SlideShare une entreprise Scribd logo
1  sur  56
Télécharger pour lire hors ligne
1
Formation sur la
Cybersécurité
Pr A.BATHAOUI ,
2
Sécurité
Informatique
DEFINIR UNE
POLITIQUE
DE SECURITE
3
“
”
Une politique de sécurité est une déclaration
formelle des règles auxquelles doivent se
conformer les personnes recevant un droit
d’accès au capital technologique et informatif
d’une entreprise
RFC 2196
Definition d’une politique de
sécurité
4
Politique de sécurité d'entreprise
?
Une politique de sécurité doit être mise en
œuvre avec la participation du personnel clé
de l'entreprise concerné , à savoir :
Les membres de la direction générale
Le personnel technique
Le personnel juridique,éventuellement
5
 Une politique de sécurité d'entreprise apporte les
avantages suivants:
 un cadre fonctionnel (« le voir comme un CPS ou
un Texte de Loi ») permettant d'implémenter des
procédures de sécurité dans l'infrastructure de
réseau
 un processus permettant l'audit de la sécurité
actuelle du réseau
 une sécurité globale sans omissions
 une base pour toute action juridique éventuelle.
Politique de sécurité d'entreprise
?
6
 Ensuite, Cette politique de sécurité doit être
rédigée noir sur blanc comme cadre de référence
applicable à TOUS
 Enfin, Pour réussire à la mettre en œuvre , il faut :
 Elle doit pouvoir être implémentée. sur le plan
technique
 Elle doit pouvoir être implémentée sur le plan
organisationnel.
 Elle doit pouvoir être imposée soit techniquement ou sinon
par des sanctions administratives
 Elle doit être souple et adaptable aux changements et
évolutions au sein de l’entreprise
Politique de sécurité d'entreprise ?
7
Par où commencer ? Peut sembler Difficile ou
Inutile
 Mais c’est le prix à payer pour éviter des erreurs
dans le choix des méthodes et systèmes de sécurité
Si l’entreprise dispose déjà d’un code de conduite
général pour leur personnel, alors on peut s’y appuyer
pour les traduire en une politique de sécurité
informatique à suivre vis-à-vis des technologies
confidentielles, des droits de la propriété intellectuelle et
d'autres informations privées de l'entreprise.
Voici un exemple de code de conduite en entreprise.
Politique de sécurité :
Les étapes de mise en place
8
La signature de ce document implique l'accord et
l'adhésion aux principes éthiques et aux règles standard
de conduite professionnelle suivants:
1. Responsabilité professionnelle.
Les employés ont pour responsabilité de soutenir la
mission et les objectifs généraux de l'entreprise. Ils
doivent veiller à ce que leurs besoins en termes de
développement et de professionnalisme soit équilibrés
avec les obligations de l'entreprise de préserver la
sécurité et les avantages de l'ensemble du personnel.
Voici un exemple de code de conduite en entreprise.
9
2.Autorité juridique. Les employés respectent et
reconnaissent toute autorité juridique. Ils doivent réfréner
tout comportement impliquant malhonnêteté, fraude,
duperie, déformation ou discrimination.
3. Conflits d'intérêts. Les employés doivent chercher à
éviter tout comportement visant à satisfaire des intérêts
ou des obligations à caractère privé, qui sont ou
paraissent entrer en conflit d'intérêt avec la mission, les
objectifs, les stratégies ou les réglementations de
l'entreprise. Ils doivent clairement faire la distinction entré
les déclarations et actions publiques et privées qui
reflètent leurs opinions personnelles et celles qui reflètent
la position de l'entreprise.
Voici un exemple de code de conduite en entreprise.
10
4. Confidentialité. Les employés doivent garantir le
respect de la confidentialité de toutes les communications
privées, informations confidentielles et dossiers
professionnels de l'entreprise. ils se doivent d'aviser
toutes les parties de la nature et des limites de cette
obligation.
Voici un exemple de code de conduite en entreprise.
11
Pour un réseau équipé déjà d’outils de sécurité mais
sans politique de sécurité , une enquête anonyme peut
être menée pour collecter des informations sur les
éventuelles possibilités de contournement des
procédures de sécurité.
 Ce genre d'étude peut permettre de recueillir des
renseignements précieux de la part de personnes qui
les contournent pour des raisons de productivité sans
intention malhonnête.
Les procédures en cause doivent alors être
réévaluées pour déterminer de quelle façon la stratégie
peut recourir à des mesures de sécurité applicables sur
le plan pratique.
Politique de sécurité :
Les étapes de mise en place
12
Exemple de questionnaire d'enquête de sécurité
Nom (optionnel) :
-------------------------------------------------------------------------
-------------------------------------------------------------------------
----1. J'utilise les systèmes suivants (entourez les
réponses) :
Windows UNIX Macintosh Autre
(mentionnez-les) :
Questionnaire d’évaluation Vue par
les Users
13
2. Evaluez le pourcentage de temps passé à accéder au
réseau de l'entreprise en utilisant les mécanismes suivants:
Réseau local, de l'entreprise:-----------------------------------------
--------------------------------------------------------------------
Réseau Frame Relay de l'entreprise (agence distante) :------
-------------------------------------------------------------------
Internet:--------------------------------------------------------------------
-------------------------------------------------------------------
Connexion par modem: -----------------------------------------------
------------------------------------------------------------------
RNIS------------------------------------------------------------------------
-------------------------------------------------------------------
3. Les applications que j'utilise le plus souvent sont
(entourez les réponses) :
Navigateurs Web E-mail Autres (mentionnez-les) :
----------------------------------------------
4, Evaluez les mesures de sécurité existantes :
Trop restrictives Appropriées Trop légères
14
5. Avez-vous constaté des problèmes de sécurité durant
les douze derniers mois? Si oui, lesquels?
