SlideShare une entreprise Scribd logo

E forum 2006--_securite_si_-_k_safir-1

Télécharger en tant que PPT, PDF
M
MustaphaChaoui1

sécurité des systèmes d'information et de communication

Données & analyses
1  sur  28
1 Sécurité des systèmes d’information Présenté par : M Khalid Safir Ministère des finances(Maroc) 21 Juin 2006
2 Plan  Enjeux de la sécurité  Gouvernance SI et problématique du « Risk Management »  Référentiels et Méthodologies  Sécurité du SI à la TGR
3 Les enjeux de la sécurité de l’information
4 Les enjeux de la sécurité de l’information  « Les systèmes d’information font désormais partie intégrante du fonctionnement des administrations publiques, de l’activité des entreprises, et du mode de vie des citoyens. Les services qu’ils assurent nous sont tout aussi indispensables que l’approvisionnement en eau ou en électricité.  Pour l’Etat il s’agit d’un enjeu de souveraineté nationale. Il a en effet la responsabilité de garantir la sécurité de ses propres systèmes d’information, la continuité de fonctionnement des institutions et des infrastructures vitales pour les activités socioéconomiques du pays et la protection des entreprises et des citoyens.  De leur côté, les entreprises doivent protéger de la concurrence et de la malveillance leur système d’information qui irrigue l’ensemble de leur patrimoine (propriété intellectuelle et savoir faire) et porte leur stratégie de développement. »
5 Les enjeux de la sécurité de l’information Limiter les Risques Conformité Créer la valeur Productivité
6 •L’évolution des menaces est liée à la transformation des systèmes d’information (et des réglementations). •Elle concerne essentiellement la malveillance (menaces d’origine humaine et intentionnelle). •Quatre profils sont généralement définis : … et les menaces évoluent Les enjeux de la sécurité de l’information  Ludique (sans profit)  Cupide (pouvoir, argent)  Terroriste (idéologique)  Stratégique (économique, politique) Les menaces existent … Humaine Intentionnelle Non intentionnelle Externe Interne • Personnel insuffisamment qualifié • Erreur humaine • Piratage •Sabotage • Vol Matérielle • Panne matériel • Coupure électrique • Incendie • Dysfonctionnement matériel ou logiciel Naturelle • Activité géologique • Conditions météorologiques
7 1990 2003 email propagation of malicious code widespread attacks using NNTP to distribute attack widespread attacks on DNS infrastructure executable code attacks (against browsers) automated widespread attacks GUI intruder tools hijacking sessions Internet social engineering attacks packet spoofing automated probes/scans widespread denial-of-service attacks techniques to analyze code for vulnerabilities without source code DDoS attacks increase in worms sophisticated command & control anti-forensic techniques home users targeted distributed attack tools increase in wide-scale Trojan horse distribution Windows-based remote controllable Trojans (Back Orifice) Intruder Knowledge AttackSophistication “stealth”/advanced scanning techniques Source: CERT Carnegie Mellon University Les enjeux de la sécurité de l’information • Sophistication des attaques et compétences des attaquants depuis 20 ans
8 Gouvernance SI et problématique du « Risk Management »
9 Gouvernance SI et problématique du « Risk Management »  A la lumière de l’évolution, aux cours de ces dernières années, de l’environnement économique dans lequel évolue les entreprises, la gouvernance d’entreprise est devenue un équilibre entre performance et conformité.  Dès lors, la gouvernance de la sécurité de l’information, dans le sillage de la gouvernance des système d’information, soutient à la fois la gouvernance institutionnelle en permettant de maîtriser et réduire les risques et la gouvernance d’activité en créant de la valeur et améliorant la performance. De la gouvernance d’entreprise à la gouvernance de la sécurité de l’information:
10  La fonction sécurité se doit alors de prendre une nouvelle dimension, dépassant la simple «fonction de spécialistes».  Il ne s’agit plus seulement de s’équiper de solutions de sécurité, mais de développer une véritable stratégie de sécurité à même :  de supporter les enjeux métiers de l’entreprise, qui se traduisent principalement par l’ouverture de son système d’information à l’ensemble de ses partenaires et par les nouveaux modes de communication (mobilité),  de répondre aux contraintes légales et réglementaires (SOX, loi sur la sécurité financière, protection des données personnelles …),  de prendre en compte l’évolution de la complexité des menaces associée à l’évolution des technologies supportant son système d’information,  et bien sûr de protéger son patrimoine informationnel et son infrastructure technique, au meilleur coût et en respectant la culture de l’entreprise.  La gouvernance de la sécurité de l’information devient un processus de management fondée sur la gestion du risque et la mise en œuvre de bonnes pratiques. Gouvernance SI et problématique du « Risk Management »
