Mise en oeuvre d'un système de management de la sécurité de l'information

Mise en oeuvre d'un système de management de la sécurité de l'information 25 & 26 février 2015 Remerciements : certaines images peuvent être issues de OpenClipart gallery http://www.openclipart.org/wiki/openoffice Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 1

Qu'est que la sécurité de l'information et quel lien avec une organisation? A quel secteur public ou privé s'adresse un système de management de la sécurité de l'information? Comment mettre en oeuvre un SMSI? Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 2

Présentation du formateur Laurent OHEIX (Animateur) Consultant-formateur-manager de projet depuis 1994 Entrepreneur, repreneur, manager Expert intelligence économique & management Synertal intége la SSI comme levier de performance durable de l'entreprise (dynamique de management intégré) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 3

Implémentation d'un SMSI Module 1 - Fondamentaux pratiques Module 2 - Management de la sécurité de l'information & SMSI Module 3 - Les normes iso 27001 & co (évolution v2013) Module 4 - Mise en oeuvre d'un SMSI Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 4

MODULE 1 Fondamentaux pratiques de la sécurité de l'information Information et sécurité de l'information Définition de sécurité de l'info Notions et principes essentiels de sécurité Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 5

L'information est partout Qu'est-ce qu'une information? Définition : une indication, un renseignement, un événement, un fait, un jugement, une nouvelle communiquée, un élément de connaissance, (d'après Larousse) L'information prend différentes formes : numérique (fichier, base de données) savoir document (écrit) mot (oral) L'information se dématérialise de plus en plus L'information est partout (et plus elle se dématérialise et plus elle se répand) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 6

L'information est partout L'organisation et ses échanges d'information Etat Administrations Externe Semi-interne Concurrent Fournisseurs produit Banques Salarié Interne Equipe IT Prestataires Manager Interim Clients Partenaire Fournisseurs externes Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 7

A quoi bon sécuriser l'information? Information = pétrole du XXIe siècle La détenir Force = Information utile à l'entreprise pour se développer (pouvoir, anticipation, ) Force = Influence (information à communiquer sur l entreprise) Risque = Information sensible (vol, IE, piratage...) La sécuriser Indispensable (survie) Maturité Risque (tuer la perfo, nuire au développement, alourdir le fonctionnement) démarche de sécurité de l'information intégrée Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 8

La sécurité de l'information Plusieurs notions, plusieurs aspects, plusieurs enjeux!!! IE (intelligence économique) : donner la bonne information, à la bonne personne, au bon moment pour lui permettre de prendre la bonne décision IAM (identity & access management) : donner les bons accès, à la bonne personne, au bon moment pour lui permettre d'exercer ses fonctions L'environnement numérique a évolué : - on trouve maintenant de l'info stratégique partout. - 100 fois plus de composants à protéger qu'il y a 10 ans. - 2 giga de données : de 5 500 disquettes à une clé USB Confiance numérique = sécurité de l'information + qualité des données Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 9

La sécurité de l'information ubiquité, inter-connectivité globale : adressage IP globale instantanéité : latence < une seconde quantité 10n bits stockés ou échangés, n > 20 coût de copie parfaite quasi nul "asymétries" de moyens, de compétences, d'opportunités : "géants" mondiaux avides de données, fracture "numérique", "effet de réseau", "transactionalisation" de la vie privée accroissement de la part des investissements dans les TIC / autres secteurs Ce que change la "convergence numérique" Source article "Risques et sécurité de augmentation de la complexité des systèmes, nécessité de compétences sans cesse plus pointues ; disponibilité de moyens autrefois réservés aux seuls espions l'information" AFNOR - Bivi - Sept 2014 production à une échelle sans précédent de traces numériques (big data) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 10

La sécurité de l'information Quelques faits majeurs (1/2) 2007, l'estonie, a été la cible d'attaques simultanées en dénis de services distribués (DDOS), provenant de plusieurs dizaines de pays, et qui ont abouti à la paralysie totale des services en ligne de cet état. 2008, Conficker (malware de type ver), infecte plusieurs million d'ordinateurs (sous Windows), et aurait perturber le fonctionnement des SI de plusieurs ministères de la défense 2010, Stuxnet (ver) se serait attaqué aux systèmes de type "SCADA" du programme nucléaire Iranien, provoquant la défaillance des centrifugeuses En fin d année 2010, Wikileaks dévoilait des milliers de documents confidentiels du Département d'etat US 2010, attaque de Google en Chine (Opération Aurora), provoquant son retrait partiel Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 11

La sécurité de l'information Quelques faits majeurs (2/2) 2011, en France, organisatrice du G20, le Ministère de l'économie et des Finances et des sociétés grandes envergures, subissent une attaque de type "APT" (Advanced Persistent Threats) qui provoque la fuite d'informations ciblées et sensibles 2012, vol de données bancaire en Suisse 2012, intrusion par "Social Engineering" dans le SI de L'Elysée 2013, LE grand scandale sur la nature des programmes de la NSA sur les écoutes ("affaire Snowden", PRISM...) 2014, failles majeures détectées dans OpenSSL "HeartBleed" (sécurité du chiffrement sur internet, https / VPN, transaction e- commerce...) 2014, le Ministère de la Défense s interroge sur la sécurité des serveurs LEVONO (chinois, anciennement IBM), "backdoors" dans le matériel? Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 12

La sécurité de l'information Se protéger. Oui. Mais faire simple et réaliste La sécurité maximale serait invivable il faudrait théoriquement : mettre les infos confidentielles uniquement sur des PC non connectés, tout stocké chaque jour dans une armoire forte. Avoir un mot de passe par dossier, avoir des mots de passe robustes et changés toutes les semaines,... La protection absolue n'existe pas car elle nous empêcherait de travailler au quotidien Faire simple et pragmatique Classifier les personnes et les données. S'assurer de l'identité de nos interlocuteurs et leur légitimité à recevoir l'information. Définir le process de diffusion, accès et protection de l'information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 13

Qu est-ce que la sécurité de l'information? ISO 27002 (17799) / ISO 27001 Protection de la confidentialité, de l intégrité et de la disponibilité de l information; en outre, d autres propriétés, telles que l authenticité, l imputabilité, la nonrépudiation et la fiabilité peuvent également être concernées. Au delà des aspects confidentialité / intégrité / disponibilité : notion de preuve, de "prouvabilité", d'auditabilité, de traçabilité Les informations et les traitements qui leur sont appliqués doivent pourvoir être tracés afin De déterminer les causes en cas d'incident De pouvoir attribuer sans ambiguïté une action à une ressource (personne ou système) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 14