----------------------------------------------------------------------------
----------------------------------------------------------------------------
----------------------------------------------------------------------------
----------------------------------------------------------------------------
6. Avez-vous connaissance d'accès possibles au réseau
d'entreprise par une "porte arrière" ? Si oui,
lesquels ?
----------------------------------------------------------------------------
---------------------------------------------------------------------------
15
7. Commentaires supplémentaires concernant les
problèmes de sécurité:
---------------------------------------------------------------------------
---------------------------------------------------------------------------
-
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Nom (optionnel) :
---------------------------------------------------------------------------
---------------------------------------------------------------------------
-
16
 Gestion des risques
 Evaluation des risques
Politique de sécurité d'entreprise :
17
Gestion des risques
La gestion des risques permet de répondre à 3
questions essentielles à la mise en place d’une
Politique de sécurité :
Comment résoudre les problèmes de sécurité
A quel endroit les résoudre
Quels types et niveaux de contrôles de sécurité
appliquer
18
Evaluation des risques
 Identification des ressources vitales
 Valorisation de ces ressources
 Estimation du Risque de violation de la
sécurité liés à ces ressources
 Estimation du Coût des dégâts de ces
ressources
 Calcul du risque informatique
19
Identification des ressources
 Matériels
• Stations de travail. ordinateurs personnels. imprimantes. routeurs.
commutateurs. modems, serveurs de terminaux et pare-feu
 Logiciels
Sources de programmes. programmes et objets associés. utilitaires.
applications de diagnostic, systèmes d'exploitation et programmes de
communication
 Données
Données stockées en ligne et archivées en ligne. sauvegardes. journaux d'audit.
bases de données. données en transit sur des médias de communication
 Personnes
• Utilisateurs. administrateurs et chargés de maintenance matérielle
 Documentations
Logiciels. évaluations matérielles 'et logicieI internes,systemes et procédures
administratives locales
20
Attribuer une valeur objective aux ressources tangibles de
l'entreprise
Pour les ressources non tangibles, généralement les logiciels.
les données ou la documentation, exprimer la valeur en termes
d'importance ou de gravité de sa perte
Valorisation des ressources
21
La classification des données selon des niveaux variés
d'importance peut être une étape préliminaire dans la
procédure de valorisation.
Un simple système d'évaluation avec les mentions élevé.
moyen ou faible peut déjà représenter un point de départ pour
évaluer les risques.
Les données peuvent appartenir à diverses catégories
Valorisation des ressources
22
Les données peuvent appartenir à diverses catégories
Données administratives. La correspondance ou autres
informations relatives aux biens de l'entreprise ainsi que les
renseignements de personnel qui sont généralement consultables.
 Données financières. Les informations sur les budgets et les
dépenses relatives aux opéra tions de l' entreprise.
Données de clientèle. Les informations de nature personnelle
relatives aux clients ou des renseignements issus de tests.
d'observations ou de missions de conseil.

 Données propriétaires/recherches. Les informations qui ne
peuvent pas être divulguées au public sans la permission du
propriétaire.
23
Exemple :Valorisation des
ressources non tangibles
Type de données Classification Gravité d'une perte
Résultats de tests
Tendances de marché
Brevets en cours
Mémos d'entreprise
Fichier d'employés
Nouvelles fonctionnalités de
produits
Sècrets commerciaux
Données d' acquisition
Recherche
Recherche
Propriétaire
Administration
Administration,
Propriétaire
Propriétaire
Finances
Finances
Elevée
faible
Elevee
Faible
Faible'
Moyenne
Elevée
Elevée
Moyenne
24
Après l’Identification et la
valorisation des ressources,
On passe à l’évaluation des Risques
de Violation de la sécurité
Politique de sécurité d'entreprise :
25
Une menace peut être une personne, un objet ou un
événement pouvant potentiellement provoquer des
dommages au réseau ou à ses équipements.
Les menaces peuvent être intentionnelles, comme la
modification malveillante d'informations sensibles, ou
accidentelles, suite à une erreur de calcul ou la
suppression fortuite d'un fichier.
Evaluation des Menaces et vulnérabilités
26
Une vulnérabilité est une faiblesse sur un réseau qui
peut être exploitée par une menace (ex password)
Par exemple. un accès, non autorisé (la menace) au
réseau peut être commis par un attaquant qui devine
un mot de passe trop évident.
La vulnérabilité exploitée ici est un choix médiocre de
mot de passe de la part d'un utilisateur.
La réduction ou l'élimination des points faibles du
réseau peut réduire ou éliminer le risque de voir les
menaces se concrétiser.
 Par exemple, un outil qui peut aider des utilisateurs à
choisir des mots de passe plus robustes
Evaluation des Menaces et vulnérabilités
27
Les menaces sont généralement classés de la façon suivante:
écoute clandestine ou vol d'informations (sniffing):
 blocage de l'accès aux ressources du réseau (DoS)
Accès non autorisé aux ressources (spoofing)
Manipulation de données (Mim)
Evaluation des Menaces et vulnérabilités
28
Les conséquences de ce type de menaces peuvent être
déclinés en 3 grands domaines :
1- Compromission de la sécurité des données
Vol d’information par :
un accès non autorisé à un système
écoute passive des échanges (sniffer)
Les Conséquences des Menaces
29
2- Perte d'intégrité des données
Les données ne sont plus fiables ou bien ne peuvent plus
être restaurés
les données actives sont-elles physiquement sécurisées
et sauvegardées (Où , quand et comment)?
