ÉVOLUTION DES BONNES              Q        PRATIQUES EN SÉCURITÉ DE       L’INFORMATION AVEC COBIT 5CONFÉRENCIER: MARTIN M...
VOLET GOUVERNANCE                Ordre du jour           Introduction/Objectifs;           Survol de Cobit 5;          ...
INTRODUCTION    COBIT 5 peut être utilisé•Intégralement•Partiellement•En complément                                3
OBJECTIFS – VOLET GOUVERNANCE                             Objectifs Préciser sous le volet de la gouvernance et des aspec...
COBIT 5 VERSUS 4.1•COBIT 5 sappuie et intègre les éléments de laprécédente version de COBIT •   COBIT 4.1 •   Val IT •   R...
NORMES ET BONNES PRATIQUES                             6
PRINCIPAUX ENJEUX DE LA GOUVERNANCE                          DES TI      La gouvernance des TI vise à répondre à 5 objecti...
CRÉATION DE LA VALEUR    Créer de la valeur                         8
9
COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA              CRÉATION DE LA VALEUR                               Analyse               ...
LA DISTINCTION GOUVERNANCE ET                    MANAGEMENT/GESTION       Gouvernance                                     ...
COBIT 5: UN RÉFÉRENTIEL APPLICABLE À         TOUT TYPE D’ORGANISATION Les principes et les catalyseurs développés par COBI...
COBIT 5 ET LA SÉCURITÉ DE L’INFORMATIONCOBIT 5 traite spécifiquement de la sécurité del’information: En mettant l’accent ...
TROIS AVANCÉES MAJEURES EN SÉCURITÉ DE               L’INFORMATION ! COBIT 5 pour la sécurité de l’information;  La sécu...
15
JUSQU’OÙ ALLER DANS LA SÉCURITÉ ?                                    16
CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5                   POUR LA SI                                                  ...
MODÈLE GÉNÉRIQUE POUR LA MISE EN ŒUVRE                         DES CATALYSEURS                                            ...
CATALYSEUR 1: PRINCIPES, POLITIQUES ET        CADRE DE RÉFÉRENCE EN SIVéhicules utilisés pour communiquerles orientations ...
CATALYSEUR 1: PRINCIPES, POLITIQUES ET         CADRE DE RÉFÉRENCE EN SI        CADRE DE RÉFÉRENCE EN SI                   ...
PRINCIPES EN SÉCURITÉ DE L’INFORMATION•Véhicules utilisés pour vulgariser les•Véhicules utilisés pour vulgariser les orien...
PRINCIPES EN SÉCURITÉ DE L’INFORMATION 1. Soutenir les affaires    2. Sécuriser l actifs                             2 Sé ...
POLITIQUES EN SÉCURITÉ DE L’INFORMATIONTraduire sous forme de règles les principes de sécurité définis ainsi que leurs int...
POLITIQUES EN SÉCURITÉ DE L’INFORMATIONTypes de politique                 Portée dans la fonction SI                      ...
POLITIQUES EN SÉCURITÉ DE L’INFORMATIONTypes de politique                Portée dans la fonction SI                       ...
CATALYSEUR 2: PROCESSUS EN SÉCURITÉ DE L’INFORMATION   Les processus décrivent, suivant un ordre séquentiel, les       int...
ARCHITECTURE DE PROCESSUS EN SÉCURITÉ             DE L’INFORMATION                                                        ...
CATALYSEUR 3      STRUCTURES ORGANISATIONNELLES EN SIModèle générique de structure organisationnelle basé sur COBIT 5 pour...
CATALYSEUR 3STRUCTURES ORGANISATIONNELLES EN SI             Comité directeur/sécurité  •Regrouper les spécialistes qui per...
CATALYSEUR 3STRUCTURES ORGANISATIONNELLES EN SI     Comités de gestion des risques d’entreprises  • Responsable de certain...
CATALYSEUR 3STRUCTURES ORGANISATIONNELLES EN SI       Responsable de la sécurité de l’information •Développe une vision co...
