ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L’INFORMATION AVEC COBIT 5CONFÉRENCIER: ELHADJI NIANG, CISA6 FÉVRIER 2013   ...
OBJECTIFS – VOLET EXPLOITATIONObjectif  Présenter sous le volet de l’exploitation la mise en œuvre   des principes en séc...
VOLET EXPLOITATION                  Ordre du jour           Introduction;           Avancées majeures de Cobit 5 au     ...
INTRODUCTION Dépendance accrue de l’organisation aux systèmes et applicationsinformatiques; Importance de la sécurité et...
5
MODÈLE D’AFFAIRES POUR LA SÉCURITÉ DE        L’INFORMATION (BMIS) Le modèle d’affaires pour la sécurité de l’information,...
MÉTRIQUES DE PERFORMANCE EN SÉCURITÉ   DE L’INFORMATION SELON COBIT 5Cobit 5 pour la sécurité de l’information propose un ...
8
ARCHITECTURE DE SÉCURITÉ DES SYSTÈMES                        ET APPLICATIONS          Définir des principes architecturaux...
SÉCURITÉ AU NIVEAU DU DÉVELOPPEMENTFavoriser des pratiques de codages sécuritaires et adaptées àtout type de langages et d...
ÉVALUER LE NIVEAU DE SÉCURITÉ DE                   L’INFRASTRUCTURERéaliser une évaluation du niveau desécurité de l’infra...
ALIGNER LA CONFIGURATION AVEC LES       BESOINS ET L’ARCHITECTURE DE SÉCURITÉS’assurer de la configuration dans une perspe...
GÉRER LES ACCÈS UTILISATEURS EN LIEN         AVEC LES BESOINS D’AFFAIRESMettre en œuvre un dispositif comportant les fonct...
MODÈLE GÉNÉRIQUE DE GESTION DES ACCÈS           BASÉ SUR LE BESOIN D’AFFAIRESEmbauche Création d’une identité; Création ...
PROTECTION CONTRE LE CODE MALICIEUX ET            LES INTRUSIONSPlanifier, mettre en œuvre, et maintenir des mécanismes ef...
PROCESSUS DE GESTION DES INCIDENTS DE               SÉCURITÉProcessus visant à encadrer les activités de détection, deréac...
SURVEILLANCE ET SERVICES D’ALERTES DE                   SÉCURITÉMettre en œuvre une solution desurveillance en temps réel ...
18
LA SÉCURITÉ DES ÉQUIPEMENTS MOBILES AU        NIVEAU DE L’EXPLOITATIONRechercher l’équilibre entre le durcissement deséqui...
STRATÉGIE DE DÉFENSE EN PROFONDEUR                  DES ÉQUIPEMENTS MOBILES       Définir et corréler plusieurs lignes de ...
SÉCURITÉ DES OS DES ÉQUIPEMENTS                 MOBILESOS principalement conçus pour une multiplicité d’usages privéset pu...
SÉCURITÉ DES APPLICATIONS DES           ÉQUIPEMENTS MOBILESNiveau élevé de risques de sécurité compte tenu de ladiversité ...
OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ       DES ÉQUIPEMENTS MOBILESDes objectifs de contrôles adaptés aux applicationsmob...
SÉCURITÉ DES CONNEXIONS RÉSEAU DES         ÉQUIPEMENTS MOBILESDiversité de connectivité avec les équipements mobiles(résea...
OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ          DES CONNEXIONS RÉSEAUX Adapter les contrôles de sécurité avec les types de...
SÉCURITÉ DES CARTES SIMCartes SIM souvent conçus pour permettre uninterfaçage avec une multiplicité d’équipements;Implémen...
OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ             DES CARTES SIML’interfaçage des cartes SIM avec une multiplicitéd’équip...
SÉCURITÉ DES UNITÉS DE STOCKAGE DES          ÉQUIPEMENTS MOBILESDes équipements mobiles dotés d’unités de stockage deplus ...
OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ        DES UNITÉS DE STOCKAGEPrendre en compte les objectifs de contrôles suivantsa...
SÉCURITÉ DES FONCTIONNALITÉS À       DISTANCE (GÉO LOCALISATION…)Des fonctionnalités à distance de type géo localisationde...
OBJECTIFS DE CONTRÔLE POUR LES       FONCTIONNALITÉS À DISTANCECompte tenu de l’utilité de certaines fonctionnalités àdist...
AUDITS PÉRIODIQUES DES ÉQUIPEMENTS                 MOBILESOutre les normes d’audits d’ISACA (indépendance professionnelle,...
33
DIFFÉRENTES FORMES D’UTILISATION DE             L’INFONUAGIQUE Infrastructure as a service (IAAS) : Utilisation des capac...
RISQUES DE SÉCURITÉ ASSOCIÉS À              L’INFONUAGIQUEPlusieurs risques de sécurité peuvent découler de l’utilisationd...
OBJECTIFS DE CONTRÔLE TI DANS LE CADRE           DE L’INFONUAGIQUE S’assurer dans les contrats avec les fournisseurs de s...
OBJECTIFS DE CONTRÔLE TI DANS LE CADRE           DE L’INFONUAGIQUE S’assurer dans les contrats avec les fournisseurs de s...
OBJECTIFS DE CONTRÔLE TI AU NIVEAU DE                 L’EXPLOITATION Administration des Surveillance réseau             Ge...
39
DÉMARCHE DE RÉALISATIONDéfinir les étapes clés de la réalisation du mandat d’auditsuivant les normes d’audit d’ISACA Appro...
DÉMARCHE DE RÉALISATIONDéfinir et compléter la grille d’audit suivant les objectifsde contrôle de Cobit                   ...
DÉMARCHE DE RÉALISATIONCalculer le niveau de maturité à l’aide de l’outildéveloppé par l’IT/GI        Compléter les énoncé...
EXEMPLE D’ARCHITECTURE DE PROCESSUS  (à définir dans les recommandations)                                         43
CONCLUSIONCobit 5 ainsi que les publications associées, offrent suivantune dimension sécurité, des processus en mesured’en...
MERCI POUR VOTRE ATTENTION !!!      Courriel: elhadji.niang@nurun.com                                          45
Prochain SlideShare
Chargement dans…5
×

Évolution des bonnes pratiques en sécurité de l’information

28 798 vues

Publié le

L'évolution des bonnes pratiques de sécurité de l'information et de gestion des services TI selon ITIL®2011 - ISO/CEI 20000 - COBIT®5 (2013-02-06)
Elhadji Niang (Nurun)

Publié dans : Technologie
0 commentaire
7 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
28 798
Sur SlideShare
0
Issues des intégrations
0
Intégrations
41
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
7
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Évolution des bonnes pratiques en sécurité de l’information

  1. 1. ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L’INFORMATION AVEC COBIT 5CONFÉRENCIER: ELHADJI NIANG, CISA6 FÉVRIER 2013 http://www.isaca-quebec.ca
  2. 2. OBJECTIFS – VOLET EXPLOITATIONObjectif  Présenter sous le volet de l’exploitation la mise en œuvre des principes en sécurité de l’information de Cobit 5, au niveau des applications et infrastructures TI de l’organisation. 2
  3. 3. VOLET EXPLOITATION Ordre du jour  Introduction;  Avancées majeures de Cobit 5 au niveau de l’exploitation: 1. Prise en compte du BMIS; 2. Définition d’indicateurs de performance pour l’exploitation de l’infrastructure  Sécurité des applications et de l’infrastructure;  Sécurité des équipements mobiles;  Objectifs de contrôles TI dans l’infonuagique;  Retour d’expérience mise en œuvre processus Cobit. 3
  4. 4. INTRODUCTION Dépendance accrue de l’organisation aux systèmes et applicationsinformatiques; Importance de la sécurité et de la confidentialité de l’information ; Dans un tel contexte, la prise en compte de la sécurité au niveau del’exploitation est un enjeu critique pour le succès des opérations. 4
  5. 5. 5
