SlideShare une entreprise Scribd logo

Le « Security by Design » et ses multiples facettes

Thierry Pertus
Thierry Pertus

Le « Security by Design » et ses multiples facettes - Thierry PERTUS - Conix

Présentations et discours publics
1  sur  17
Télécharger pour lire hors ligne
Le « Security by Design » et ses multiples facettes Thierry PERTUS Janvier 2015
Le « Security by Design » et ses multiples facettes Janvier 2015 p 2 ►Avant-propos En matière de management de la sécurité des systèmes d’information, il est admis que les besoins de sécurité doivent être pris en compte très en amont et tout au long du cycle projet. Si cette démarche méthodologique vertueuse et responsable s’appuie idéalement sur une analyse de risques s’inscrivant dans un processus standardisé et reproductible, l’exercice peut s’avérer particulièrement délicat lorsque le périmètre d’étude comporte des interactions ou adhérences fortes avec un écosystème complexe, hétérogène et pas toujours maîtrisé, ainsi que des actifs informationnels devenant inquantifiables, volatiles et polymorphes *. Par où commencer pour relever ce défi d’aujourd’hui et de demain ? Quelles sont les pistes d’action pour obtenir une assurance sécurité intégrée, dite « built-in », alignée durablement sur les objectifs stratégiques et opérationnels de la DSI, du Métier et de la gouvernance d’entreprise ? Autant de questions ésotériques qui nous amènent à nous intéresser à l’univers très codifié de l’architecture d’entreprise et de l’urbanisation des SI. ►Teaser (Security by Design and its many facets) In terms of security management of information systems, it is recognized that security needs must be taken into account very early on and throughout the project cycle. This commendable and responsible methodological approach is justly based on risk analysis as part of a standardized, repeatable process. But the exercise can prove especially difficult when the field of concern has strong interactions or connections with a complex, heterogeneous ecosystem, which may not always be under control, and with information assets that have become unquantifiable, volatile and polymorphic. Where does one start to address this current and upcoming challenge? What are the courses of action for integrated security assurance, known as "built-in", aligned with the long-term strategic and operational objectives of the CIO, Business Processes and Corporate governance? What may appear to be rather arcane questioning leads us directly to issues regarding the highly codified world of enterprise architecture and urbanization of IS. Vous pouvez lire la version intégrale de l’article dans le magazine Global Security Mag - n° 30 (Trimestriel Janvier-Mars 2015) * 3V (Volume, Vitesse, Variété) caractérisant le Big Data
Le « Security by Design » et ses multiples facettes p 3 Un cadre d’architecture pour manager la SSI : une question de « point de vue » Janvier 2015
Le « Security by Design » et ses multiples facettes p 4Janvier 2015 ►Des enjeux multiples  s’appuyer sur des composants réputés et avérés fiables, interopérables et maintenus en conditions de sécurité (MCS)  disposer d’un SI efficient et résilient, mais aussi évolutif et réactif (agilité et time-to-market obligent), de façon à soutenir la stratégie d’entreprise et les objectifs opérationnels du Métier ;  apprécier et de contenir les risques cyber pour garantir une certaine « confiance numérique » aux différentes parties prenantes ;  rationaliser les coûts d’investissement et de possession (TCO) et optimiser les délais d’implémentation ou de délivrance des services en support. Pour relever un tel challenge, l’architecture d’entreprise s’avère être LA discipline incontournable, permettant de se doter d’une vision systémique de l’organisation, à partir d’une approche holistique, structurée et partagée, mais également d’un support commun à la réflexion et à la communication, lui conférant la vocation de véritable « clé de voûte » du changement. ►L’architecture d’entreprise (EA) et ses modèles multi-niveaux EA Enterprise Architecture TCO Total Cost of Ownership TIC Technologies de l’Information et de la Communication
Le « Security by Design » et ses multiples facettes Stratégie d’entreprise (gouvernance) Pilotage des processus Métier (fonctionnel orienté objets Métier) Urbanisation du SI (fonctionnel orienté applications & données) Architecture technique - TIC (socle technique d’infrastructure) Sécurité des socles systèmes Sécurité des données Sécurité des opérations de traitement Sécurité des socles middleware Sécurité des réseaux et stockages Sécurité des applications Classification de l’information, Gestion des habilitations Gestion de crise COMEX CODIR MOA (Métier) AMOA (CdP SI) MOE Pilotagedelasécuritéopérationnelle Prévention Détection Réaction Veille,Conformité,Contrôleinterne,Sensibilisation Gouvernancedelasécurité Gestion des risques d’entreprise Servicesfédérateursdeconfiance,Continuitéd’activité Exploitation,Maintienenconditiondesécurité, Surveillance,Gestiondesincidentsdesécurité Sécuritéprojets,Ingénierie,Conduiteduchangement (fournisseur, intégrateur, mainteneur) p 5Janvier 2015 ►Correspondance entre domaines d’architecture d’entreprise et domaines de sécurité