11 La gestion des risques doit permettre d’identifier les événements de sécurité susceptibles de porter atteinte aux objectifs métiers de l’entreprise. • La gouvernance de la sécurité de l’information devient un processus de management fondé sur la gestion des risques Gouvernance SI et problématique du « Risk Management »
12  De la gouvernance aux opérations … de la responsabilité stratégique à la responsabilité opérationnelle Gouvernance Architecture et standards Politiques et Directives Sensibilisation Surveillance et conformité Définition et implémentation des systèmes Définition et implémentation des technologies Opérations Gestiondurisques Périmètre OpérationnelPérimètre Stratégique Gouvernance SI et problématique du « Risk Management »
13 Contrôler et Superviser Améliorer Etablir le cadre général et Identifier les risques Modéliser et Implémenter Check Act Plan Pilotage et Organisation  Analyse de risques  Etudes  Audit et contrôle  Etudes  Définition de standards techniques  Mise en œuvre opérationnelle  Sensibilisation  Mise en œuvre opérationnelle • Les fondations du cadre de gestion de la sécurité Gouvernance SI et problématique du « Risk Management » Do
14 Référentiels et méthodologies Référentiels La norme ISO 17799:2005 La norme ISO 27001 ITIL COBIT Méthodes analyse des risques EBIOS MARION MEHARI, OCTAVE/USA ISO 13335
15 Référentiels COBIT IT Resources IT Resources Effectiveness Effectiveness Efficiency Efficiency A vailability A vailability ITProcessesITProcesses Business RequirementsBusiness Requirements PeoplePeople ApplicationsApplications InfrastructureInfrastructure InformationInformation DOMAINS PROCESSES ACTIVITIES C onfidentiality C onfidentiality Integrity Integrity C om pliance C om pliance R eliability R eliability IT Resources IT Resources Effectiveness Effectiveness Efficiency Efficiency A vailability A vailability ITProcessesITProcesses Business RequirementsBusiness Requirements PeoplePeople ApplicationsApplications InfrastructureInfrastructure InformationInformation DOMAINS PROCESSES ACTIVITIES C onfidentiality C onfidentiality Integrity Integrity C om pliance C om pliance R eliability R eliability En synthèse:  COBIT sera utilisé dans le cadre de l’amélioration globale des processus IT (métrique)  COBIT et ISO 17799 peuvent être utilisés dans le cadre d’un audit afin de déterminer les vulnérabilités et le niveau de sécurité.  ITIL peut être utilisé pour améliorer les processus opérationnels IT ainsi que l’ISO 17799 / ISO 27001 dans une certaine mesure pour les processus « sécurité » et la sélection de contrôles.
16 Référentiels • ISO 17799:2005
17 Référentiels ITIL: Information Technology Infrastructure Library Protection Authentication AccessProvisioning Compliance Thèmes liés à la sécurité en fonction des processus ITIL : Incident Management, Service Desk, Problem Management, Configuration Management, Change Management, Continuity Management Continuity Management, SLA Management, Change Management, Release Management Configuration Management, SLA Management, Change Management, Service Desk, Release Management, Financial Mgmt Service Desk, SLA Management, Financial Management SLA Management, Service Desk, Availability Management, Financial Management
18 Méthodologies de réduction des risques  Gérer les risques de sécurité : analyser et évaluer les menaces, impacts et vulnérabilités auxquels les actifs informationnels sont exposés et la probabilité de leur survenance. Déterminer les mesures de sécurité pouvant être implantées pour réduire les risques et leur impact à un coût acceptable.
19 Référentiels et méthodologies  EBIOS: Méthodologie d’identification des menaces et des vulnérabilités, analyse de risques, spécification des exigences de la sécurité  MARION:  MEHARI: MEthode harmonisée d’Analyse des Risques  OCTAVE/USA :  ISO 13335 :
20  Référentiel Sécurité du Ministère des Finances (CSSI : Cadre Stratégique des Systèmes d’Information)  Audit DRPP en l’an 2000 (plan de continuité)  Audit dans le cadre du SDSIC  Projet audit sécurité globale TGR « SI, Biens et Personnes » Sécurité SI à la TGR