 Qui dispose d'un accès physique au média contenant
vos données?
Les Conséquences des Menaces de sécurité
30
3-Indisponibilité des ressources
Dans les environnements actuels où les entreprises
s'appuient de plus en plus sur des transactions réalisées
en réseau, l'inaccessibilité à des systèmes vitaux peut se
traduire rapidement par des pertes importantes en temps
et en argent (manque à gagner)
Ce domaine de problèmes est étroitement lié à celui de
la fiabilité et de la redondance d'un système, raison pour
laquelle une politique de sécurité doit être définie
pendant la conception du réseau.
Les Conséquences des Menaces de sécurité
31
En voici un Exemple de Calcul simple de risques.
Comment évaluer le
Risque de sécurité
informatique ?
32
Annualized Loss Expectancy = Single
Loss Expectancy * Annual Rate of Occurrence
ALE = SLE * ARO
33
Probabilité de la menace (Mp)
1 = peu probable
2 = probable
3 = très probable
Perte attendue (PA)
1 = pertes faibles
2 = pertes moyennes
3 = pertes critiques
Risque = Mp x PA
1,2 = risque faible
3.4 = risque moyen
6.9 = risque élevé
Mp PA PERTE
1 1 1.... faible
1 2 2 ....faible
1 3 3 --- moyen
2 1 2.... faible
2 2 4.... moyen
2 3 6 --- élevé
3 1 3 --- moyen
3 2 6. ....élevé
3 3 9 --- élevé
34
Réduction des risques et du coût de la sécurité
Lorsque tous les risques ont été évalués, l'entreprise
doit déterminer le niveau de risque qu’elle peut
accepter et le niveau de protection à accorder à ses
ressources.
Donc, La réduction des risques est le processus de
sélection des contrôles appropriés pour ramener les
risques à un niveau acceptable.
Ce niveau est déterminé en comparant le risque
d'exposition de la brèche de sécurité au coût de
l'implémentation et de l'application de la politique de
sécurité.
35
Pour développer une politique de sécurité
APPLICABLE, il faut considérer le niveau des coûts et
des performances acceptables
Par Exempe : Les procédures de chiffrement et de
déchiffrement consomment du temps et de la puissance
de traitement.
Une décision spontanée de chiffrer TOUT le trafic peut
résulter en une dégradation des performances
36
En effet, Il faut comprendre que les mesures de sécurité
ne rendent impossibles ni un accès frauduleux aux
informations ni l' exécution de tâches non autorisées
sur un système du réseau.
Donc, Les mesures de sécurité ne peuvent
qu'augmenter les difficultés pour y parvenir.
Même si l'entreprise n’implémente que des filtres ACL
pour accepter le trafic extérieur provenant de certains
réseaux 
Cela peut être suffisamment dissuasif pour certains intrus pas
vraiment déterminés, cherchant simplement à occuper leur
temps libre.. .
37
Politique de sécurité :
Le Cadre Fonctionnel
38
Cadre fonctionnel d'u'ne politique de sécurité
Après étude de la gestion des risques, il est temps
d'examiner d'autres problèmes liés à la création d'une
politique de sécurité pour l'infrastructure d'un réseau
d'entreprise.
Les zones particulières requérant une sécurité plus stricte
sont les endroits les plus vulnérables au attaques tels que les
points d'interconnexion de réseaux, les points d'accès à
distance ainsi que les équipements et les serveurs vitaux de
l'infrastructure du réseau.
Politique de sécurité :
Le Cadre fonctionnel
39
Les Composants d'un réseau entreprise …
l'infrastructure principale de campus
La connectivité d' accès distant
La connectivité Internet.
40
Les Composants d'un réseau entreprise …
l'infrastructure principale de campus
Généralement consiste en (LAN + MAN);
Située à l' intérieur d'une zone géographique délimitée et
représente le cœur du réseau(CORE) d'entreprise.
La connectivité d' accès distant
Consiste en services de connexion distant par RTC ou RNIS qui
permettent de relier les Agences distantes ou les personnes
affectées au télétravail et les utilisateurs itinérants
La connectivité Internet.
L'accès Intemet permet connexion au campus principal par
l'intermédiaire d'un fournisseur de services Internet (ISP),
41
Chacun des trois composants peut avoir des besoins différents
en matière de sécurité.
Il est important de disposer d'un cadre pour la sécurité globale
d'entreprise gérant tous les éléments d'une architecture de
sécurité, pour que chaque stratégie individuelle soit cohérente
par rapport à l'ensemble.
Par exemple, disposer d'une stratégie stricte vis-à-vis des accès
Internet, mais avec de faibles restrictions sur l'usage du modem
est une démarche incohérente
(on peut se connecter via son modem intégré et ouvrir une ainsi
une brêche)
Les Composants d'un réseau entreprise …
42
Les Composants d'un réseau entreprise …
43
Les éléments d'une architecture de sécurité
Le cadre global doit inclure les éléments suivants
d'une architecture de sécurité: CIA
identité
 intégrité
 confidentialité
Disponibilité
 audit.
