Gestion de l intégration de la SSI dans les projets (GISSIP)

Documents pareils
GESTION DE PROJET. - Tél : N enregistrement formation :

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Lancement du projet TOP (Tracabilité et Optimisation des Process)

Information Technology Services - Learning & Certification.

Prestations d audit et de conseil 2015

dans un contexte d infogérance J-François MAHE Gie GIPS

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Créer un tableau de bord SSI

Génie Logiciel LA QUALITE 1/5 LA QUALITE 3/5 LA QUALITE 2/5 LA QUALITE 4/5 LA QUALITE 5/5

Circuit du médicament informatisé

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

curité des TI : Comment accroître votre niveau de curité

CERT! OSIRIS! Présentation du CERT OSIRIS!! Guilhem Borghesi, Magali Daujat, Marc Herrmann!

L'AUDIT DES SYSTEMES D'INFORMATION

Références des missions en Gestion des Risques

Panorama général des normes et outils d audit. François VERGEZ AFAI

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Messagerie collaborative et unifiée de l Inra

Planifier et suivre un projet 03 jours 18,19 et 20 Mai 2014 S entraîner à la gestion de projet à travers une étude de cas

Programme d appui à la prévention et la prise en charge de la malnutrition aigüe sévère au Mali

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Vers l amélioration continue

PROJET DE REFERENTIEL D ACTIVITES ET DE COMPETENCES CADRE DIRIGEANT D ENTREPRISE AGRICOLE FRUITS ET LEGUMES

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Système d Information du CNRST - SIC -

Politique de Sécurité des Systèmes d Information

Le plan d action marketing et commercial : De la réflexion marketing à l action commerciale

exigences des standards ISO 9001: 2008 OHSAS 18001:2007 et sa mise en place dans une entreprise de la catégorie des petites et moyennes entreprises.

Alignement stratégique du SI et gestion de portefeuille de projets

Systèmes et réseaux d information et de communication

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

LA GESTION DE PROJET INFORMATIQUE

LA GESTION DE PROJET INFORMATIQUE

Gestion des Incidents SSI

REFERENTIEL Chef(fe) de Projets Marketing et Commercial Titre Bac+4 certifié Niveau II J.O du 09 Août code NSF 312

René Duringer.

LE KIT DU MANAGER DE PROJETS

L offre de services, reflet de la transformation de la DSI

Sécurité des Systèmes d Information

Le Pôle Numérique de la CCI de Bordeaux vous propose son programme d animations gratuites sur les usages du digital pour l entreprise.

Piloter le contrôle permanent

SYNERGIE Associés Confidentiel Reproduction interdite sans autorisation préalable Page 1 de 44

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Manuel Management Qualité ISO 9001 V2000. Réf Indice 13 Pages : 13

PORTNET Guichet Unique Marocain du Commerce Extérieur

L analyse de risques avec MEHARI

La construction du projet associatif. un outil d aide à la structuration

ITIL V3. Transition des services : Principes et politiques

La fonction achats fonction achats internes extérieur

APPEL A PROJETS SERVICE REGIONALE DE L APPRENTISSAGE

La clé de votre réussite, notre engagement!

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

URGENCE HUMANITAIRE LES 10 COMMANDEMENTS

Retail One Stop Shop. Conseil en S.I. Métier

Aide au recrutement, à l accueil et à l intégration des nouveaux entrants Professionnalisation et fidélisation d un salarié Tutorat

Le règlement REACH. Transparence des entreprises au sujet de leur mise en conformité

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

L innovation au cœur des processus et des systèmes

PROGICIELS DE GESTION INTÉGRÉS SOLUTIONS DE REPORTING

Technologie Web. Conception de sites Web. Alexandre Pauchet. INSA Rouen - Département ASI. INSA - ASI TechnoWeb : Rappels UML 1/21

Séminaires Paris le 14 et 15 mars 2007 Grenoble le 21 et 22 Mars 2007

Mise en conformité de vos régimes santé, et prévoyance, êtes-vous prêts!

GUIDE SUR L ASSISTANCE A LA MAÎTRISE D'OUVRAGE EN INFORMATIQUE

Auditabilité des SI et Sécurité

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Gestion de la continuité des activités. Mémento

Enjeux du déploiement d'un Progiciel de Gestion Intégré (PGI) en PME / PMI

Cahier des charges du secrétaire municipal et administrateur des finances municipales (les définitions personnelles se rapportent aux deux sexes)

La continuité des activités informatiques. Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008

IAFACTORY. sommaire MATERIALIZE YOUR NEXT SUCCESS. étude marketing, expérience utilisateur, ergonomie audit statistique des performances.