La sécurité de l'information Définition de la sécurité de l'information Objectif : Protéger l'information sensible sous tous ses aspects (l'information en soi et les process / systèmes qui les traitent) Confidentialité - Intégrité - Disponibilité Logique calquée sur le management de la qualité, basée sur la gestion du risque Toutes les informations / systèmes n'ont pas la même valeur Risque = probabilité et impact de l'exercice d'une menace sur une vulnérabilité d'un bien (information ou système ayant une valeur pour l'entreprise) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 15

Mise en activité Définition et termes de sécurité SI Objectif : comprendre les termes de sécurité des SI et leur application dans le contexte de votre société 1) Lier les termes suivants (schéma global) : biens - vulnérabilités - risques - risques résiduels - menaces - mesures de protection 2) Plus précisément, lier les termes suivants (placer Risque au centre du schéma) : menaces - vulnérabilités - Bien - Valeur du bien - impact sur l'organisation - exigences de sécurité - contrôles - menaces - Risques Partage et échanges en groupes (10 mn) en commun (20 mn) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 16

Quelques définitions Actif / Bien (asset) Tout ce qui a de la valeur pour l'entreprise Ordinateurs, machines, locaux, informations / données, logiciels, personnel, image / notoriété Menace (threat) Cause potentiel d'un incident de sécurité pouvant entraîner des dommages à un bien et, par la même, à l'entité dont dépend la ressource Vulnérabilité (vulnerability) Une faiblesse d'un bien ou d'un ensemble de biens pouvant être exploitées par une ou plusieurs menaces Disponibilité (availability) Propriété d être accessible et utilisable à la demande par une entité autorisée. Risque (risk) La possibilité qu'une menace donnée exploite les vulnérabilités d'un bien ou d'un ensemble de biens et cause ainsi des dommages à l'organisation Mesure de protection (safeguard / control) Une pratique, une procédure ou un mécanisme permettant de traiter un risque Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 17

CONFIDENTIALITE C'est la propriété qui assure qu'une information ne peut être lue que par des entités habilitées (selon des contraintes précises) : Un mot de passe ne doit jamais pouvoir être lu par un autre que son possesseur Un dossier médical ne doit pouvoir être consulté que par les malades et le personnel médical habilité Le but de la confidentialité est de s assurer que des informations transmises ou stockées ne sont accessibles qu aux personnes autorisées à en prendre connaissance. Cet objectif de sécurité est classiquement assuré par le chiffrement mais peut bien entendu également l être par tout autre moyen approprié, à commencer par des mesures organisationnelles non cryptographiques. Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 18

DISPONIBILITÉ C'est la propriété d être accessible et utilisable à la demande par une entité autorisée : une information n'a de valeur que si elle est accessible et utilisable pour la bonne personne au bon moment (si possible sans trop d'effort, et avec une bonne réactivité) le défaut de disponibilité à un impact fort sur la productivité inclus donc la disponibilité de son "support" (quand numérique, le Système d'information) se mesure généralement par un indicateur de "qualité de service" (SLA, ratio de type 99,9...% du temps de disponibilité contractuel) plus on l'augmente plus c'est coûteux (redondance) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 19

INTEGRITE C'est la propriété qui assure qu'une information n'est modifiée que par des entités habilitées (selon des contraintes précises) : Une modification intempestive (même très temporaire) est à interdire sur une écriture comptable validée Les codes binaires des programmes ne doivent pas pouvoir être altéré Les messages de l ingénieur système doivent pouvoir être lus et non modifiés Assurer l intégrité de données consiste à empêcher, ou tout du moins à détecter, toute altération non autorisée de données. Par altération on entend toute modification, suppression partielle ou insertion d information. L intégrité des données est classiquement assurée en cryptographie par des codes d authentification de message ou des mécanismes de signature numérique. Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 20

AUTHENTICITÉ, AUTHENTIFICATION Authenticité : "Propriété selon laquelle une entité est ce qu'elle revendique être" (ISO27000-2.8) Authentification : "moyen pour une entité d'assurer la légitimité d'une caractéristique revendiquée" L'authenticité assurée par l'authentification protège de l'usurpation d'identité. EXEMPLE Signature (au sens classique) = Authentification La première idée contenue dans la notion habituelle de signature est que le signataire est le seul à pouvoir réaliser le graphisme (caractérisation psychomotrice) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 21

NON REPUDIATION C'est la propriété qui assure que l'auteur d'un acte ne peut ensuite nier l'avoir effectué. Signature (au sens habituel) = Authentification+Non répudiation : La seconde idée contenue dans la notion habituelle de signature est que le signataire s'engage à honorer sa signature: Deux aspects spécifiques de la non répudiation dans les transactions électroniques: a) La preuve d'origine Un message (une transaction) ne peut être nié par son émetteur. b) La preuve de réception Un récepteur ne peut ultérieurement nier avoir reçu un ordre s'il ne lui a pas plu de l'exécuter alors qu'il le devait juridiquement. Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 22

Relation entre les éléments (global) Risques résiduels Bien (actifs) Criticité du bien Mesures de protection Risques (niveau de risque) Menaces Vulnérabilités l'essentiel = connaître les menaces (causes potentielles d'incident) et les vulnérabilités (faiblesse d'un bien pouvant être exploité par une menace) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 23

Relation entre les éléments (détail) Contrôles ayant Protège contre Mesures induit Menace Exigences de Sécurité Objectifs de sécurité Indique Réduit Augmente Indique Exploite Risque Vulnérabilité Augmente Diminue Impact sur l Organisation Expose Bien Valeur de bien A Possède Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 24

RISQUES Principaux risques à prendre en compte dans un système de traitement de l'information : modification, altération ou destruction Vol, compromission Interruption de service, mise hors d'état de l'information sous toute ses formes (humain, locaux, matériel, logiciel, donnée, document,...) Ces risques incitent à la PROTECTION des informations, des services de communication et de traitement de données, ainsi que des équipements en cause et leur lieu. Source de risque Danger Facteur de risque Risque Conséquence Impact Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 25

ACTIFS /BIENS (identification) Sont à identifier et à estimer (valeur ie criticité) sur la base de critères déterminés comme par exemple : La violation de la réglementation et de la législation, Manque à gagner pour l entreprise, perte financière..., Impact sur la notoriété, Interruption de l activité de l entreprise, Brèches aux promesses de confidentialité avec les parties prenantes (clients, fournisseurs, partenaires,...), Endommagement de l infrastructure, Etc. Identification des actifs = Processus permanent et itératif Valorisation des actifs selon critères (par nature d'impact direct ou indirect i.e perte de, atteinte à, crise...) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 26