44
Les éléments d'une architecture de sécurité
Identification :
Englobe à la fois l'authentification et l'autorisation.
L'authentification répond à la question: "Qui êtes-
vous?",
L'autorisation répond à la question: "A quelles
ressources êtes-vous autorisé à accéder?"
45
Intégrité
L’intégrité est l'élément d'une architecture de sécurité qui
englobe la sécurité des équipements de
l'infrastructure de réseau (accès physiques et
logiques) et la sécurité de périphérie.
L'accès physique à un ordinateur (ou routeur ou
commutateurs ou pare-feu) peut donner à un utilisateur
détenant les bonnes connaissances un contrôle total
sur cet équipement.
L’accès physique à un lien de réseau permet en général à
une personne de faire de l'écoute clandestine ..etc
Donc, si l'accès physique au matériel n'est pas contrôlé,
les mesures de sécurité peuvent souvent être détournées
46
Par conséquent, pour les services d'entreprise, la
sécurité physique sera la mieux assurée au moyen
de vigiles, d'un réseau de moniteurs et de systèmes
d'accès par carte codée
Avec ces mesures, les entreprises peuvent être
assurées que leurs biens sont protégés à l'intérieur
des immeubles et que la bonne productivité des
utilisateurs est maintenue,
Intégrité
47
La sécurité logique d'accès désigne les
mécanismes d'identification (authentification et
autorisation) qui doivent être satisfaits avant que
l'utilisateur soit autorisé à accéder aux équipements
du réseau
La sécurité de périphérie concerne les
fonctionnalités de type pare-feu déterminant le trafic
qui doit être autorisé ou rejeté depuis diverses zones
du réseau.
Souvent, les systèmes pare-feu sont placés entre
Internet et le campus principal ou entre la connexion
à distance et le campus principal.
Intégrité
48
Confidentialité
La confidentialité est l'élément d'une architecture de
sécurité qui garantit qu'une Communication de données
entre un émetteur et un destinataire reste privée.
 Une politique stricte de sécurité devrait indiquer aux
utilisateurs les types de données jugés sensibles qui
justifient le chiffrement.
49
La décision de recourir au cryptage devrait être prise
par l'autorité chargée au sein de l'entreprise de la
protection des informations sensibles.
 S'il n'existe pas de politique de sécurité stricte
définissant les informations à chiffrer, il revient au
propriétaire des données de décider si les
informations doivent ou non être cryptées.
Confidentialité
50
Disponibilité
La disponibilité est le processus qui garantit que toutes
les ressources essentielles sont accessibles lorsque
cela se révèle nécessaire.
Maintenir la disponibilité des données signifie :
Planifier des mises à jour de systèmes
Planifier des changements de configuration
Bien tester les configurations pour éviter des
surprises catastrophiques provoquées par des
bugs ou des configurations erronées
51
Audit
L'audit est un élément de l'architecture de sécurité
nécessaire pour vérifier et surveiller la politique de
sécurité de l'entreprise.
Un audit logiciel vérifie l'implémentation correcte de la
stratégie de sécurité dans l'infrastructure de réseau.
La journalisation et la surveillance des événements
peuvent aider à détecter tout comportement inhabituel
ou d'éventuelles intrusions.
52
Audit
L'audit est un élément de l'architecture de sécurité
nécessaire pour vérifier et surveiller la politique de
sécurité de l'entreprise.
Un audit logiciel vérifie l'implémentation correcte de la
stratégie de sécurité dans l'infrastructure de réseau.
 La journalisation et la surveillance des événements
peuvent aider à détecter tout comportement inhabituel
ou d'éventuelles intrusions.
53
 De plus, Un système complet d’Audit devrait inclure :
le contrôle de nouvelles installations de systèmes.
Le contrôle des activités malveillantes des
personnes en interne.
L’enregistrement des événements et traces
d’attaques (ex: DoS/DoS ..etc)
Avec l’AUDIT, surtout éviter la journalisation de
chaque événement, sinon on est noyée sous une
montagne d'autres informations inutiles générées par le
système.
Audit
54
D’Autres considérations de sécurité …
La politique de l'entreprise devrait également prendre en
considération la sécurité concernant le personnel :
Les processus et les procédures permettant d'établir une
confirmation d'identité.
Les droits requis pour accéder à certaines informations.
la comptabilisation de l'usage correct des ressources
La formation appropriée pour que les employés assument
leurs responsabilités (Attention au personnel qui se venge!)
55
Résumé
Dans cette partie, On a étudié les étapes principales de mise en place
d'une politique de sécurité d'entreprise :
D’abord, Identification des différents points du réseau concernant la
sécurité globale de l' entreprise.
Ensuite, les ressources vitales doivent être identifiées pour évaluer les
coûts liés à la compromission de leur sécurité, leur destruction ou leur
indisponibilité.
Il faut également décider du niveau de risque jugé acceptable pour
l'entreprise.
Une fois ce niveau déterminé pour les vulnérabilités identifiées, une
stratégie spécifique à l'entreprise peut être définie
Enfin, on implémente la politique de sécurité définie grâce à divers
services de sécurité incluant l'identification, la protection de l'intégrité, de la
confidentialité et de la disponibilité ainsi que des procédures d'audit.
