CLUB DE L’IRIS PERFORMANCE ET QUALITE NOUVEAUX ENJEUX POUR LA DIRECTION QUALITE
Presentation club qualite
-
Upload
pole-numerique -
Category
Documents
-
view
1.741 -
download
1
description
Transcript of Presentation club qualite
Cette action est financée par :
Sécurité de l'information : politiques et stratégies
du calcul du risque à l'opportunité organisationnelle
CLUB QUALITE
8 avril 2010
Créé à l'initiative du Conseil Général de la Drôme, des Chambres Consulaires de la Drôme et du CRITT Drôme-Ardèche
Centre de ressources, d'échanges et de soutien aux projets de développement territorial des TIC
Espace de prospective et de mutualisation à destination des entreprises, collectivités et associations
Favoriser l'appropriation des technologies de l'information par tous
LE PÔLE NUMERIQUE
Les enjeuxde la sécurité
8 avril 2010
Si l'information à une valeur intrinsèque, c'est dans son échange et son partage qu'elle développe cette valeur
L'information acquiert de la valeur quand elle aide les collaborateurs à agir plus efficacement lorsqu'ils cherchent à réaliser les objectifs assignés par l'entreprise
L'information est le sang de l'entreprise
VALEUR DE L'INFORMATION 1
8 avril 2010
Formes de la valeur de l'information
Connaissance de l'environnement économique de l'entreprise(clients, fournisseurs, concurrents, partenaires ...)
Base de données de l'entreprise
Connaissances et savoirs du personnels : capital humain
Les brevets, les méthodes ...
VALEUR DE L'INFORMATION
Difficilement estimable de manière comptable, la perte ou le vol d'information peuvent affaiblir considérablement une entreprise
2
8 avril 2010
QUELQUES CHIFFRES
15%Information
sensible
5%Informationstratégique
80% information divulguable
80 % de l'effort en matière de sécurité (budget, ressources) doît être consacré à sécuriser les 20 % de données qui contiennent 80 % de l'information stratégique de l'entreprise
8 avril 2010
QUELLES MENACES ?
Causes de perte de données les plus fréquentes en entreprise
Source : observatoire des usages TIC – ENE 2008
20 % externe – 80% interne dont 80% négligence et 20% intentionnel
8 avril 2010
Impact d'un dysfonctionnement de son SI :
Quelle est la quantité maximale d'informations qui peut-être perdue sans compromettre l'activité de l'entreprise ?
Quel est le délai maximum de reprise d'activité acceptable sans menacer le fonctionnement de la société ?
QUEL IMPACT ?
8 avril 2010
Comprendre et gérer les risques
Organiser un projet de sécurité
S'appuyer sur des normes et des méthodes
Identifier les coûts et les gains
SECURITE & MANAGEMENT
La sécurité : 80% d'organisation - 20% de technologie
Politique de sécuritéles grands principes
8 avril 2010
Garantir la continuité de l'activité de l'entreprise
Répondre aux exigences clients en matière de sécurité
Faciliter l'accès au marché de l'assurance
Limiter la judiciarisation (charte des droits et devoirs des salariés …)
Préserver la notoriété de l'entreprise
LES OBJECTIFS
8 avril 2010
La SSI repose sur trois finalités :
L'intégrité du SI : s'assurer du bon fonctionnement, de l'exactitude des données et de leur intégrité
La confidentialité du SI : s'assurer que seules les personnes autorisées ont accès aux données
La disponibilité du SI : s'assurer que les ressources (ordinateurs, réseaux, périphériques, applications) sont accessibles au moment voulu par les personnes autorisées
FINALITE
L'information de l'entreprise est un actif comme les autres
8 avril 2010
LES ACTIFS INFORMATIONNELS
Actifs d'informations:Fichiers de données, bases de données, procédures et manuels utilisateurs, archives ...
Actifs physiques:Serveurs informatiques, PC, portables, matériels de communication, PABX, unités de climatisation ...
Actifs applicatifs:Progiciels, logiciels spécifiques, systèmes d'exploitation, outils de développement, utilitaires ...
Actifs liés à la fourniture de servcies:Services informatique et de communication, services généraux (alimentation électricité ...)
8 avril 2010
SMSI - Système de Managementde la Sécurité de l'Information
Éléments documentaires (politiques, description objectifs ...)