ACTIFS / BIENS (exemples de nature ) Savoir-faire métier (technique, organisationnel, ) Savoir-faire documenté (processus, brevet, procédures,...) Capital immatériel (image, base client...) Documentation contractuelle/ juridique/ Informations financières Informations commerciales, contacts / carnet d'adresses Informations techniques du système d'information Innovation (technique, organisationnelle,...) Archives et sauvegardes Moyens humains Moyens d'accès numériques des utilisateurs/ d'accès physiques Infrastructures (locaux, Matériels/ Machines / outils de production/...) Logiciels applicatifs/... Moyens de développement ou test (machines/ outils/ logiciels ) Moyens de connexion (réseaux/ ) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 27

MENACES A)ccidentelle, D)élibérée ou E)nvironnementale D'origine interne ou externe On distingue généralement : Menace passive : elles ne modifient pas le contenu de l'information et portent essentiellement sur la confidentialité (branchement sur une ligne de transmission, capture de signaux hertziens...). Menace active : elles modifient le contenu de l'information ou le comportement des systèmes de traitement (brouillage des communications, modification des données transmises ou résidentes, pénétration du système, destruction physique ou logique). Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 28

Menaces les plus courantes (selon iso27005:2011) «Type» au sens impacts (conséquences) prêter une attention particulière aux sources de menace humaines ( suivants) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 29

Typologie des acteurs de la malveillance Personnel de l entreprise Personnel des prestataires Concurrence Pirate Crime organisé, Mafia, petite délinquance Services de renseignement des entreprises Services de renseignement des états etc. Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 30

VULNERABILITES Les vulnérabilités peuvent concerner plusieurs domaines de l organisation : Locaux et infrastructure (protection des immeubles et bureaux, alimentation électrique, zone inondable, etc.) Équipement matériel (sensibilité aux radiations, à l humidité, aux fluctuations de température, à la poussière, etc.) Programmes et logiciels (pannes, interfaces, mécanismes d habilitation, d authentification et d identification, téléchargement, contrôle des mots de passe, etc.) Télécommunication (lignes et câblage réseau, reconnaissance des interlocuteurs, tenue de charge du trafic, accès TCP/IP, etc.) Documentation (archivage, mise à disposition et copie, etc.) Personnel (prise de conscience, les invités externes, etc.) 4 natures de vulnérabilités : techniques, organisationnelles, humaines, extérieures (image) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 31

Vulnérabilité des Systèmes d Information (1/2) Techniques (matériel, logiciel, réseaux...) Faiblesses de conception (architectures, équipements, logiciels, etc.) Programmes peu robustes Organisationnelles (site, organisation,...) Architectures permissives Emploi de versions non corrigées des erreurs Administration non sécurisée de l exploitation Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 32

Vulnérabilité des Systèmes d Information (2/2) Humaines Méconnaissance de la menace Insouciance des utilisateurs et/ou de la Direction Connexions internet sans sécurité suffisante Extérieures Image et notoriété Diffamation, dénigrement, décrédibilisation Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 33

Mise en activité Performance? Sécurité? Maturité? Objectif : comprendre en quoi la sécurité est un gage de performance de l'entreprise et ses clients 1 brainstorming sur les notions de performance, efficience, efficacité de l'entreprise 2 identifier comment se situe la sécurité de l'information par rapport à ces notions (la sécurité de l'information, tueuse de performance & d'efficience de l'entreprise?) Echanges & partage groupes (10 mn) En commun (20 mn) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 34

A quoi bon sécuriser l'information? Performance? Sécurité? Maturité? Source : Intégrer le système de management, Fig. 7.1 sécurité Pertinence MOYENS OBJECTIFS EFFICIENCE Performance Efficacité RÉSULTATS La sécurité de l'information, tueuse de performance et d'efficience de l'entreprise? Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 35

MODULE 2 Management de la sécurité de l'information & SMSI Management de la SSI Système de management de la SSI Maîtrise des risques SMSI Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 36

Management de la Sécurité de l Information Management de la sécurité de l'information Définition Activités coordonnées permettant d'orienter et de contrôler un organisme en matière de sécurité de l'information Basé sur la maîtrise du risque Toutes les informations et tous les systèmes qui les traitent n'ont pas la même valeur, ne sont pas soumis aux mêmes menaces et non pas les mêmes vulnérabilités Processus continu afin de prendre en compte et de traiter les évolutions de l'environnement interne et externe Management = Gestion (au sens aussi stratégique et pas que gestionnaire/ suivi) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 37

Management de la Sécurité de l'information Approche proactive du management de la qualité Adopter une démarche de management de la qualité permettant de répondre de manière optimale aux exigences des clients Par opposition à Approche passive : Fournir des produits et/ou des services sans processus qualité et attendre les plaintes (et la perte) de clients pour prendre des mesures correctives au coup par coup Management pro-actif de la sécurité de l'information Adopter une démarche de management de la sécurité de l'information afin d'assurer le bon niveau de sécurité, au bon moment, sur les bonnes informations et au bon coût Par opposition à Approche passive : Ne rien faire (ou se contenter de mettre un anti-virus par ci et un pare-feu par là), croiser les doigts et espérer qu'il n'y aura pas de problèmes qui impacteraient vos activités et vos affaires Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 38

SMSI : approche systémique processus Quelle politique sécurité de l'info? Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 39

SMSI : Le PDCA (plan do check - act) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 40

Comment piloter l'entreprise vers la performance? Source : L'entrepreneur durable, Fig. 7.6 Intégrer le système de management, fig. 4.4 Iso 27013 (intégré SMS/SMSI)... mais pas que... Iso 27001, 27002 (BP), 27003 (mise en oeuvre), 27000 (voca), 27009/11/15/17/19 (sectoriel)... mais pas que 9001, 14001, 20000-1... 27014 Gouvernance... mais pas que... 27005 Risques... mais pas que... 31000 Normes chiffrement, signature numérique, authentification, hachage, non-répudiation, gestion des clés... mais pas que... 27004 Mesurage / 27006 Audit certif 27007 Audit SM... mais pas que... 17021/ 19011 Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 41

SMSI et informations documentées (celles qui sont jugées nécessaires par l'organisme) Stratégie/ Objectifs / Engagements Politique(s) métier (développement, ventes, RH, ) Domaine d'application Objectifs métiers - Exigences légales / réglementaires En gras = information documentées exigées par 27001:2013 Politique SSI et principes de SSI Système(s) d Information (architectures logiques et techniques) Analyse des risques sécurité Objectifs de SSI ( continuité d'activité, protection des informations personnelles, ) Déclaration d'applicabilité Schéma directeur sécurité Plan de traitement des risques) Politiques spécifiques (règles, contrôle accès, fournisseurs...) Mise en œuvre opérationnelle (processus) Ressources (compétences,... Preuves (respect des processus, résultats surveillance, MeO pgme d'audit, conclusion revue, NC/AC) Spécifications techniques, Contrats de services, Contrats de fourniture,procédures d'exploitation (matériels / logiciels) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 42