Le « Security by Design » et ses multiples facettes Facteurs externes de conformité Référentiels internes Démarche méthodologique « top-down » de conduite des projets de transformation •Gouvernance de la sécurité du SI •Appréciation des risques cyber en lien avec les enjeux stratégiques Stratégie d’entreprise •Spécifications des besoins de sécurité pour les actifs informationnels en lien avec les objectifs opérationnels et les impacts potentiels (ex : niveau de sensibilité DICP) Pilotage des processus Métier •Analyse de risques liés à la sécurité du SI •Spécifications des exigences de sécurité et des niveaux de service requis •Plan d’audit / recette / homologation sécurité Urbanisation du SI •Spécifications des fonctions de sécurité et des capacités appropriées •Sélection des services, produits et mécanismes de sécurité appropriés Architecture technique - TIC Exigences de sécurité Composants de sécurité Fonctions de sécurité Principes de sécurité (PSSI) Critères de sécurité / Classification des données Obligations légales, réglementaires et contractuelles Référentiels méthodologiques et techniques (normes, standards, guides) Catalogues (artefacts) à élaborer et faire évoluer Rebouclage « bottom-up » par cycles itératifs (alignement / ajustement) Gestion des risques techniques Gestion des risques fonctionnels Gestion des risques opérationnels p 6Janvier 2015 ►« Vue » sur les activités de sécurité dans les projets
Le « Security by Design » et ses multiples facettes p 7 La modélisation par blocs fonctionnels Janvier 2015
Le « Security by Design » et ses multiples facettes Fondations (générique) Systèmes communs (transverse) Domaine d’activité (sectoriel) Entreprise (contextuel) Solution Building Block (SBB) / Design pattern Architecture Building Block (ABB) / Architecture pattern Produits et services du marché Produits et services d’un domaine considéré Ex. : Sécurité Produits et services éligibles Produits et services du secteur de l’entreprise Technical Référence Model (TRM) & Standards Information Base (SIB) Recherche de Building Blocks (Etat de l’art, prospective et veille technologique) Réutilisation / adaptation de Building Blocks pour l’entreprise (ex : sécurisation dans le contexte) p 8Janvier 2015 ►Continuum d’architecture et Building Blocks associés (TOGAF)
Le « Security by Design » et ses multiples facettes p 9Janvier 2015 ►Catalogues de sécurité (artefacts)
Le « Security by Design » et ses multiples facettes Sphère privée (dédié, SI fermé) Sphère communautaire (sectoriel partagé, SI étendu) ex : GIE Sphère publique (partagé, SI ouvert) Souveraineté / autonomie (stratégie de maîtrise opérationnelle) Mutualisation / agilité (stratégie d’optimisation économique) Cloud communautaire Cloud privéCloud public Cloud hybride Virtualisation système Middleware & Runtime Plateforme serveur Applications Réseau & Stockage OS PaaS (on-demand solution stack / dev environment) IaaS (on-demand VM, VDC, VDI) SaaS (web/mobile apps : ERP, xRM, SCM, BI, e-sourcing, office suite, cloud drive, …) BaaS / mBaaS (CMS, UI tools,, MEAP, WS-*, e-payment, Shibboleth, … InfrastructureasaService PlatformasaService SoftwareasaService/[mobile]BackendasaService Opérations BusinessProcessasaService BPaaS (BPO, offshoring) Données DaaS (Marked-metadata databank) DataasaService Infrastucture Datacenter DataCenter asaService DCaaS (hosting, housing) CAPEX OPEX BusinessservicesITservices Niveaudecontrôledel’entreprise Low High IDE, API, EDI On-PremiseOn-PremiseOn-Premise p 10Janvier 2015 ► Cas d’usage : Les différents modèles de cloud computing abordés sous l’angle sécuritaire
Le « Security by Design » et ses multiples facettes p 11Janvier 2015 ►Cas d’usage : Un security pattern générique applicable aux systèmes de contrôle industriels (SCI) Source : Industrial Control Systems Security Pattern [SP-023] - OSA (http://www.opensecurityarchitecture.org)
Le « Security by Design » et ses multiples facettes p 12 Des référentiels applicables et un programme d’action Janvier 2015
