Journée Sécurité animée par le Clusis INFORUM 2005 26 octobre 2005 Cette présentation est disponible sur le site INFORUM.BIZ Les besoins de formation continue à la sécurité des systèmes d'information et retour d'expériences 26 octobre 2005 Prof. Jean-Paul De Blasis directeur du CSSI, HEC-Genève CSSI 1
Objectifs de cette session Introduction : le cadre dans lequel s'inscrit la Sécurité des Systèmes d'information (SSI) Les différentes fonctions liées à la sécurité Les besoins en formation continue des responsables de la sécurité des systèmes d'information (RSSI) Conclusion-débat CSSI 2
Le cadre de la SSI Sécurité de l'entreprise Sécurité de l'information Objectif de la SSI : Sécurité des Sécuriser le business systèmes d'information de l'entreprise et pas seulement son périmètre informatique! Sécurité informatique CSSI 3
Les différentes fonctions liées à la sécurité Comité sécurité Direction Générale indépendance de la sécurité de l information Responsables sécurité CSO - CISO Départements La sécurité de l'information est le fruit d'une étroite collaboration avec tous les secteurs métiers de l'organisation et s'appuie sur le comité de sécurité Moyens Généraux D.S.I.C. Département Systèmes d'information et Communication Gestion de l information Organisation Bureautique indépendance de la sécurité du SI Audit/ sécurité/rssi Service Informatique RSSI CSSI 4
Les intervenants suivants Présentation par des anciens diplômés du CSSI de l Université de Genève Les besoins en formation continue des responsables de la sécurité des systèmes d'information (RSSI) 1. les rôles du RSSI et leurs évolutions par Michel VAUCHER 2. les besoins de compétences et de formation continue par Søren POULSEN 3. exemple de formation en emploi : le C.S.S.I. de l'université de Genève par Jean-Marc GIAGNOLI CSSI 5
1 ère partie Les rôles du RSSI et leurs évolutions Michel Vaucher diplômé CSSI, HEC-Genève CSSI 6
Compétences : polyvalence ou délégation? Nul ne peut exceller dans tous les domaines et la sécurité ne peut être considérée comme une chaîne dont la fiabilité se mesure à la résistance de chacun des maillons CSSI 7
Compétences Compétences :: polyvalence polyvalence ou ou délégation délégation?? L'épaisseur d'un rempart compte moins que la volonté de le défendre Thucydide historien grec IVe avant J-C. Egypte, désert occidental Aïn Labakha C.Maury CSSI 8
Compétences : polyvalence ou délégation? CSSI 9
Connaissances ou maîtrise Le domaine d activité constitue un critère très important La maîtrise de ce domaine à protéger / surveiller est-elle encore possible? Connaissance des métiers du domaine : industrie, secteur médical, bancaire ou société de service. Maîtrise ou connaissance des différents domaines informatiques Réseaux, Bases de données, Internet Environnements (Windows, Unix, Open Source, MVS, etc.) La variété des métiers provoque une complexité grandissante. CSSI 10
Évolution personnelle Dépendance selon les connaissances/compétences initiales. La formation doit-elle permettre d être «pointu» dans un domaine ou d équilibrer les connaissances dans les divers domaines? Motivations et aptitudes à se former : Disponibilité Volonté de la personne Volonté de l entreprise et besoins Aptitude à l acquisition de nouvelles connaissances? CSSI 11
La fonction de RSSI Davantage une fonction de conseil que d exécutant. Organisation & coordination. Communication à tous niveaux. De plus en plus chef d orchestre qu exécutant ou soliste. Nécessite une connaissance des métiers de l entreprise. Requiert donc une personne expérimentée. CSSI 12
Les facteurs d évolution du poste Valeur des informations à protéger Évolution des menaces Évolution des normes et standards (ISO 17799) Audit Réseaux et Internet. Éléments juridiques LPD, Bâle II, SOX Veille technologique CSSI 13
Mini-cas : un exemple à ne pas suivre (1) Les Ressources Humaines souhaitent disposer d un logiciel permettant la gestion des cours proposés ainsi que la possibilité pour tout employé de s inscrire directement via une interface Web à l'une des formations du catalogue. Un projet est mis sur pied avec l aide de consultants externes sur une plateforme SAP. Toutes les différentes phases du projet se déroulent sans consultation de la sécurité informatique. CSSI 14
