SlideShare une entreprise Scribd logo
1  sur  45
ÉVOLUTION DES BONNES PRATIQUES EN
 SÉCURITÉ DE L’INFORMATION AVEC COBIT 5

CONFÉRENCIER: ELHADJI NIANG, CISA




6 FÉVRIER 2013




                                    http://www.isaca-quebec.ca
OBJECTIFS – VOLET EXPLOITATION

Objectif


  Présenter sous le volet de l’exploitation la mise en œuvre
   des principes en sécurité de l’information de Cobit 5, au
   niveau des applications et infrastructures TI de
   l’organisation.




                                                                2
VOLET EXPLOITATION
                  Ordre du jour
           Introduction;
           Avancées majeures de Cobit 5 au
            niveau de l’exploitation:
            1.   Prise en compte du BMIS;
            2.   Définition d’indicateurs de
                 performance pour l’exploitation
                 de l’infrastructure
           Sécurité des applications et de
            l’infrastructure;
           Sécurité des équipements
            mobiles;
           Objectifs de contrôles TI dans
            l’infonuagique;
           Retour d’expérience mise en
            œuvre processus Cobit.




                                                   3
INTRODUCTION
 Dépendance accrue de l’organisation aux systèmes et applications
informatiques;
 Importance de la sécurité et de la confidentialité de l’information ;
 Dans un tel contexte, la prise en compte de la sécurité au niveau de
l’exploitation est un enjeu critique pour le succès des opérations.




                                                                          4
5
MODÈLE D’AFFAIRES POUR LA SÉCURITÉ DE
        L’INFORMATION (BMIS)
 Le modèle d’affaires pour la sécurité de l’information,
un descriptif approfondi qui examine les aspects de
sécurité au sein de l’entreprise dans une perspective
systémique.              Organisation




                       Processus



     Personnes                          Technologies




                                                            6
MÉTRIQUES DE PERFORMANCE EN SÉCURITÉ
   DE L’INFORMATION SELON COBIT 5
Cobit 5 pour la sécurité de l’information propose un ensemble de
métriques pour mesurer la performance des objectifs de contrôles mises
en œuvre au niveau de l’exploitation.

  Capacités de services           Objectif qualité                       Métriques
                                                               • Nombre d’entité ou de services qui
                                                               n’utilisent pas les services
Fournir des services                                           d’authentification
                            Authentification complète et
d’authentification                                             • Exhaustivité des facteurs
                            exacte de toute entité / service   d'authentification qui répondent aux
                                                               exigences de sécurité
                                                               • Nombre de transactions
                            Service d’approvisionnement        d’approvisionnement en sécurité
Fournir un service          précis complet et à jour de tous   incomplète
                                                                • Nombre de transactions
d’approvisionnement en      les services et éléments de        d’approvisionnement en sécurité
sécurité de l’information   sécurité pour les entités ou       inexacte
                            services                           •Moyenne des retards des services
                                                               d’approvisionnement en sécurité




                                                                                                      7
8
ARCHITECTURE DE SÉCURITÉ DES SYSTÈMES
                        ET APPLICATIONS
          Définir des principes architecturaux applicables à toute l’infrastructure
          suivant une vision d’ensemble : Affaires, informations, applications et
          infrastructure.
          Définir des capacités de services supportés par des outils et bonnes
          pratiques mesurés par des indicateurs de performance.
     Vue                                                                            Approche proactive pour prévenir les
   affaires                                        Gestion sécuritaire de la        incidents consécutifs à des failles de
                                                                                    configuration, afin de réduire les coûts
                                                        configuration               Via une configuration sécuritaire et
                                                                                    standardisée

     Vue
informations                                                              Soutenue par:
                                                                                         CMDB;
                                                   Technologies et bonnes                Outils scan vulnérabilités;
                                                         pratiques                       Outils de surveillance;
    Vue                                                                                  Solutions audit
applications

                                                                          Mesurées par:
                                                                                        Nbre erreurs de configuration;
                                                                                        Nbre de configurations
     Vue                                                Métriques de                    standardisés;
                                                        performance                     % de changmts autorisés Vs non
Infrastructure                                                                          autorisés;
                                                                                        ..........