21 Menaces L’indisponibilité des services offerts par la TGR • Le paiement des commandes de l’Etat et des collectivités locales ; • La paie du personnel de l’Etat ; • Le recouvrement des impôts • La gestion des comptes de dépôt au Trésor • Dette extérieure et intérieure ….disponibilité de l’information Porter atteinte à l’intégrité des informations de la TGR L’intégrité des données gérées par la TGR : - Virements entre comptables - Centralisation comptables L’intégrité des échanges avec les partenaires : • Ministère des finances ( DB, DGI, ADII, DTFE..); • Ordonnateurs et sous ordonnateurs ( Ministères, collectivités locales) • Institutionnels (Banque centrale,Poste du Maroc,CDG…) • Banques et établissements de crédit. Divulgation des informations confidentielles. Divulgation des données confidentielles : •Rémunération du personnel de l’Etat; •Impôts des redevables; •Les dépôts de la clientèle. Divulgation d’informations sensibles : •Budget de certains départements ; ADN.. Incapacité de réunir les éléments probants et de disposer des preuves. Audit et inspection Contrôle interne ….. …Traçabilité de l’information ….intégrité de l’information. ...Confidentialité de l’information Sécurité SI à la TGR Pourquoi sécuriser le SI?
22 Norme: BS 7799 Recommandations: 1. Politique de sécurité 2. Sécurité de l’organisation  Comité de pilotage :  Responsable de la Sécurité du Système d’Information (RSSI) :  Correspondants sécurité : 3. Classification et contrôle des actifs 4. Sécurité du personnel 5. Sécurité physique et sécurité de l’environnement 6. Protection du réseau 7. Contrôle des accès 8. Développement et maintenance des applications 9. Gestion de la continuité des activités 10. Conformité Sécurité SI à la TGR CSI
23 l'information est une part essentielle du patrimoine TGR auquel on a besoin de répondre par des mesures de prévention et réaction elle est exposée à des menaces naturelles et humaines l'association de ces éléments constitue le risque elle est supportée par un système qui présente des vulnérabilités sa valeur, est plus au moins sensible L ’association sensibilité/ risque peut provoquer sinistre ayant un impact +/- fort Sécurité SI à la TGR
24  La rosace de sécurité: Sécurité SI à la TGR Audit dans le cadre du SDSIC 0 0,5 1 1,5 2 2,5 3 3,5 L'organisation générale Les contrôles permanents La réglementation Les facteurs socio-économiques L'environnement de base Les contrôles d'accès La pollution Les consignes de sécurité La sécurité incendie La sécurité dégâts des eaux La fiabilité de fonctionnement des matériels informatiques Les systèmes et procédures de secours Cohérence des systèmes Formation du personnelLes plans informatique et de sécurité La sécurité offerte par le matériel et le logiciel de base La sécurité des télécommunications La protection des données L'archivage / désarchivage Le transfert classique des données La sauvegarde La sûreté de l'exploitation La maintenance Les procédures de réception Sécurité des développements applicatifs Les contrôles programmés La sécurité des progiciels
25 Recommandations : A très court terme  Nommer un responsable de la sécurité du système d’information de la Trésorerie Générale  Sensibiliser l’ensemble du management de la Trésorerie Générale à la sécurité. A court terme  Formaliser la mission (rôle et responsabilités) des propriétaires.Identifier les propriétaires de toutes les applications.  Définir les critères de classification des informations.Former les propriétaires d’applications à leurs missions.  Formaliser les procédures opérationnelles d’intégration et de contrôle des spécifications de sécurité dans les applications des projets schéma directeur.  Lancer l’étude de la vitalité des applications de la Trésorerie Générale.Définir un plan glissant sur 2 ans pour la mise en œuvre des recommandations. Sécurité SI à la TGR Audit dans le cadre du SDSIC
26 Phase 1 : Audit de sécurité Phase 4 Assistance à Maîtrise d’Ouvrage Phase 2 Organisation de la sécurité Phase 3 Politique de sécurité Avril Mai Juin Juillet Août Septembre … Prise de connaissance Audit SI Audit Biens Audit Personnes Recommandations et plan d’action Sécurité SI à la TGR Projet audit sécurité globale de la TGR:
27 Référentiel: BS7799 Méthode d’analyse des risques: Ebios Sécurité SI à la TGR Projet audit sécurité globale de la TGR:
28 Merci pour Votre attention