CATALYSEUR 3     STRUCTURES ORGANISATIONNELLES EN SIPropriétaires de processus / responsables de la sécurité des données e...
CATALYSEUR 3     STRUCTURES ORGANISATIONNELLES EN SIModèle générique de structure organisationnelle basé sur COBIT 5 pour ...
EXEMPLE DE STRUCTURE ORGANISATIONNELLE       LE COMITÉ DIRECTEUR EN SI (EXEMPLE))                                (        ...
CATALYSEUR 4: ÉTHIQUE, CULTURE ET      COMPORTEMENTS EN SI               Éthique organisationnelle:                       ...
CATALYSEUR 5: INFORMATION                      Gérer le cycle de vie de l’information                                     ...
CATALYSEUR 7: PROFILS ET COMPÉTENCES DES PERSONNES EN SICOBIT 5 pour la sécurité de l’information fournit des exemples d’a...
CATALYSEUR 6 SERVICES, APPLICATIONS ET INFRASTRUCTURES                                      38
39
LA MOBILITÉ AU SEIN DE L’ENTREPRISE, UNE    RÉALITÉ !     Accès aux ressources TI de l’entreprise via différentes platefor...
PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS              À LA MOBILITÉ                Risques physiques: vol,       divulgatio...
PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS              À LA MOBILITÉ  Risques technologiques: propagation  d virus d  de i  ...
PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS              À LA MOBILITÉ        RISQUES ORGANISATIONNELS ET OPÉRATIONNELS:  GEST...
RÉALISER UN DOSSIER D’AFFAIRES SUR LA      MOBILITÉ AU SEIN DE L’ENTREPRISE Réaliser des études d’opportunités:          ...
NORMALISER L’UTILISATION DES SOLUTIONS MOBILES AU SEIN DE L’ENTREPRISE      Normaliser l’utilisation des équipements mobil...
NORMALISER L’UTILISATION DES SOLUTIONS MOBILES AU SEIN DE L’ENTREPRISE      Centrer les efforts de gouvernance sur l’utili...
GÉRER LE CYCLE DE VIE DES ÉQUIPEMENTS                   O     S( O )                MOBILES (BYOD)     Acquisition        ...
48
GOUVERNANCE DANS LE CLOUD                                Réaliser un                                   dossier            ...
GOUVERNANCE DANS LE CLOUD•Gérer de manière efficace les risques reliés au Cloud, les projets et les partenaires•Assurer la...
CONCLUSION                 (VOLET GOUVERNANCE)                (                 )•Réduire la complexité•Accroire la rentab...
CONCLUSION       (VOLET GOUVERNANCE)      (                 )  Les avancées de COBIT 5   Les avancées de COBIT 5  p  perme...
MERCI            Contact : Martin M SamsonDirecteur Exécutif Associé, Sécurité de l’information           martin.samson‐À‐...
