Cette action est financée par :

Sécurité de l'information : politiques et stratégies

du calcul du risque à l'opportunité organisationnelle

CLUB QUALITE

8 avril 2010

Créé à l'initiative du Conseil Général de la Drôme, des Chambres Consulaires de la Drôme et du CRITT Drôme-Ardèche

Centre de ressources, d'échanges et de soutien aux projets de développement territorial des TIC

Espace de prospective et de mutualisation à destination des entreprises, collectivités et associations

Favoriser l'appropriation des technologies de l'information par tous

LE PÔLE NUMERIQUE

Les enjeuxde la sécurité

8 avril 2010

Si l'information à une valeur intrinsèque, c'est dans son échange et son partage qu'elle développe cette valeur

L'information acquiert de la valeur quand elle aide les collaborateurs à agir plus efficacement lorsqu'ils cherchent à réaliser les objectifs assignés par l'entreprise

L'information est le sang de l'entreprise

VALEUR DE L'INFORMATION 1

8 avril 2010

Formes de la valeur de l'information

Connaissance de l'environnement économique de l'entreprise(clients, fournisseurs, concurrents, partenaires ...)

Base de données de l'entreprise

Connaissances et savoirs du personnels : capital humain

Les brevets, les méthodes ...

VALEUR DE L'INFORMATION

Difficilement estimable de manière comptable, la perte ou le vol d'information peuvent affaiblir considérablement une entreprise

2

8 avril 2010

QUELQUES CHIFFRES

15%Information

sensible

5%Informationstratégique

80% information divulguable

80 % de l'effort en matière de sécurité (budget, ressources) doît être consacré à sécuriser les 20 % de données qui contiennent 80 % de l'information stratégique de l'entreprise

8 avril 2010

QUELLES MENACES ?

Causes de perte de données les plus fréquentes en entreprise

Source : observatoire des usages TIC – ENE 2008

20 % externe – 80% interne dont 80% négligence et 20% intentionnel

8 avril 2010

Impact d'un dysfonctionnement de son SI :

Quelle est la quantité maximale d'informations qui peut-être perdue sans compromettre l'activité de l'entreprise ?

Quel est le délai maximum de reprise d'activité acceptable sans menacer le fonctionnement de la société ?

QUEL IMPACT ?

8 avril 2010

Comprendre et gérer les risques

Organiser un projet de sécurité

S'appuyer sur des normes et des méthodes

Identifier les coûts et les gains

SECURITE & MANAGEMENT

La sécurité : 80% d'organisation - 20% de technologie

Politique de sécuritéles grands principes

8 avril 2010

Garantir la continuité de l'activité de l'entreprise

Répondre aux exigences clients en matière de sécurité

Faciliter l'accès au marché de l'assurance

Limiter la judiciarisation (charte des droits et devoirs des salariés …)

Préserver la notoriété de l'entreprise

LES OBJECTIFS

8 avril 2010

La SSI repose sur trois finalités :

L'intégrité du SI : s'assurer du bon fonctionnement, de l'exactitude des données et de leur intégrité

La confidentialité du SI : s'assurer que seules les personnes autorisées ont accès aux données

La disponibilité du SI : s'assurer que les ressources (ordinateurs, réseaux, périphériques, applications) sont accessibles au moment voulu par les personnes autorisées

FINALITE

L'information de l'entreprise est un actif comme les autres

8 avril 2010

LES ACTIFS INFORMATIONNELS

Actifs d'informations:Fichiers de données, bases de données, procédures et manuels utilisateurs, archives ...

Actifs physiques:Serveurs informatiques, PC, portables, matériels de communication, PABX, unités de climatisation ...

Actifs applicatifs:Progiciels, logiciels spécifiques, systèmes d'exploitation, outils de développement, utilitaires ...

Actifs liés à la fourniture de servcies:Services informatique et de communication, services généraux (alimentation électricité ...)

8 avril 2010

SMSI - Système de Managementde la Sécurité de l'Information

Éléments documentaires (politiques, description objectifs ...)