Recommandé

La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...Ouest Online
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieApec
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsEY
 
OCDIE : Environnement et Compétitivité
OCDIE : Environnement et CompétitivitéOCDIE : Environnement et Compétitivité
OCDIE : Environnement et CompétitivitéAref Jdey
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 

Recommandé

La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...Ouest Online
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieApec
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsEY
 
OCDIE : Environnement et Compétitivité
OCDIE : Environnement et CompétitivitéOCDIE : Environnement et Compétitivité
OCDIE : Environnement et CompétitivitéAref Jdey
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielfEngel
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuellemolastik
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésThierry Pertus
 
Steria et la Sécurité
Steria et la SécuritéSteria et la Sécurité
Steria et la SécuritéSteria_France
 
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueCybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueFrancois-Xavier DJIMGOU
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDAQUITAINE
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !Henri d'AGRAIN
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficienteELCA Informatique SA / ELCA Informatik AG
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19Laurent Pingault
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
User centric security
User centric securityUser centric security
User centric securityAlain EJZYN
 
Ssi
SsiSsi
SsiHanae Guenouni
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Thierry Pertus
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 

Contenu connexe

Tendances

Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielfEngel
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuellemolastik
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésThierry Pertus
 
Steria et la Sécurité
Steria et la SécuritéSteria et la Sécurité
Steria et la SécuritéSteria_France
 
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueCybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueFrancois-Xavier DJIMGOU
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationPECB
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDAQUITAINE
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19Laurent Pingault
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
User centric security
User centric securityUser centric security
User centric securityAlain EJZYN
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Thierry Pertus
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 

Tendances (20)

Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industriel
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 
Cybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelleCybersecurite propriete intellectuelle
Cybersecurite propriete intellectuelle
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
Steria et la Sécurité
Steria et la SécuritéSteria et la Sécurité
Steria et la Sécurité
 
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueCybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficientePrincipes de bon sens pour une gouvernance cyber sécurité efficiente
Principes de bon sens pour une gouvernance cyber sécurité efficiente
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 
User centric security
User centric securityUser centric security
User centric security
 
Ssi
SsiSsi
Ssi
 
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » o...
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 

Similaire à E forum 2006--_securite_si_-_k_safir-1

Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Robert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert Half France
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019African Cyber Security Summit
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité Bpifrance
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirEY
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 

Similaire à E forum 2006--_securite_si_-_k_safir-1 (20)

Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Robert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenirRobert half cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
 
Programme_21.09.
Programme_21.09.Programme_21.09.
Programme_21.09.
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 
Guide de cybersécurité
Guide de cybersécurité Guide de cybersécurité
Guide de cybersécurité
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patch
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 