Prochain SlideShare
Chargement dans…5
×

Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5

21 125 vues

Publié le

L'évolution des bonnes pratiques de sécurité de l'information et de gestion des services TI selon ITIL®2011 - ISO/CEI 20000 - COBIT®5 (2013-02-06)
Martin Samson (Nurun)

Publié dans : Technologie
1 commentaire
12 j’aime
Statistiques
Remarques
  • dommage qu'on peut pas le telecharger
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
Aucun téléchargement
Vues
Nombre de vues
21 125
Sur SlideShare
0
Issues des intégrations
0
Intégrations
276
Actions
Partages
0
Téléchargements
0
Commentaires
1
J’aime
12
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5

  1. 1. ÉVOLUTION DES BONNES  Q PRATIQUES EN SÉCURITÉ DE  L’INFORMATION AVEC COBIT 5CONFÉRENCIER: MARTIN M. SAMSON, CGEIT, CISM, CRISC… 6 FÉVRIER 2013 http://www.isaca‐quebec.ca
  2. 2. VOLET GOUVERNANCE Ordre du jour  Introduction/Objectifs;  Survol de Cobit 5;  Avancées majeures de  Cobit 5 en sécurité de  l’information:   Gouvernance selon Cobit 5  p pour la sécurité de  l’information;   Gouvernance de la sécurité  des équipements mobiles; des équipements mobiles;  Gouvernance  reliée au  Cloud 2
  3. 3. INTRODUCTION COBIT 5 peut être utilisé•Intégralement•Partiellement•En complément 3
  4. 4. OBJECTIFS – VOLET GOUVERNANCE Objectifs Préciser sous le volet de la gouvernance et des aspects  de gestion, les avancées de COBIT 5 en terme de  sécurité de l’information.Note : Concernant le vocabulaire utilisé…                                ex : Catalyseur/enabler ex : Catalyseur/enabler 4
  5. 5. COBIT 5 VERSUS 4.1•COBIT 5 sappuie et intègre les éléments de laprécédente version de COBIT • COBIT 4.1 • Val IT • Risk IT • Bussiness Model for Infornation Security (BMIS)•Les entreprises peuvent sappuyer sur les outilsqqu’ils ont développés à laide des versions ppantérieures… 5
  6. 6. NORMES ET BONNES PRATIQUES 6
  7. 7. PRINCIPAUX ENJEUX DE LA GOUVERNANCE  DES TI La gouvernance des TI vise à répondre à 5 objectifs de  contrôle:  Aligner les investissements  TI 1 sur les besoins d’affaires. Évaluer et gérer les risques 2 technologiques et d’affaires S’assurer que les  5 investissements TI  sont  Création de sources de plus value Gérer les ressources humaines  la valeur3 et matérielles4 Mesurer la performance des TI 7
  8. 8. CRÉATION DE LA VALEUR Créer de la valeur 8
  9. 9. 9
  10. 10. COBIT 5: UN RÉFÉRENTIEL AXÉ SUR LA  CRÉATION DE LA VALEUR Analyse  risques Traitement  risques i Suivi et  contrôle Réduire risques àGérer ressources TI Créer de la valeur un niveau de l’organisation acceptableCOBIT 5 aide les organisation à créer de la valeurpar la gestion équilibrée des ressources TI et laréduction des risques à un niveau acceptable. 10
  11. 11. LA DISTINCTION GOUVERNANCE ET  MANAGEMENT/GESTION Gouvernance Management/Gestion Planifier Évaluer . Surveiller Concevoir Diriger . Processus Mesurer M Réaliser Gouvernance: évaluer diriger mesurer la réalisation des objectifs d affaires, évaluer, diriger, d’affairesainsi que la conformité aux lois et règlements.La gouvernance relève du conseil d’administration sous la direction du Président Management/Gestion: planifier, concevoir, réaliser et surveiller la mise enœuvre des orientations d’affaires définies par la gouvernance.Le management est sous la responsabilité de la Direction générale qui relève duCEO (chief executive officer) 11
  12. 12. COBIT 5: UN RÉFÉRENTIEL APPLICABLE À  TOUT TYPE D’ORGANISATION Les principes et les catalyseurs développés par COBIT 5sont applicables aux organisations de toute sorte et detoute taille: ill  Organisations gouvernementales et municipales;  Firmes de services-conseils;  Organisations industrielles et commerciales; i l  Établissements bancaires, d’assurances;  Organisations sans but lucratif (OSBL)... 12