Mini-cas : un exemple à ne pas suivre (2) Au moment de la mise en production, les responsables du projet (déboutés de leur demande par les RH) viennent demander à la sécurité : d'enregistrer les 800 personnes de l entreprise. Tâche oubliée dans le projet et tentative de l imputer ailleurs.. de modifier les paramètres de sécurité pour un «login simplifié». Mais l instance SAP choisie supporte déjà des modules RH & Finances-Comptabilité et donc des données réputées sensibles..et l application n est compatible LDAP. CSSI 15
Mini-cas : un exemple à ne pas suivre (3) Les 800 personnes ont bien été enregistrées dans le logiciel mais grâce à la bonne volonté de plusieurs personnes totalement hors projet. Script généré sur la base d une liste fournie par le demandeur. Le reset de mots de passe occasionne une charge de travail supplémentaire qui a pu être minimisée par : L'utilisation de la fonctionnalité de génération de mot de passe intégrée à SAP L'envoi systématique du nouveau mot de passe à l utilisateur dans un message pré formaté. CSSI 16
Mini-cas : morale La sécurité informatique est là pour garantir un état de fait, une qualité de service et d usage. Elle doit être impliquée dès le début pour l intégration de ce projet dans la structure existante. La sécurité ne rime pas avec censure, mais avec Disponibilité Intégrité Confidentialité CSSI 17
2 e partie Besoins de compétences et de formation continue Søren Poulsen diplômé CSSI et MBA, HEC-Genève CSSI 18
Thèmes abordés Le savoir-faire Aspects organisationnels Les savoirs Aspects techniques Le savoir être et le savoir apprendre Aspects personnels Conclusion CSSI 19
Aspects organisationnels gestion des risques Analyse des risques Identification Évaluation Réponses et solutions Politiques de sécurité Maîtrise des risques Le RSSI et l élaboration des politiques Organisation du travail Réalisation Diffusion et formation CSSI 20
Aspects organisationnels audit L environnement Contraintes légales Sarbanes-Oxley, Bâle 2 Globalisation et conséquences Les référentiels et les organismes COBIT (ISACA) ISO/IEC 17799:2005 Autres standards: COSO, ITIL, HIPAA Les méthodes Approche Organisation Procédure CSSI 21
Aspects organisationnels projets et qualité L organisation et la gestion de projets Définitions, méthodes et concepts actuels «Plan-Do-Check-Act» Outils: tableaux de bord, cahiers des charges Organismes : ISO, PMI Qualité Les piliers : institution, produit, personnel Spécificités des secteurs économiques Référentiels actuels CSSI 22
Aspects organisationnels aspects juridiques Fondations Concepts juridiques de base Réflexions et approches juridiques Aspects relatifs à l informatique Protection des données: PFPD (LDP), CNIL Commerce électronique: contrats et ventes par Internet Aspects juridiques et la POSI CSSI 23
Aspects techniques - généralités Systèmes d information Le rôle de l information Systèmes d informatique et d information Architectures des systèmes Classiques Actuelles Historique et évolution Le futur (proche) CSSI 24
Aspects techniques architectures de sécurité Modèles de sécurité logique Modèles théoriques Applications Certifications de produits Contrôles des accès et des autorisations Infrastructures techniques Environnement Sécurité physique CSSI 25
Aspects techniques réseaux Systèmes et architectures Plateformes de programmation Systèmes distribués Logiciels courants Technologies Réseaux et protocoles (LAN et WAN) TCP/IP: Connaissances incontournables Technologies Internet CSSI 26
Aspects techniques sécurité réseaux Menaces Les acteurs Leurs objectifs Leurs méthodes Technologies et solutions Pare-feux Cryptage Infrastructure à clef publique Outils de sécurité Systèmes de détection d intrusion IDS Surveillance de vulnérabilités et «scanners» CSSI 27
Aspects personnels savoir être et savoir apprendre Travail en équipe Facilité de communiquer Facilité de présenter Aider à l évolution de l entreprise Défendre des idées Progression personnelle Orientation de carrière Certifications pertinentes Constitution d un réseau de professionnels Relations avec l industrie et l économie locale Relations avec l environnement universitaire CSSI 28
Conclusion la formation idéale Couverture des compétences Technologie Environnement complexe et en évolution permanente Organisation Compétences complémentaires à la formation de base Évolution personnelle On ne peut plus rester sur «les acquis» La formation idéale Générale mais aussi détaillée Actuelle mais aussi invariable Complète mais avec des sources et des ouvertures pour approfondir et pour se spécialiser CSSI 29
3 e partie Exemple de formation en emploi : le CSSI de l'université de Genève Jean-Marc GIAGNOLI avec le concours de Daniel NUÑEZ diplômés CSSI, HEC-Genève CSSI 30