E forum 2006--_securite_si_-_k_safir-1

  • 1. 1 Sécurité des systèmes d’information Présenté par : M Khalid Safir Ministère des finances(Maroc) 21 Juin 2006
  • 2. 2 Plan  Enjeux de la sécurité  Gouvernance SI et problématique du « Risk Management »  Référentiels et Méthodologies  Sécurité du SI à la TGR
  • 3. 3 Les enjeux de la sécurité de l’information
  • 4. 4 Les enjeux de la sécurité de l’information  « Les systèmes d’information font désormais partie intégrante du fonctionnement des administrations publiques, de l’activité des entreprises, et du mode de vie des citoyens. Les services qu’ils assurent nous sont tout aussi indispensables que l’approvisionnement en eau ou en électricité.  Pour l’Etat il s’agit d’un enjeu de souveraineté nationale. Il a en effet la responsabilité de garantir la sécurité de ses propres systèmes d’information, la continuité de fonctionnement des institutions et des infrastructures vitales pour les activités socioéconomiques du pays et la protection des entreprises et des citoyens.  De leur côté, les entreprises doivent protéger de la concurrence et de la malveillance leur système d’information qui irrigue l’ensemble de leur patrimoine (propriété intellectuelle et savoir faire) et porte leur stratégie de développement. »
  • 5. 5 Les enjeux de la sécurité de l’information Limiter les Risques Conformité Créer la valeur Productivité
  • 6. 6 •L’évolution des menaces est liée à la transformation des systèmes d’information (et des réglementations). •Elle concerne essentiellement la malveillance (menaces d’origine humaine et intentionnelle). •Quatre profils sont généralement définis : … et les menaces évoluent Les enjeux de la sécurité de l’information  Ludique (sans profit)  Cupide (pouvoir, argent)  Terroriste (idéologique)  Stratégique (économique, politique) Les menaces existent … Humaine Intentionnelle Non intentionnelle Externe Interne • Personnel insuffisamment qualifié • Erreur humaine • Piratage •Sabotage • Vol Matérielle • Panne matériel • Coupure électrique • Incendie • Dysfonctionnement matériel ou logiciel Naturelle • Activité géologique • Conditions météorologiques
  • 7. 7 1990 2003 email propagation of malicious code widespread attacks using NNTP to distribute attack widespread attacks on DNS infrastructure executable code attacks (against browsers) automated widespread attacks GUI intruder tools hijacking sessions Internet social engineering attacks packet spoofing automated probes/scans widespread denial-of-service attacks techniques to analyze code for vulnerabilities without source code DDoS attacks increase in worms sophisticated command & control anti-forensic techniques home users targeted distributed attack tools increase in wide-scale Trojan horse distribution Windows-based remote controllable Trojans (Back Orifice) Intruder Knowledge AttackSophistication “stealth”/advanced scanning techniques Source: CERT Carnegie Mellon University Les enjeux de la sécurité de l’information • Sophistication des attaques et compétences des attaquants depuis 20 ans
  • 8. 8 Gouvernance SI et problématique du « Risk Management »
  • 9. 9 Gouvernance SI et problématique du « Risk Management »  A la lumière de l’évolution, aux cours de ces dernières années, de l’environnement économique dans lequel évolue les entreprises, la gouvernance d’entreprise est devenue un équilibre entre performance et conformité.  Dès lors, la gouvernance de la sécurité de l’information, dans le sillage de la gouvernance des système d’information, soutient à la fois la gouvernance institutionnelle en permettant de maîtriser et réduire les risques et la gouvernance d’activité en créant de la valeur et améliorant la performance. De la gouvernance d’entreprise à la gouvernance de la sécurité de l’information:
  • 10. 10  La fonction sécurité se doit alors de prendre une nouvelle dimension, dépassant la simple «fonction de spécialistes».  Il ne s’agit plus seulement de s’équiper de solutions de sécurité, mais de développer une véritable stratégie de sécurité à même :  de supporter les enjeux métiers de l’entreprise, qui se traduisent principalement par l’ouverture de son système d’information à l’ensemble de ses partenaires et par les nouveaux modes de communication (mobilité),  de répondre aux contraintes légales et réglementaires (SOX, loi sur la sécurité financière, protection des données personnelles …),  de prendre en compte l’évolution de la complexité des menaces associée à l’évolution des technologies supportant son système d’information,  et bien sûr de protéger son patrimoine informationnel et son infrastructure technique, au meilleur coût et en respectant la culture de l’entreprise.  La gouvernance de la sécurité de l’information devient un processus de management fondée sur la gestion du risque et la mise en œuvre de bonnes pratiques. Gouvernance SI et problématique du « Risk Management »