Le « Security by Design » et ses multiples facettes • TOGAF, EAM, ArchiMate, DoDAF, MoDAF, FEA, Zachman, SABSA, Urba-EA [FR], Praxeme [FR], … Architecture d’entreprise (EA) • BSC, Matrice BCG (DAS), Porter 5F / value chain, PESTEL, 5 Ws / QQOQCCP [FR], SWOT, ROI, … Stratégie d’entreprise • COSO, ISO 31000, ISO 31010,, ISO/IEC 27005, EBIOS [FR] ,… ; ISO 22301 (SMCA), BP Z74-700 [FR], … Management des risques d’entreprise / conformité (ERM / GRC) ; Continuité d’activité (BCP) • BA-BOK, BPA, BPI, BPM, MOF, XMI, UML, SADT, Merise [FR], BPMN, Six Sigma, SIPOC, 5S, business / use case, supply chain / ISO 28000 (SMSCA), B2B, A2A, B2C, C2C, M2M, … Modélisation / optimisation opérationnelle (processus Métier) • ISO 9001 (SMQ),, Roue de Deming (PDCA),, BPMM, TQM, Lean Six Sigma, Kaizen, EFQM, ISO 9004, CMMI, ISO/IEC 21827, eSCM, … Qualité / Maturité des processus • CobiT, ISO/IEC 38500, ISO/IEC 24762 (DR), ISO/IEC 27001 (SMSI), ISA-99/IEC 62443-2-1 (SMCS), ISO/IEC 29100 (Privacy), … Gouvernance du SI (processus IT) ; Classification de l’information / Données personnelles • PM-BOK, PMP, Prince 2, cycle en V, méthodes de développement agiles / itératives (Scrum, XP, …), … Conduite de projet • DM-BOK, SysML, SoaML, … Urbanisation du SI • ITIL, ISO/IEC 20000 (ITSM), ISO/IEC 27002, ISO/IEC 15408-2 / CC, ISA-99/IEC 62443-3-3, RGS [FR], OSA, … Architecture fonctionnelle de centre de services IT (services IT, fonctions / mesures de sécurité) • Mainframe, ERP, xRM, SCM, BI, SOA / WOA (n-tiers, J2EE/.NET, EAI/ESB, WS (UDDI, SOAP, WSDL, BPEL), DBMS (SQL/NoSQL), PKI, BI), … Architecture applicative / Architecture de données • Cloud computing (IaaS / Paas / SaaS), Virtualisation systèmes (Machines, Apps, Desktops), Virtualisation réseaux (VLAN, VRF), Datacenter (SAN, NAS, Switch Fabric), Backbone MAN / WAN (Metro Ethernet, MPLS, VPN IPsec), Accès local (Ethernet, WiFi), Accès distant (xDSL / FO, HTTPS / VPN TLS / IPsec), Internet Mobile (Wi-Fi hotspot, xG), … Architecture technique infrastructure (virtualisation / systèmes / réseau / stockage) Domaine SSI (IS) Domaine SCI (ICS) p 13Janvier 2015 ►Panorama des principaux référentiels et outils méthodologiques applicables au pilotage des projets de transformation
Le « Security by Design » et ses multiples facettes Cartographie des processus et activités critiques (cf. BPM, BPA) Cartographie des données sensibles (cf. classification des données structurées/non structurées) Cartographie des applications critiques / sensibles (cf. SLAs, PAS, …) Cartographie de l’infrastructure et des composants techniques en support (architecture réseau/stockage et télécoms L1/L2/L3, systèmes physiques/virtuels, middleware/SGBD, …) Identification des vulnérabilités potentielles sur les composants critiques / exposés (scan de vulnérabilités, tests d’intrusion, audit de conf, analyse de code, détection des SPOF, …) Identification des scénarios de risques majeurs et cartographie des risques nets (analyse de risques, BIA, use case, …) Plan d’action (application des correctifs/upgrade, mise en conformité des configurations et procédures, …) (gap analysis, PCA/PCI, quickwins, plan de remédiation, contre-audits ,plan de contrôle ,…) 1 2 3 4 5 6 7 p 14Janvier 2015 ►7 steps QuickStart Program pour aligner le niveau de sécurité du SI sur les enjeux Métier
Le « Security by Design » et ses multiples facettes p 15 ►Bibliographie Les référentiels du système d'information - Données de référence et architectures d'entreprise (DUNOD) Architecture d’entreprise dans un contexte d’entreprise numérique - 2014 (Club URBA-EA) Architecture et transformation de l’entreprise et du SI - La méthode TOGAF en pratique (EYROLLES) TOGAF en pratique - Modèles d’architecture d’entreprise (DUNOD) TOGAF v9.1 - 2011 (The Open Group) Security Principles for Cloud and SOA - 2011 (The Open Group) Impact du Cloud Computing sur l’Architecture d’Entreprise (CEISAR) La sécurité dans le cloud – Techniques pour une informatique en nuage sécurisée (PEARSON) Security by Design with CMMI for Development, v1.3 - 2013 (CMMI Institute) Cadre Commun d’Urbanisation du Système d’Information de l’Etat, v1.0 - 2012 (DISIC) Janvier 2015
Le « Security by Design » et ses multiples facettes p 16 Source* : Star Wars, Episode VI : Le retour du Jedi (Lucasfilm Ltd.) * Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle) Janvier 2015 Vous me confirmez qu’une fois sa construction achevée, cette étoile noire ne souffrira pas des mêmes failles que la précédente ? Affirmatif, Amiral. Par contre, pour des raisons de budget, on a dû réutiliser des bluiding blocks trouvés sur le darknet pour la conception de son bouclier de protection. Eh bien j’ose espérer que nous n’aurons pas à le regretter …
Thierry PERTUS Consultant senior CISM, ISO/IEC 27001:2013 LI, ISO/IEC 27005:2011 RM Cybersécurité Powered by securite@conix.fr www.conix.fr Keep control.