  13. 13. COBIT 5 ET LA SÉCURITÉ DE L’INFORMATIONCOBIT 5 traite spécifiquement de la sécurité del’information: En mettant l’accent sur la nécessité d’un système de gestion de la sécurité de l’information aligné sur le domaine g “Align, Plan and Organise” notamment le processus APO13 Gestion de la sécurité de l’information; Le processus APO13 met l’emphase sur la nécessité d un l emphase d’un système de gestion de la sécurité de l’information (SGSI) pour soutenir les principes de gouvernance et les objectifs d affaires d’affaires impactés par la sécurité, en liaison avec le domaine « Evaluate, direct and monitor » 13
  14. 14. TROIS AVANCÉES MAJEURES EN SÉCURITÉ DE  L’INFORMATION ! COBIT 5 pour la sécurité de l’information;  La sécurité des équipements mobiles avec La sécurité des équipements mobiles avec COBIT 5 Objectifs de contrôle TI pour le Cloud j p 14
  15. 15. 15
  16. 16. JUSQU’OÙ ALLER DANS LA SÉCURITÉ ? 16
  17. 17. CATALYSEURS DE LA GOUVERNANCE SELON COBIT 5  POUR LA SI 4. Éthique, 2. Processus 3. Structure organisationnelle culture organisationnelle 1. Principes, Politiques, Cadre de référence  5 Information 5. 6 Services applications 6. Services, 7 Profils de personnes 7. et infrastructure et compétences Ressources de l’Organisation 17
  18. 18. MODÈLE GÉNÉRIQUE POUR LA MISE EN ŒUVRE  DES CATALYSEURS Approche selon Cobit 5 pour la SI Parties prenantes Objectifs Cycle de vie Bonnes pratiques Dimensions s catalyseur • Qualité intrinsèque; Planifier, Modéliser, •Internes; concevoir, acquérir, •Qualité contextuelle; Adapter selon le opérer, évaluer, •Externes. •Accessibilité et catalyseur mettre à jour, sécurité disposer Les besoins des parties  A ‐ t‐on défini les  Le cycle de vie  Applique t‐on les  prenantes sont ils  prenantes sont ilsperformance e objectifs ? est‐il géré ? bonnes pratiques ? catalyseur adressés ? Gestion Métriques pour mesurer l’atteinte des objectifs Métriques pour l’application des catalyseurs é (Lag indicators) (Lead indicators) 18
  19. 19. CATALYSEUR 1: PRINCIPES, POLITIQUES ET  CADRE DE RÉFÉRENCE EN SIVéhicules utilisés pour communiquerles orientations de l’entreprise enrelation avec l objectifs d l ti les bj tif degouvernance définis par le conseild’administration et la Directionexécutive. 19
  20. 20. CATALYSEUR 1: PRINCIPES, POLITIQUES ET  CADRE DE RÉFÉRENCE EN SI CADRE DE RÉFÉRENCE EN SI Approche selon Cobit 5 pour la SI Politiques Intrants Principes en sécurité • Informations obligatoires; • Standards, normes de  Politique de sécurité sécurité; • Modèles et référentiels Politiques spécifiques de sécurité •Informations génériques; Procédures de sécurité • Standards, normes de  sécurité;Exigences de sécurité et documentation • Modèles et référentiels 20
  21. 21. PRINCIPES EN SÉCURITÉ DE L’INFORMATION•Véhicules utilisés pour vulgariser les•Véhicules utilisés pour vulgariser les orientations de sécurité en relation avec les objectifs de gouvernance.•ISACA ISF et ISC ont développé des•ISACA, ISF et ISC ont développé des principes en SI orientés sur 3 axes:  21
  22. 22. PRINCIPES EN SÉCURITÉ DE L’INFORMATION 1. Soutenir les affaires 2. Sécuriser l actifs 2 Sé i les tif 3. Sensibiliser les• Intégrer la SI dans les • Définir une approche ressourcesactivités d’affaires formelle pour gérer les •Sensibilisation afinessentielles; risques; d obtenir d’obtenir des réflexes•Évaluer et traiter les •Catégoriser/classifier de sécurité;risques de sécurité; les actifs;•Promouvoir une culture •Adopter des méthodes •Implication de lad améliorationd’amélioration continue en de développement haute directionSI sécuritaire 22
