processus c est quoi?

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Guide de Tarification. Introduction Licence FD Entreprise Forfaits clé en main SaaS SaaS Dédié SaaS Partagé. Page 2 Page 3 Page 4 Page 5 Page 8

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

2.La bibliothèque ITIL est composé de 2 ouvrages La bibliothèque : Dans sa version actuelle, ITIL est composé de huit ouvrages :

Les conséquences de Bâle II pour la sécurité informatique

Comprendre les produits structurés

Une réponse concrète et adaptée pour valoriser votre engagement pour l environnement.

1. Étude réalisée par l AFOPE en Hellriegel D., Slocum J. W., Woodman R. W., Management des organisations, Bruxelles, De Boeck, 1992.

Cloud Computing Foundation Certification Exin

ISO conformité, oui. Certification?

curité des TI : Comment accroître votre niveau de curité

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

Gestion de l identitl et des accès, pour bien se faire connaître!

COBIT (v4.1) INTRODUCTION COBIT

Hier, Mathilde rencontrer son professeur. A pu A pue. Les animaux.malades pendant une courte période. Sont été Ont été Sont étés

Gestion des services IT basé sur la norme ISO/CIE 20000

ITIL V3. Amélioration continue des services

INITIATIVE FORMATION Volet : Création et Reprise d Entreprise

Questionnaire de vérification pour l implantation de la norme ISO dans une entreprise

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Cahier des Charges Site Internet

FILIÈRE TRAVAIL COLLABORATIF

Abteilung für schulische Evaluation

Conservatoire national des arts et métiers - Centre de Marne la Vallée L'ITIL : Un référentiel pour la qualité des systèmes d'information

L ANALYSE COUT-EFFICACITE

Politique de sécurité de l information

Groupe de travail ITIL - Synthèse 2011

Introduction à ITIL V3. et au cycle de vie des services

L Audit selon la norme ISO27001

I.T.I.L. I.T.I.L. et ISO ISO La maturité? La Mêlée Numérique 10. le 8 juin Luc Van Vlasselaer

Journée Mondiale de la Normalisation

Documentation Analyse SEM

La méthodologie ITIL : que faut-il retenir? réunion du 14 septembre 2004

Gestion de parc et qualité de service

mieux développer votre activité

Identifier et comprendre vos clients

Identification des incontournables à la démarche Lean

Manuel de KNetAttach. Orville Bennett Traduction française : Pierre Hécart Relecture de la documentation française : Ludovic Grossard

Gestionde la conformité des licenses

IFT3913 Qualité du logiciel et métriques. Chapitre 2 Modèles de processus du développement du logiciel. Plan du cours

La Qualite Logiciel(le) Un peu de planning 21/01/2010. Rappel : Le Projet. Eric Bourreau bourreau@lirmm.fr

LIGNES DIRECTRICES À L USAGE DES ORGANISMES RÉALISANT LA CERTIFICATION DE SYSTÈMES DE QUALITÉ POUR LES PROGRAMMES DE CONTRÔLE DU DOPAGE

Questionnaire - Investisseurs en Capital

Agriculture et Finances

L évolution du modèle de la sécurité des applications

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

Completed Projects / Projets terminés

Gestion des risques, contrôle interne et audit interne

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

FORMULAIRE D INSCRIPTION. l Institut des juristes d entreprise

CATALOGUE)FORMATION)2015)

ITIL nouvelle version et état de situation des démarches dans le réseau

Ce que tu écris est le reflet de ta personnalité

Outil 5 : Exemple de guide d évaluation des auditeurs internes

Gestion des Services IT basé sur la norme ISO/IEC 20000

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

Notre offre Réseaux

L Assurance Qualité DOSSIER L ASSURANCE QUALITE

R E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES

ENQUÊTE ACCÈS AU FINANCEMENT

Qu est-ce que le ehealthcheck?