  • 11. 11 La gestion des risques doit permettre d’identifier les événements de sécurité susceptibles de porter atteinte aux objectifs métiers de l’entreprise. • La gouvernance de la sécurité de l’information devient un processus de management fondé sur la gestion des risques Gouvernance SI et problématique du « Risk Management »
  • 12. 12  De la gouvernance aux opérations … de la responsabilité stratégique à la responsabilité opérationnelle Gouvernance Architecture et standards Politiques et Directives Sensibilisation Surveillance et conformité Définition et implémentation des systèmes Définition et implémentation des technologies Opérations Gestiondurisques Périmètre OpérationnelPérimètre Stratégique Gouvernance SI et problématique du « Risk Management »
  • 13. 13 Contrôler et Superviser Améliorer Etablir le cadre général et Identifier les risques Modéliser et Implémenter Check Act Plan Pilotage et Organisation  Analyse de risques  Etudes  Audit et contrôle  Etudes  Définition de standards techniques  Mise en œuvre opérationnelle  Sensibilisation  Mise en œuvre opérationnelle • Les fondations du cadre de gestion de la sécurité Gouvernance SI et problématique du « Risk Management » Do
  • 14. 14 Référentiels et méthodologies Référentiels La norme ISO 17799:2005 La norme ISO 27001 ITIL COBIT Méthodes analyse des risques EBIOS MARION MEHARI, OCTAVE/USA ISO 13335
  • 15. 15 Référentiels COBIT IT Resources IT Resources Effectiveness Effectiveness Efficiency Efficiency A vailability A vailability ITProcessesITProcesses Business RequirementsBusiness Requirements PeoplePeople ApplicationsApplications InfrastructureInfrastructure InformationInformation DOMAINS PROCESSES ACTIVITIES C onfidentiality C onfidentiality Integrity Integrity C om pliance C om pliance R eliability R eliability IT Resources IT Resources Effectiveness Effectiveness Efficiency Efficiency A vailability A vailability ITProcessesITProcesses Business RequirementsBusiness Requirements PeoplePeople ApplicationsApplications InfrastructureInfrastructure InformationInformation DOMAINS PROCESSES ACTIVITIES C onfidentiality C onfidentiality Integrity Integrity C om pliance C om pliance R eliability R eliability En synthèse:  COBIT sera utilisé dans le cadre de l’amélioration globale des processus IT (métrique)  COBIT et ISO 17799 peuvent être utilisés dans le cadre d’un audit afin de déterminer les vulnérabilités et le niveau de sécurité.  ITIL peut être utilisé pour améliorer les processus opérationnels IT ainsi que l’ISO 17799 / ISO 27001 dans une certaine mesure pour les processus « sécurité » et la sélection de contrôles.
  • 17. 17 Référentiels ITIL: Information Technology Infrastructure Library Protection Authentication AccessProvisioning Compliance Thèmes liés à la sécurité en fonction des processus ITIL : Incident Management, Service Desk, Problem Management, Configuration Management, Change Management, Continuity Management Continuity Management, SLA Management, Change Management, Release Management Configuration Management, SLA Management, Change Management, Service Desk, Release Management, Financial Mgmt Service Desk, SLA Management, Financial Management SLA Management, Service Desk, Availability Management, Financial Management
  • 18. 18 Méthodologies de réduction des risques  Gérer les risques de sécurité : analyser et évaluer les menaces, impacts et vulnérabilités auxquels les actifs informationnels sont exposés et la probabilité de leur survenance. Déterminer les mesures de sécurité pouvant être implantées pour réduire les risques et leur impact à un coût acceptable.
  • 19. 19 Référentiels et méthodologies  EBIOS: Méthodologie d’identification des menaces et des vulnérabilités, analyse de risques, spécification des exigences de la sécurité  MARION:  MEHARI: MEthode harmonisée d’Analyse des Risques  OCTAVE/USA :  ISO 13335 :
  • 20. 20  Référentiel Sécurité du Ministère des Finances (CSSI : Cadre Stratégique des Systèmes d’Information)  Audit DRPP en l’an 2000 (plan de continuité)  Audit dans le cadre du SDSIC  Projet audit sécurité globale TGR « SI, Biens et Personnes » Sécurité SI à la TGR