  23. 23. POLITIQUES EN SÉCURITÉ DE L’INFORMATIONTraduire sous forme de règles les principes de sécurité définis ainsi que leurs interrelations avec les processus décisionnels. Doivent être adaptées à la culture et au contexte organisationnel de l’entreprise. Types de politiqueTypes de politique Portée dans la fonction SI Portée dans la fonction SI  Analyse d’impact d’affaires (BIA);  Plans de contingence d’affaires; g• P liti Politique de continuité et de  d ti ité t d Exigences de relève pour les systèmes reprise après sinistre critiques;  Plan de reprise après sinistre (DRP);  Formation et tests du plan de reprise…. 23
  24. 24. POLITIQUES EN SÉCURITÉ DE L’INFORMATIONTypes de politique Portée dans la fonction SI  Classification des données;  Propriété des données; •Politique de gestion des actifs Gestion du cycle de vie des actifs; Gestion du cycle de vie des actifs; Mesures de protection des actifs… 24
  25. 25. POLITIQUES EN SÉCURITÉ DE L’INFORMATIONTypes de politique Portée dans la fonction SI Définir les exigences de sécurité dans les  Définir les exigences de sécurité dans les processus d’acquisition ou de • Politique d’acquisition, de  développement;développement et maintenance  Pratiques de codage sécuritaire; pp q g ;des systèmes et solutions  Tester tester tester…logicielles  Intégrer la sécurité de linformation  dans la gestion des changements et des  configurations. 25
  26. 26. CATALYSEUR 2: PROCESSUS EN SÉCURITÉ DE L’INFORMATION Les processus décrivent, suivant un ordre séquentiel, les  intrants et extrants nécessaires pour l’atteinte des  objectifs de contrôle en sécurité de l’information. bj tif d t ôl é ité d l’i f ti Composants des processus selon Cobit 5 pour la SI Identifier le processus Identifier le processus Décrire le processus Définir le processus Définir les buts et métriques du processus Activités du processus (Description détaillée ) 26
  27. 27. ARCHITECTURE DE PROCESSUS EN SÉCURITÉ  DE L’INFORMATION Area: ManagementAPO001 Manage the IT Management Framework Domain: APODescription du processus: Clarifier et maintenir la gouvernance TI au sein de lentreprise. Mettre en œuvre et promouvoir les mécanismes et l’autorité nécessaire pour gérer linformation et lutilisation des TI à lappui des objectifs de gouvernance.Déclaration d’intentionFournir une approche de gestion cohérente afin de réaliser les exigences de gouvernance dentreprise incluant les processus de gestion, et les structures organisationnelles (rôles et responsabilités) ... Objectifs spécifiques à la sécurité Métriques spécifiques à la sécurité1. S’assurer de l’alignement de la sécurité avec les TI, cadres  • % des activités de sécurité à l’intérieur du portefeuille de projets qui sont méthodologiques et référentiels d’entreprise. alignés sur la stratégie dentreprise. Description détaillée des activités (exemple) Description détaillée des activités (exemple) Intrants  ExtrantsAPO01.06:   APO01.05 : Définition et  APO11.01: Rôles et responsabilités en SIDéfinir la propriété des données et des systèmes. positionnement de la fonction SI  à l’intérieur de l’organisation. g DSS05.02 : Lignes directrices pour la classification des  données.  Activités spécifiques à la sécurité: 1.Définir  la propriété des systèmes et des données à l’intérieur des processus de gestion de la sécurité;2.Assigner un responsable de la sécurité des systèmes et des données à l’intérieur des processus de gestion de la sécurité 27
  28. 28. CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SIModèle générique de structure organisationnelle basé sur COBIT 5 pour la SI. CISO Responsabilités du CISO : p • Établir et maintenir le SMSI • Définir et gérer le plan de gestion/traitement des risques et le plan de reprise • Contrôle et audit du SMSI Niveau dautorité : Responsable/imputable de la mise en œuvre et du maintien de la stratégie de sécurité de linformation. La dditi d L reddition de comptes (imputabilité) et lapprobation des t (i t bilité) t l b ti d décisions importantes reliées à la sécurité de l’information. 28