Rapport standard analyse des risques/stratégie d audit. Sommaire

Ressources humaines. Joëlle Imbert. Les tableaux de bord RH. Construire, mettre en œuvre et évaluer le système de pilotage

De l élaboration d une PSSI d unité de recherche à la PSSI d établissement

MINISTERE DE LA COMMUNAUTE FRANCAISE ADMINISTRATION GENERALE DE L ENSEIGNEMENT ET DE LA RECHERCHE SCIENTIFIQUE

Pilotage de la masse salariale Déploiement de l outil de budgétisation

UDSG CLASSIFICATION DOSSIER DOCUMENTAIRE

Sofiprotéol : la gestion de portefeuille de projets au carré

Application Portfolio Management (APM) : Redonner de la valeur à l entreprise

C N F - Tunis. Manuel du stagiaire. Intitulé de l'atelier : Animer la qualité au quotidien Dans un établissement universitaire juin 2015

ISO/CEI 27001:2005 ISMS -Information Security Management System

Software Application Portfolio Management

Exemple d implémentation d un. Projet SAP avec ASAP

Sommaire. Problématique client et gains attendus Réponse IBM à la problématique du client Démarche de mise en œuvre Les leçons du projet

LISTE VERTE : standards techniques

La rationalisation Moderniser l organisation pour dynamiser l entreprise

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015

proximite + qualite + competitivite

Schéma Directeur de la Sécurité du Système d Information

Mettre en oeuvre l authentification forte. Alain ROUX Consultant sécurité

solution technologique globale qui couvre en

CRM et GRC, la gestion de la relation client R A LLER PL US L OI

APPELS D OFFRE: COMMENT BIEN DÉFINIR VOS BESOINS EN AMONT

EVOLUTIONS RECENTES DU CONTRÔLE DE GESTION LOCAL. L exemple de Strasbourg

CLUB AM N 14. MIFID ET GESTION PRIVEE : 2ème partie

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER

PROGRAMME DE FORMATION

Charte du Comité Audit et Risque (CAR) du Conseil d administration de la Banque Cantonale Vaudoise (BCV)

ALDEA ET SYSTEMES D INFORMATION

Transcription:

Gestion de l intégration de la SSI dans les projets (GISSIP) Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction des opérations Bureau Conseil conseil.dcssi@sgdn.pm.gouv.fr

Gestion de l intégration de la SSI dans les projets (GISSIP) Plan de la présentation 1. Présentation du cycle de vie et des acteurs 2. Fondements de l intégration de la sécurité dans le cycle de vie des SI 3. Actions SSI à mener par étape du cycle de vie des SI Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 2

Présentation du cycle de vie et des acteurs Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 3

Un cycle de vie générique Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 4

Des rôles génériques Les utilisateurs à l origine des besoins La maîtrise d ouvrage responsable de la définition des besoins, de l identification des objectifs de sécurité et du pilotage du projet La maîtrise d œuvre responsable des propositions techniques, de la détermination des exigences de sécurité et de leur mise en œuvre L autorité d homologation valide le compromis entre la sécurité et les contraintes du projet sur la base du dossier de sécurité Le responsable SSI généralement chargé de la définition et de l application de la PSSI Les experts techniques soutien technique tout au long du projet Le comité de pilotage prend les décisions stratégiques sur le projet, arbitre La commission d homologation fournit à l autorité d homologation les éléments nécessaires à sa prise de décision Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 5

Fondements de l intégration de la sécurité dans le cycle de vie des SI Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 6

Le processus continu de gestion des risques SSI Appréciation du risque Analyse du risque : identifier besoins et menaces Évaluation du risque : apprécier son importance Traitement du risque Refus du risque : se retirer d une situation à risque Réduction du risque : minimiser le risque Transfert du risque : partager les pertes Prise de risque : dégager le risque résiduel Réitération du processus Acceptation du risque Homologation Communication relative au risque Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 7

