Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Sécurité vs Continuité -rev2-

1 337 vues

Publié le

  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Sécurité vs Continuité -rev2-

  1. 1. SÉCURITÉ VS. CONTINUITÉ «  THE DEVIL IS IN THE DETAILS  ». soit en français «  LE DIABLE SE CACHE DANS LES DÉTAILS  ».
  2. 2. SOMMAIRE <ul><li>Introduction </li></ul><ul><li>Normes ISO </li></ul><ul><ul><li>Ecosystèmes </li></ul></ul><ul><ul><li>Champs d’action </li></ul></ul><ul><ul><li>Statistiques </li></ul></ul><ul><li>Interactions </li></ul><ul><ul><li>… conceptuelles </li></ul></ul><ul><ul><li>… opérationnelles </li></ul></ul><ul><ul><ul><ul><li>Problématiques </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Solutions </li></ul></ul></ul></ul><ul><li>Conclusion </li></ul><ul><li>Expériences & Questions </li></ul>
  3. 3. INTRODUCTION <ul><li>Sécurité & Continuité… </li></ul><ul><ul><li>non-génératrices de revenus </li></ul></ul><ul><ul><li>différentes et séparées </li></ul></ul><ul><ul><li>gestion des risques </li></ul></ul><ul><ul><li>valeur qu’en cas d’incident </li></ul></ul><ul><ul><li>trop limitées aux services TIC </li></ul></ul><ul><ul><li>responsabilités des personnes </li></ul></ul><ul><ul><li>critiques et transverses </li></ul></ul><ul><ul><li>communs et complémentaires </li></ul></ul><ul><li>… donc ? </li></ul>
  4. 4. NORMES ISO : 2700X <ul><li>Ecosystème </li></ul><ul><li>ISO 27031:2011 propose un cadre pour la continuité d'activité. </li></ul>
  5. 5. NORMES ISO : 27001 & 27002 <ul><li>Champ d’action </li></ul>
  6. 6. LES CHIFFRES
  7. 7. NORMES ISO : 27002 & 27031 <ul><li>Champ d’action de 27002, chapitre 14 </li></ul><ul><ul><li>« Le Chapitre 14 décrit des mesures pour la gestion d’un plan de continuité de l’activité visant à réduire le plus possible l’impact sur l’organisme et à récupérer les actifs informationnels perdus notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés. » </li></ul></ul><ul><ul><li>Wikipédia </li></ul></ul><ul><li>Champ d’action de 27031 </li></ul><ul><ul><li>« ISO/CEI 27031:2011 couvre tous les événements et incidents (y compris ceux liés à la sécurité) qui peuvent porter atteinte à l’infrastructure et aux systèmes TIC. Elle regroupe, en les complétant, les pratiques de gestion des incidents liés à la sécurité de l’information, et les pratiques de gestion de la planification de mise en état des TIC et des services TIC. » </li></ul></ul><ul><ul><li>ISO </li></ul></ul>
  8. 8. NORMES ISO : 22301 <ul><li>Champ d’action </li></ul>
  9. 9. LES CHIFFRES
  10. 10. INTERACTIONS CONCEPTUELLES <ul><li>Gestion de risque commune ? </li></ul><ul><ul><li>Actif [ Propriétaire, Valeur, Responsable ] </li></ul></ul><ul><ul><li>Menace -> Actif </li></ul></ul><ul><ul><li>Actif { Vulnérabilité } </li></ul></ul><ul><ul><li>(Menace x Vulnérabilité) x Valeur = Impact </li></ul></ul><ul><ul><li>Probabilité x Impact = Risque </li></ul></ul><ul><li>Cindynique, science du danger </li></ul><ul><li>Que trouve-t-on dans les politiques et plans ? </li></ul><ul><ul><li>Analyse </li></ul></ul><ul><ul><li>Recommandations </li></ul></ul><ul><ul><li>Implantation </li></ul></ul>
  11. 11. LES CHIFFRES
  12. 12. LA VRAIE PROBLÉMATIQUE OPÉRATIONNELLE
  13. 13. LA VRAIE PROBLÉMATIQUE OPÉRATIONNELLE <ul><li>Constat de double, triple, quadruple,… panne. </li></ul><ul><ul><li>Les croyances </li></ul></ul><ul><ul><li>Les probabilités simplistes </li></ul></ul><ul><ul><li>Les probabilités réelles in situ </li></ul></ul><ul><li>L’incident « gris » ou « irritant » </li></ul><ul><ul><li>Nouveau concept du jour hors du H-M-L </li></ul></ul><ul><ul><li>Le faux-incident </li></ul></ul><ul><ul><li>L’incident partiel à impact significatif modéré </li></ul></ul><ul><ul><li>Intégration dans les BIAs </li></ul></ul>