SMSI et approche Environnement externe (lois, décrets, normes, référentiels, ) Environnement de l organisme (systèmes d information et de communication, locaux, moyens humains, ) Analyse du positionnement (audit interne d identification des écarts avec l ISO27001) Analyse des risques (identification des besoins de sécurité, analyse des actifs, menaces et vulnérabilités) Déclaration d Applicabilité «DdA» (Objectifs et mesures cibles cf. ISO 27002) SSI de de l organisme (politiques, procédures, organisation, systèmes, ) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 43

SMSI, Clés du succès : croiser 2 approches + intégrer Direction Approche bottom-up Biens, risques, menaces, vulnérabilités, mesures, contrôles,. Intégrer SM entreprise (y/c SSI) Opérationnel Politique, objectifs, planification, R&A,. Approche top down Iso 27001... mais pas que (9001, 14001, 20000-1, 18001, 22000, 50001,...) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 44

Risques : Niveau de risque & action de réduction Valeur de l'actif/ Criticité du bien (fort, moyen, faible) Menace / vulnérabilité Risques Mesure de protection, Moyen de Sauvegarde / Secours, de Reprise/ Restauration / Niveau de risque (fort, moyen, faible) Niveau de risque résiduel (fort, moyen, faible) Si élevé, Action -d'évitement -de réduction -de partage ou transfert -d'élimination -d'acceptation Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 45

Risque : Focus (selon ISO27001:2013) L'évolution des définitions du risque Effet de l'incertitude sur l'atteinte des objectifs (31K) => écart + ou - (risques et opportunités) exprimé en termes de combinaison des conséquences d un événement de sécurité de l information et de sa vraisemblance (27K5) = niveau de risque : Gravite x Occurrence /Protection existante associé à la possibilité que des menaces exploitent les vulnérabilités d une ressource et portent préjudice = utile pour son identification Risques residuels Vulnérabilités Menaces ACTIF Mesures de protection Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 46

Zoom risque : Processus maîtrise du risque (1/5) (selon ISO27001:2013) Maîtrise= analyse (1) + gestion (2) 6.1.2 Appréciation des risques de sécurité de l information 6.1.3 Traitement des risques de sécurité de l information 8.2 Appréciation des risques de sécurité de l information 8.3 Traitement des risques de sécurité de l information 9.3 Revue de direction Exigences de la norme sur la maîtrise du risque Cadre général. PAS l'imposition d'une méthode ou d'un vocabulaire (1) (2) Sources du risque Processus d'appréciation Risques évalués Processus de traitement Décisions Actions (1) Processus de revue Processus de surveillance (2) (1) couramment appelé analyse du risque (charge importante, au lancement) (2) couramment appelé gestion du risque (actualisation, récurrent) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 47

Mise en activité Management de la sécurité S'approprier le management de la sécurité 1. Quelle serait la documentation à écrire? 2. que contiendrait la Déclaration d'applicabilité (grandes lignes)? 3. Que contiendrait la politique sécurité? 4. A part les points 1 et 2, que serait-il important de faire? En commun (40 mn) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 48

L'ISO 27001 / 27002 Sécurité de l'information et management de la sécurité de l'information? Quelles notions essentielles de sécurité? Quels liens avec les autres normes? Que contient l'iso 27001? 2700x Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 49

Iso 9001, 20000-1, 27001, 27002 Rebondir d'un système à l'autre (1/3) Les normes systèmes s'alignent toutes sur la HLS en 10 chapitres. Iso 27001 a été la première a s'aligner! Suivies de iso 9001 et iso 14001. ISO 9001 traite de la réalisation du produit ou du service (v2008 7 & v2015 8) ISO 20000-1 traite de la gestion de la sécurité de l information ( v2011 6.6) ISO 27001 traite de la nécessité de produire une déclaration d'applicabilité (v2007 4.2.1 & v2013 6.1.3) ISO 27001 traite des objectifs et mesures de sécurité (v2007 an. A & v2013 an. A) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 50

Iso 9001, 20000-1, 27001, 27002 Rebondir d'un système à l'autre (2/3) ISO 9001:2015 ISO 20000-1:2011 ISO 27001:2013 art. 4 art. 5 art. 6 art. 7 art. 8 chap. 6.1 chap 6.2 chap 6.3 chap 6.4 chap 6.5 chap 6.6 chap 7 chap 8 chap 9 Chap. 6.3.1 et annexe A art. 9 art. 10 Les chapitres 6 à 9 détaillent l'article 8 de l'iso 9001 Mêmes exigences appliquée aux 3 politiques qualité, gestion services & SSI Chapitre 6.3.1 et annexe A associée détaillent l'article 6.6 de l'iso 20000-1 4 à 10 de 27001:2013 & 9001:2015 équivalent (domaine d'application différents & 9001 plus détaillé) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 51

Iso 9001, 20000-1, 27001, 27002 Rebondir d'un système à l'autre (3/3) ISO 27001:2013 ISO 27002:2013 ISO 17799:2005 Chap 0 à 3 intro Chap 4 Contexte Chap 5 à 10 PDCA SMSI Annexe A Ax.y.z Contient : - objectifs - mesures EXIGENCES Chap. 1 Domaine d'application Chap. 2 références Chap. 3 Termes et définitions Chap. 4 Structure Chap. x.y.z Structure identique à 27002:2005 (différente de 27002:2013) mais même fond Contient : - objectifs - mesures - Préconisations de mise en oeuvre - Informations supplémentaires BONNES PRATIQUES Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 52

L'ISO 27001 Historique Norme d'origine britannique (BS7799 part 2) Complémentaire à la part 1 pour permettre la certification d un SMSI Publiée 10/2005 Contenu Plan similaire à ISO9001...ISO14001 Exigences pour la mise en œuvre d un SMSI Intègre les objectifs et les mesures de sécurité de l ISO17799 dans lesquels il faut «choisir» (obligation) en fonction de l analyse de risques (possibilité de choisir, en plus, dans d autres référentiels) Des exigences systémiques & des exigences techniques Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 53

L'ISO 27001:2013 Evolution Publiée en 10/2013 Alignement HLS ("Hight Level Structure") en 10 chap. Alignement ISO 31000 (risque) Cadre général, termes et définitions ISO 27000 Evolution de l'annexe A - ISO 27002 Contenu Exigences pour établissement (Plan), mise en œuvre (Do), mise à jour (Check), amélioration (Act) d un SMSI Globalement très similaire : changement ordre et niveau des articles, alignement vocabulaire, peu de changement d'exigences, clarification des mesures Notion de propriétaire "du risque", d'actif (asset / bien) Exigences systémique 4 à 10 & exigences techniques regroupées dans annexe A Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 54