Recommandé

ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTSISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTSProf. Jacques Folon (Ph.D)
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdfControlCase
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Cybersecurity roadmap : Global healthcare security architecture
Cybersecurity roadmap : Global healthcare security architectureCybersecurity roadmap : Global healthcare security architecture
Cybersecurity roadmap : Global healthcare security architecturePriyanka Aash
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 

Recommandé

ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTSISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTSProf. Jacques Folon (Ph.D)
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdfControlCase
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Cybersecurity roadmap : Global healthcare security architecture
Cybersecurity roadmap : Global healthcare security architectureCybersecurity roadmap : Global healthcare security architecture
Cybersecurity roadmap : Global healthcare security architecturePriyanka Aash
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
ISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewNaresh Rao
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002soumaila Doumbia
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27002-2022.pdf
ISO 27002-2022.pdfISO 27002-2022.pdf
ISO 27002-2022.pdfChristianAquino52
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
ISO 27001
ISO 27001ISO 27001
ISO 27001MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Cyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation SlidesCyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation SlidesSlideTeam
 
ISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxforam74
 
Référentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAFRéférentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAFPierre-Xavier Fouillé
 
Cyber Security roadmap.pptx
Cyber Security roadmap.pptxCyber Security roadmap.pptx
Cyber Security roadmap.pptxSandeepK707540
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
pdfcoffee.com_iso-iec-27002-implementation-guidance-and-metrics-pdf-free.pdf
pdfcoffee.com_iso-iec-27002-implementation-guidance-and-metrics-pdf-free.pdfpdfcoffee.com_iso-iec-27002-implementation-guidance-and-metrics-pdf-free.pdf
pdfcoffee.com_iso-iec-27002-implementation-guidance-and-metrics-pdf-free.pdfElyes ELEBRI
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 

Contenu connexe

Tendances

ISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewNaresh Rao
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Cyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation SlidesCyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation SlidesSlideTeam
 
ISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxforam74
 
Référentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAFRéférentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAFPierre-Xavier Fouillé
 
Cyber Security roadmap.pptx
Cyber Security roadmap.pptxCyber Security roadmap.pptx
Cyber Security roadmap.pptxSandeepK707540
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
pdfcoffee.com_iso-iec-27002-implementation-guidance-and-metrics-pdf-free.pdf
pdfcoffee.com_iso-iec-27002-implementation-guidance-and-metrics-pdf-free.pdfpdfcoffee.com_iso-iec-27002-implementation-guidance-and-metrics-pdf-free.pdf
pdfcoffee.com_iso-iec-27002-implementation-guidance-and-metrics-pdf-free.pdfElyes ELEBRI
 

Tendances (20)

Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
ISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewISO 27001 2013 isms final overview
ISO 27001 2013 isms final overview
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
ISO 27002-2022.pdf
ISO 27002-2022.pdfISO 27002-2022.pdf
ISO 27002-2022.pdf
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Cyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation SlidesCyber Security For Organization Proposal Powerpoint Presentation Slides
Cyber Security For Organization Proposal Powerpoint Presentation Slides
 
ISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptx
 
Référentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAFRéférentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAF
 
Cyber Security roadmap.pptx
Cyber Security roadmap.pptxCyber Security roadmap.pptx
Cyber Security roadmap.pptx
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
pdfcoffee.com_iso-iec-27002-implementation-guidance-and-metrics-pdf-free.pdf
pdfcoffee.com_iso-iec-27002-implementation-guidance-and-metrics-pdf-free.pdfpdfcoffee.com_iso-iec-27002-implementation-guidance-and-metrics-pdf-free.pdf
pdfcoffee.com_iso-iec-27002-implementation-guidance-and-metrics-pdf-free.pdf
 

En vedette

Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
MBA comportamiento del consumidor LUIS AREVALO
MBA comportamiento del consumidor LUIS AREVALOMBA comportamiento del consumidor LUIS AREVALO
MBA comportamiento del consumidor LUIS AREVALOLuis Arevalo
 
Le regard des Français sur les prochaines élections européennes
Le regard des Français sur les prochaines élections européennesLe regard des Français sur les prochaines élections européennes
Le regard des Français sur les prochaines élections européennesLCP Assemblée nationale
 
Annual Results and Impact Evaluation Workshop for RBF - Day One - Utiliser le...
Annual Results and Impact Evaluation Workshop for RBF - Day One - Utiliser le...Annual Results and Impact Evaluation Workshop for RBF - Day One - Utiliser le...
Annual Results and Impact Evaluation Workshop for RBF - Day One - Utiliser le...RBFHealth
 
Annual Results and Impact Evaluation Workshop for RBF - Day Four - La science...
Annual Results and Impact Evaluation Workshop for RBF - Day Four - La science...Annual Results and Impact Evaluation Workshop for RBF - Day Four - La science...
Annual Results and Impact Evaluation Workshop for RBF - Day Four - La science...RBFHealth
 
Annual Results and Impact Evaluation Workshop for RBF - Day Seven - Presentat...
Annual Results and Impact Evaluation Workshop for RBF - Day Seven - Presentat...Annual Results and Impact Evaluation Workshop for RBF - Day Seven - Presentat...
Annual Results and Impact Evaluation Workshop for RBF - Day Seven - Presentat...RBFHealth
 
Diaporama de la vendée
Diaporama de la vendéeDiaporama de la vendée
Diaporama de la vendéeanais traineau
 
Klesia - Action Sociale
Klesia - Action SocialeKlesia - Action Sociale
Klesia - Action SocialeKlesia
 
Presentación del reglamento estudiantil upc
Presentación del reglamento estudiantil upcPresentación del reglamento estudiantil upc
Presentación del reglamento estudiantil upcalevane12
 
Chercheur en éducation : chronique d'une expédition vers le savoir
Chercheur en éducation : chronique d'une expédition vers le savoirChercheur en éducation : chronique d'une expédition vers le savoir
Chercheur en éducation : chronique d'une expédition vers le savoirJoachim De Stercke
 
Nextdata - Cas client Collecte (Orange)
Nextdata - Cas client Collecte (Orange)Nextdata - Cas client Collecte (Orange)
Nextdata - Cas client Collecte (Orange)Nextdata
 
Annual Results and Impact Evaluation Workshop for RBF - Day Five - L’apprenti...
Annual Results and Impact Evaluation Workshop for RBF - Day Five - L’apprenti...Annual Results and Impact Evaluation Workshop for RBF - Day Five - L’apprenti...
Annual Results and Impact Evaluation Workshop for RBF - Day Five - L’apprenti...RBFHealth
 
L'institution culturelle de la photographie HP3
L'institution culturelle de la photographie HP3L'institution culturelle de la photographie HP3
L'institution culturelle de la photographie HP3Olivier Beuvelet
 