  29. 29. CATALYSEUR 3STRUCTURES ORGANISATIONNELLES EN SI Comité directeur/sécurité •Regrouper les spécialistes qui permettront de bien gérer la sécurité de l’information en g entreprise. Exemples : RH-Auditeurs internes-Légal etc. •Communication des bonnes pratiques de sécurité de l’information de même que leur implantation t i i i l t ti et suivi. 29
  30. 30. CATALYSEUR 3STRUCTURES ORGANISATIONNELLES EN SI Comités de gestion des risques d’entreprises • Responsable de certains processus ou applications d’affaires d affaires •Responsable de communiquer les liens entre les affaires et la sécurité (impacts sur les usagers) •Connaissance des risq es reliés à l’opération de Connaissance risques même que les coûts/bénéfices des besoins de sécurité pour les directions 30
  31. 31. CATALYSEUR 3STRUCTURES ORGANISATIONNELLES EN SI Responsable de la sécurité de l’information •Développe une vision commune pour l’équipe de sécurité et le reste de l’entreprise •Gère le personnel relié à l sécurité d l’i f Gè l l lié la é ité de l’information ti en fonction des besoins d’affaires •Effectue les évaluations de risque et définit les profils de risque •Développe le plan de sécurité de l’information •Surveille les indicateurs de gestions reliés à la SI •Identifie/communique les besoins en sensibilisation Identifie/communique •Responsable de l’adhésion des ressources et de la haute direction aux bonnes pratiques de sécurité 31
  32. 32. CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SIPropriétaires de processus / responsables de la sécurité des données et des systèmes •Communiquer, coordonner et conseiller l’entreprise sur les efforts requis pour gérer les risques avec les gestionnaires hiérarchiques •Rapporte les changement dans les besoins d’affaires et les stratégies liés aux nouveaux produits ou aux changements des produits existants •Responsable de rendre plus visible les aspects de sécurité de l’information au travers de toute l information l’entreprise. 32
  33. 33. CATALYSEUR 3 STRUCTURES ORGANISATIONNELLES EN SIModèle générique de structure organisationnelle basé sur COBIT 5 pour la SI. CISO Collabore avec  C ll b Comité directeur en sécurité Comités de gestion des risques  d’entreprises Soutenus par:   Propriétaires de processus /  P iét i d / Responsable de la sécurité de  responsables de la sécurité des  l’information données et des systèmes 33
  34. 34. EXEMPLE DE STRUCTURE ORGANISATIONNELLE  LE COMITÉ DIRECTEUR EN SI (EXEMPLE)) ( Comité directeur en SI Composition Responsabilités • Préside le comité directeur en SI; Chief Information security officer  • S’assure de la collaboration entre le comité directeur et le comité de gestion des risques d’entreprise (CISO) • Responsable de la sécurité de l’information à la grandeur de l’entreprise.  Conception des communications, mise en œuvre et suivi des pratiquesResponsable de la sécurité de l’information Lorsque requis, traite de la conception des solutions avec les architectes en sécurité de l’information  afin de mitiger les risques identifiés. • Responsable de certains processus ou applications d’affaires; Propriétaires de processus /  • Responsable de la communication de certaines initiatives d’affaires qui peuvent avoir des incidences responsables de la sécurité des  sur la sécurité de l’information, ou de pratiques qui peuvent impacter les utilisateurs finaux;données et des systèmes données et des systèmes b éh d é l l û bé éf d l é éd • Avoir une bonne compréhension des risques opérationnels, les coûts et bénéfices de la sécurité de  l’information ainsi que les exigences de sécurité de leurs domaines d’affaires. Gestionnaires TI Formalise des rapports sur létat des TI ainsi que les initiatives liées à la sécurité de linformation Présence de certaines fonctions spécialisées lorsque requis (représentants de laudit interne, ressources  humaines, juridiques, la gestion du projet); h i j idi l ti d j t)Représentants de fonctions  Ces fonctions peuvent être invitées à loccasion ou en tant que membres permanents. spécialisées Possibilité davoir des représentants de laudit interne afin de conseiller le comité sur les risques de  conformité. 34