L ISO 27001 : Quels engagements? Norme ISO 27001 version 2013 : 7 articles de management (+ 3 «introductifs») 70 Objectifs de Sécurité (Annexe A) 114 Mesures de Sécurité (Annexe A) Exigences et attentes en Sécurité des parties prenantes 4 Salariés, dirigeants Contexte de l organisation : Enjeux, besoins/ attentes, domaine d'application, SMSI 5 6 Leadership : Engagement Politique Responsabilité Planification : Risques < & > Objectifs & Planif 7 Support : Ressources, Compétences, Sensibilisation, Communication, Infos documentées Exigences satisfaites Salariés, dirigeants Partenaires Fournisseurs Clients 10 Amélioration : Actions correctives, Amélioration continue A Objectifs de Sécurité Mesures de Sécurité 8 Fonctionnement : Maîtrise Processus Appréciation & Traitement des risques Partenaires Fournisseurs Clients Autres parties intéressées 9 Evaluation des performances : Surveillance, Audit, Revue Autres parties intéressées Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 55

Mise en activité Comprendre la portée de la norme iso 27001 Objectif : S'approprier les exigences iso 27001 dans son ensemble VRAI OU FAUX. D après ISO 27001, 1 - la sécurité de l information est définie principalement par : la confidentialité, l intégrité, la disponibilité 2 Les contrôles et les guides de la norme considérés comme bonnes pratiques sont un strict minimum 4 la Direction doit avoir un Forum de la sécurité 5 - il est obligé d avoir des propriétaires des biens liés à la SI 7 pour démontrer la complétude de l évaluation des risques, il faut commencer d abord par :Inventorier les actifs/ biens 8 le concept de périmètre de sécurité est cité dans le domaine Sécurité du personnel 9 les procédures de gestion des incidents de sécurité sont recommandées principalement dans La gestion des incidents 10 le thème de protection de la propriété intellectuelle est abordé dans Les domaines organisationnels Individuel (10 mn) En commun (20 mn) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 56

Annexe A v2013: objectifs & mesures de sécurité (global 1/3) A.5 à A.18 en phase avec 5 à 18 de ISO 27002:2013 Applicable dans le cadre du 6.1.3 de ISO 27001:2013 (cohérence avec l'analyse de risque et en lien direct avec la déclaration d'applicabilité) Principaux changement v2005 vs v2013 : fait référence à ISO 27002 (en lieu et place de ISO 17799) est découpé en 14 domaines (contre 11) comprend 113 mesures (contre 133) globalement même objectifs-mesures restructurés Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 57

Annexe A v2013: objectifs & mesures de sécurité (global 2/3) Libellé 27001:2013 27001:2005 Politique de sécurité A.5 A.5 Organisation de la sécurité de l information A.6 A.6 + A11.7 Sécurité des ressources humaines A.7 A.8 Gestion des actifs A.8 A.7 Contrôle d accès A.9 A.11 Cryptographie A.10 A.12.3 Sécurité physique et environnementale A.11 A.9 Sécurité liée à l exploitation A.12 A.10 Sécurité des communications A.13 A.10.6 + A.11.4+ A.10.8 Acquisition, développement et maintenance des systèmes d information A.14 A.12 Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 58

Annexe A v2013: objectifs & mesures de sécurité (global 2/3) Libellé 27001:2013 27001:2005 Relations avec les fournisseurs A.15 A.10.2 + A.6.2 Gestion des incidents liés à la sécurité de l information Aspects de la sécurité de l information dans la gestion de la continuité de l activité A.16 A.17 A.13 A.14 Conformité A.18 A.15 Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 59

Annexe A v2013: objectifs et mesures de sécurité (en détail) A.5 Politiques de sécurité A.5.1 Orientations de la direction en matière de sécurité de l'information A.5.1.1 Politiques de sécurité de l'information A.5.1.2 Revue des politiques de sécurité de l information A.6 Organisation de la sécurité de l'information A.6.1 Organisation interne A.6.1.1 Fonctions et responsabilités liées à la sécurité de l'information A.6.1.1 Fonctions et responsabilités liées à la sécurité de l'information A.6.1.2 Relations avec les autorités A.6.1.3 Relations avec des groupes de travail spécialisés A.6.1.4 La sécurité de l'information dans la gestion de projet A.6.1.5 Séparation des tâches A.6.2 Appareils mobiles et télétravail A.6.2.1 Politique en matière d'appareils mobiles A.6.2.2 Télétravail Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 60

Annexe A v2013: objectifs et mesures de sécurité (en détail) A.7 Sécurité des ressources humaines A.7.1 Avant l'embauche A.7.1.1 Sélection des candidats A.7.1.2 Termes et conditions d embauche A.7.2 Pendant la durée du contrat A.7.2.1 Responsabilités de la direction A.7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l information A.7.2.3 Processus disciplinaire A.7.3 Rupture, terme ou modification du contrat de travail A.7.3.1 Achèvement ou modification des responsabilités associées au contrat de travail Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 61

Annexe A v2013: objectifs et mesures de sécurité (en détail) A.8 Gestion des actifs A.8.1 Responsabilités relatives aux actifs A.8.1.1 Inventaire des actifs A.8.1.2 Propriété des actifs A.8.1.3 Utilisation correcte des actifs A.8.2 Classification de l'information A.8.2.1 Classification des informations A.8.2.2 Marquage des informations A.8.2.3 Manipulation des actifs A.8.2.4 Restitution des actifs A.8.3 Manipulation des supports A.8.3.1 Gestion des supports amovibles A.8.3.2 Mise au rebut des supports A.8.3.3 Transfert physique des supports A.10 Cryptographie A.10.1 Mesures cryptographiques A.10.1.1 Politique d utilisation des mesures cryptographiques A.10.1.2 Gestion des clés Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 62

Annexe A v2013: objectifs et mesures de sécurité (en détail) A.9 Contrôle d'accès A.9.1 Exigences métier en matière de contrôle d'accès A.9.1.1 Politique de contrôle d accès A.9.1.2 Politique relative à l'utilisation de services en réseau A.9.2 Gestion de l accès utilisateur A.9.2.1 Enregistrement et désinscription des utilisateurs A.9.2.2 Gestion des privilèges A.9.2.3 Gestion des informations secrètes d'authentification des utilisateurs A.9.2.4 Revue des droits d accès utilisateurs A.9.2.5 Suppression ou adaptation des droits d'accès A.9.3 Responsabilités des utilisateurs A.9.3.1 Utilisation d'informations secrètes d'authentification A.9.4 Contrôle de l'accès au système et à l information A.9.4.1 Restriction d accès à l information A.9.4.2 Sécuriser les procédures de connexion A.9.4.3 Système de gestion des mots de passe A.9.4.4 Utilisation de programmes utilitaires à privilèges A.9.4.5 Contrôle d accès au code source du programme Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 63