  • 21. 21 Menaces L’indisponibilité des services offerts par la TGR • Le paiement des commandes de l’Etat et des collectivités locales ; • La paie du personnel de l’Etat ; • Le recouvrement des impôts • La gestion des comptes de dépôt au Trésor • Dette extérieure et intérieure ….disponibilité de l’information Porter atteinte à l’intégrité des informations de la TGR L’intégrité des données gérées par la TGR : - Virements entre comptables - Centralisation comptables L’intégrité des échanges avec les partenaires : • Ministère des finances ( DB, DGI, ADII, DTFE..); • Ordonnateurs et sous ordonnateurs ( Ministères, collectivités locales) • Institutionnels (Banque centrale,Poste du Maroc,CDG…) • Banques et établissements de crédit. Divulgation des informations confidentielles. Divulgation des données confidentielles : •Rémunération du personnel de l’Etat; •Impôts des redevables; •Les dépôts de la clientèle. Divulgation d’informations sensibles : •Budget de certains départements ; ADN.. Incapacité de réunir les éléments probants et de disposer des preuves. Audit et inspection Contrôle interne ….. …Traçabilité de l’information ….intégrité de l’information. ...Confidentialité de l’information Sécurité SI à la TGR Pourquoi sécuriser le SI?
  • 22. 22 Norme: BS 7799 Recommandations: 1. Politique de sécurité 2. Sécurité de l’organisation  Comité de pilotage :  Responsable de la Sécurité du Système d’Information (RSSI) :  Correspondants sécurité : 3. Classification et contrôle des actifs 4. Sécurité du personnel 5. Sécurité physique et sécurité de l’environnement 6. Protection du réseau 7. Contrôle des accès 8. Développement et maintenance des applications 9. Gestion de la continuité des activités 10. Conformité Sécurité SI à la TGR CSI
  • 23. 23 l'information est une part essentielle du patrimoine TGR auquel on a besoin de répondre par des mesures de prévention et réaction elle est exposée à des menaces naturelles et humaines l'association de ces éléments constitue le risque elle est supportée par un système qui présente des vulnérabilités sa valeur, est plus au moins sensible L ’association sensibilité/ risque peut provoquer sinistre ayant un impact +/- fort Sécurité SI à la TGR
  • 24. 24  La rosace de sécurité: Sécurité SI à la TGR Audit dans le cadre du SDSIC 0 0,5 1 1,5 2 2,5 3 3,5 L'organisation générale Les contrôles permanents La réglementation Les facteurs socio-économiques L'environnement de base Les contrôles d'accès La pollution Les consignes de sécurité La sécurité incendie La sécurité dégâts des eaux La fiabilité de fonctionnement des matériels informatiques Les systèmes et procédures de secours Cohérence des systèmes Formation du personnelLes plans informatique et de sécurité La sécurité offerte par le matériel et le logiciel de base La sécurité des télécommunications La protection des données L'archivage / désarchivage Le transfert classique des données La sauvegarde La sûreté de l'exploitation La maintenance Les procédures de réception Sécurité des développements applicatifs Les contrôles programmés La sécurité des progiciels
  • 25. 25 Recommandations : A très court terme  Nommer un responsable de la sécurité du système d’information de la Trésorerie Générale  Sensibiliser l’ensemble du management de la Trésorerie Générale à la sécurité. A court terme  Formaliser la mission (rôle et responsabilités) des propriétaires.Identifier les propriétaires de toutes les applications.  Définir les critères de classification des informations.Former les propriétaires d’applications à leurs missions.  Formaliser les procédures opérationnelles d’intégration et de contrôle des spécifications de sécurité dans les applications des projets schéma directeur.  Lancer l’étude de la vitalité des applications de la Trésorerie Générale.Définir un plan glissant sur 2 ans pour la mise en œuvre des recommandations. Sécurité SI à la TGR Audit dans le cadre du SDSIC
  • 26. 26 Phase 1 : Audit de sécurité Phase 4 Assistance à Maîtrise d’Ouvrage Phase 2 Organisation de la sécurité Phase 3 Politique de sécurité Avril Mai Juin Juillet Août Septembre … Prise de connaissance Audit SI Audit Biens Audit Personnes Recommandations et plan d’action Sécurité SI à la TGR Projet audit sécurité globale de la TGR:
  • 27. 27 Référentiel: BS7799 Méthode d’analyse des risques: Ebios Sécurité SI à la TGR Projet audit sécurité globale de la TGR:
  • 28. 28 Merci pour Votre attention