Ppt de presentation cqpnl réduite.key
Ppt de presentation cqpnl réduite.keyPpt de presentation cqpnl réduite.key
Ppt de presentation cqpnl réduite.keyCverhelst
 
Tp switch pod4
Tp switch pod4Tp switch pod4
Tp switch pod4mickaelday
 
Tortilla maría y ángela
Tortilla maría y ángelaTortilla maría y ángela
Tortilla maría y ángelaevaleger
 
creaciones efectivas
creaciones efectivascreaciones efectivas
creaciones efectivasMiri Machorro
 

En vedette (20)

Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
MBA comportamiento del consumidor LUIS AREVALO
MBA comportamiento del consumidor LUIS AREVALOMBA comportamiento del consumidor LUIS AREVALO
MBA comportamiento del consumidor LUIS AREVALO
 
Le regard des Français sur les prochaines élections européennes
Le regard des Français sur les prochaines élections européennesLe regard des Français sur les prochaines élections européennes
Le regard des Français sur les prochaines élections européennes
 
Annual Results and Impact Evaluation Workshop for RBF - Day One - Utiliser le...
Annual Results and Impact Evaluation Workshop for RBF - Day One - Utiliser le...Annual Results and Impact Evaluation Workshop for RBF - Day One - Utiliser le...
Annual Results and Impact Evaluation Workshop for RBF - Day One - Utiliser le...
 
Annual Results and Impact Evaluation Workshop for RBF - Day Four - La science...
Annual Results and Impact Evaluation Workshop for RBF - Day Four - La science...Annual Results and Impact Evaluation Workshop for RBF - Day Four - La science...
Annual Results and Impact Evaluation Workshop for RBF - Day Four - La science...
 
Annual Results and Impact Evaluation Workshop for RBF - Day Seven - Presentat...
Annual Results and Impact Evaluation Workshop for RBF - Day Seven - Presentat...Annual Results and Impact Evaluation Workshop for RBF - Day Seven - Presentat...
Annual Results and Impact Evaluation Workshop for RBF - Day Seven - Presentat...
 
Diaporama de la vendée
Diaporama de la vendéeDiaporama de la vendée
Diaporama de la vendée
 
Klesia - Action Sociale
Klesia - Action SocialeKlesia - Action Sociale
Klesia - Action Sociale
 
Presentación del reglamento estudiantil upc
Presentación del reglamento estudiantil upcPresentación del reglamento estudiantil upc
Presentación del reglamento estudiantil upc
 
Chercheur en éducation : chronique d'une expédition vers le savoir
Chercheur en éducation : chronique d'une expédition vers le savoirChercheur en éducation : chronique d'une expédition vers le savoir
Chercheur en éducation : chronique d'une expédition vers le savoir
 
Nextdata - Cas client Collecte (Orange)
Nextdata - Cas client Collecte (Orange)Nextdata - Cas client Collecte (Orange)
Nextdata - Cas client Collecte (Orange)
 
Annual Results and Impact Evaluation Workshop for RBF - Day Five - L’apprenti...
Annual Results and Impact Evaluation Workshop for RBF - Day Five - L’apprenti...Annual Results and Impact Evaluation Workshop for RBF - Day Five - L’apprenti...
Annual Results and Impact Evaluation Workshop for RBF - Day Five - L’apprenti...
 
L'institution culturelle de la photographie HP3
L'institution culturelle de la photographie HP3L'institution culturelle de la photographie HP3
L'institution culturelle de la photographie HP3
 
Ppt de presentation cqpnl réduite.key
Ppt de presentation cqpnl réduite.keyPpt de presentation cqpnl réduite.key
Ppt de presentation cqpnl réduite.key
 
Tp switch pod4
Tp switch pod4Tp switch pod4
Tp switch pod4
 
Animation et capsules historiques
Animation et capsules historiquesAnimation et capsules historiques
Animation et capsules historiques
 
Tortilla maría y ángela
Tortilla maría y ángelaTortilla maría y ángela
Tortilla maría y ángela
 
creaciones efectivas
creaciones efectivascreaciones efectivas
creaciones efectivas
 
Administracion
AdministracionAdministracion
Administracion
 

Similaire à Le « Security by Design » et ses multiples facettes

Quel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfQuel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfErol GIRAUDY
 
M10 module gouvernance et sécurité des si
M10 module gouvernance et sécurité des siM10 module gouvernance et sécurité des si
M10 module gouvernance et sécurité des siquityou
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Philippe Beraud
 
Harmonie Technologie : smart security for digital transformation
Harmonie Technologie : smart security for digital transformationHarmonie Technologie : smart security for digital transformation
Harmonie Technologie : smart security for digital transformationGabrielle Pavia
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationpapediallo3
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webWavestone
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
MS Copilot Security Entra Purview-SAM.pdf
MS Copilot Security Entra Purview-SAM.pdfMS Copilot Security Entra Purview-SAM.pdf
MS Copilot Security Entra Purview-SAM.pdfErol GIRAUDY
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesElodie Heitz
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 

Similaire à Le « Security by Design » et ses multiples facettes (20)

SKYLOG
SKYLOGSKYLOG
SKYLOG
 
Quel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfQuel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdf
 
M10 module gouvernance et sécurité des si
M10 module gouvernance et sécurité des siM10 module gouvernance et sécurité des si
M10 module gouvernance et sécurité des si
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Sécurité BI
Sécurité BISécurité BI
Sécurité BI
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
 