Annexe A v2013: objectifs et mesures de sécurité (en détail) A.11 Sécurité physique et environnementale A.11.1 Zones sécurisées A.11.1.1 Périmètre de sécurité physique A.11.1.2 Contrôles physiques des accès A.11.1.3 Sécurisation des bureaux, des salles et des équipements A.11.1.4 Protection contre les menaces extérieures et environnementales A.11.1.5 Travail dans les zones sécurisées A.11.1.6 Zones de livraison et de chargement A.11.2 Matériels A.11.2.1 Emplacement et protection du matériel A.11.2.2 Services généraux A.11.2.3 Sécurité du câblage A.11.2.4 Maintenance du matériel A.11.2.5 Sortie des actifs A.11.2.6 Sécurité du matériel et des actifs hors des locaux A.11.2.7 Mise au rebut ou recyclage sécurisé(e) du matériel A.11.2.8 Matériel utilisateur laissé sans surveillance A.11.2.9 Politique du bureau propre et de l écran vide Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 64

Annexe A v2013: objectifs et mesures de sécurité (en détail) A.12 Sécurité liée à l'exploitation A.12.1 Procédures et responsabilités liées à l exploitation A.12.1.1 Procédures d exploitation documentées A.12.1.2 Gestion des changements A.12.1.3 Dimensionnement A.12.1.4 Séparation des environnements de développement, de test et d'exploitation A.12.2 Protection contre les logiciels malveillants A.12.2.1 Mesures contre les logiciels malveillants A.12.3 Sauvegarde A.12.3.1 Sauvegarde des informations A.12.4 Journalisation et surveillance A.12.4.1 Journalisation des événements A.12.4.2 Protection de l information journalisée A.12.4.3 Journaux administrateur et opérateur A.12.4.4 Synchronisation des horloges Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 65

Annexe A v2013: objectifs et mesures de sécurité (en détail) A.12 Sécurité liée à l'exploitation A.12.5 Maîtrise des logiciels en exploitation A.12.5.1 Installation de logiciels sur des systèmes en exploitation A.12.6 Gestion des vulnérabilités techniques A.12.6.1 Gestion des vulnérabilités techniques A.12.6.2 Restrictions liées à l'installation de logiciels A.12.7 Considérations sur l audit des systèmes d information A.12.7.1 Mesures relatives à l audit des systèmes d information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 66

Annexe A v2013: objectifs et mesures de sécurité (en détail) A.13 Sécurité des communications A.13.1 Gestion de la sécurité des réseaux A.13.1.1 Contrôle des réseaux A.13.1.2 Sécurité des services de réseau A.13.1.3 Cloisonnement des réseaux A.13.2 Transfert de l'information A.13.2.1 Politiques et procédures de transfert de l'information A.13.2.2 Accords en matière de transfert d'information A.13.2.3 Messagerie électronique A.13.2.4 Engagements de confidentialité ou de non-divulgation Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 67

Annexe A v2013: objectifs et mesures de sécurité (en détail) A.14 Acquisition, développement et maintenance des systèmes d information A.14.1 Exigences de sécurité applicables aux systèmes d information A.14.1.1 Analyse et spécification des exigences de sécurité A.14.1.2 Sécurisation des services d'application sur les réseaux publics A.14.1.3 Protection des transactions liées aux services d'application A.14.2 Sécurité des processus de développement et d assistance technique A.14.2.1 Politique de développement sécurisé A.14.2.2 Procédures de contrôle des changements A.14.2.3 Revue technique des applications après changement apporté à la plateforme d exploitation A.14.2.4 Restrictions relatives aux changements apportés aux progiciels A.14.2.5 Procédures de développement des systèmes A.14.2.6 Environnement de développement sécurisé A.14.2.7 Développement externalisé A.14.2.8 Phase de test de la sécurité du système A.14.2.9 Test de conformité du système A.14.3 Données de test A.14.3.1 Protection des données de test Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 68

Annexe A v2013: objectifs et mesures de sécurité (en détail) A.15 Relations avec les fournisseurs A.15.1 Sécurité dans les relations avec les fournisseurs A.15.1.1 Politique de sécurité de l'information dans les relations avec les fournisseurs A.15.1.2 La sécurité dans les accords conclus avec les fournisseurs A.15.1.3 chaîne d'approvisionnement informatique A.15.2 Gestion de la prestation du service A.15.2.1 Surveillance et revue des services des fournisseurs A.15.2.2 Gestion des changements apportés dans les services des fournisseurs Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 69

Annexe A v2013: objectifs et mesures de sécurité (en détail) A.16 Gestion des incidents liés à la sécurité de l information A.16.1 Gestion des incidents liés à la sécurité de l information et améliorations A.16.1.1 Responsabilités et procédures A.16.1.2 Signalement des événements liés à la sécurité de l information A.16.1.3 Signalement des failles liées à la sécurité de l information A.16.1.4 Appréciation des événements liés à la sécurité de l'information et prise de décision A.16.1.5 Réponse aux incidents liés à la sécurité de l information A.16.1.6 Tirer des enseignements des incidents liés à la sécurité de l information A.16.1.7 Recueil de preuves Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 70

Annexe A v2013: objectifs et mesures de sécurité (en détail) A.17 Aspects de la sécurité de l information dans la gestion de la continuité de l activité A.17.1 Continuité de la sécurité de l'information A.17.1.1 Organisation de la continuité de la sécurité de l'information A.17.1.2 Mise en œuvre de la continuité de la sécurité de l'information A.17.1.3 Vérifier, revoir et évaluer la continuité de la sécurité de l'information A.17.2 Redondances A.17.2.1 Disponibilité des moyens de traitement de l information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 71

Annexe A v2013: objectifs et mesures de sécurité (en détail) A.18 Conformité A.18.1 Revue de la sécurité de l information A.18.1.1 Revue indépendante de la sécurité de l information A.18.1.2 Conformité avec les politiques et les normes de sécurité A.18.1.3 Examen de la conformité technique A.18.2 Conformité aux obligations légales et réglementaires A.18.2.1 Identification de la législation et des exigences contractuelles applicables A.18.2.2 Droits de propriété intellectuelle (DPI) A.18.2.3 Protection de l information documentée A.18.2.4 Protection de la vie privée et protection des données à caractère personnel A.18.2.5 Réglementation relative aux mesures cryptographiques Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 72

Mise en activité Mettre en œuvre une déclaration d'applicabilité Identifier parmi les thématiques de l'annexe A de la norme (Objectifs et mesures de sécurité), celles qui s'appliquent dans votre contexte opérationnel. Faites le liens avec les risques (issus de votre analyse de risque ou pré-sentis) Vérifier la cohérence d'ensemble Individuel (45 min) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 73

