Gestion de la sécurité de l information dans une organisation 14 février 2014
Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité SI Métier Sécurité SSI Formations Sécurité SSI Savadogo Yassia 2
Systèmes d information (SI) Définition Ensemble organisé de ressources qui permet de regrouper, de classifier, de traiter et de diffuser de l'information dans une entreprise Les ressources sont : ü Matériels ü Logiciels ü personnel ü Données ü Procédures Savadogo Yassia 3
SI considérés Systèmes d information (SI) Savadogo Yassia 4
Systèmes d information (SI) Sécurité des systèmes d information Ensemble des moyens techniques, organisationnels, juridiques et humains mis en place pour conserver, rétablir, et garantir la sécurité des systèmes d'information Savadogo Yassia 5
Concepts de sécurité SI Savadogo Yassia 6
Définitions Concepts de sécurité SI Actif Tout élément du système d'information ayant de la valeur pour l'organisation Exemples : ü Personnel ü Information ü Matériels : Bâtiment, ordinateur, installation électrique, ü Logiciels ü Bases de données ü Immatériel : image de l organisation, réputation ü Savadogo Yassia 7
Concepts de sécurité SI Définitions Menaces ü Cause pouvant affecter la sécurité d un actif ü Caractéristiques o Origine - Naturelle : incendie, inondation - Humaine Accidentelle : erreurs (saisie, bug) Délibéré : fraude, virus, intrusion,.. o Impact sur le système d information et sur l organisation Savadogo Yassia 8
Concepts de sécurité SI Définitions Vulnérabilité ü Faille permettant à une menace de porter atteinte à la sécurité d un actif ü Exemples - Détection / extinction d incendie absente ou inefficace - Test insuffisant des logciels - Personnel insuffisamment formé - Antivirus non à jour - Architecture du système trop fragile - Copies de sauvegarde absentes ou non testées - Plan de reprise d activités absent ou non testé Savadogo Yassia 9
Concepts de sécurité SI Définitions Risque ü Probabilité qu une menace exploite une vulnérabilité du système d information pour affecter un actif de l organisation ü Caractéristiques - Impact o Sur les actifs : Confidentialité, Intégrité, Disponibilité, o Sur l organisation : pertes financières, image, - Probabilité / fréquence /opportunité Savadogo Yassia 10
Concepts de sécurité SI Définitions Risque Savadogo Yassia 11
Gestion de la sécurité de l information Objectif fondamental Savadogo Yassia 12
Gestion de la sécurité de l information Gestion de la sécurité Basée sur la gestion des risques Aspect de la gestion de l organisation Elément de bonne gouvernance Savadogo Yassia 13
Gestion de la sécurité de l information L évolution technologique continue entraine une sophistication et une diversification des menaces Par conséquent, la gestion des risques doit être un processus continu Ce qui nécessite une organisation permanente D où la nécessité d un Système de Management de la Sécurité de l Information (SMSI) dans les organisations Savadogo Yassia 14
Gestion de la Sécurité de l information SMSI (Système de Management de la Sécurité de l Information) Principes fondamentaux Implication du management Pilotage par les risques Approche processus Amélioration continue Savadogo Yassia 15
Gestion de la Sécurité de l information Amélioration continue : Roue de Deming (PDCA) 1. Plan Identifier/évaluerle Risques et les actions adéquates 4. Act Rectifier Améliorer 2. Do Réaliser les action Informer/éduquer 3. Check Mesurer/évaluer les résultats Savadogo Yassia 16
Gestion de la Sécurité de l information Audit de la sécurité SI Examen méthodique d une situation liée à la sécurité de l information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes Savadogo Yassia 17
Gestion de la Sécurité de l information Audit de la sécurité SI Savadogo Yassia 18
Gestion de la Sécurité de l information Facteurs critiques de succès ü Support de la direction ü Stratégie définie niveau central mais mise en oeuvre en local ü Impact des risques pour l organisation ü Sensibilisation / formation (personnel, ) ü Méthodes basées sur des standards ü Utilisation d outils Savadogo Yassia 19
Normes et méthodes de sécurité SI Existence de plusieurs normes, méthodologies et bonnes pratiques en matière de gestion de la sécurité des systèmes d information Savadogo Yassia 20
Méthodes COBIT (Control Objectives for Information and Related Technology) CRAMM (CCTA Risk Analysis and Management Method) Cadre de contrôle visant à aider le management à gérer les risques et les investissements par la mise en place d un système de contrôle interne au niveau SI pour que l informatique reponde correctement aux a?entes de l organisation Méthode d évaluation à trois phases : identification des actifs, analyse des risques et définition des mesures de sécurité OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) Analyse des risques de l intérieur de l organisation, exclusivment avec des ressources internes Evaluation des vulnérabilités et des menaces sur les actifs opérationnels Déclinée en 3 phases (1. Vue Organisationnelle, 2.Vue technique, 3. Développement de la stratégie de sécurité et de sa planification Savadogo Yassia 21
Méthodes MEHARI (Méthode Harmonisée d Analyse de risques informatiques) Définition des objectifs Analyse de risques Analyse de vulnérabités Fourniture de plan d opération et des tableaux de bord EBIOS (Expression des besoins et Identification des Objectifs de Sécurité) Apprécier et traiter les risques relatifs à la sécurité des systèmes d information Savadogo Yassia 22
Normes ISO2700X Savadogo Yassia 23
Normes ISO2700X Mesures de sécurité de la norme ISO Savadogo Yassia 24
Normes ISO2700X Approche processus de la gestion de la sécurité Savadogo Yassia 25
Normes ISO2700X ISO27001:2013 Savadogo Yassia 26
Référentiels et Normes Sécurité SI Exemple de Panorama Savadogo Yassia 27
Métier Sécurité SSI Responsable Sécurité des Systèmes d Information (RSSI) Missions: Définition de la politique de sécurité Analyse des risques Sensibilisation et formation aux enjeux de la sécurité Etudes des moyens et préconisations Audit et Contrôle Veille technologique et prospective Savadogo Yassia 28
Métier Sécurité SSI Responsable Sécurité des Systèmes d Information (RSSI) Répartitition des missions du RSSI Menaces Informatiques et pratiques de sécurité en Fance, CLUSIF.Edition 2012 Savadogo Yassia 29
Métier Sécurité SSI Responsable Sécurité des Systèmes d Information (RSSI) De technicien à manager : Dilemme du RSSI Savadogo Yassia 30
Responsable Sécurité des Systèmes d Information (RSSI) Rattachement à la : Métier Sécurité SSI DSI? DG? Lié peut être à la maturité en SSI de l organisation? Savadogo Yassia 31
Formations universitaires ü Master o Informatique o Télécoms o Sécurité SI Formations Sécurité SSI Savadogo Yassia 32
Formations Sécurité SSI Certification Sécurité Technique Savadogo Yassia 33
Formations Sécurité SSI Certification Sécurité Management Savadogo Yassia 34
Projets de formations de l ANSSI- BF Cible : Informaticiens et Responsables SI des organisations Calendriers et Coûts : seront fixés ultérieurement Modules de formation en cours de validation ü Mise en place de politique de sécurité de l'information ü Gestion des risques ü Sécurité des sites web ü Gestion des incidents de sécurité ü Techniques d'investigations électroniques ü Sécurité des Bases de données ü Sécurité de l'information et développement d'application Savadogo Yassia 35
Conclusion Savadogo Yassia 36
Merci!!! Questions??? Savadogo Yassia 37