Harmonie Technologie : smart security for digital transformation
Harmonie Technologie : smart security for digital transformationHarmonie Technologie : smart security for digital transformation
Harmonie Technologie : smart security for digital transformation
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & Continuité
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
Présentation OCARA
Présentation OCARAPrésentation OCARA
Présentation OCARA
 
It 78article rm
It 78article rmIt 78article rm
It 78article rm
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201web
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
 
MS Copilot Security Entra Purview-SAM.pdf
MS Copilot Security Entra Purview-SAM.pdfMS Copilot Security Entra Purview-SAM.pdf
MS Copilot Security Entra Purview-SAM.pdf
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 

Plus de Thierry Pertus

Etude de cas PERISKOP : Accidents corporels domestiques
Etude de cas PERISKOP : Accidents corporels domestiquesEtude de cas PERISKOP : Accidents corporels domestiques
Etude de cas PERISKOP : Accidents corporels domestiquesThierry Pertus
 
Tranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruptionTranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruptionThierry Pertus
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésThierry Pertus
 
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...Thierry Pertus
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Thierry Pertus
 
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleSécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleThierry Pertus
 

Plus de Thierry Pertus (6)

Etude de cas PERISKOP : Accidents corporels domestiques
Etude de cas PERISKOP : Accidents corporels domestiquesEtude de cas PERISKOP : Accidents corporels domestiques
Etude de cas PERISKOP : Accidents corporels domestiques
 
Tranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruptionTranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruption
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
Les « Smart Cities » sous l’angle du risque cyber : perspectives et challenge...
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
 
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleSécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité Sociétale
 