                                                                                                               9
SÉCURITÉ AU NIVEAU DU DÉVELOPPEMENT

Favoriser des pratiques de codages sécuritaires et adaptées à
tout type de langages et d’environnements;
Développer et maintenir des bibliothèques sécurisées.
La preuve par l’exemple (inspirée du SDLC de Microsoft):
                                             Dynamique récurrente
    Démarche proactive




                                                            Modéliser les menaces de sécurité
                         Nommer un coach responsable
                                                             de l’ensemble des ressources
                            de la sécurité du projet                    systèmes


                           Utiliser des outils d’analyses
                                                            Réaliser des tests de sécurité ciblés
                                 statiques de codes



                          Réaliser des revues finales de    Réaliser les mises à jour correctives
                                     sécurité                    avant mise en production




                                                                                                    10
ÉVALUER LE NIVEAU DE SÉCURITÉ DE
                   L’INFRASTRUCTURE
Réaliser une évaluation du niveau de
sécurité de l’infrastructure                 Infrastructure
                                             technologique
technologique;

Utiliser des outils adaptés à l’envergure   Outils d’analyses
                                              techniques
et à la criticité de votre infrastructure

Suite à la corrélation des résultats de
                                            Corrélation des
l’analyse, définir le niveau de risque         résultats
                                               d’analyse
acceptable ainsi que les mesures de
mitigation appropriées;




                                                                11
ALIGNER LA CONFIGURATION AVEC LES
       BESOINS ET L’ARCHITECTURE DE SÉCURITÉ
S’assurer de la configuration dans une perspective d’ensemble
de tous les composants de l’infrastructure (systèmes, bases de
données, applications et équipements réseaux ).
                  Durcir la configuration des systèmes en conformité
   .              avec les exigences de l’architecture de sécurité et des
                  bonnes pratiques.


                             S’assurer de la sécurité des applications
                             (messages d’erreurs, limitation temps de
         .
                             session…). Utilisez des outils spécialisés de type
                             Web application configuration analyzer


                                       S’assurer de la configuration sécurisée de tous les
             .                         équipements, désactiver tous les services, ports,
                                       protocoles non utilisés.




                                                                                             12
GÉRER LES ACCÈS UTILISATEURS EN LIEN
         AVEC LES BESOINS D’AFFAIRES
Mettre en œuvre un dispositif comportant les fonctionnalités
de sécurité nécessaires pour la création de compte
utilisateurs et la gestion des habilitations;
Gérer et maintenir à jour un service d’authentification aligné
sur la criticité des actifs;
S’assurer de l’efficacité et l’efficience des mécanismes de
retrait et d’annulation des droits d’accès et privilèges
utilisateurs.




                                                                 13
MODÈLE GÉNÉRIQUE DE GESTION DES ACCÈS
           BASÉ SUR LE BESOIN D’AFFAIRES
Embauche
 Création d’une identité;
 Création de compte;                                     Départ:
 Octroi des droits                                          Suppression de
  d’accès;                                                    l’identité;
 Définition des                                             Suppression des
  autorisations.                                              comptes, droits
                                                              d’accès et
                                                              autorisations associés.




                     Changement d’unité administrative
                      Modification des droits d’accès;
                      Révision des autorisations.




                                                                            14
PROTECTION CONTRE LE CODE MALICIEUX ET
            LES INTRUSIONS
Planifier, mettre en œuvre, et maintenir des mécanismes efficaces et
efficients pour contrer les menaces internes et externes;
Fournir des capacités et pratiques de gestion pour prévenir les atteintes
ou fuites de données de l’organisation.
Favoriser les technologies émergentes pour contrer les codes malicieux
ou les tentatives d’intrusions.
                                              Solution DLP (prévenir la fuite d’information
Solution unifiée de gestion des menaces                 quelque soit le support)
                  UTM




                                                                                        15
PROCESSUS DE GESTION DES INCIDENTS DE
               SÉCURITÉ
Processus visant à encadrer les activités de détection, de
réaction et de résolution des incidents de sécurité.
Doit prendre en compte les activités suivantes:

      Prendre en charge et      Communiquer avec les      Prendre les mesures de
       définir le niveau de       parties prenantes,         confinements et
      sévérité de l’incident    gérer la divulgation de      d’éradication de
           de sécurité;             l’information                l’incident




       Produire suivant une     Collecter les éléments    Prévoir un scénario de
      périodicité définie des     de preuve lorsque          retour en arrière,
       rapports de suivi des     requis, documenter        remettre les services
            incidents                 l’incident                en marche




                                                                                   16
SURVEILLANCE ET SERVICES D’ALERTES DE
                   SÉCURITÉ

Mettre en œuvre une solution de
surveillance en temps réel de
l’infrastructure;
Corréler tous les événements de sécurité
à l’aide de tableau de bord avec des
indicateurs clairement définis;
Arrimer le processus de gestion des
incidents de sécurité avec les outils de
surveillance pour favoriser une meilleure
prise en charge des évènements de
sécurité.


