Quelques réflexions sur les normes



Documents pareils
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Prestations d audit et de conseil 2015

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

THEORIE ET CAS PRATIQUES

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

D ITIL à D ISO 20000, une démarche complémentaire

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

ISO/CEI 27001:2005 ISMS -Information Security Management System

L analyse de risques avec MEHARI

Mise en œuvre de la certification ISO 27001

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"

PRÉVENIR ET DIMINUER VOS RISQUES ANTICIPATE AND REDUCE YOUR RISKS

SMSI et normes ISO 27001

When Recognition Matters

2 nde édition Octobre 2008 LIVRE BLANC. ISO Le nouveau nirvana de la sécurité?

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

ITIL v3. La clé d une gestion réussie des services informatiques

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

L Audit selon la norme ISO27001

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Brève étude de la norme ISO/IEC 27003

METIERS DE L INFORMATIQUE

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Conseils et préconisations de mutualisation ISO 2700x et ISO / ITIL Groupe de travail du Club Toulouse 3 Avril 2012

La politique de sécurité

PASSI Un label d exigence et de confiance?

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Montrer que la gestion des risques en sécurité de l information est liée au métier

INDICATIONS DE CORRECTION

ISO conformité, oui. Certification?

HEG Gestion de la Qualité L.Cornaglia. Les référentiels SMI, normes, processus de certification

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Sécurité des Systèmes d Information

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

La conformité et sa dérive par rapport à la gestion des risques

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis

Référentiel Général de Sécurité


Panorama général des normes et outils d audit. François VERGEZ AFAI

2012 / Excellence. Technicité. Sagesse

ISO 27001:2013 Béatrice Joucreau Julien Levrard

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Excellence. Technicité. Sagesse

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

AUDIT CONSEIL CERT FORMATION

exemple d examen ITMP.FR

Système de Management Intégré Qualité, Sécurité et Environnement. Un atout pour l entreprise

Formation en SSI Système de management de la SSI

Vers un nouveau modèle de sécurité

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Programme de formation " ITIL Foundation "

RPVA. le cloud privé dédié aux avocats. le plus grand réseau VPN certifié Technologie française

Une réponse concrète et adaptée pour valoriser votre engagement pour l environnement.

DECLARATION DES PERFORMANCES N 1

SPECIALISATIONS DU MASTER GRANDE ECOLE

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

Catalogue des formations 2014 #CYBERSECURITY

Table des matières. Partie I CobiT et la gouvernance TI

L'infonuagique, les opportunités et les risques v.1

5 novembre Cloud, Big Data et sécurité Conseils et solutions

De l élaboration d une PSSI d unité de recherche à la PSSI d établissement

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Catalogue de formation LEXSI 2013

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

Les Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

Sélection d un Consultant chargé d accompagner le GIM-UEMOA dans le processus de mise en place d un Plan de Continuité de l Activité (PCA)

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

Mise en place d'une démarche qualité et maintien de la certification ISO 9001:2008 dans un système d'information

Démarches de sécurité & certification : atouts, limitations et avenir

Club toulousain

Université de Lausanne

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

Rapport de certification

Catalogue des formations.

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Les clauses «sécurité» d'un contrat SaaS

Gestion du risque numérique

LA SIGNATURE ELECTRONIQUE

Management de la sécurité des technologies de l information

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

C N F - Tunis. Manuel du stagiaire. Intitulé de l'atelier : Animer la qualité au quotidien Dans un établissement universitaire juin 2015

HCE & Authentification de seconde génération

FICHE D IMPACT PROJET DE TEXTE REGLEMENTAIRE

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Formation Logistique Transport

Atelier Tableau de Bord SSI

Transcription:

EBIOS et normes internationales Présentation pour le colloque ARS sur la gouvernance de la sécurité des systèmes d information 7 juin 2011 1

Quelques réflexions sur les normes Les normes sont avant tout des guides, des recommandations ou des exigences qui visent à assurer la confiance dans un système. Elles constituent une aide pour sécuriser les systèmes d informations Attention toutefois au piège de la bible, de ses exégètes et de ses intégristes La sécurité nécessite réflexion, inventivité, que les normes ne doivent pas «tuer» Application intelligente des normes

Repartir des fondamentaux (1) Qu est ce que je souhaite protéger? Actifs primordiaux ou Patrimoine informationnel Composante informationnelle Le système d information Organisation, moyens humains Composante humaine Actifs Support systèmes informatiques systèmes de télécommunication, autres Composante technique Source : Denis Virole Société Telindus Que cherche-t-on à sécuriser?