Le « Security by Design » et ses multiples facettes

  • 1. Le « Security by Design » et ses multiples facettes Thierry PERTUS Janvier 2015
  • 2. Le « Security by Design » et ses multiples facettes Janvier 2015 p 2 ►Avant-propos En matière de management de la sécurité des systèmes d’information, il est admis que les besoins de sécurité doivent être pris en compte très en amont et tout au long du cycle projet. Si cette démarche méthodologique vertueuse et responsable s’appuie idéalement sur une analyse de risques s’inscrivant dans un processus standardisé et reproductible, l’exercice peut s’avérer particulièrement délicat lorsque le périmètre d’étude comporte des interactions ou adhérences fortes avec un écosystème complexe, hétérogène et pas toujours maîtrisé, ainsi que des actifs informationnels devenant inquantifiables, volatiles et polymorphes *. Par où commencer pour relever ce défi d’aujourd’hui et de demain ? Quelles sont les pistes d’action pour obtenir une assurance sécurité intégrée, dite « built-in », alignée durablement sur les objectifs stratégiques et opérationnels de la DSI, du Métier et de la gouvernance d’entreprise ? Autant de questions ésotériques qui nous amènent à nous intéresser à l’univers très codifié de l’architecture d’entreprise et de l’urbanisation des SI. ►Teaser (Security by Design and its many facets) In terms of security management of information systems, it is recognized that security needs must be taken into account very early on and throughout the project cycle. This commendable and responsible methodological approach is justly based on risk analysis as part of a standardized, repeatable process. But the exercise can prove especially difficult when the field of concern has strong interactions or connections with a complex, heterogeneous ecosystem, which may not always be under control, and with information assets that have become unquantifiable, volatile and polymorphic. Where does one start to address this current and upcoming challenge? What are the courses of action for integrated security assurance, known as "built-in", aligned with the long-term strategic and operational objectives of the CIO, Business Processes and Corporate governance? What may appear to be rather arcane questioning leads us directly to issues regarding the highly codified world of enterprise architecture and urbanization of IS. Vous pouvez lire la version intégrale de l’article dans le magazine Global Security Mag - n° 30 (Trimestriel Janvier-Mars 2015) * 3V (Volume, Vitesse, Variété) caractérisant le Big Data
  • 3. Le « Security by Design » et ses multiples facettes p 3 Un cadre d’architecture pour manager la SSI : une question de « point de vue » Janvier 2015
  • 4. Le « Security by Design » et ses multiples facettes p 4Janvier 2015 ►Des enjeux multiples  s’appuyer sur des composants réputés et avérés fiables, interopérables et maintenus en conditions de sécurité (MCS)  disposer d’un SI efficient et résilient, mais aussi évolutif et réactif (agilité et time-to-market obligent), de façon à soutenir la stratégie d’entreprise et les objectifs opérationnels du Métier ;  apprécier et de contenir les risques cyber pour garantir une certaine « confiance numérique » aux différentes parties prenantes ;  rationaliser les coûts d’investissement et de possession (TCO) et optimiser les délais d’implémentation ou de délivrance des services en support. Pour relever un tel challenge, l’architecture d’entreprise s’avère être LA discipline incontournable, permettant de se doter d’une vision systémique de l’organisation, à partir d’une approche holistique, structurée et partagée, mais également d’un support commun à la réflexion et à la communication, lui conférant la vocation de véritable « clé de voûte » du changement. ►L’architecture d’entreprise (EA) et ses modèles multi-niveaux EA Enterprise Architecture TCO Total Cost of Ownership TIC Technologies de l’Information et de la Communication
  • 5. Le « Security by Design » et ses multiples facettes Stratégie d’entreprise (gouvernance) Pilotage des processus Métier (fonctionnel orienté objets Métier) Urbanisation du SI (fonctionnel orienté applications & données) Architecture technique - TIC (socle technique d’infrastructure) Sécurité des socles systèmes Sécurité des données Sécurité des opérations de traitement Sécurité des socles middleware Sécurité des réseaux et stockages Sécurité des applications Classification de l’information, Gestion des habilitations Gestion de crise COMEX CODIR MOA (Métier) AMOA (CdP SI) MOE Pilotagedelasécuritéopérationnelle Prévention Détection Réaction Veille,Conformité,Contrôleinterne,Sensibilisation Gouvernancedelasécurité Gestion des risques d’entreprise Servicesfédérateursdeconfiance,Continuitéd’activité Exploitation,Maintienenconditiondesécurité, Surveillance,Gestiondesincidentsdesécurité Sécuritéprojets,Ingénierie,Conduiteduchangement (fournisseur, intégrateur, mainteneur) p 5Janvier 2015 ►Correspondance entre domaines d’architecture d’entreprise et domaines de sécurité
  • 6. Le « Security by Design » et ses multiples facettes Facteurs externes de conformité Référentiels internes Démarche méthodologique « top-down » de conduite des projets de transformation •Gouvernance de la sécurité du SI •Appréciation des risques cyber en lien avec les enjeux stratégiques Stratégie d’entreprise •Spécifications des besoins de sécurité pour les actifs informationnels en lien avec les objectifs opérationnels et les impacts potentiels (ex : niveau de sensibilité DICP) Pilotage des processus Métier •Analyse de risques liés à la sécurité du SI •Spécifications des exigences de sécurité et des niveaux de service requis •Plan d’audit / recette / homologation sécurité Urbanisation du SI •Spécifications des fonctions de sécurité et des capacités appropriées •Sélection des services, produits et mécanismes de sécurité appropriés Architecture technique - TIC Exigences de sécurité Composants de sécurité Fonctions de sécurité Principes de sécurité (PSSI) Critères de sécurité / Classification des données Obligations légales, réglementaires et contractuelles Référentiels méthodologiques et techniques (normes, standards, guides) Catalogues (artefacts) à élaborer et faire évoluer Rebouclage « bottom-up » par cycles itératifs (alignement / ajustement) Gestion des risques techniques Gestion des risques fonctionnels Gestion des risques opérationnels p 6Janvier 2015 ►« Vue » sur les activités de sécurité dans les projets
  • 7. Le « Security by Design » et ses multiples facettes p 7 La modélisation par blocs fonctionnels Janvier 2015
  • 8. Le « Security by Design » et ses multiples facettes Fondations (générique) Systèmes communs (transverse) Domaine d’activité (sectoriel) Entreprise (contextuel) Solution Building Block (SBB) / Design pattern Architecture Building Block (ABB) / Architecture pattern Produits et services du marché Produits et services d’un domaine considéré Ex. : Sécurité Produits et services éligibles Produits et services du secteur de l’entreprise Technical Référence Model (TRM) & Standards Information Base (SIB) Recherche de Building Blocks (Etat de l’art, prospective et veille technologique) Réutilisation / adaptation de Building Blocks pour l’entreprise (ex : sécurisation dans le contexte) p 8Janvier 2015 ►Continuum d’architecture et Building Blocks associés (TOGAF)