  6. 6. MODÈLE D’AFFAIRES POUR LA SÉCURITÉ DE L’INFORMATION (BMIS) Le modèle d’affaires pour la sécurité de l’information,un descriptif approfondi qui examine les aspects desécurité au sein de l’entreprise dans une perspectivesystémique. Organisation Processus Personnes Technologies 6
  7. 7. MÉTRIQUES DE PERFORMANCE EN SÉCURITÉ DE L’INFORMATION SELON COBIT 5Cobit 5 pour la sécurité de l’information propose un ensemble demétriques pour mesurer la performance des objectifs de contrôles misesen œuvre au niveau de l’exploitation. Capacités de services Objectif qualité Métriques • Nombre d’entité ou de services qui n’utilisent pas les servicesFournir des services d’authentification Authentification complète etd’authentification • Exhaustivité des facteurs exacte de toute entité / service dauthentification qui répondent aux exigences de sécurité • Nombre de transactions Service d’approvisionnement d’approvisionnement en sécuritéFournir un service précis complet et à jour de tous incomplète • Nombre de transactionsd’approvisionnement en les services et éléments de d’approvisionnement en sécuritésécurité de l’information sécurité pour les entités ou inexacte services •Moyenne des retards des services d’approvisionnement en sécurité 7
  8. 8. 8
  9. 9. ARCHITECTURE DE SÉCURITÉ DES SYSTÈMES ET APPLICATIONS Définir des principes architecturaux applicables à toute l’infrastructure suivant une vision d’ensemble : Affaires, informations, applications et infrastructure. Définir des capacités de services supportés par des outils et bonnes pratiques mesurés par des indicateurs de performance. Vue Approche proactive pour prévenir les affaires Gestion sécuritaire de la incidents consécutifs à des failles de configuration, afin de réduire les coûts configuration Via une configuration sécuritaire et standardisée Vueinformations Soutenue par: CMDB; Technologies et bonnes Outils scan vulnérabilités; pratiques Outils de surveillance; Vue Solutions auditapplications Mesurées par: Nbre erreurs de configuration; Nbre de configurations Vue Métriques de standardisés; performance % de changmts autorisés Vs nonInfrastructure autorisés; .......... 9
  10. 10. SÉCURITÉ AU NIVEAU DU DÉVELOPPEMENTFavoriser des pratiques de codages sécuritaires et adaptées àtout type de langages et d’environnements;Développer et maintenir des bibliothèques sécurisées.La preuve par l’exemple (inspirée du SDLC de Microsoft): Dynamique récurrente Démarche proactive Modéliser les menaces de sécurité Nommer un coach responsable de l’ensemble des ressources de la sécurité du projet systèmes Utiliser des outils d’analyses Réaliser des tests de sécurité ciblés statiques de codes Réaliser des revues finales de Réaliser les mises à jour correctives sécurité avant mise en production 10
  11. 11. ÉVALUER LE NIVEAU DE SÉCURITÉ DE L’INFRASTRUCTURERéaliser une évaluation du niveau desécurité de l’infrastructure Infrastructure technologiquetechnologique;Utiliser des outils adaptés à l’envergure Outils d’analyses techniqueset à la criticité de votre infrastructureSuite à la corrélation des résultats de Corrélation desl’analyse, définir le niveau de risque résultats d’analyseacceptable ainsi que les mesures demitigation appropriées; 11
  12. 12. ALIGNER LA CONFIGURATION AVEC LES BESOINS ET L’ARCHITECTURE DE SÉCURITÉS’assurer de la configuration dans une perspective d’ensemblede tous les composants de l’infrastructure (systèmes, bases dedonnées, applications et équipements réseaux ). Durcir la configuration des systèmes en conformité . avec les exigences de l’architecture de sécurité et des bonnes pratiques. S’assurer de la sécurité des applications (messages d’erreurs, limitation temps de . session…). Utilisez des outils spécialisés de type Web application configuration analyzer S’assurer de la configuration sécurisée de tous les . équipements, désactiver tous les services, ports, protocoles non utilisés. 12