56
Questions &
Réponses

Contenu connexe

Similaire à ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt

resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Hackfest Communication
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelleDominique Gayraud
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Hanen Bensaad
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Denis VIROLE
 
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...ASIP Santé
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...Jean-Marc PROVENT
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptxhajarbouladass
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper Guillaume Valcin
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiSamy Ntumba Tshunza
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatiqueNRC
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de SedonaAgence West
 

Similaire à ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt (20)

resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
Presentation club qualite
Presentation club qualitePresentation club qualite
Presentation club qualite
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1
 
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : co...
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
 
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper Guillaume VALCIN  - Livre Blanc RGPD - GDPR White Paper
Guillaume VALCIN - Livre Blanc RGPD - GDPR White Paper
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona"Take the L.E.A.D." l'offre globale de Sedona
"Take the L.E.A.D." l'offre globale de Sedona
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 

ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt

  • 3. 3 “ ” Une politique de sécurité est une déclaration formelle des règles auxquelles doivent se conformer les personnes recevant un droit d’accès au capital technologique et informatif d’une entreprise RFC 2196 Definition d’une politique de sécurité
  • 4. 4 Politique de sécurité d'entreprise ? Une politique de sécurité doit être mise en œuvre avec la participation du personnel clé de l'entreprise concerné , à savoir : Les membres de la direction générale Le personnel technique Le personnel juridique,éventuellement
  • 5. 5  Une politique de sécurité d'entreprise apporte les avantages suivants:  un cadre fonctionnel (« le voir comme un CPS ou un Texte de Loi ») permettant d'implémenter des procédures de sécurité dans l'infrastructure de réseau  un processus permettant l'audit de la sécurité actuelle du réseau  une sécurité globale sans omissions  une base pour toute action juridique éventuelle. Politique de sécurité d'entreprise ?
  • 6. 6  Ensuite, Cette politique de sécurité doit être rédigée noir sur blanc comme cadre de référence applicable à TOUS  Enfin, Pour réussire à la mettre en œuvre , il faut :  Elle doit pouvoir être implémentée. sur le plan technique  Elle doit pouvoir être implémentée sur le plan organisationnel.  Elle doit pouvoir être imposée soit techniquement ou sinon par des sanctions administratives  Elle doit être souple et adaptable aux changements et évolutions au sein de l’entreprise Politique de sécurité d'entreprise ?
  • 7. 7 Par où commencer ? Peut sembler Difficile ou Inutile  Mais c’est le prix à payer pour éviter des erreurs dans le choix des méthodes et systèmes de sécurité Si l’entreprise dispose déjà d’un code de conduite général pour leur personnel, alors on peut s’y appuyer pour les traduire en une politique de sécurité informatique à suivre vis-à-vis des technologies confidentielles, des droits de la propriété intellectuelle et d'autres informations privées de l'entreprise. Voici un exemple de code de conduite en entreprise. Politique de sécurité : Les étapes de mise en place
  • 8. 8 La signature de ce document implique l'accord et l'adhésion aux principes éthiques et aux règles standard de conduite professionnelle suivants: 1. Responsabilité professionnelle. Les employés ont pour responsabilité de soutenir la mission et les objectifs généraux de l'entreprise. Ils doivent veiller à ce que leurs besoins en termes de développement et de professionnalisme soit équilibrés avec les obligations de l'entreprise de préserver la sécurité et les avantages de l'ensemble du personnel. Voici un exemple de code de conduite en entreprise.
  • 9. 9 2.Autorité juridique. Les employés respectent et reconnaissent toute autorité juridique. Ils doivent réfréner tout comportement impliquant malhonnêteté, fraude, duperie, déformation ou discrimination. 3. Conflits d'intérêts. Les employés doivent chercher à éviter tout comportement visant à satisfaire des intérêts ou des obligations à caractère privé, qui sont ou paraissent entrer en conflit d'intérêt avec la mission, les objectifs, les stratégies ou les réglementations de l'entreprise. Ils doivent clairement faire la distinction entré les déclarations et actions publiques et privées qui reflètent leurs opinions personnelles et celles qui reflètent la position de l'entreprise. Voici un exemple de code de conduite en entreprise.
  • 10. 10 4. Confidentialité. Les employés doivent garantir le respect de la confidentialité de toutes les communications privées, informations confidentielles et dossiers professionnels de l'entreprise. ils se doivent d'aviser toutes les parties de la nature et des limites de cette obligation. Voici un exemple de code de conduite en entreprise.