  • 9. Le « Security by Design » et ses multiples facettes p 9Janvier 2015 ►Catalogues de sécurité (artefacts)
  • 10. Le « Security by Design » et ses multiples facettes Sphère privée (dédié, SI fermé) Sphère communautaire (sectoriel partagé, SI étendu) ex : GIE Sphère publique (partagé, SI ouvert) Souveraineté / autonomie (stratégie de maîtrise opérationnelle) Mutualisation / agilité (stratégie d’optimisation économique) Cloud communautaire Cloud privéCloud public Cloud hybride Virtualisation système Middleware & Runtime Plateforme serveur Applications Réseau & Stockage OS PaaS (on-demand solution stack / dev environment) IaaS (on-demand VM, VDC, VDI) SaaS (web/mobile apps : ERP, xRM, SCM, BI, e-sourcing, office suite, cloud drive, …) BaaS / mBaaS (CMS, UI tools,, MEAP, WS-*, e-payment, Shibboleth, … InfrastructureasaService PlatformasaService SoftwareasaService/[mobile]BackendasaService Opérations BusinessProcessasaService BPaaS (BPO, offshoring) Données DaaS (Marked-metadata databank) DataasaService Infrastucture Datacenter DataCenter asaService DCaaS (hosting, housing) CAPEX OPEX BusinessservicesITservices Niveaudecontrôledel’entreprise Low High IDE, API, EDI On-PremiseOn-PremiseOn-Premise p 10Janvier 2015 ► Cas d’usage : Les différents modèles de cloud computing abordés sous l’angle sécuritaire
  • 11. Le « Security by Design » et ses multiples facettes p 11Janvier 2015 ►Cas d’usage : Un security pattern générique applicable aux systèmes de contrôle industriels (SCI) Source : Industrial Control Systems Security Pattern [SP-023] - OSA (http://www.opensecurityarchitecture.org)
  • 12. Le « Security by Design » et ses multiples facettes p 12 Des référentiels applicables et un programme d’action Janvier 2015
  • 13. Le « Security by Design » et ses multiples facettes • TOGAF, EAM, ArchiMate, DoDAF, MoDAF, FEA, Zachman, SABSA, Urba-EA [FR], Praxeme [FR], … Architecture d’entreprise (EA) • BSC, Matrice BCG (DAS), Porter 5F / value chain, PESTEL, 5 Ws / QQOQCCP [FR], SWOT, ROI, … Stratégie d’entreprise • COSO, ISO 31000, ISO 31010,, ISO/IEC 27005, EBIOS [FR] ,… ; ISO 22301 (SMCA), BP Z74-700 [FR], … Management des risques d’entreprise / conformité (ERM / GRC) ; Continuité d’activité (BCP) • BA-BOK, BPA, BPI, BPM, MOF, XMI, UML, SADT, Merise [FR], BPMN, Six Sigma, SIPOC, 5S, business / use case, supply chain / ISO 28000 (SMSCA), B2B, A2A, B2C, C2C, M2M, … Modélisation / optimisation opérationnelle (processus Métier) • ISO 9001 (SMQ),, Roue de Deming (PDCA),, BPMM, TQM, Lean Six Sigma, Kaizen, EFQM, ISO 9004, CMMI, ISO/IEC 21827, eSCM, … Qualité / Maturité des processus • CobiT, ISO/IEC 38500, ISO/IEC 24762 (DR), ISO/IEC 27001 (SMSI), ISA-99/IEC 62443-2-1 (SMCS), ISO/IEC 29100 (Privacy), … Gouvernance du SI (processus IT) ; Classification de l’information / Données personnelles • PM-BOK, PMP, Prince 2, cycle en V, méthodes de développement agiles / itératives (Scrum, XP, …), … Conduite de projet • DM-BOK, SysML, SoaML, … Urbanisation du SI • ITIL, ISO/IEC 20000 (ITSM), ISO/IEC 27002, ISO/IEC 15408-2 / CC, ISA-99/IEC 62443-3-3, RGS [FR], OSA, … Architecture fonctionnelle de centre de services IT (services IT, fonctions / mesures de sécurité) • Mainframe, ERP, xRM, SCM, BI, SOA / WOA (n-tiers, J2EE/.NET, EAI/ESB, WS (UDDI, SOAP, WSDL, BPEL), DBMS (SQL/NoSQL), PKI, BI), … Architecture applicative / Architecture de données • Cloud computing (IaaS / Paas / SaaS), Virtualisation systèmes (Machines, Apps, Desktops), Virtualisation réseaux (VLAN, VRF), Datacenter (SAN, NAS, Switch Fabric), Backbone MAN / WAN (Metro Ethernet, MPLS, VPN IPsec), Accès local (Ethernet, WiFi), Accès distant (xDSL / FO, HTTPS / VPN TLS / IPsec), Internet Mobile (Wi-Fi hotspot, xG), … Architecture technique infrastructure (virtualisation / systèmes / réseau / stockage) Domaine SSI (IS) Domaine SCI (ICS) p 13Janvier 2015 ►Panorama des principaux référentiels et outils méthodologiques applicables au pilotage des projets de transformation
  • 14. Le « Security by Design » et ses multiples facettes Cartographie des processus et activités critiques (cf. BPM, BPA) Cartographie des données sensibles (cf. classification des données structurées/non structurées) Cartographie des applications critiques / sensibles (cf. SLAs, PAS, …) Cartographie de l’infrastructure et des composants techniques en support (architecture réseau/stockage et télécoms L1/L2/L3, systèmes physiques/virtuels, middleware/SGBD, …) Identification des vulnérabilités potentielles sur les composants critiques / exposés (scan de vulnérabilités, tests d’intrusion, audit de conf, analyse de code, détection des SPOF, …) Identification des scénarios de risques majeurs et cartographie des risques nets (analyse de risques, BIA, use case, …) Plan d’action (application des correctifs/upgrade, mise en conformité des configurations et procédures, …) (gap analysis, PCA/PCI, quickwins, plan de remédiation, contre-audits ,plan de contrôle ,…) 1 2 3 4 5 6 7 p 14Janvier 2015 ►7 steps QuickStart Program pour aligner le niveau de sécurité du SI sur les enjeux Métier
  • 15. Le « Security by Design » et ses multiples facettes p 15 ►Bibliographie Les référentiels du système d'information - Données de référence et architectures d'entreprise (DUNOD) Architecture d’entreprise dans un contexte d’entreprise numérique - 2014 (Club URBA-EA) Architecture et transformation de l’entreprise et du SI - La méthode TOGAF en pratique (EYROLLES) TOGAF en pratique - Modèles d’architecture d’entreprise (DUNOD) TOGAF v9.1 - 2011 (The Open Group) Security Principles for Cloud and SOA - 2011 (The Open Group) Impact du Cloud Computing sur l’Architecture d’Entreprise (CEISAR) La sécurité dans le cloud – Techniques pour une informatique en nuage sécurisée (PEARSON) Security by Design with CMMI for Development, v1.3 - 2013 (CMMI Institute) Cadre Commun d’Urbanisation du Système d’Information de l’Etat, v1.0 - 2012 (DISIC) Janvier 2015
  • 16. Le « Security by Design » et ses multiples facettes p 16 Source* : Star Wars, Episode VI : Le retour du Jedi (Lucasfilm Ltd.) * Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle) Janvier 2015 Vous me confirmez qu’une fois sa construction achevée, cette étoile noire ne souffrira pas des mêmes failles que la précédente ? Affirmatif, Amiral. Par contre, pour des raisons de budget, on a dû réutiliser des bluiding blocks trouvés sur le darknet pour la conception de son bouclier de protection. Eh bien j’ose espérer que nous n’aurons pas à le regretter …
  • 17. Thierry PERTUS Consultant senior CISM, ISO/IEC 27001:2013 LI, ISO/IEC 27005:2011 RM Cybersécurité Powered by securite@conix.fr www.conix.fr Keep control.