                                             17
18
LA SÉCURITÉ DES ÉQUIPEMENTS MOBILES AU
        NIVEAU DE L’EXPLOITATION
Rechercher l’équilibre entre le durcissement des
équipements mobiles (OS, applications, connexions
réseaux) et les besoins d’affaires exprimés.


                                  Valeur
                                 ajoutée


                                                Dossier
                                               d’affaires
      Risques de
       sécurité



                                                            19
STRATÉGIE DE DÉFENSE EN PROFONDEUR
                  DES ÉQUIPEMENTS MOBILES
       Définir et corréler plusieurs lignes de défense pour la
       sécurité des équipements mobiles.                          e
                                                        3 ligne de défense:
                                                          Contrôle internes de
       Une image vaut mille mots !!!                           sécurité;
                                                                     Audits internes ;
1e Ligne de défense:                                              Mesures préventives /
                                                                       correctives
   Analyse des risques;
  Analyses des impacts ;
 Mesures de mitigations

                                                                           2e Ligne de
                                                                            défense:
                                                                       Politique de gestion;
                                                                       Auto évaluation des
                                                                      contrôles ;
                                                                       Tests de sécurité




                                                                                      20
SÉCURITÉ DES OS DES ÉQUIPEMENTS
                 MOBILES
OS principalement conçus pour une multiplicité d’usages privés
et publics. Il existe un risque de perte des garanties avec
certaines modifications des OS;
La sécurité des OS des équipements mobiles peut prendre appui
sur certaines mesures de contrôles de type:
                                • Sécuriser le
                                  noyau (mises à
                                  jour firmware)


                                    • Favoriser des OS
                                        propriétaires
                                       pour les env. à
                                       hauts risques


                                  • Désactiver
                                  « back doors »
                                   intégrés pour
                                  accès distants




                                                          21
SÉCURITÉ DES APPLICATIONS DES
           ÉQUIPEMENTS MOBILES

Niveau élevé de risques de sécurité compte tenu de la
diversité d’applications (commerciales ou non)
disponibles pour les équipements mobiles;
Nécessité de réaliser une évaluation des risques et si
pertinent, des tests d’intrusion sur les applications
approuvées;
Préciser la nature et le type d’applications dont
l’installation est autorisée sur les équipements mobiles
propriétés de l’organisation.




                                                           22
OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ
       DES ÉQUIPEMENTS MOBILES
Des objectifs de contrôles adaptés aux applications
mobiles.



                                                                                            Implémenter des règles sur
                                                                                            le pare-feu pour bloquer les
                                                        S’assurer que les applications ne   services non autorisés des
                                                        se connectent pas                   applications
                                                        automatiquement sur les
                                                        serveurs de l’éditeur
                                  Contrôler les privilèges
                                  associés aux applications
                                  mobiles

                   Désinstaller les applications
                   commerciales livrées par défaut
       Utiliser antivirus, anti
       malware… adaptés aux
       applications mobiles




                                                                                                           23
SÉCURITÉ DES CONNEXIONS RÉSEAU DES
         ÉQUIPEMENTS MOBILES
Diversité de connectivité avec les équipements mobiles
(réseaux privés, réseaux domestiques, réseaux
d’entreprise…);
Une typologie de connexions de plus en plus diversifiée
avec des capacités grandissantes en termes de bande
passante et de transfert de données:
  Global System for Mobile Communication (GSM);
  Global Packet Radio Service (GPRS);
  Enhanced Data Rate for GSM Evolution (EDGE);
  Universal Mobile Telecommunications System (UMTS);
  …



                                                          24
OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ
          DES CONNEXIONS RÉSEAUX
 Adapter les contrôles de sécurité avec les types de connexions réseaux




             GSM                                GPRS                                     Bluetooth                               WIFI