  • 11. 11 Pour un réseau équipé déjà d’outils de sécurité mais sans politique de sécurité , une enquête anonyme peut être menée pour collecter des informations sur les éventuelles possibilités de contournement des procédures de sécurité.  Ce genre d'étude peut permettre de recueillir des renseignements précieux de la part de personnes qui les contournent pour des raisons de productivité sans intention malhonnête. Les procédures en cause doivent alors être réévaluées pour déterminer de quelle façon la stratégie peut recourir à des mesures de sécurité applicables sur le plan pratique. Politique de sécurité : Les étapes de mise en place
  • 12. 12 Exemple de questionnaire d'enquête de sécurité Nom (optionnel) : ------------------------------------------------------------------------- ------------------------------------------------------------------------- ----1. J'utilise les systèmes suivants (entourez les réponses) : Windows UNIX Macintosh Autre (mentionnez-les) : Questionnaire d’évaluation Vue par les Users
  • 13. 13 2. Evaluez le pourcentage de temps passé à accéder au réseau de l'entreprise en utilisant les mécanismes suivants: Réseau local, de l'entreprise:----------------------------------------- -------------------------------------------------------------------- Réseau Frame Relay de l'entreprise (agence distante) :------ ------------------------------------------------------------------- Internet:-------------------------------------------------------------------- ------------------------------------------------------------------- Connexion par modem: ----------------------------------------------- ------------------------------------------------------------------ RNIS------------------------------------------------------------------------ ------------------------------------------------------------------- 3. Les applications que j'utilise le plus souvent sont (entourez les réponses) : Navigateurs Web E-mail Autres (mentionnez-les) : ---------------------------------------------- 4, Evaluez les mesures de sécurité existantes : Trop restrictives Appropriées Trop légères
  • 14. 14 5. Avez-vous constaté des problèmes de sécurité durant les douze derniers mois? Si oui, lesquels? ---------------------------------------------------------------------------- ---------------------------------------------------------------------------- ---------------------------------------------------------------------------- ---------------------------------------------------------------------------- 6. Avez-vous connaissance d'accès possibles au réseau d'entreprise par une "porte arrière" ? Si oui, lesquels ? ---------------------------------------------------------------------------- ---------------------------------------------------------------------------
  • 15. 15 7. Commentaires supplémentaires concernant les problèmes de sécurité: --------------------------------------------------------------------------- --------------------------------------------------------------------------- - --------------------------------------------------------------------------- --------------------------------------------------------------------------- Nom (optionnel) : --------------------------------------------------------------------------- --------------------------------------------------------------------------- -
  • 16. 16  Gestion des risques  Evaluation des risques Politique de sécurité d'entreprise :
  • 17. 17 Gestion des risques La gestion des risques permet de répondre à 3 questions essentielles à la mise en place d’une Politique de sécurité : Comment résoudre les problèmes de sécurité A quel endroit les résoudre Quels types et niveaux de contrôles de sécurité appliquer
  • 18. 18 Evaluation des risques  Identification des ressources vitales  Valorisation de ces ressources  Estimation du Risque de violation de la sécurité liés à ces ressources  Estimation du Coût des dégâts de ces ressources  Calcul du risque informatique
  • 19. 19 Identification des ressources  Matériels • Stations de travail. ordinateurs personnels. imprimantes. routeurs. commutateurs. modems, serveurs de terminaux et pare-feu  Logiciels Sources de programmes. programmes et objets associés. utilitaires. applications de diagnostic, systèmes d'exploitation et programmes de communication  Données Données stockées en ligne et archivées en ligne. sauvegardes. journaux d'audit. bases de données. données en transit sur des médias de communication  Personnes • Utilisateurs. administrateurs et chargés de maintenance matérielle  Documentations Logiciels. évaluations matérielles 'et logicieI internes,systemes et procédures administratives locales
  • 20. 20 Attribuer une valeur objective aux ressources tangibles de l'entreprise Pour les ressources non tangibles, généralement les logiciels. les données ou la documentation, exprimer la valeur en termes d'importance ou de gravité de sa perte Valorisation des ressources
  • 21. 21 La classification des données selon des niveaux variés d'importance peut être une étape préliminaire dans la procédure de valorisation. Un simple système d'évaluation avec les mentions élevé. moyen ou faible peut déjà représenter un point de départ pour évaluer les risques. Les données peuvent appartenir à diverses catégories Valorisation des ressources
  • 22. 22 Les données peuvent appartenir à diverses catégories Données administratives. La correspondance ou autres informations relatives aux biens de l'entreprise ainsi que les renseignements de personnel qui sont généralement consultables.  Données financières. Les informations sur les budgets et les dépenses relatives aux opéra tions de l' entreprise. Données de clientèle. Les informations de nature personnelle relatives aux clients ou des renseignements issus de tests. d'observations ou de missions de conseil.   Données propriétaires/recherches. Les informations qui ne peuvent pas être divulguées au public sans la permission du propriétaire.
  • 23. 23 Exemple :Valorisation des ressources non tangibles Type de données Classification Gravité d'une perte Résultats de tests Tendances de marché Brevets en cours Mémos d'entreprise Fichier d'employés Nouvelles fonctionnalités de produits Sècrets commerciaux Données d' acquisition Recherche Recherche Propriétaire Administration Administration, Propriétaire Propriétaire Finances Finances Elevée faible Elevee Faible Faible' Moyenne Elevée Elevée Moyenne
  • 24. 24 Après l’Identification et la valorisation des ressources, On passe à l’évaluation des Risques de Violation de la sécurité Politique de sécurité d'entreprise :
  • 25. 25 Une menace peut être une personne, un objet ou un événement pouvant potentiellement provoquer des dommages au réseau ou à ses équipements. Les menaces peuvent être intentionnelles, comme la modification malveillante d'informations sensibles, ou accidentelles, suite à une erreur de calcul ou la suppression fortuite d'un fichier. Evaluation des Menaces et vulnérabilités
  • 26. 26 Une vulnérabilité est une faiblesse sur un réseau qui peut être exploitée par une menace (ex password) Par exemple. un accès, non autorisé (la menace) au réseau peut être commis par un attaquant qui devine un mot de passe trop évident. La vulnérabilité exploitée ici est un choix médiocre de mot de passe de la part d'un utilisateur. La réduction ou l'élimination des points faibles du réseau peut réduire ou éliminer le risque de voir les menaces se concrétiser.  Par exemple, un outil qui peut aider des utilisateurs à choisir des mots de passe plus robustes Evaluation des Menaces et vulnérabilités
  • 27. 27 Les menaces sont généralement classés de la façon suivante: écoute clandestine ou vol d'informations (sniffing):  blocage de l'accès aux ressources du réseau (DoS) Accès non autorisé aux ressources (spoofing) Manipulation de données (Mim) Evaluation des Menaces et vulnérabilités
  • 28. 28 Les conséquences de ce type de menaces peuvent être déclinés en 3 grands domaines : 1- Compromission de la sécurité des données Vol d’information par : un accès non autorisé à un système écoute passive des échanges (sniffer) Les Conséquences des Menaces
  • 29. 29 2- Perte d'intégrité des données Les données ne sont plus fiables ou bien ne peuvent plus être restaurés les données actives sont-elles physiquement sécurisées et sauvegardées (Où , quand et comment)?  Qui dispose d'un accès physique au média contenant vos données? Les Conséquences des Menaces de sécurité
  • 30. 30 3-Indisponibilité des ressources Dans les environnements actuels où les entreprises s'appuient de plus en plus sur des transactions réalisées en réseau, l'inaccessibilité à des systèmes vitaux peut se traduire rapidement par des pertes importantes en temps et en argent (manque à gagner) Ce domaine de problèmes est étroitement lié à celui de la fiabilité et de la redondance d'un système, raison pour laquelle une politique de sécurité doit être définie pendant la conception du réseau. Les Conséquences des Menaces de sécurité
  • 31. 31 En voici un Exemple de Calcul simple de risques. Comment évaluer le Risque de sécurité informatique ?