Description de la méthode d'analyse des risques utilisée
Les processus impliqués dans la mise en œuvre
Les responsabilités relatives à la sécurité de l'information
Ressources nécessaires à la mise en œuvre
Les activités relatives à la sécurité de l'information
Les enregistrements issus des activités relatives à la sécurité de l'information
Les relevés de mesures prises sur les processus
Les actions relatives à l'amélioration de la sécurité de l'information
Ensemble d'éléments permettant d'établir une politique et des objectifs en matière de sécurité de l'information, d'appliquer cette politique, d'atteindre les objectifs et d'en contrôler l'efficacité
8 avril 2010
Processus cyclique en 4 étapes :
Recenser les opérations critiques, essentiels à la survie de l'entreprise : Bilan d'Impact sur les Activités (BIA)
Choix de stratégies permettant le maintien de l'exécution des opérations critiques
Mise en œuvre de la réponse : plan de continuité d'activité, plan de secours techniques, plan de gestion de crise
Tester, auditer et maintenir
GESTION DE CONTINUITE D'ACTIVITE
8 avril 2010
Définition des exigences de l'entreprise en fonctions des risques et menaces
- durée d'indisponibilité par activité- processus prioritaire à redémarrer- moyens existants
Conception des solutions de prévention et du plan de secours
Mise en œuvre des mesures retenues et l'organisation d'un plan de crise
Processus de maintien du plan en conditions opérationnelles
PLAN DE REPRISE D'ACTIVITE
17
Analyse et Gestiondes risques
8 avril 2010
CLASSIFICATION DES RISQUES
Fraude des employésImconpétenceGrêvesAbsences
Indisponibilité des systèmes
Erreurs de programmation
Faille de sécurité
Risque politiqueAbsence de respect de la réglementationAttaques externesCatastrophes naturelles
Défaillance de sous-traitants
Erreurs manuellesProcessus clés non
maîtrisé
Personnes Systèmes
Eléments externes Processus
Risqueopérationnel
8 avril 2010
AXES D'ANALYSE DES RISQUES
Impactmétier
Probabilitéde réalisation
Criticité pourle SI
Détectabilité
8 avril 2010
GESTION DU RISQUE
Évitement ou contournement
Transfert Réduction
AcceptationRisque
Ex : ne pas fairel'activité à risque
Ex : assurances Ex : mesure desécurité
Insupportable - Inacceptable - Tolérable - Insignifiant
8 avril 2010
METHODES D'ANALYSE
Méthode quantitative
Méthode qualitative
Méthode avec base de connaissances
Méhari - Risicare oui oui oui
Octave (PME) oui oui
CRAM VS oui oui
Buddy Systems oui
Cobra(ISO 17799) oui
8 avril 2010
ISO 27000 séries de normes
ISO 17799 Code de bonnes pratiques
ISO 13335 TR (rapports techniques) Guide de la sécurité
ISO 15408 Critère d'évaluation des risques
...
SECURITE & NORMES ISO
Les limites :
Faible prise en compte du contexte de l'entreprise
Périodicité de mise à jour vs évolution de l'informatique
23
Gestionopérationnelle
8 avril 2010
Une politique de sécurité ne repose pas uniquement sur des solutions matérielles.
L'humain est un facteur déterminant dans la mise en place et le respect d'une telle politique
RSSI ≠ DSI
LE FACTEUR HUMAIN
8 avril 2010
Une organisation dans l'entreprise
Des processus et des ressources associées
Des contrôles et une méthode d'organisation
Des processus de révision : corriger les non-conformités, analyse et mise en œuvre des axes d'amélioration
SYSTEME DE MANAGEMENT
=> Méthode Plan Do Check Act
8 avril 2010
Décliné en trois niveaux :
Opérationnel : indicateurs de disponibilités et de mise à niveau des services
Pilotage : avancement de la mise en œuvre
Décisionnel : vision synthétique pour la direction
TABLEAUX DE BORD
8 avril 2010
Intégrer la protection du SI dans la communication globale de l'entreprise
Sensibiliser, informer, impliquer et responsabiliser le personnel à tous les niveaux
Assurer le responsable sécurité du soutien de la hiérarchie
Éviter que l'entreprise attende les problèmes pour réagir, il est souvent trop tard
Mettre en place des solutions réalistes et adaptées en fonction des risques encourus par l'entreprise
LES POINTS CLES
8 avril 2010
LES FREINS
Cette création est mise à disposition selon le Contrat Attribution-NonCommercial 2.0 France disponible en ligne http://creativecommons.org/licenses/by-nc/2.0/fr/ ou par courrier postal à Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA.
En citant « Source Pôle Numérique » pour toutes reprises intégralesou « Librement inspiré des travaux du Pôle Numérique » en cas de modification