Module 4 Mise en oeuvre d'un SMSI Etat des lieux préalable Process de mise en oeuvre Cerner le capital humain Cohérence, système Coûts SMSI Clés du succès Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 74

Mise en oeuvre : Etat des lieux préalable (par rapport aux acteurs) Clients payeurs Équipe SI, resp sécurité Services Support (achats, RH,...) Clients utilisateurs Fournisseurs du système d'information Fournisseurs de l'entreprise définir, financer, évaluer préparer, animer, réaliser, contrôler aider, contribuer définir, utiliser, réceptionner, évaluer contribuer à la sécurité de l'information, à la maîtrise du système fournir des biens & services Trouver le maillon faible Sécurité de l'information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 75

Mise en oeuvre : Etat des lieux préalable (par rapport aux briques techniques) Infrastructure physique matériel Infrastructure d'application Application Utilisateur réseaux Système d'exploitation Serveurs Applications Gestion données Poste de travail Matériel Données technique Données opérationnelles Trouver le maillon faible Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 76

Mise en oeuvre : La question des besoins Système de management de la Sécurité des SI Produit/ services conforme aux exigences contexte pratiques. Techniques réglementaires, internes, contractuelles,... contraintes, coûts, moyens,... Orientations de la direction Risques Besoin et contraintes des opérationnels,. Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 77

Mise en oeuvre : un niveau homogène La sécurité est un tout Niveau de sécurité Domaines sécurité Quelle approche des 2 adopter à votre avis? A partir de quoi déterminer le bon niveau? Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 78

Mise en œuvre : partir de l'existant et améliorer 1 Valoriser l'existant sécurité Identifier, structurer et valoriser tout ce qui existe. Compléter les composantes essentielles qui n'existent pas analyse v/v systèmes de management existants analyse des risques et opportunités analyse v/v 113 mesures ISO 27001 (Ann A) 2 Renforcer les mesures de protection - prévention, pour diminuer le risque Recenser l'existant (capital humain, contrôle, procédures,...) Vérifier que suffisant (cotation & recalcul du niveau de risque résiduel + analyse indicateurs maturité/ perfo/...) Compléter selon besoin 3 Surveiller : les moyens de surveillance Identifier l'existant (TdB, audit, contrôles, revues...) S'assurer de la cohérence Optimiser selon besoin 4 Améliorer l'édifice entrepreneurial (y/c Sécurité de l'information) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 79

Process de mise en oeuvre Implémentation de la SSI Politiques de sécurité Organisation Procédures 2 Mise en 4 conformité 1 1 2 3 4 3 Continuité (PCA,PRA) Évaluation et Contrôle Formation et Charte d utilisation Analyse des Risques adapté de la méthodologie topdown adapté de la méthodologie bottomup Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 80

Process de mise en oeuvre Les thèmes traités (les maillons faibles les plus courants) Contraintes, exigences stratégie,... 1. Etat des lieux Groupe de travail n 1 Cartographie des biens et des risques 2. Définition politique Exemple en conclusion 3. Mise en oeuvre 4. Amélioration continue Groupe de travail n 2 Se protéger contre les erreurs humaines Groupe de travail n 3 Pilotage de la sécurité de l'information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 81

Process de mise en oeuvre Gestion de la SSI Évaluer des risques par domaines (couple information/systèmes) Suivi de l efficacité Référentiel Sécurité Objectifs & Planifier Former & mettre en oeuvre adapté de la méthodologie PDCA (Plan-Do-Check-Act) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 82

Process de mise en place Mise en oeuvre de la sécurité des SI Phase 1 Analyse qualitative et quantitative du risque EXEMPLE risque actuel et potentiel sur actifs et ressources humaines révision des procédures examen des interactions avec tierces parties Phase 2 Analyse des écarts lister les écarts avec standards identifier efforts et coûts pour combler les écarts Fixer les priorités pour réduction des écarts Phase 3 Phase 4 Phase 5 Politiques Remédiation (mesures) Contrôle Faire ou refaire Politiques (PGSI / PSI) Établir les responsabilités Facteur humain Système information Facteur humain Système information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 83

Process de mise en place Politique de sécurité (exemple) Patients Stratégie de l'entreprise Médecins Société de traitement d'informations médicales Devenir leader de la production d'informations fiables à forte valeur ajoutée Professionnels de santé Politique de sécurité Communiquer, rassurer, donner confiance Garantir la protection des données clientes Assurer la traçabilité des données (sourcetraitement-résultat) Rendre le système de gestion de la sécurité facilement auditable orientations vis-à-vis des différents axes de mise en oeuvre Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 84

Cerner le capital humain & mesures de protection Identifier le capital humain (acteurs) INTERNE EXTERNE P l an Responsabiliser - définir les responsabilités des acteurs liées à la sécurité (RACI) Documenter - identifier les documents existants ou nécessaires - affecter les thèmes de sensibilisation aux différents documents d' ac t I on s Sensibilisation Formation - Information Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 85

Capital humain & mesures de protection La vulnérabilité Humaine Etat Administrations Fournisseurs Banques Salariés Partenaires Concurrents Stagiaires/intérimaires Manager Equipes IT Prestataires Clients Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 86

Capital humain & mesures de protection Identification du maillon faible de l entreprise L HOMME Détenteur informations et de compétences Diffuseur d informations Acteur interne ou externe de l entreprise Existe t-il des mesures de protections? Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 87

Capital humain & mesures de protection Les mesures de protection Identification des utilisateurs Les protections dans le cadre des relations collectives/individuelles Les clauses de protection du savoir faire Les clauses relatives aux TIC La charte informatique La formation/sensibilisation (sommaire) Identification des protagonistes (RACI) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 88

Capital humain & mesures de protection Les mesures de protection Identification des utilisateurs (CNIL) Authentifier chaque utilisateur Règle de gestion des mots de passe Gestion des habilitations de chaque utilisateur L utilisateur ne doit avoir accès qu à l information nécessaire pour sa mission Etablir une charte Recours à la sous traitance Etablir une clause de confidentialité Typologie des acteurs : Pirate informatique, Escroc informatique, Terroriste, Espion industriel (Renseignement, entreprises, gouvernements étrangers, intérêts d'autres gouvernements), Initiés (employés peu qualifiés, mécontents, malveillants,négligents,malhonnêtes ou ex-employés), Parties prenantes (fournisseurs, partenaires,...) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 89

Capital humain & mesures de protection Les mesures de protection Les protections Cadre de relations collectives (externes/internes) Règlement intérieur (obligatoire +20 salariés) Chartes informatiques Guide de bonne conduite Cadre de relations individuelles (internes) Contrat de travail Ordre de mission Convention de stage Mise à disposition du personnel Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 90