  35. 35. CATALYSEUR 4: ÉTHIQUE, CULTURE ET  COMPORTEMENTS EN SI Éthique organisationnelle: « Valeurs sur lesquelles l’organisation veut évoluer » Éthique individuelle « Valeurs intrinsèques à chaque individu au sein de  l’organisation »  Leadership « Moyens pouvant influencer le comportement désiré » Comportement 1 Comportement 2 Comportement 3 Comportement n …8 Prise en compte Respect de Chacun est  Les parties de la sécurité de limportance des   responsable de la  prenantes sont  l’information l information dans principes et politiques  principes et politiques protection de  protection de sensibles aux  sensibles aux les opérations en sécurité de  l’information au sein  risques en sécurité  quotidiennes. l’information de lentreprise de l’information 35
  36. 36. CATALYSEUR 5: INFORMATION Gérer le cycle de vie de l’information  Identifier, collecter  Identifier collecter S’assurer de la destruction  et classifier  sécurisée de l’information l’information.  Stockage de linformation  (fichiers électroniques, S’assurer de la disponibilité  bases de données,  de l’intégrité et de la  entrepôts de données….) confidentialité de  l’information   Utilisation de l’information (décisions  de gestion, exécution des processus  automatisés…..) 36
  37. 37. CATALYSEUR 7: PROFILS ET COMPÉTENCES DES PERSONNES EN SICOBIT 5 pour la sécurité de l’information fournit des exemples d’aptitudes  et de compétences liés à la fonction  SI (un exemple). Spécialiste en gouvernance de la sécurité Exigences Description Plusieurs années dexpérience en SI:  • Concevoir et mettre en œuvre des politiques de sécurité informatique;Expériences • S’assurer de la conformité avec la réglementation externe; • Aligner la stratégie de sécurité de linformation avec la gouvernance d’entreprise; • Communiquer avec la direction exécutiveCertifications pertinentes CISM Aptitudes : • Définir les mesures de sécurité spécifiques à la gouvernance de la SI • Créer un modèle de mesure de la performance  • Élaborer une analyse de rentabilité des investissements en sécurité de l’informationConnaissances Connaissances: • Exigences légales et réglementaires concernant la sécurité des informations • Rôles et responsabilités nécessaires à la sécurité de linformation dans toute lentreprise • Concepts fondamentaux en gouvernance de la SI • Normes internationales, cadres référentiels et bonnes pratiques… 37
  38. 38. CATALYSEUR 6 SERVICES, APPLICATIONS ET INFRASTRUCTURES 38
  39. 39. 39
  40. 40. LA MOBILITÉ AU SEIN DE L’ENTREPRISE, UNE  RÉALITÉ ! Accès aux ressources TI de l’entreprise via différentes plateformes et connexions réseau. Serveur d’annuaires Serveur web Internet Stockage Serveur fichiers Pare-feu Serveur Serveur BD messagerieAccès depuis des réseaux publics(aérogares, hôtels, restaurants….) Accès utilisateurs, réseau interne 40
  41. 41. PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS  À LA MOBILITÉ Risques physiques: vol, divulgation d’informations confidentiellesL’avènement de la mobilité comporte comme corollaire un accroissement  exponentiel des risques de sécurité.  41
  42. 42. PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS  À LA MOBILITÉ Risques technologiques: propagation d virus d de i dans t t l’i f t t toute l’infrastructure … 42