  13. 13. GÉRER LES ACCÈS UTILISATEURS EN LIEN AVEC LES BESOINS D’AFFAIRESMettre en œuvre un dispositif comportant les fonctionnalitésde sécurité nécessaires pour la création de compteutilisateurs et la gestion des habilitations;Gérer et maintenir à jour un service d’authentification alignésur la criticité des actifs;S’assurer de l’efficacité et l’efficience des mécanismes deretrait et d’annulation des droits d’accès et privilègesutilisateurs. 13
  14. 14. MODÈLE GÉNÉRIQUE DE GESTION DES ACCÈS BASÉ SUR LE BESOIN D’AFFAIRESEmbauche Création d’une identité; Création de compte; Départ: Octroi des droits  Suppression de d’accès; l’identité; Définition des  Suppression des autorisations. comptes, droits d’accès et autorisations associés. Changement d’unité administrative  Modification des droits d’accès;  Révision des autorisations. 14
  15. 15. PROTECTION CONTRE LE CODE MALICIEUX ET LES INTRUSIONSPlanifier, mettre en œuvre, et maintenir des mécanismes efficaces etefficients pour contrer les menaces internes et externes;Fournir des capacités et pratiques de gestion pour prévenir les atteintesou fuites de données de l’organisation.Favoriser les technologies émergentes pour contrer les codes malicieuxou les tentatives d’intrusions. Solution DLP (prévenir la fuite d’informationSolution unifiée de gestion des menaces quelque soit le support) UTM 15
  16. 16. PROCESSUS DE GESTION DES INCIDENTS DE SÉCURITÉProcessus visant à encadrer les activités de détection, deréaction et de résolution des incidents de sécurité.Doit prendre en compte les activités suivantes: Prendre en charge et Communiquer avec les Prendre les mesures de définir le niveau de parties prenantes, confinements et sévérité de l’incident gérer la divulgation de d’éradication de de sécurité; l’information l’incident Produire suivant une Collecter les éléments Prévoir un scénario de périodicité définie des de preuve lorsque retour en arrière, rapports de suivi des requis, documenter remettre les services incidents l’incident en marche 16
  17. 17. SURVEILLANCE ET SERVICES D’ALERTES DE SÉCURITÉMettre en œuvre une solution desurveillance en temps réel del’infrastructure;Corréler tous les événements de sécuritéà l’aide de tableau de bord avec desindicateurs clairement définis;Arrimer le processus de gestion desincidents de sécurité avec les outils desurveillance pour favoriser une meilleureprise en charge des évènements desécurité. 17
  18. 18. 18
  19. 19. LA SÉCURITÉ DES ÉQUIPEMENTS MOBILES AU NIVEAU DE L’EXPLOITATIONRechercher l’équilibre entre le durcissement deséquipements mobiles (OS, applications, connexionsréseaux) et les besoins d’affaires exprimés. Valeur ajoutée Dossier d’affaires Risques de sécurité 19
  20. 20. STRATÉGIE DE DÉFENSE EN PROFONDEUR DES ÉQUIPEMENTS MOBILES Définir et corréler plusieurs lignes de défense pour la sécurité des équipements mobiles. e 3 ligne de défense:  Contrôle internes de Une image vaut mille mots !!! sécurité;  Audits internes ;1e Ligne de défense:  Mesures préventives / correctives  Analyse des risques;  Analyses des impacts ; Mesures de mitigations 2e Ligne de défense:  Politique de gestion;  Auto évaluation des contrôles ;  Tests de sécurité 20
  21. 21. SÉCURITÉ DES OS DES ÉQUIPEMENTS MOBILESOS principalement conçus pour une multiplicité d’usages privéset publics. Il existe un risque de perte des garanties aveccertaines modifications des OS;La sécurité des OS des équipements mobiles peut prendre appuisur certaines mesures de contrôles de type: • Sécuriser le noyau (mises à jour firmware) • Favoriser des OS propriétaires pour les env. à hauts risques • Désactiver « back doors » intégrés pour accès distants 21