• Restreindre le GSM au noyau du   • Limiter autant que possible           • Limiter l’utilisation du bluetooth   • Limiter la fonctionnalité
téléphone;                         l’utilisation de l’équipement à titre   au strict minimum;                     découverte et connexion
• Limiter autant que possible      de concentrateur pour la connexion      • Limiter l’utilisation du bluetooth   automatique à un réseau wifi;
l’utilisation du GSM par les       d’autres équipements;                   pour les échanges de données ou        • Utiliser un chiffrement sécurisé
applications;                      • S’assurer de la correcte              d’objets;                              pour les connexions wifi;
•Surveiller les transmissions de   implémentation du GPRS / EDGE;          • Définir et imposer des mots de       • Masquer le SSID de l’appareil si
données anormales;                 • Limiter l’utilisation du modem de     passes complexes pour l’usage du       possible;
                                   l’équipement mobile.                    bluetooth                              •Éviter des noms de SSID de type
                                                                                                                  « Guillaume L. SSID »

                Sécurité des connexions réseaux – équipements mobiles




                                                                                                                                              25
SÉCURITÉ DES CARTES SIM

Cartes SIM souvent conçus pour permettre un
interfaçage avec une multiplicité d’équipements;
Implémenter un maximum de contrôle sur la carte SIM
afin de définir un niveau d’autorisation granulaire en
fonction de l’utilisation de l’équipement;
Il existe des possibilités de personnaliser la carte SIM
auprès des fournisseurs. Toutefois, les gestionnaires
devront au préalable mesurer les potentiels impacts sur
la logique d’affaires qui sous-tend l’utilisation des
équipements mobiles au sein de l’organisation.




                                                           26
OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ
             DES CARTES SIM
L’interfaçage des cartes SIM avec une multiplicité
d’équipements requiert la prise en compte des objectifs
de contrôles suivants:
                                                  Limiter les droits en
                          Identifier et activer
                                                       écriture et
                            les fonctions de
                                                   modification sur la
                              verrouillage
                                                       carte SIM




                                                                     Activer les fonctions
           Identifier et
                                                                       de blocage de la
           contrôler les
                                                                      carte SIM avec les
       fonctionnalités de la
                                                                           services
             carte SIM
                                                                         fournisseurs.




                                                                                             27
SÉCURITÉ DES UNITÉS DE STOCKAGE DES
          ÉQUIPEMENTS MOBILES
Des équipements mobiles dotés d’unités de stockage de
plus en plus importants;
Possibilité de connecter les équipements mobiles avec
des unités de stockage amovibles;
Les unités de stockage connectés sur les équipements
mobiles doivent faire l’objet d’une classification en
fonction de leur niveau d’exposition aux risques;
Inventorier et tenir à jour la liste des périphériques de
stockage externes connectés aux équipements mobiles,
mettre en œuvre des mesures de sécurité alignées sur
les besoins d’affaires et sur les exigences de la sécurité
opérationnelle.

                                                             28
OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ
        DES UNITÉS DE STOCKAGE
Prendre en compte les objectifs de contrôles suivants
afin de rehausser le niveau de sécurité des unités de
stockage
                                             Partitionner
                                               l’unité de
                                            stockage pour
                                               isoler les
                                                données
                                               sensibles


               S’assurer de la
                                                                       Chiffrer toutes
                 destruction
                                                                        les données,
               sécurisée lors
                                                                           fichiers
                de la mise au
                                                                          sensibles
                    rebut




                          Gérer les accès
                           en fonction de                   Restreindre les
                             la GIA en                      accès au BIOS
                               vigueur




                                                                                         29
SÉCURITÉ DES FONCTIONNALITÉS À
       DISTANCE (GÉO LOCALISATION…)
Des fonctionnalités à distance de type géo localisation
de plus en plus fournies ou intégrées dans les
applications mobiles;
Ces fonctionnalités peuvent être utiles dans le contexte
de certaines lignes d’affaires (services de livraison de
courriers, services de transports…) ou advenant un cas
de vol;
Nécessité de s’assurer de la conformité de ces
fonctionnalités avec les impératifs de protection de la vie
privée.




                                                          30
OBJECTIFS DE CONTRÔLE POUR LES
       FONCTIONNALITÉS À DISTANCE
Compte tenu de l’utilité de certaines fonctionnalités à
distance, les objectifs de contrôles suivants doivent être
pris en considération:
                – Mises à jour correctives;
                – Fermeture et blocage du compte à distance;
                – suppression à distance de contenu.