  • 32. 32 Annualized Loss Expectancy = Single Loss Expectancy * Annual Rate of Occurrence ALE = SLE * ARO
  • 33. 33 Probabilité de la menace (Mp) 1 = peu probable 2 = probable 3 = très probable Perte attendue (PA) 1 = pertes faibles 2 = pertes moyennes 3 = pertes critiques Risque = Mp x PA 1,2 = risque faible 3.4 = risque moyen 6.9 = risque élevé Mp PA PERTE 1 1 1.... faible 1 2 2 ....faible 1 3 3 --- moyen 2 1 2.... faible 2 2 4.... moyen 2 3 6 --- élevé 3 1 3 --- moyen 3 2 6. ....élevé 3 3 9 --- élevé
  • 34. 34 Réduction des risques et du coût de la sécurité Lorsque tous les risques ont été évalués, l'entreprise doit déterminer le niveau de risque qu’elle peut accepter et le niveau de protection à accorder à ses ressources. Donc, La réduction des risques est le processus de sélection des contrôles appropriés pour ramener les risques à un niveau acceptable. Ce niveau est déterminé en comparant le risque d'exposition de la brèche de sécurité au coût de l'implémentation et de l'application de la politique de sécurité.
  • 35. 35 Pour développer une politique de sécurité APPLICABLE, il faut considérer le niveau des coûts et des performances acceptables Par Exempe : Les procédures de chiffrement et de déchiffrement consomment du temps et de la puissance de traitement. Une décision spontanée de chiffrer TOUT le trafic peut résulter en une dégradation des performances
  • 36. 36 En effet, Il faut comprendre que les mesures de sécurité ne rendent impossibles ni un accès frauduleux aux informations ni l' exécution de tâches non autorisées sur un système du réseau. Donc, Les mesures de sécurité ne peuvent qu'augmenter les difficultés pour y parvenir. Même si l'entreprise n’implémente que des filtres ACL pour accepter le trafic extérieur provenant de certains réseaux  Cela peut être suffisamment dissuasif pour certains intrus pas vraiment déterminés, cherchant simplement à occuper leur temps libre.. .
  • 37. 37 Politique de sécurité : Le Cadre Fonctionnel
  • 38. 38 Cadre fonctionnel d'u'ne politique de sécurité Après étude de la gestion des risques, il est temps d'examiner d'autres problèmes liés à la création d'une politique de sécurité pour l'infrastructure d'un réseau d'entreprise. Les zones particulières requérant une sécurité plus stricte sont les endroits les plus vulnérables au attaques tels que les points d'interconnexion de réseaux, les points d'accès à distance ainsi que les équipements et les serveurs vitaux de l'infrastructure du réseau. Politique de sécurité : Le Cadre fonctionnel
  • 39. 39 Les Composants d'un réseau entreprise … l'infrastructure principale de campus La connectivité d' accès distant La connectivité Internet.
  • 40. 40 Les Composants d'un réseau entreprise … l'infrastructure principale de campus Généralement consiste en (LAN + MAN); Située à l' intérieur d'une zone géographique délimitée et représente le cœur du réseau(CORE) d'entreprise. La connectivité d' accès distant Consiste en services de connexion distant par RTC ou RNIS qui permettent de relier les Agences distantes ou les personnes affectées au télétravail et les utilisateurs itinérants La connectivité Internet. L'accès Intemet permet connexion au campus principal par l'intermédiaire d'un fournisseur de services Internet (ISP),
  • 41. 41 Chacun des trois composants peut avoir des besoins différents en matière de sécurité. Il est important de disposer d'un cadre pour la sécurité globale d'entreprise gérant tous les éléments d'une architecture de sécurité, pour que chaque stratégie individuelle soit cohérente par rapport à l'ensemble. Par exemple, disposer d'une stratégie stricte vis-à-vis des accès Internet, mais avec de faibles restrictions sur l'usage du modem est une démarche incohérente (on peut se connecter via son modem intégré et ouvrir une ainsi une brêche) Les Composants d'un réseau entreprise …
  • 42. 42 Les Composants d'un réseau entreprise …
  • 43. 43 Les éléments d'une architecture de sécurité Le cadre global doit inclure les éléments suivants d'une architecture de sécurité: CIA identité  intégrité  confidentialité Disponibilité  audit.