  22. 22. SÉCURITÉ DES APPLICATIONS DES ÉQUIPEMENTS MOBILESNiveau élevé de risques de sécurité compte tenu de ladiversité d’applications (commerciales ou non)disponibles pour les équipements mobiles;Nécessité de réaliser une évaluation des risques et sipertinent, des tests d’intrusion sur les applicationsapprouvées;Préciser la nature et le type d’applications dontl’installation est autorisée sur les équipements mobilespropriétés de l’organisation. 22
  23. 23. OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ DES ÉQUIPEMENTS MOBILESDes objectifs de contrôles adaptés aux applicationsmobiles. Implémenter des règles sur le pare-feu pour bloquer les S’assurer que les applications ne services non autorisés des se connectent pas applications automatiquement sur les serveurs de l’éditeur Contrôler les privilèges associés aux applications mobiles Désinstaller les applications commerciales livrées par défaut Utiliser antivirus, anti malware… adaptés aux applications mobiles 23
  24. 24. SÉCURITÉ DES CONNEXIONS RÉSEAU DES ÉQUIPEMENTS MOBILESDiversité de connectivité avec les équipements mobiles(réseaux privés, réseaux domestiques, réseauxd’entreprise…);Une typologie de connexions de plus en plus diversifiéeavec des capacités grandissantes en termes de bandepassante et de transfert de données:  Global System for Mobile Communication (GSM);  Global Packet Radio Service (GPRS);  Enhanced Data Rate for GSM Evolution (EDGE);  Universal Mobile Telecommunications System (UMTS);  … 24
  25. 25. OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ DES CONNEXIONS RÉSEAUX Adapter les contrôles de sécurité avec les types de connexions réseaux GSM GPRS Bluetooth WIFI• Restreindre le GSM au noyau du • Limiter autant que possible • Limiter l’utilisation du bluetooth • Limiter la fonctionnalitétéléphone; l’utilisation de l’équipement à titre au strict minimum; découverte et connexion• Limiter autant que possible de concentrateur pour la connexion • Limiter l’utilisation du bluetooth automatique à un réseau wifi;l’utilisation du GSM par les d’autres équipements; pour les échanges de données ou • Utiliser un chiffrement sécuriséapplications; • S’assurer de la correcte d’objets; pour les connexions wifi;•Surveiller les transmissions de implémentation du GPRS / EDGE; • Définir et imposer des mots de • Masquer le SSID de l’appareil sidonnées anormales; • Limiter l’utilisation du modem de passes complexes pour l’usage du possible; l’équipement mobile. bluetooth •Éviter des noms de SSID de type « Guillaume L. SSID » Sécurité des connexions réseaux – équipements mobiles 25
  26. 26. SÉCURITÉ DES CARTES SIMCartes SIM souvent conçus pour permettre uninterfaçage avec une multiplicité d’équipements;Implémenter un maximum de contrôle sur la carte SIMafin de définir un niveau d’autorisation granulaire enfonction de l’utilisation de l’équipement;Il existe des possibilités de personnaliser la carte SIMauprès des fournisseurs. Toutefois, les gestionnairesdevront au préalable mesurer les potentiels impacts surla logique d’affaires qui sous-tend l’utilisation deséquipements mobiles au sein de l’organisation. 26
  27. 27. OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ DES CARTES SIML’interfaçage des cartes SIM avec une multiplicitéd’équipements requiert la prise en compte des objectifsde contrôles suivants: Limiter les droits en Identifier et activer écriture et les fonctions de modification sur la verrouillage carte SIM Activer les fonctions Identifier et de blocage de la contrôler les carte SIM avec les fonctionnalités de la services carte SIM fournisseurs. 27