Description de la méthode d'analyse des risques utilisée

Les processus impliqués dans la mise en œuvre

Les responsabilités relatives à la sécurité de l'information

Ressources nécessaires à la mise en œuvre

Les activités relatives à la sécurité de l'information

Les enregistrements issus des activités relatives à la sécurité de l'information

Les relevés de mesures prises sur les processus

Les actions relatives à l'amélioration de la sécurité de l'information

Ensemble d'éléments permettant d'établir une politique et des objectifs en matière de sécurité de l'information, d'appliquer cette politique, d'atteindre les objectifs et d'en contrôler l'efficacité

8 avril 2010

Processus cyclique en 4 étapes :

Recenser les opérations critiques, essentiels à la survie de l'entreprise : Bilan d'Impact sur les Activités (BIA)

Choix de stratégies permettant le maintien de l'exécution des opérations critiques

Mise en œuvre de la réponse : plan de continuité d'activité, plan de secours techniques, plan de gestion de crise

Tester, auditer et maintenir

GESTION DE CONTINUITE D'ACTIVITE

8 avril 2010

Définition des exigences de l'entreprise en fonctions des risques et menaces

- durée d'indisponibilité par activité- processus prioritaire à redémarrer- moyens existants

Conception des solutions de prévention et du plan de secours

Mise en œuvre des mesures retenues et l'organisation d'un plan de crise

Processus de maintien du plan en conditions opérationnelles

PLAN DE REPRISE D'ACTIVITE

17

Analyse et Gestiondes risques

8 avril 2010

CLASSIFICATION DES RISQUES

Fraude des employésImconpétenceGrêvesAbsences

Indisponibilité des systèmes

Erreurs de programmation

Faille de sécurité

Risque politiqueAbsence de respect de la réglementationAttaques externesCatastrophes naturelles

Défaillance de sous-traitants

Erreurs manuellesProcessus clés non

maîtrisé

Personnes Systèmes

Eléments externes Processus

Risqueopérationnel

8 avril 2010

AXES D'ANALYSE DES RISQUES

Impactmétier

Probabilitéde réalisation

Criticité pourle SI

Détectabilité

8 avril 2010

GESTION DU RISQUE

Évitement ou contournement

Transfert Réduction

AcceptationRisque

Ex : ne pas fairel'activité à risque

Ex : assurances Ex : mesure desécurité

Insupportable - Inacceptable - Tolérable - Insignifiant

8 avril 2010

METHODES D'ANALYSE

Méthode quantitative

Méthode qualitative

Méthode avec base de connaissances

Méhari - Risicare oui oui oui

Octave (PME) oui oui

CRAM VS oui oui

Buddy Systems oui

Cobra(ISO 17799) oui

8 avril 2010

ISO 27000 séries de normes

ISO 17799 Code de bonnes pratiques

ISO 13335 TR (rapports techniques) Guide de la sécurité

ISO 15408 Critère d'évaluation des risques

...

SECURITE & NORMES ISO

Les limites :

Faible prise en compte du contexte de l'entreprise

Périodicité de mise à jour vs évolution de l'informatique

23

Gestionopérationnelle

8 avril 2010

Une politique de sécurité ne repose pas uniquement sur des solutions matérielles.

L'humain est un facteur déterminant dans la mise en place et le respect d'une telle politique

RSSI ≠ DSI

LE FACTEUR HUMAIN

8 avril 2010

Une organisation dans l'entreprise

Des processus et des ressources associées

Des contrôles et une méthode d'organisation

Des processus de révision : corriger les non-conformités, analyse et mise en œuvre des axes d'amélioration

SYSTEME DE MANAGEMENT

=> Méthode Plan Do Check Act

8 avril 2010

Décliné en trois niveaux :

Opérationnel : indicateurs de disponibilités et de mise à niveau des services

Pilotage : avancement de la mise en œuvre

Décisionnel : vision synthétique pour la direction

TABLEAUX DE BORD

8 avril 2010

Intégrer la protection du SI dans la communication globale de l'entreprise

Sensibiliser, informer, impliquer et responsabiliser le personnel à tous les niveaux

Assurer le responsable sécurité du soutien de la hiérarchie

Éviter que l'entreprise attende les problèmes pour réagir, il est souvent trop tard

Mettre en place des solutions réalistes et adaptées en fonction des risques encourus par l'entreprise

LES POINTS CLES

8 avril 2010

LES FREINS

Cette création est mise à disposition selon le Contrat Attribution-NonCommercial 2.0 France disponible en ligne http://creativecommons.org/licenses/by-nc/2.0/fr/ ou par courrier postal à Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA.

En citant « Source Pôle Numérique » pour toutes reprises intégralesou « Librement inspiré des travaux du Pôle Numérique » en cas de modification