Un moyen simple d'être plus favorable aux familles Les points les plus importants du Family Score en un coup d'œil

IBM Business Process Manager

Nom de l institution : Adresse : Ville : Province : Code postal : Adresse de livraison : (si autre que ci-dessus) Ville :

Transcription:

Le processus de gestion de sécurité de l information dans les Organisations Virtuelles Michel KAMEL Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 1

Problématique Environnement collaboratif Système de gestion Organisations Ressources Compétences Utilisateurs Systèmes d Information Domaines de sécurité Pratiques sécuritairess Fédération d identitd identité Normes de sécurits curité Politique de sécurits curité Ouverture des Systèmes d Information des organisations membres. Confiance en les organisations partenaires; sont-elles capables de bien gérer le contrôle d accès dans leurs domaines de sécurité? Peut-on compter sur eux? Objectif: Établir la chaîne de confiance entre les organisations partenaires dans une OV. Ces organisations ont-elles une culture et des stratégies pour la définition de politiques de sécurité. Les administrateurs ont-ils une expérience dans la gestion de la sécurité et le déploiement des services de sécurité? Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 2

Meilleures pratiques (sécuritaires) Sécuriser un Système d Information ce n est pas seulement utiliser et implémenter les technologies avancées qui existent sur le marché. Sécuriser un Système d Information c est contrôler les processus de sécurité et savoir comment utiliser et gérer ces technologies avancées pour en tirer profit maximal. On doit évaluer les pratiques sécuritaires (comment est gérée la sécurité, quels sont les processus de sécurité définis, l expérience des administrateurs en la gestion de la sécurité, etc.). Y a t-il des meilleures pratiques pour la sécurité de l information? Y a t-il des normes qui traitent cette évaluation et standardisent les meilleures pratiques pour la sécurité de l information? Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 3

Gestion de la sécurité de l information - ISO/IEC 17799 - ISO/IEC 17799 est un code de bonnes pratiques pour la gestion de la sécurité de l information; il permet la définition d un Système de Gestion de Sécurité de l Information (SGSI) dans une organisation. Un SGSI permet à une organisation d établir sa politique de sécurité de l information, et s assurer qu elle répond bien aux objectifs définis. ISO/IEC 17799 classe les meilleures pratiques en onze thèmes (chapitres) de sécurité (Politique de sécurité, Organisation de la sécurité de l information, Contrôle d accès, Conformité aux règlements, etc.). ISO/IEC 17799 est trop général et trop complexe pour les PMEs (39 objectifs de contrôles, 133 contrôles de sécurité). En plus, il liste les meilleures pratiques sans dire comment les utiliser et il n est pas adapté aux OVs. Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 4

Gestion de la sécurité de l information - ISO/IEC 27001 - ISO/IEC 27001 instruit le responsable de sécurité dans l organisation comment appliquer ISO/IEC 17799 et comment bâtir, opérer, maintenir et améliorer un SGSI. ISO/IEC 27001 adopte une approche d amélioration continue qui est le modèle Plan- Do-Check-Act (PDCA). ISO/IEC 27001 n est pas adapté aux OVs. Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 5

Le niveau de maturité Nous sommes intéressés par l évaluation des pratiques sécuritaires contre les meilleures pratiques définies par ISO/IEC 17799. Nous avons adopté le concept de maturité. La maturité des pratiques sécuritaires identifie à quel point les questions de sécurité sont traitées dans une organisation et évalue l expérience et l expertise qu ont les administrateurs de ces organisations. Le modèle de référence Capability Maturity Model Integration (CMMI) traite la maturité; il adopte une approche orientée processus. Mais, comme nous nous intéressons à évaluer l efficacité d une organisation dans l assurance d un certain niveau de sécurité et non pas la bonne mise en place de processus (telle la gestion des configurations ou de production), l approche adoptée par CMMI n est pas adaptée à nos besoins. Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 6

L approche adoptée 1. Adapter le cadre de l ISO/IEC 17799 aux organisations virtuelles. Nous avons identifié, à partir des onze chapitres de la norme ISO/IEC 17799, les objectifs et les contrôles à évaluer dans les Systèmes d Information des PMEs désirant faire partie d une OV. 2. Définir un outil taillé pour l évaluation du niveau de maturité des pratiques sécuritaires. L outil intègre les concepts de meilleures pratiques et le niveau de maturité. 3. Adapter le cadre de l ISO/IEC 27001 aux organisations virtuelles. Nous avons adapté le modèle PDCA aux processus de SGSI dans un environnement distribué. Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 7

