ISO 27001, GDPR et autres normes et règlements imposent des contraintes strictes sur la gestion de la sécurité de vos données. Notre RSSI vous donne quelques pistes pour la sécurité de vos données et celles de vos clients et/ou partenaires.

1. Sécurité SI
Organisationnelle
Joël RAMAT – RSSI Groupe OT

2. • Long terme
Grandes Orientations
• Moyen terme
Maitrise d’ouvrage
Pilotage
• Court terme
Mise en œuvre
Management d’entreprise
2
Stratégie
Tactique
Opérationnel
Engagement
Objectifs
Politiques
Exigences
Architectures
Processus
Mode Opératoire
Contrat
SLA

3. Etat de l’art
Bonnes pratiques / Guide d’hygiène
Approche Conformité 1/2
3 https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/
OK Vigilance
Priorité à la
production
Repose sur
l’individu
Facilité de
mise en
œuvre
Abordable
€
S
T
O

4. Approche Conformité 2/2
4
Référentiels d’exigence
 SECNUMCLOUD
 RGS  Réglementaire
 CSPN
 HDS  Réglementaire
 PCIDSS
Référentiels de mesures
 ISO 27002 – 177 mesures
OK Vigilance
Capitalisation
partiel
Reconnaissance
sectoriel
Mesures
Sélectionnées
Certification
S
T
O

5. Approche par le Risque
5
Système de management de la sécurité : Pilotage par le Risque
 ISO 27001
 PSSIE
Compatible QSE : ISO 9k ISO 14k OK Vigilance
Engagement
de la direction
Définition du
Périmètre
Maturité en
Sécurité
Capitalisation
Certification
International
Pilotage par le
risque
S
T
O

6. Définition du risque
6
ISO 31000:2009 – Management du risque — Principes et lignes directrices9, la
nouvelle définition (depuis janvier 2010) couple le risque aux objectifs de
l’organisation :
« Le risque est l’effet de l’incertitude sur l'atteinte des objectifs »
La vision précédente (de 2002) de l’ingénieur :
« Le risque est la combinaison de la probabilité d’un évènement et de sa conséquence »

7. Conformité vs Risque
7
Exigencedesécurité
Conformité
Obligatoire
Gestion du risque
Discretionnaire

8. Gouvernance de la sécurité
8
Stratégie
Tactique
Opérationnel
DG
RSSI DPO
TOUS
DAF
Fonctions
Support Responsables
Métier
Audit
SOC
Dérogation
Audit Org.
TDB
Indicateurs
Test technique
Supervision
Revue de Conf.
Scan de vul.
Objectifs
Politiques
Exigences
Instructions

9. Organisation de la Sécurité
9
Sécurité
Opérationnel
COSEC
CODIR
7 Référentiel de
Sécurité
6 Etablissement
du Plan d’Action
8 Mises en œuvre et
fonctionnement
9 Surveillance /
Audit
10 Mise à jours et
Amélioration
ExploitationDéfinition
4 Etude du Contexte
Analyse de Risque
5 Exigence de sécurité

10. Pôle Sécurité GOT
10
Organisationnel
• Conformité
• Gestion du Risque
• AMOA
Opérationnel
• SOC
• SécOps
• R&D
• Audit / Pentest
Pôle Sécurité

11. Amélioration continue & maturité
11
Réagir aux audits
• Traiter les écarts
• Réagir aux incidents
majeurs
Exprimer et se
conformer aux
exigences
• Appliquer la loi et les
réglementations
• Définir et appliquer les
règles d’entreprise
Piloter par le risque
• Mettre en œuvre les
mesures de sécurité
appropriée
Construire une
relation de confiance
• Présenter des éléments
de preuve et des
tendances
• Définir un catalogue de
service sécurité pour les
projets
Contribuer aux
affaires
• Développer des services
de sécurité pour une
stratégie innovantes et
des nouvelles
technologies

12. Merci
12
Approche conformité
L’état de l’art lié à votre
activité
Approche
organisationnel et
gestion du risque
Des mesures sur mesure
adapté à votre stratégie !
Amélioration continue
La sécurité dans votre ADN !

13. 13
Sécurité SI
Organisationnelle
Joël RAMAT – RSSI Groupe OT
Avril 2017
https://www.oceanet-technology.com
@OceanetTechno