  28. 28. SÉCURITÉ DES UNITÉS DE STOCKAGE DES ÉQUIPEMENTS MOBILESDes équipements mobiles dotés d’unités de stockage deplus en plus importants;Possibilité de connecter les équipements mobiles avecdes unités de stockage amovibles;Les unités de stockage connectés sur les équipementsmobiles doivent faire l’objet d’une classification enfonction de leur niveau d’exposition aux risques;Inventorier et tenir à jour la liste des périphériques destockage externes connectés aux équipements mobiles,mettre en œuvre des mesures de sécurité alignées surles besoins d’affaires et sur les exigences de la sécuritéopérationnelle. 28
  29. 29. OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ DES UNITÉS DE STOCKAGEPrendre en compte les objectifs de contrôles suivantsafin de rehausser le niveau de sécurité des unités destockage Partitionner l’unité de stockage pour isoler les données sensibles S’assurer de la Chiffrer toutes destruction les données, sécurisée lors fichiers de la mise au sensibles rebut Gérer les accès en fonction de Restreindre les la GIA en accès au BIOS vigueur 29
  30. 30. SÉCURITÉ DES FONCTIONNALITÉS À DISTANCE (GÉO LOCALISATION…)Des fonctionnalités à distance de type géo localisationde plus en plus fournies ou intégrées dans lesapplications mobiles;Ces fonctionnalités peuvent être utiles dans le contextede certaines lignes d’affaires (services de livraison decourriers, services de transports…) ou advenant un casde vol;Nécessité de s’assurer de la conformité de cesfonctionnalités avec les impératifs de protection de la vieprivée. 30
  31. 31. OBJECTIFS DE CONTRÔLE POUR LES FONCTIONNALITÉS À DISTANCECompte tenu de l’utilité de certaines fonctionnalités àdistance, les objectifs de contrôles suivants doivent êtrepris en considération: – Mises à jour correctives; – Fermeture et blocage du compte à distance; – suppression à distance de contenu. – Sensibiliser les utilisateurs; – Limiter l’utilisation des applications de géo localisation à ce qui est strictement nécessaire. – Interdire les fonctionnalités de géo localisation dans les réseaux sociaux; – S’assurer de la conformité des fonctionnalités de géo localisation en regard à la PRP. 31
  32. 32. AUDITS PÉRIODIQUES DES ÉQUIPEMENTS MOBILESOutre les normes d’audits d’ISACA (indépendance professionnelle,importance relative; utilisation de logiciels d’audit….), la vérification deséquipements mobiles doit prendre en compte les principes ci-dessous: • Réception de l’équipement mobile; Sécuriser l’équipement • Isolation de l’équipement mobile. • Copie miroir; Sécuriser l’information • Chronologie évènements de sécurité. • Procédures de tests; Analyser linformation • Éléments de preuve. • Approbation des gestionnaires; Remise de l’équipement • Remise de l’équipement mobile. 32
  33. 33. 33
  34. 34. DIFFÉRENTES FORMES D’UTILISATION DE L’INFONUAGIQUE Infrastructure as a service (IAAS) : Utilisation des capacitésde traitement du fournisseur de service, de ses espaces destockage ou de ses ressources réseau…. Plateform as a service (PAAS): Mise à disposition de laplateforme d’exécution des applications du client (OS, SGBD,connexion réseau….) Software as a service (SAAS): modèle dutilisation deslogiciels par abonnement avec le fournisseur de services. 34
  35. 35. RISQUES DE SÉCURITÉ ASSOCIÉS À L’INFONUAGIQUEPlusieurs risques de sécurité peuvent découler de l’utilisationde l’infonuagique: Disponibilité et performance • Mutualisation des services offerts; • Perte de contrôle physique sur l’infrastructure. Intégrité et confidentialité • Gestion des accès aux données; • Persistance des données à l’issue du contrat. Conformité légale • Impératifs de protection de la vie privée; • Problématique liée à la juridiction (Patriot act) 35
