Qu est-ce qu un projet en sécurité informatique? 1. Introduction 13 2. Les différentes populations d'une Directiondes Systèmes d'information 14 3. Le chef de projet en sécurité informatique 16 4. La compétence chef de projet 19 4.1. La gestion des risques 19 4.2. L organisation de l information 20 4.2.1 La prise de notes 21 4.2.2 L accès constant aux informations 23 4.2.3 La gestion et le suivi des tâches 26 4.3. Dernière compétence clef 33 5. La compétence responsable système d information 35 5.1. La connaissance du parc informatique 35 5.2. La connaissance des applicatifs 36 6. La compétence responsable de la sécuritédes systèmes d information 37 6.1. La sensibilisation 38 6.2. Les quatre composants principaux du métier de RSSIet les compétences clefs associées 40 6.2.1 La sécurité organisationnelle 40 6.2.2 La sécurité pédagogique 41 6.2.3 La sécurité juridique 42 6.2.4 La sécurité technique 44 7. Résumons 45 1/9
Qu'est-ce qu'un système d'information? 1. Généralités 47 1.1. D'où vient cette expression et quelle est son importance? 47 2. Où croise-t-on le "système d information"? 50 2.1. Le SI dans les moyennes entreprises et plus 50 2.2. Le système d information sur le marché de l emploi 52 2.3. Le système d information dans les livres 55 3. Les acteurs du système d information 56 3.1. La Direction des SI et le management au sens large 57 3.2. Support opérationnel 58 3.3. Les centres d'appel 59 4. Les composantes "métier" du système d information 60 4.1. Définition 60 4.2. Exemples de composantes 61 4.2.1 GRH 61 4.2.2 GRC ou CRM 61 4.2.3 SCM 61 5. Point d étape intermédiaire 62 5.1. Compréhension du positionnement d un chef de projet sécurité dans l'entreprise 62 5.2. Le numérique arrive au foyer, incompréhensions 63 5.3. L'affaire de tous 65 6. Informatique, vue spécifique 65 6.1. Naissance de l'informatique d'entreprise 65 6.2. Développement informatique de l'entreprise 66 6.3. Intégration dans l'entreprise 69 7. La montée croissante dans l'entreprise 70 7.1. Multiplication des couches 70 2/9
7.2. Organisation des couches 71 7.3. Management des couches 72 7.4. Conclusion : la partie émergée de l'iceberg 75 8. Système d'information, vue globale 76 8.1. Le système nerveux central de l'entreprise 76 8.2. Nécessité de pilotage 77 8.2.1 Gestion d'un portefeuille de projets 77 8.2.2 Anticipation et Direction 78 8.2.3 Susciter la collaboration entre les acteurs du SI 80 8.3. Particularité de la sécurité du SI 81 8.3.1 Pourquoi une singularité? 81 8.3.2 Positionnement spécifique 83 8.4. Conclusion : niveaux de maturité 84 8.4.1 Type 1, résoudre le problème informatique 85 8.4.2 Type 2, optimiser les investissements informatiques 86 8.4.3 Type 3, transformer les entreprises à l aidedu système d information 87 9. Conclusion 88 9.1. Définition d'aujourd'hui 88 9.2. Et déjà demain 89 Qu'est-ce que la sécurité? 1. De la sécurité d'hier... 91 2....à la sécurité d'aujourd'hui 92 3. Les enjeux de la sécurité 92 4. La sécurité de l'information 94 5. La trousse à outils sécurité pour les collaborateurs 95 3/9
5.1. La gestion des mots de passe 96 5.2. Les mises à jour des logiciels 99 5.3. La sauvegarde automatique et la restaurationen toute autonomie 101 6. Le domaine d'application de la SSI 101 6.1. La communication dans l entreprise 104 6.1.1 La Direction Générale 105 6.1.2 Le middle management 106 6.1.3 Les équipes opérationnelles 107 6.1.4 Synthèse de la communication dans l entreprise 108 6.2. Synthèse du domaine d application de la SSI 109 7. Les normes 110 7.1. Définition 110 7.2. Les normes certifiantes en sécurité informatique 110 7.2.1 ISO 27001 112 7.2.2 ISO 27002 112 7.2.3 Le fonctionnement d'une certification ISO 27001 113 7.2.4 SAS 70 114 7.3. Les certifications personnelles 115 8. Les outils méthodologiques 116 8.1. EBIOS 116 8.2. MEHARI 116 8.3. Les logiciels d aide à la mise en place des méthodologies sécurité 116 9. La conformité réglementaire 117 10. La politique sécurité 118 11. La charte informatique 120 12. Les règles, les guides et les procédures 122 12.1. Les règles 123 4/9
12.2. Les guides 123 12.3. Les procédures 125 12.4. Les règles groupes 125 12.4.1 L objectif 125 12.4.2 La politique 125 12.4.3 Les responsabilités 126 12.5. Les systèmes d exploitation 127 12.5.1 UNIX 127 12.5.2 Windows postes de travail XP/Vista/7 128 12.5.3 Windows Server 2003 133 12.5.4 Les bonnes pratiques usuelles 135 12.6. Les procédures fonctionnelles 137 12.6.1 La sécurité des ordinateurs portables 138 12.6.2 Les communications électroniques 139 13. Conclusion 142 Pré-requis : un peu d organisation numérique 1. Introduction 143 2. La nomenclature des documents 144 2.1. Types de documents 144 2.2. La gestion des versions 145 2.3. Le référencement des documents 145 2.4. La page de garde 146 3. La gestion du partage et de la sauvegarde des documents 148 3.1. Les Google Docs 149 3.1.1 Google Documents 150 3.1.2 Google Sites 154 3.2. Dropbox 158 3.2.1 La synchronisation des fichiers 160 3.2.2 L accès aux fichiers dans toutes les conditions 161 5/9