Capital humain & mesures de protection Les mesures de protection Les clauses de protection du savoir faire Les clauses de confidentialité/secret Les clauses de propriété industrielle Les clauses de non concurrence Zone géographique Période Activités interdites Contre partie financière (obligatoire, représente 33% salaire, à verser sur une période jurisprudence) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 91

Capital humain & mesures de protection Les mesures de protection Les clauses relatives aux TIC Protection des données informatiques Utilisation messagerie Utilisation internet/réseaux sociaux/télechargement Données stockées sur DD, média amovibles Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 92

Capital humain & mesures de protection Les mesures de protection : charte Comment réaliser une charte informatique 1/2 A chaque entreprise sa charte : Analyser les besoins des collaborateurs en termes de ressources informatiques. (Equipements personnels, gestion des accès à distance, outils collaboratifs) Respecter le principe de la liberté d expression (respecter sphère prof non prof.) Respecter l intimité de la vie privée Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 93

Capital humain & mesures de protection Les mesures de protection : charte Comment réaliser une charte informatique 2/2 Contenu de la charte Les équipements autorisés (prof. perso) Les logiciels autorisés Les règles de communications Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 94

Capital humain & mesures de protection Les mesures de protection : charte Pourquoi réaliser une charte informatique Document opposable (Cour cassation 15/12/2010) Charte annexée au règlement intérieur et déposée à l inspection du travail Applicable à tous les intervenants (salariés,stagiaires,consultants) Affichée dans l entreprise Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 95

Capital humain & mesures de protection Les mesures de protection Mieux que des clauses : Formation/Sensibilisation Responsabiliser, sensibiliser et former les salariés à la sécurité de l information Communiquer sur les incidents afin d augmenter la vigilance. Motiver et intéresser les salariés aux enjeux de l entreprise. Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 96

Capital humain & mesures de protection Identification des protagonistes Qui est Responsable a Autorité (décideur) Contrôle (habituellement Contribue) est Informé Identifié via les cartographies (de flux, de processus) Identifié via les descriptions de fonction Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 97

Capital humain & mesures de protection : Maîtrise et Contrôle? Implication positive ou sous contrainte des acteurs? Affecter les responsabilités & autorités Gestion des accès : implémenter les politiques pour s assurer que tous les personnels ont un accès approprié aux informations protégées Formation : Chaque personne ayant accès à l information protégée doit être formée (formation continue) sur les politiques et procédures. Contrôle d'application : implémenter les procédures pour contrôler que le personnel applique les politiques Sanction : dans le cadre de la charte de bonne utilisation annexée au règlement intérieur, prévoir les sanctions appropriées en cas de non respect. Responsabiliser = Eduquer + Contrôler (et sanction proportionnée) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 98

Mise en oeuvre de la sécurité de l'information : coûts induits Et combien ça coûte de FAIRE? le plus important = volonté de l'organisation Ça dépend (nature de l'organisation, domaine d'activité, taille, niveau de maturité au niveau systémique et au niveau sécurité, risques) coût de mise en place + coût d'exploitation/ maintenance plusieurs postes de coût : coût des outils très variable coût de l'équipe SSI (charge de travail) coût induit impactant le travail de l'organisation (le plus important) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 99

Mise en oeuvre de la sécurité de l'information : coûts induits Et combien ça coûte de NE PAS faire? Trois catégories de coûts directs : Coûts d immobilisation (ralentissement de l activité, paralysie de l entreprise) Coûts du temps passé (analyse, réparation, restauration, resaisie des données,...) Coûts techniques (remplacement d un disque dur, réinstallation d un programme,...) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 100

Mise en oeuvre de la sécurité de l'information : retour d'expérience La protection des actifs et maîtrise des risques Contexte : TPE de prestations intellectuelles (cabinet comptable, conseil,...) sur secteur multi-concurrentiel et soumis à contraintes (client, législation, télétravail, concurrence, ) fortement numérisée Solution : Cartographie et réduction des risques (1 à 4) Gravité X Occurrence (probabilité, fréquence) (1 à 4) (1 à 4) Conditions de maîtrise opérationnelle = (0,25 à 16) NIVEAU DE RISQUE Action si > à 4 Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 101

Mise en oeuvre de la sécurité de l'information : retour d'expérience Les responsabilités lors de la perte de données (sauvegarde défaillante) Contexte : Prestataire lié à un client par contrat de facilities management Erreurs sur les sauvegardes journalières non traitées par le client Erreur du prestataire lors des tests (restauration d'une ancienne sauvegarde) 1 mois de données de production perdues et non récupérables (15 j de re-saisie) Solution : Responsabilités de chacun bien définies dans le contrat Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 102

Mise en oeuvre de la sécurité de l'information : retour d'expérience Le partage & la maîtrise des données en agence Contexte : Agence immobilière 6 postes de travail, application de gestion de copropriétés Accès aux données non maîtrisées, sauvegardes anarchiques, connexion internet sur un seul poste, crashs de PC fréquents Solution : Centralisation des données sur serveur et sauvegarde automatique (messagerie, données, fichiers, disponibilité du système, connexion internet, antivirus, ) Connexion des postes de travail au serveur par réseau local (WiFi & filaire) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 103

Mise en oeuvre de la sécurité de l'information : retour d'expérience Système intégré de maîtrise de l'information en TPE Contexte : Systèmes hétérogènes (plusieurs PC non connectés, échanges de fichiers par clé ou messagerie), licences payantes, connexion internet non protégée, lenteur croissante des postes, pas de mot de passe,... Solution : Mise en place d'un système d'information intégré à base de logiciels libres incluant serveur de messagerie, routeur internet, serveur de fichiers, filtrage internet/ coupe-feu, serveur d'application métier, sauvegarde automatique, serveur web,... Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 104

QUESTIONS-REPONSES Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 105

Mise en oeuvre de la sécurité de l'information Points importants à retenir (conclusion) La sécurité doit être adaptée aux moyens La sécurité doit être adaptée aux risques La sécurité doit être adaptée au comportement du personnel La sécurité doit minimiser l'impact sur la productivité Le point sensible de la sécurité reste l'humain La sécurité c'est l'affaire de tous, tout le temps (sans fin) Le risque 0 n'existe pas (connaître et maîtriser ses risques) la sécurité est une affaire de moyens. Un SMSI certifié ne signifie pas un système inviolable La sécurité n'empêche pas les intrusions (elle les retarde) Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 106

Merci de votre préparation de votre attention de votre participation Vous avez aimez : - encouragez-nous! - témoignez! Tous nos ouvrages sur www.talentrepreneur.fr Pour tout complément : laurent.oheix@synertal.fr 06 84 79 33 26 www.synertal.com Référence Mise en oeuvre d'un SMSI 25/02/15 Synertal version 26/12/14 (LO)- page 107