CSSI - Certificat de Sécurité des Systèmes d'information CSSI - Qu'est-ce que c'est? CSSI = Certificat de Sécurité des Systèmes d'information ISSOC = Information Systems Security Officer Certification Certificat universitaire de formation continue accessible sans nécessairement posséder un titre universitaire Organisé par HEC/Université de Genève Dirigé par Jean-Paul De Blasis, Professeur HEC-Genève Enseignement dispensé par des universitaires et des professionnels CSSI 31
CSSI - Certificat de Sécurité des Systèmes d'information CSSI - Public concerné Responsables oeuvrant dans le domaine de la sécurité des S.I. avec au moins 10 ans d'expérience Responsables des S.I. Responsables sécurité des réseaux et systèmes Risk Managers et responsables des politiques de protection des ressources liées aux S.I. et de communication Chefs de projets d informatisation, e-commerce et e- business Consultants en informatique, en sécurité, en risk management Auditeurs informatiques Juristes d'entreprises chargés des questions de sécurité des S.I. CSSI 32
CSSI - Certificat de Sécurité des Systèmes d'information CSSI - Sélection des candidats Sélection sur dossier par un comité scientifique constitué de : 5 représentants du milieu académique 8 représentants des milieux économiques. CSSI 33
Statistiques CSSI sur les 5 dernières volées Répartition des participants CSSI en fonction de leur secteur d'activité d'origine (en%) Secteur bancaire Autres services 20% 10% 70% Industrie Age moyen : 37 ans Nb inscrits : moy. 33/volée Taux de réussite : 93 % Nb anciens diplômés : ~200 CSSI 34
CSSI - Certificat de Sécurité des Systèmes d'information CSSI - Durée de la formation Une année académique (de septembre à juin) Les mercredis de 17h à 21h Formation en emploi répartie en 6 modules de 28h soit 168h de cours Un module optionnel : mise à niveau sur la sécurité des réseaux informatiques et communications Internet + séances pratiques de laboratoire CSSI 35
CSSI - Certificat de Sécurité des Systèmes d'information CSSI - Méthode pédagogique Cours (interactivité, expériences vécues) Pour chaque module, travail individuel et travail de groupe à remettre investissement personnel de 500h sur l'année Chaque module se termine par un examen de contrôle des connaissances (QCM de 60 questions) CSSI 36
CSSI - Certificat de Sécurité des Systèmes d'information CSSI - Contenu du programme 2005-2006 1. Fondements de la sécurité des S.I. Pr. Jean-Paul De Blasis 2. Architectures de sécurité Pr. Jean-Paul De Blasis 3. Sécurité dans les réseaux informatiques Pr. Gérald Litzistorf 4. Qualité informatique et management de projets Pr. Jean Menthonnex 5. Aspects juridiques de sécurité des S.I. Me Gérald Page 6. Méthodes d évaluation des risques et audit des S.I. M. Jean Bloch + Module optionnel : Concepts et pratiques de sécurité des réseaux et des communications Internet Point fort du CSSI: formation large à la sécurité des S.I. Pas uniquement sur les aspects techniques mais aussi sur les aspects qualité, juridiques, de management et d'audit. CSSI 37
CSSI - Certificat de Sécurité des Systèmes d'information le site web du CSSI - http://cssi.unige.ch Joue un rôle clé dans la formation (zone réservée aux participants) Mise à disposition sous forme électronique de tous les documents de cours Nombreux documents de référence regroupés par rubriques (cryptologie, cyber droit, formation, glossaires, méthodologie, outils, qualité, veille sécurité, virus) Mise à disposition de QCM d'entraînement avant les examens Publication des notes obtenues aux examens Selon les modules, mise à disposition des travaux individuels et de groupe après la publication des évaluations Réseau de contact : coordonnées des participants depuis 2000 et forum d'échanges en cours de création CSSI 38
CSSI - Certificat de Sécurité des Systèmes d'information En complément au CSSI Attestations d'un niveau professionnel acquis dans certains domaines liés à la sécurité des S.I. Certifications professionnelles internationalement reconnues : CISA (Certified Information Systems Auditor) - Audit S.I. http://www.isaca.org/certification CISM (Certified Information Security Manager) http://www.isaca.org/certification CISSP (Certified Information System Security Professional) http://www.cissp.com... CSSI 39
CSSI - Certificat de Sécurité des Systèmes d'information Merci de votre attention! Questions? et rendez-vous sur http://cssi.unige.ch Cette présentation est disponible sur le site INFORUM.BIZ CSSI 40