  • 44. 44 Les éléments d'une architecture de sécurité Identification : Englobe à la fois l'authentification et l'autorisation. L'authentification répond à la question: "Qui êtes- vous?", L'autorisation répond à la question: "A quelles ressources êtes-vous autorisé à accéder?"
  • 45. 45 Intégrité L’intégrité est l'élément d'une architecture de sécurité qui englobe la sécurité des équipements de l'infrastructure de réseau (accès physiques et logiques) et la sécurité de périphérie. L'accès physique à un ordinateur (ou routeur ou commutateurs ou pare-feu) peut donner à un utilisateur détenant les bonnes connaissances un contrôle total sur cet équipement. L’accès physique à un lien de réseau permet en général à une personne de faire de l'écoute clandestine ..etc Donc, si l'accès physique au matériel n'est pas contrôlé, les mesures de sécurité peuvent souvent être détournées
  • 46. 46 Par conséquent, pour les services d'entreprise, la sécurité physique sera la mieux assurée au moyen de vigiles, d'un réseau de moniteurs et de systèmes d'accès par carte codée Avec ces mesures, les entreprises peuvent être assurées que leurs biens sont protégés à l'intérieur des immeubles et que la bonne productivité des utilisateurs est maintenue, Intégrité
  • 47. 47 La sécurité logique d'accès désigne les mécanismes d'identification (authentification et autorisation) qui doivent être satisfaits avant que l'utilisateur soit autorisé à accéder aux équipements du réseau La sécurité de périphérie concerne les fonctionnalités de type pare-feu déterminant le trafic qui doit être autorisé ou rejeté depuis diverses zones du réseau. Souvent, les systèmes pare-feu sont placés entre Internet et le campus principal ou entre la connexion à distance et le campus principal. Intégrité
  • 48. 48 Confidentialité La confidentialité est l'élément d'une architecture de sécurité qui garantit qu'une Communication de données entre un émetteur et un destinataire reste privée.  Une politique stricte de sécurité devrait indiquer aux utilisateurs les types de données jugés sensibles qui justifient le chiffrement.
  • 49. 49 La décision de recourir au cryptage devrait être prise par l'autorité chargée au sein de l'entreprise de la protection des informations sensibles.  S'il n'existe pas de politique de sécurité stricte définissant les informations à chiffrer, il revient au propriétaire des données de décider si les informations doivent ou non être cryptées. Confidentialité
  • 50. 50 Disponibilité La disponibilité est le processus qui garantit que toutes les ressources essentielles sont accessibles lorsque cela se révèle nécessaire. Maintenir la disponibilité des données signifie : Planifier des mises à jour de systèmes Planifier des changements de configuration Bien tester les configurations pour éviter des surprises catastrophiques provoquées par des bugs ou des configurations erronées
  • 51. 51 Audit L'audit est un élément de l'architecture de sécurité nécessaire pour vérifier et surveiller la politique de sécurité de l'entreprise. Un audit logiciel vérifie l'implémentation correcte de la stratégie de sécurité dans l'infrastructure de réseau. La journalisation et la surveillance des événements peuvent aider à détecter tout comportement inhabituel ou d'éventuelles intrusions.
  • 52. 52 Audit L'audit est un élément de l'architecture de sécurité nécessaire pour vérifier et surveiller la politique de sécurité de l'entreprise. Un audit logiciel vérifie l'implémentation correcte de la stratégie de sécurité dans l'infrastructure de réseau.  La journalisation et la surveillance des événements peuvent aider à détecter tout comportement inhabituel ou d'éventuelles intrusions.
  • 53. 53  De plus, Un système complet d’Audit devrait inclure : le contrôle de nouvelles installations de systèmes. Le contrôle des activités malveillantes des personnes en interne. L’enregistrement des événements et traces d’attaques (ex: DoS/DoS ..etc) Avec l’AUDIT, surtout éviter la journalisation de chaque événement, sinon on est noyée sous une montagne d'autres informations inutiles générées par le système. Audit
  • 54. 54 D’Autres considérations de sécurité … La politique de l'entreprise devrait également prendre en considération la sécurité concernant le personnel : Les processus et les procédures permettant d'établir une confirmation d'identité. Les droits requis pour accéder à certaines informations. la comptabilisation de l'usage correct des ressources La formation appropriée pour que les employés assument leurs responsabilités (Attention au personnel qui se venge!)
  • 55. 55 Résumé Dans cette partie, On a étudié les étapes principales de mise en place d'une politique de sécurité d'entreprise : D’abord, Identification des différents points du réseau concernant la sécurité globale de l' entreprise. Ensuite, les ressources vitales doivent être identifiées pour évaluer les coûts liés à la compromission de leur sécurité, leur destruction ou leur indisponibilité. Il faut également décider du niveau de risque jugé acceptable pour l'entreprise. Une fois ce niveau déterminé pour les vulnérabilités identifiées, une stratégie spécifique à l'entreprise peut être définie Enfin, on implémente la politique de sécurité définie grâce à divers services de sécurité incluant l'identification, la protection de l'intégrité, de la confidentialité et de la disponibilité ainsi que des procédures d'audit.