3.2.3 Un endroit unique de stockageet de partage des fichiers 163 3.2.4 Une sauvegarde automatique des fichiers 165 3.3. Microsoft SkyDrive 166 4. Synthèse 172 Introduction à la gestion de projet 1. Introduction 173 2. Contexte 174 3. Qu est-ce qu un projet? 175 3.1. Les objectifs réels d un projet 177 3.2. Le niveau de détail du découpage des tâches d un projet 178 3.3. Les quatre composantes d un projet 178 3.4. Le ou les objectifs du projet 179 3.5. Le budget 179 3.6. La durée 180 3.7. Le périmètre 180 3.8. Les acteurs du projet 180 3.8.1 Le maître d ouvrage (MOA) 181 3.8.2 Le sponsor 181 3.8.3 L équipe projet 181 3.8.4 Le maître d œuvre (M.O.E.) ou chef de projet 182 3.8.5 Synthèse des liens entre les différents acteursd un projet 184 3.9. Les composantes du projet 185 3.10. Le cycle de vie du projet 189 3.11. Vue globale d un projet 191 4. Document préalable : la lettre de mission 193 4.1. Le nom de code du projet 193 4.2. Contenu de la lettre de mission 194 6/9
5. Étape 1 : la préparation de projet 196 5.1. Le cahier des charges 196 5.2. Le plan de maîtrise du projet 201 5.2.1 Contenu d un plan de maîtrise du projet 202 5.2.2 Le PMP c est bien mais... 208 5.3. Le document de cartographie des risques 208 5.3.1 Rappel de ce qu est un risque 209 5.3.2 Création de la liste des risques 209 5.3.3 Classement et organisation des risques 210 5.3.4 Gestion des risques identifiés 212 5.3.5 Communication par les risques 214 5.4. Le planning prévisionnel 214 5.5. Préparation de la logistique et installation de l équipe 215 5.6. Synthèse des livrables et de l étape 216 5.7. Jalon de l étape : "Réunion de lancement" ou "Kick off" 216 6. Étape 2 : élaboration de la solution 217 6.1. La conception générale et détaillée 218 6.2. Les actions en parallèle 218 6.2.1 Le plan de démarrage de secours 219 6.2.2 Le plan de conduite du changement 219 6.2.3 Initialisation des scénarios de test 219 6.3. Jalon de l étape "Revue de fin de conception" 220 6.4. Synthèse des livrables et de l étape 220 6.5. Jalon : la "validation" 221 7. Étape 3 : déploiement de la solution 221 7.1. La réalisation 221 7.2. Les tests unitaires 222 7.3. Approvisionnement 222 7.4. Rédaction des scénarios de test 222 7.4.1 Les scénarios de test 222 7.4.2 La fiche de test 223 7.5. La formation 223 7/9
7.5.1 Le plan de formation 224 7.5.2 La fiche d évaluation du transfert des compétences 224 7.6. Transfert des compétences 225 7.6.1 Le plan de transfert des compétences 225 7.6.2 La fiche d évaluation du transfert des compétences 226 7.7. Les tests d intégration 226 7.8. Les tests de non-régression 226 7.9. Synthèse des livrables et de l étape 227 7.10. Jalon : la "revue de fin de construction" 227 8. Étape 4 : validation pré-opérationnelle 228 8.1. La recette pré-opérationnelle 228 8.2. Le plan de formation 229 8.3. Le plan de démarrage de secours 229 8.4. Synthèse des livrables de l étape 229 8.5. Jalon : "Go / No Go" 230 9. Étape 5 : démarrage opérationnel et stabilisation 230 9.1. Mise en exploitation 231 9.2. Mise à jour de la documentation 231 9.3. La stabilisation 231 9.4. Synthèse des livrables 232 9.5. Jalon "Passage en maintenance" 233 10. Étape 6 : clôture du projet et passage en MCO 233 10.1. La revue de fin de projet 233 10.2. Clôture et passage en Maintenance en ConditionsOpérationnelles ou MCO 234 10.2.1 Synthèse des livrables 234 10.2.2 JALON 6 : Clôture 235 11. Conclusion 235 Les spécificités de projets sécurité 8/9
1. Introduction 237 2. Quelques exemples de projets sécurité et leurs spécificités 238 2.1. Déploiement antivirus 238 2.2. Sauvegardes et restaurations 241 2.3. Cryptage des postes de travail 251 2.4. Procédures d'entrée, mutation et sortie des collaborateurs 253 2.5. La revue des habilitations d accès sur les postes de travail 256 2.6. La mise en place d une charte informatique 259 2.7. Le Plan de Reprise d Activité 262 2.8. La révision du système de fichiers 266 2.8.1 Mise œuvre de l arborescence 268 2.8.2 Vue technique simplifiée 270 2.8.3 Permissions de partage 272 2.8.4 Création des groupes locaux 272 2.8.5 Création des Groupes Globaux 273 2.8.6 Légitimer une demande d accès utilisateur 275 2.8.7 Risques identifiés 275 3. Des difficultés propres à chaque secteur d'activité 277 3.1. L exemple du secteur de l'édition logicielle 277 3.2. L exemple du secteur industriel 279 4. Conclusion 284 Conclusion 285 Index 287 9/9