Repartir des fondamentaux (2) Comment se protéger? Limites des approches par les bonnes pratiques et le tout technique S intéressent principalement aux actifs supports ; Ne peuvent pas appréhender le risque dans toutes ses dimensions Approche globale Nécessité d appréhender le risque au travers de ses composantes, de sa complexité, de ses évolutions ; Utilisation de méthode de gestion de risques EBIOS.

Repartir des fondamentaux (2) Pourquoi se protéger? Respect des obligation réglementaires et légales (loi informatique et liberté, LCEN, RGS ), Évolution des menaces (attention toutefois aux raisonnements basés sur la menace), Modernisation de l administration, Conception de service public : la sécurité n est pas une fin en soi mais un moyen qui concourt à la confiance entre usagers et administration. Apport indéniable du RGS

Repartir des fondamentaux (3) Approche analytique proposée par EBIOS Actifs informationnel Données et processus Étude de risque de l application Impact Potentialité Événements redoutés Erreur Accident Malveillance Appréciation du risque (Risque = Impact * Potentialité) Objectifs de sécurité Mesures de sécurité adaptées à l application et son contexte Compréhension des composantes du risque

Repartir des fondamentaux (3) Approche dynamique Objectifs et mesures de sécurité Mesures de sécurité Exploitation Système à protéger Étude de risque Implantation Exploitation du système Évolution du risques dans le temps Compréhension de la nature évolutive du risque

Repartir des fondamentaux (3) Approche globale Démarche d amélioration continue approche globale de la sécurité des systèmes d information Étude risque pour toutes applications sensibles Système d information ou application sécurisée Homologation Surveillance et réexamen du risque Politique de sécurité choix de produits de confiance choix de prestataires de confiance Compréhension du risque dans sa complexité

Utilisation des normes Comment utiliser les normes? Approche boite à outils

Utilisation des normes Connaître les normes pour les utiliser Guide Recommandations 27000 Vocabulaire 27002 Les bonnes pratiques 27003 Implémentation 27004 Métriques 27005 Gestion de risques 27007 Audit Normes certifiables 15408 Critères communs 27001 SMSI Guides pour l accréditation ou la certification 17021 Accréditation 27006 Audit SMSI 19011 Audit SMSI 17024 Certification individuelle

Norme ISO/IEC 27002 Utilisation des normes Catalogue de 113 mesures réparties en 11 domaines de sécurité Vue d ensemble d une mesure Domaine Sous-domaine : objectif Définition Définition de la mesure de la mesure 2 1 2n Guide d implémentation Guide d implémentation Informations Informations complémentaires complémentaires 11 domaines ou chapitres Objectif précisé par sous domaine Mesure(s) pour répondre aux objectifs précités Les mesures portent essentiellement sur les actifs supports

Norme ISO/IEC 27005 Utilisation des normes Démarche de gestion de risque Vue simplifiée de la démarche 27005 Communication sur le risque Étude du contexte Appréciation du risque Traitement du risque Acceptation du risque Surveillance et réexamen Appréciation du risque sur les actifs informationnels supports

Utilisation des normes Norme ISO/IEC 27001 Système de management de la sécurité de l information Vue d ensemble du cycle PDCA Partie prenantes PLAN Établissement du SMSI Partie prenantes DO Mise en œuvre fonctionnement du SMSI Mise à jour amélioration du SMSI ACT Exigences et attentes vis-àvis de la sécurité de l information Surveillance et réexamen du SMSI CHECK Sécurité de l information gérée Approche focalisée pour l essentiel sur les actifs informationnels

Norme ISO/IEC 15408 Utilisation des normes Critères communs Vue simplifiée de la démarche de certification Commanditaire Cible de sécurité Organisme certificateur Analyse de conformité Résistances des mécanismes Tests de vulnérabilités RTE ANSSI Analyse Rapport de certification certification Porte exclusivement sur la composante technique des actifs supports

Tentative de synthèse Confiance de l usager dans les applications mises en œuvre par l administration Confiance de l usager dans l administration EBIOS, 27005, 27002 Utilisation de produits qualifiés dont critères communs ou CSPN Rendues obligatoires par le RGS pour les télé services approche globale de la SI Étude de risque sur les applications sensibles Concerne l administration dans son ensemble Démarche ISO 27005, Adoption de certains principes de la 27 001, PSSI Préconisée dans le 2.2 du RGS

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back