  14. 14. INTERACTIONS OPÉRATIONNELLES <ul><li>La sécurité obstacle à la continuité </li></ul><ul><ul><li>Excès de sécurité </li></ul></ul><ul><ul><li>Déséquilibre de sécurité </li></ul></ul><ul><ul><li>Processus de sécurité tiers </li></ul></ul><ul><li>La continuité obstacle à la sécurité </li></ul><ul><ul><li>Le principe de « pré-action » </li></ul></ul><ul><ul><li>L’urgence </li></ul></ul><ul><ul><li>L’ « anti-champion » </li></ul></ul>
  15. 15. INTERACTIONS OPÉRATIONNELLES <ul><li>Etude de cas n°1 : la continuité menace la sécurité </li></ul><ul><ul><li>Menace logique in situ via une vulnérabilité physique. </li></ul></ul><ul><li>Etude de cas n°2 : la sécurité menace la continuité </li></ul><ul><ul><li>Menace logique via intimidation publique et auto-sabotage. </li></ul></ul>
  16. 16. SOLUTIONS OPÉRATIONNELLES POSSIBLES <ul><li>Conformité du plan de continuité à la politique de sécurité. </li></ul><ul><li>Sensibilisation des « champions » </li></ul><ul><ul><li>Equipe de DR incluant une dimension d’autocontrôle </li></ul></ul><ul><ul><li>Tests de vulnérabilité intégrés aux tests de DR </li></ul></ul><ul><li>Extériorisation des services de sécurité </li></ul><ul><ul><li>Inclusion par SLA des Tiers de sécurité au processus de continuité </li></ul></ul><ul><ul><li>Surveillance de sécurité logique et physique décentralisée </li></ul></ul><ul><ul><li>Elévation de droits automatisée (ex. PowerBroker) </li></ul></ul>
  17. 17. A INSÉRER DANS NOS POLITIQUES… <ul><li>Sécurité </li></ul><ul><ul><li>Recommandations standards (CMMI 3) </li></ul></ul><ul><ul><li>« En service normal, l’accès aux ressources doit être contrôlé (identification utilisateurs, double-authentification) et adapté au droit à en connaître de l’utilisateur (droits et privilèges, profil utilisateur). » </li></ul></ul><ul><ul><li>Recommandations d’urgence (CMMI 1) </li></ul></ul><ul><ul><li>« Dans le cas d’une urgence, l’accès aux ressources peut être facilité par des contrôles exceptionnels (identification par machine, authentification unifiée) et adapté au obligations de moyens de l’utilisateur (droits et privilèges exceptionnels documentés, profil administrateur). » </li></ul></ul>
  18. 18. A INSÉRER DANS NOS POLITIQUES… <ul><li>Continuité </li></ul><ul><ul><li>Liste des contrôle de sécurité dégradés </li></ul></ul><ul><ul><li>Processus d’autocontrôle </li></ul></ul><ul><ul><li>CADILLAC ! </li></ul></ul><ul><ul><li>Une analyse des risques résiduels cumulés sur la base des « SPoF » </li></ul></ul>
  19. 19. RETOURS D’EXPÉRIENCES ?
  20. 20. BIBLIOGRAPHY <ul><li>M53 – Étude de cas, suite ISO 2700x </li></ul><ul><li>http://fr.wikipedia.org/wiki/ISO/CEI_27001 </li></ul><ul><li>http://fr.wikipedia.org/wiki/ISO/CEI_27002 </li></ul><ul><li>http://www.duquesnegroup.com/ISO-22301-la-future-norme-de-Continuite-d-activite_a187.html </li></ul><ul><li>http://www.bcifiles.com/22301Transition_BSI20110321.pdf </li></ul><ul><li>http://www.icm.co.uk/newsroom/events/downloads/sp4launch/Raising_the_Standard_John_Sharp.pdf </li></ul><ul><li>http://www.itsc.org.sg/pdf/synthesis09/Four_ICT.pdf </li></ul><ul><li>http://fr.wikipedia.org/wiki/Cindynique </li></ul><ul><li>http://www.clusif.asso.fr/fr/production/sinistralite/docs/etude2005.pdf </li></ul><ul><li>http://download.pwc.com/ie/pubs/pwc_goodbye_sas_70_isae_3402.pdf </li></ul>

×