The webinar covers:
a. Pourquoi conduire une gestion de risque dans son organisation
b. Les mesures de contrôles comme corollaire d’une analyse de risque
c. Culture de risque, gage d’une amélioration continue de la gouvernance de la sécurité du système d’information.
Presenter:
Augustin Stéphane MENYE Augustin Stéphane MENYE est un ingénieur des systèmes d’information avec plus de 17 ans d’expérience, fondateur de ASM CONSULTING et Directeur associé chez INTELIZ.
Link of the recorded session published on YouTube: https://youtu.be/G9-I17SrUTw
2. Augustin Stéphane MENYE
Directeur Associé
Augustin Stéphane MENYE est un ingénieur des systèmes d’information avec plus de 17 ans d’expérience dans la mise en œuvre, la gouvernance et la sécurité
des systèmes d’information, Fondateur de ASM CONSULTING et Directeur associé chez INTELIZ.
Il est un multicertifié dans les domaines informatique, des systèmes d’information, et de l’ISO dont ISO/IEC 27001 LI & LA, ISO 27005, ISO/IEC 38500,
ISO/IEC 22301 LI & LA, ISO/IEC 9001 :2015, … et est Instructeur certifié PECB (N° de Certificat CT253) pour la délivrance des formations des normes ISO/CEI.
Il a conduit des formations et plusieurs projets d’envergure liés à la gouvernance et à la sécurité des systèmes d’information.
+237 233 42 20 24
stephane.menye@cm-asm.com www.cm-asm.com
linkedin.com/Augustin Stéphane MENYE
3. QUELQUES DEFINTIONS
RISQUE
• ISO 31000: Effet de l’incertitude sur l’atteinte des objectifs
• Vision Positive du risque: Possibilité de Gain
• Vision Négative du risque: évènement entravant l’atteinte des objectifs
• Vision neutre du risque:
• Probabilité que survienne un évènement nuisible, et éventualité que
survienne une menace plus ou moins prévisible pouvant influer sur la
réalisation des objectifs à atteindre.
• Probabilité pour qu’une menace exploite une faille pour endommager
un actif (IT).
4. QUELQUES DEFINTIONS
RISQUE
• MENACE
• FAILLE
Il peut donc avoir une faille mais le niveau de risque conséquent
restant très bas!
Mon antivirus n’est pas à jour, mais je n’échange avec personne
Il peut bien avoir une menace mais le niveau de risque conséquent
restant très bas!
Nos bureaux sont au sous-sol, mais notre salle machine est au
5ème étage de l’immeuble.
6. QUELQUES DEFINTIONS
SECURITE IT
• Ensemble de contrôles mis en œuvre pour palier les attaques liés à
l’informatique
• Hacking
• Je vais peut-être installer un pare-feu
• Intrusion physiques ou virtuelles;
• Je vais verrouiller des ports dans mon serveur d’application
• Je vais mettre un contrôle d’accès biométrique à l’entrée de ma salle serveur
• Mesures contre les logiciels malveillants et les virus
• Veiller que mon antivirus soit mis à jour selon les préconisations de l’éditeur
• Accès non autorisé aux données
• Je vais crypter les données en transit ou stockée dans mes machines
• …
7. QUELQUES DEFINTIONS
Gouvernance de la Sécurité
• Structures opérationnelles et processus qui garantissent que la sécurité IT
soutient et prolonge la stratégie et les objectifs de l’entreprises.
• Structures opérationnelles
• Qu’avons-nous mis en place comme organisation pour gérer la sécurité?
• Le RSSI rapport au DG, au DIT, au DAF;
• Le FAI assure la protection de la Entrée/Sortie
• …
• Processus
• Processus mis en place liés à la sécurité IT
• Les sauvegardes;
• Le contrôle d’accès;
• …
8. POURQUOI MENER UN PROCESSUS DE MANAGEMENT
DE RISQUES DANS UNE ORGANISATION?
• Apprécier les risques de
l’organisation
• Les Traiter
• Transférer
• Mitiger;
• Maintenir;
• Eviter.
• Les accepter
• Accepter et faire valider le niveau de
risque résiduel
9. LES CONTRÔLES DE SECURITE: COROLLAIRE DU
TRAITEMENT DES RISQUES
TRAITEMENT DES RISQUES = MISE EN ŒUVRE DES
CONTRÔLES DE SECURITE
• Pourquoi mettre en œuvre telle règle de pare-feu?
• Pourquoi décider de mettre notre salle serveur au 3ème
étage?
• Pourquoi fermer/ouvrir tel port dans notre serveur web?
• Pourquoi arrêter telle activité à telle période?
• Pourquoi faire signer un contrat d’assurance pour tel
serveur?
AUCUN DE CES CONTRÔLES DE SECURITE NE PEUT VERITABLEMENT ÊTRE EFFICACE
QUE S’IL EST BASE SUR UNE PROCESSUS DE DE MANAGEMENT DE RISQUES!
10. CULTURE DU RISQUE ET AMELIORATION CONTINUE
DE LA SECURITE LIEE A L’IT
PROCESSUS CONTINUE
• Tout changement dans l’entreprise
implique une réévaluation du risque
• Nouvelle règlementation en vigueur;
• Nouveau produit;
• Organigramme revu;
• Nouveau concurrent;
• Un risque identifié doit toujours être
suivi et revu
• Le risque est une affaire de tous au sein
de l’organisation
• Toute personne dans l’organisation doit être
capable de détecter et remonter un incident
de sécurité dans son secteur