  43. 43. PRINCIPAUX RISQUES DE SÉCURITÉ ASSOCIÉS  À LA MOBILITÉ RISQUES ORGANISATIONNELS ET OPÉRATIONNELS: GESTION DES ÉQUIPEMENTS MOBILES, ESPIONNAGE INDUSTRIEL…. 43
  44. 44. RÉALISER UN DOSSIER D’AFFAIRES SUR LA  MOBILITÉ AU SEIN DE L’ENTREPRISE Réaliser des études d’opportunités:  Dossier d’affairesL utilisation d équipements mobiles doit être liée à une Lutilisation d’équipements mobiles doit être liée à unerecherche d’efficacité et d’efficience dans la réalisation des  objectifs d’affaires;   Plus value et bénéfices: Plus‐value et bénéfices: S’assurer que l’utilisation d’équipements mobiles est source de valeur ajoutée au sein de l’organisation;Risques: Identifier et évaluer les risques technologiques Identifier et évaluer les risques technologiques(interopérabilité), d’affaires et de sécurité liés à la mobilité 44
  45. 45. NORMALISER L’UTILISATION DES SOLUTIONS MOBILES AU SEIN DE L’ENTREPRISE Normaliser l’utilisation des équipements mobiles Politique de sécurité Politique d’utilisation des équipements  Politiques et normes mobiles Gestion des équipements mobiles (MDM) Règles de sécurité Gestion de la configuration Équipements Mobiles Gestion à distance Définir noyau des applicatifs 45
  46. 46. NORMALISER L’UTILISATION DES SOLUTIONS MOBILES AU SEIN DE L’ENTREPRISE Centrer les efforts de gouvernance sur l’utilisateur Politique de sécurité Politique d’utilisation des équipements  Politiques et normes mobiles Utilisateur Exigences minimales Acceptation des règles Équipements Mobiles Gestion  par l’utilisateur Applications à risque 46
  47. 47. GÉRER LE CYCLE DE VIE DES ÉQUIPEMENTS  O S( O ) MOBILES (BYOD) Acquisition Gestion des Mise à dispositions desd’équipements mobiles q p équipements mobiles équipements mobiles• Contrat d’achat • Configuration (profil • Formatage / (clause de sécurité, de sécurité utilisateur), utilisateur) gestion de destruction physique; responsabilité…) la sécurité; • Gestion des• Cycle de test des • Services et utilisateurs; équipements; maintenance; • Opérations parallèles• Personnalisation • Gestion des risques / (privilèges utilisateurs) incidents de sécurité 47
  48. 48. 48
  49. 49. GOUVERNANCE DANS LE CLOUD Réaliser un  dossier  d’affaires Assurer la Conformité  continuité  légale des affaires Gérer les  risques du  risques duIntégrité Cloud Gestion de la  Confidentialité performance 49
  50. 50. GOUVERNANCE DANS LE CLOUD•Gérer de manière efficace les risques reliés au Cloud, les projets et les partenaires•Assurer la continuité des affaires au‐delà du centre de traitement informatique de l’entreprise C i l i tl bj tif l tif Cl d t t à l’i t ’à•Communiquer clairement les objectifs relatifs au Cloud tant à l’interne qu’à l’externe•Adaptation rapide, flexibilité , capacité et services… tout change avec le Cloud•Création d’opportunités et amélioration des coûts•Assurer une continuité des connaissances•Assurer une continuité des connaissances • Gérer la conformité 50
  51. 51. CONCLUSION  (VOLET GOUVERNANCE) ( )•Réduire la complexité•Accroire la rentabilité et la satisfaction des clientèles•Améliorer l’intégration de la sécurité des TI dans l’entreprise•Prise de décision éclairées avec une meilleure connaissance des risques• Amélioration de la prévention, détection et reprise des opération• Réd ti d i Réduction des impacts d i id t d sécurité t des incidents de é ité• Meilleure gestion budgétaire des coûts liés à la sécurité de l’information•Distinction entre la gouvernance et la gestion• Meilleure compréhension de la sécurité des TI 51
  52. 52. CONCLUSION  (VOLET GOUVERNANCE) ( ) Les avancées de COBIT 5  Les avancées de COBIT 5 p permettent une prise en  pcompte de bout en bout des préoccupations de sécurité pour l’entreprise 52
  53. 53. MERCI Contact : Martin M SamsonDirecteur Exécutif Associé, Sécurité de l’information martin.samson‐À‐nurun.com 418‐627‐0999 poste 55395 53

×