  36. 36. OBJECTIFS DE CONTRÔLE TI DANS LE CADRE DE L’INFONUAGIQUE S’assurer dans les contrats avec les fournisseurs de servicesde la prise en compte des objectifs de contrôles suivants:Haute disponibilité:Définir des RTO et des RPO alignés sur les charges de travail avec dessolutions de contournement et des pénalités;S’assurer que le fournisseur de service dispose d’une redondance, decapacités de sauvegarde et un basculement automatique advenant uneperte de service.Gérer les accès:Définir les privilèges utilisateurs en fonction des rôles, groupes sécuriser les interfaces d’accès à distance (authentification forte);Sécuriser l’accès aux outils d’administration et de surveillance;Séparation des tâches incompatibles. 36
  37. 37. OBJECTIFS DE CONTRÔLE TI DANS LE CADRE DE L’INFONUAGIQUE S’assurer dans les contrats avec les fournisseurs de servicesde la prise en compte des objectifs de contrôles suivants:Conformité légale:  Analyse juridique sur les risques de non conformité;  Encadrer par contrat les mécanismes de protection des renseignements personnels;Intégrité et confidentialité:  Chiffrement des données sensibles;  Clause pour la suppression effective des données à l’issue du contrat;  Sécurité applicative dans le contexte de Platform as a service ou software as a service. 37
  38. 38. OBJECTIFS DE CONTRÔLE TI AU NIVEAU DE L’EXPLOITATION Administration des Surveillance réseau Gestion des Virtualisation de serveurs et des applications mises à jour machines Limiter les privilèges  Cloisonnement des  Contrôle de la  Tester les mises à administrateurs; flux réseaux création de VM; jour; Administrer les  Surveillance des  Créer un snapshot du  Recourir à la création serveurs avec des applications & de Template système outils sécurisés niveaux de service normalisée;  Déployer les mises à Limiter les logiciels et  Surveillance  Suivi du cycle de vie jour services pouvant préventive des des VM; s’exécuter sur la  Consolider les mises à plateformes  Éviter le clonage de console jour (monitoring) VM en production 38
  39. 39. 39
  40. 40. DÉMARCHE DE RÉALISATIONDéfinir les étapes clés de la réalisation du mandat d’auditsuivant les normes d’audit d’ISACA Approche de réalisation du mandat d’audit: Réaliser Définir niveau de Définir la Formaliser maturité avec Documenter entrevues, portée du grille d’audit l’outil « maturity rapport compléter la assessment mandat basée sur Cobit d’audit grille d’audit tool » 40
  41. 41. DÉMARCHE DE RÉALISATIONDéfinir et compléter la grille d’audit suivant les objectifsde contrôle de Cobit Ébaucher niveau de Description des niveau de maturité avec processus cibles les gestionnaires identifiés (entrevue) 41
  42. 42. DÉMARCHE DE RÉALISATIONCalculer le niveau de maturité à l’aide de l’outildéveloppé par l’IT/GI Compléter les énoncés de la grille suivant le degré de conformité de l’organisation Corréler le niveau de maturité obtenu, avec celui ébauché lors de l’entrevue avec les gestionnaires en tant compte de l’importance relative 42
  43. 43. EXEMPLE D’ARCHITECTURE DE PROCESSUS (à définir dans les recommandations) 43
  44. 44. CONCLUSIONCobit 5 ainsi que les publications associées, offrent suivantune dimension sécurité, des processus en mesured’encadrer les nouvelles formes d’évolution del’infrastructure ainsi que la mobilité en entreprise.Le succès de la mise en œuvre des processus Cobit 5 pourla sécurité de l’information repose sur la recherche del’équilibre entre l’envergure de l’infrastructure, lesprocessus d’affaires et la criticité des actifs. 44
  45. 45. MERCI POUR VOTRE ATTENTION !!! Courriel: elhadji.niang@nurun.com 45

×