Un niveau d intégration de la SSI qui varie selon les enjeux de sécurité L intégration de la SSI se fait en adéquation avec les enjeux de sécurité du système : une note d orientations SSI, validée par l autorité d homologation, définit la stratégie de sécurité à adopter. 5 niveaux de maturité SSI cumulatifs : 1. la mise en œuvre de la SSI est informelle (mise en œuvre de pratiques de base), 2. elle est planifiée et suivie (planification de la performance, performance disciplinée, vérification de la performance, suivi de la performance), 3. elle est définie (formalisée et d application généralisée, utilisation d'un processus défini, mise en œuvre du processus défini, coordination des pratiques), 4. elle est contrôlée qualitativement (établissement de buts mesurables, gestion objective de la performance), 5. elle permet une amélioration continue (amélioration de la capacité organisationnelle, amélioration de l'efficacité du processus). Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 8

Une condition à la mise en œuvre des SI : l homologation de sécurité L homologation de sécurité est la déclaration, par l autorité d homologation, conformément à la note d orientations SSI et au vu du dossier de sécurité, que le SI considéré est apte à traiter des informations au niveau de besoins de sécurité exprimé et que les risques résiduels sont acceptés et maîtrisés Le contenu du dossier de sécurité peut comporter les éléments suivants : une fiche d expression rationnelle des objectifs de sécurité (FEROS), une cible de sécurité, une politique de sécurité du système d information (PSSI), la documentation relative aux tests (recette, qualification ), la documentation relative aux évaluations de sécurité, les tableaux de bord SSI (TDBSSI). Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 9

Actions SSI à mener par étape du cycle de vie des SI Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 10

Étape 1 : l étude d opportunité Niveau de maturité SSI 1 Actions Livrables 2 3 Analyse des enjeux de sécurité Note d orientations SSI 4 5 Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 11

Étape 2 : l étude de faisabilité Niveau de maturité SSI 1 2 Actions Aucune Livrables Aucun 3 4 5 Étude du contexte Expression des besoins de sécurité Étude des menaces Note de stratégie de sécurité Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 12

Étape 3 : la conception générale Niveau de maturité SSI Actions Livrables 1 Aucune Aucun 2 3 4 5 Inventaire des meilleures pratiques SSI applicables Estimation de l impact de leur application Identification des objectifs de sécurité Liste des meilleures pratiques SSI applicables Première version de la FEROS Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 13

Étape 4 : la conception détaillée Niveau de maturité SSI Actions Livrables 1 Aucune Aucun 2 3 4 5 Revue des choix des meilleures pratiques SSI et négociation Réflexion sur la nature des niveaux de garantie Affinage de l étude de sécurité Formalisation des règles de sécurité Précision du traitement des risques SSI Idem que le niveau 3 Élaboration des TDBSSI Liste des meilleures pratiques SSI négociées FEROS PSSI Première version de la cible de sécurité FEROS PSSI Première version de la cible de sécurité Documentation d élaboration des TDBSSI Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 14

Niveau de maturité SSI 1 2 Étape 5 : la réalisation Actions Mise en œuvre des meilleures pratiques SSI Livrables Aucun 3 4 5 Affinage de la gestion des risques SSI Déclinaison des règles en documents d application Qualification à l aide du cahier de recette et tests Recette Audit SSI et évaluations Idem que le niveau 3 Alimentation des TDBSSI Cible de sécurité Documents d application PSSI Documentation relative aux tests Documentation relative aux évaluations Cible de sécurité Documents d application PSSI Documentation relative aux tests Documentation relative aux évaluations Première version de TDBSSI Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 15

Étape 6 : l exploitation Niveau de maturité SSI Actions Livrables 1 Homologation Aucun 2 3 4 5 Homologation Accompagnement Mise en œuvre des meilleures pratiques SSI Homologation Mise en œuvre des règles Tenue à jour de la gestion des risques SSI Idem que le niveau 3 Alimentation des TDBSSI Idem que le niveau 4 Révision des documents d application et TDBSSI Décision d homologation Décision d homologation Dossier de sécurité enrichi Décision d homologation Dossier de sécurité enrichi TDBSSI Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 16

CONCLUSION GISSIP permet une intégration de la SSI structurée, complète et adaptée aux enjeux de sécurité de chaque SI. La méthode aide à déterminer les actions SSI à entreprendre et les documents à produire tout au long du cycle de vie des SI, et ce, en fonction du niveau de maturité SSI adéquat. L approche est à considérer avec souplesse afin de l appliquer en cohérence avec les pratiques et outils de chaque organisme. Il convient de réévaluer régulièrement les enjeux de sécurité, et donc le niveau de maturité SSI adéquat pour vérifier que les actions entreprises apportent bien le niveau de confiance le plus approprié. AVEZ-VOUS DES QUESTIONS? Bureau Conseil de la DCSSI - 2006 - http://www.ssi.gouv.fr 17

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back