L outil d évaluation du «niveau de maturité» L outil est sous la forme d un questionnaire basé sur les meilleures pratiques qui sont fournies par ISO/IEC 17799 que nous avons adapté aux OVs. L outil identifie 158 questions : - 6 thèmes de sécurité - 11 objectifs de sécurité - 29 contrôles de sécurité Chaque question permet d identifier, jusqu à quel point, un contrôle de sécurité est implémenté dans le SI de l organisation. L outil propose cinq niveaux de maturité : initial, minimal, acceptable, géré et optimal. Nous affectons un niveau de maturité à chaque question et cela selon la criticité et le problème de sécurité qu elle exprime. Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 8

Objectifs de l audit et choix des questions Chaque question cherche à déterminer ou identifier la présence (ou non) d une pratique sécuritaire dans le SGSI d une organisation. Les recommandations de l ISO/IEC 17799 permettent d établir un canevas pour constituer l audit. Le contenu des questions permet de corréler les pratiques sécuritaires avec un niveau de maturité. Les questions ne sont pas liées à des technologies spécifiques : elles sont bien ciblées pour qu elles prennent en considération les contraintes de sécurité des différentes organisations et leurs caractéristiques distinctives. Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 9

Niveau de maturité - répondre aux questions - 1) L administrateur d une organisation répond aux questions par 1 «pratique implémentée», 0 «pratique non implémentée» ou bien 0.5 «pratique partiellement implémentée». Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 10

Niveau de maturité par contrôle de sécurité 2) Dans une première étape, l outil calcule le niveau de maturité par contrôle de sécurité. chapter section subsection objective level (1 to 5) equivalent objective level (1 to 15) eval 5 1 1 3 6 6 5 1 2 3 6 6 6 1 1 3 6 3 6 1 2 3 6 3 6 1 3 3 6 3 6 1 5 3 6 3 6 1 8 3 6 3 6 2 1 3 6 3 6 2 3 3 6 3 10 6 1 3 6 6 10 6 2 3 6 6 10 8 2 3 6 6 10 10 1 3 6 6 10 10 4 3 6 6 10 10 5 3 6 6 11 1 1 3 6 7,89 11 2 1 3 6 6 11 2 2 3 6 6 11 4 1 3 6 6 11 4 2 3 6 7,14 11 4 5 3 6 6 12 3 1 3 6 3 12 3 2 3 6 3 15 1 1 3 6 3 15 1 4 3 6 3 15 1 6 3 6 3 Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 11

Niveau de maturité par thème de sécurité 3) Dans une deuxième étape, l outil calcule le niveau de maturité par thème de sécurité. Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 12

Niveau de maturité - évaluation graphique - 4) Finalement, l outil calcule la valeur moyenne de maturité des pratiques sécuritaires implémentées dans le SI de l organisation et le compare à une valeur «objectif» identifié par les partenaires. Le résultat est affiché sur un graphique Kiviat. Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 13

Conclusion La sécurisation et le déploiement de réseaux incluant dynamiquement des organisations collaborant dans un but commun et formant une Organisation Virtuelle nécessitent que ces organisations ouvrent leurs Systèmes d Information aux autres. Ouvrir son SI aux autres et leur déléguer la tâche d authentifier et d accréditer leurs propres utilisateurs voulant accéder aux ressources partagées nécessitent l établissement de la chaîne de confiance entre ces organisations. Nous ne fournissons pas une nouvelle technologie ni une solution technique: notre approche et notre outil d évaluation de maturité des pratiques sécuritaires offrent aux organisations le moyen de quantifier la confiance et établir la chaîne de confiance entre elles. Notre outil est un système d aide à la décision permettant aux organisations de choisir la meilleur solution pour interconnecter leurs SI et former l OV. Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 14

Merci Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 15

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back