                – Sensibiliser les utilisateurs;
                – Limiter l’utilisation des applications de géo localisation à
                ce qui est strictement nécessaire.


                – Interdire les fonctionnalités de géo localisation dans les
                réseaux sociaux;
                – S’assurer de la conformité des fonctionnalités de géo
                localisation en regard à la PRP.




                                                                                 31
AUDITS PÉRIODIQUES DES ÉQUIPEMENTS
                 MOBILES
Outre les normes d’audits d’ISACA (indépendance professionnelle,
importance relative; utilisation de logiciels d’audit….), la vérification des
équipements mobiles doit prendre en compte les principes ci-dessous:
                     • Réception de l’équipement mobile;
        Sécuriser
     l’équipement
                     • Isolation de l’équipement mobile.

                     • Copie miroir;
        Sécuriser
     l’information
                     • Chronologie évènements de sécurité.

                     • Procédures de tests;
        Analyser
     linformation
                     • Éléments de preuve.

                     • Approbation des gestionnaires;
       Remise de
     l’équipement
                     • Remise de l’équipement mobile.




                                                                                32
33
DIFFÉRENTES FORMES D’UTILISATION DE
             L’INFONUAGIQUE
 Infrastructure as a service (IAAS) : Utilisation des capacités
de traitement du fournisseur de service, de ses espaces de
stockage ou de ses ressources réseau….
 Plateform as a service (PAAS): Mise à disposition de la
plateforme d’exécution des applications du client (OS, SGBD,
connexion réseau….)
 Software as a service (SAAS): modèle d'utilisation des
logiciels par abonnement avec le fournisseur de services.




                                                               34
RISQUES DE SÉCURITÉ ASSOCIÉS À
              L’INFONUAGIQUE
Plusieurs risques de sécurité peuvent découler de l’utilisation
de l’infonuagique:
                  Disponibilité et performance
                  • Mutualisation des services offerts;
                  • Perte de contrôle physique sur l’infrastructure.

                  Intégrité et confidentialité
                  • Gestion des accès aux données;
                  • Persistance des données à l’issue du contrat.

                  Conformité légale
                  • Impératifs de protection de la vie privée;
                  • Problématique liée à la juridiction (Patriot act)




                                                                        35
OBJECTIFS DE CONTRÔLE TI DANS LE CADRE
           DE L’INFONUAGIQUE
 S’assurer dans les contrats avec les fournisseurs de services
de la prise en compte des objectifs de contrôles suivants:
Haute disponibilité:
Définir des RTO et des RPO alignés sur les charges de travail avec des
solutions de contournement et des pénalités;
S’assurer que le fournisseur de service dispose d’une redondance, de
capacités de sauvegarde et un basculement automatique advenant une
perte de service.
Gérer les accès:
Définir les privilèges utilisateurs en fonction des rôles, groupes
 sécuriser les interfaces d’accès à distance (authentification forte);
Sécuriser l’accès aux outils d’administration et de surveillance;
Séparation des tâches incompatibles.



                                                                          36
OBJECTIFS DE CONTRÔLE TI DANS LE CADRE
           DE L’INFONUAGIQUE

 S’assurer dans les contrats avec les fournisseurs de services
de la prise en compte des objectifs de contrôles suivants:
Conformité légale:
   Analyse juridique sur les risques de non conformité;
   Encadrer par contrat les mécanismes de protection des
    renseignements personnels;
Intégrité et confidentialité:
   Chiffrement des données sensibles;
   Clause pour la suppression effective des données à l’issue du contrat;
   Sécurité applicative dans le contexte de Platform as a service ou
    software as a service.




                                                                         37
OBJECTIFS DE CONTRÔLE TI AU NIVEAU DE
                 L’EXPLOITATION
 Administration des Surveillance réseau             Gestion des             Virtualisation de
     serveurs       et des applications             mises à jour                machines




 Limiter les privilèges    Cloisonnement des                              Contrôle de la
                                                   Tester les mises à
  administrateurs;           flux réseaux                                    création de VM;
                                                    jour;
 Administrer les           Surveillance des      Créer un snapshot du  Recourir à la création
  serveurs avec des          applications &                                  de Template
                                                    système
  outils sécurisés           niveaux de service                              normalisée;
                                                   Déployer les mises à
 Limiter les logiciels et  Surveillance                                   Suivi du cycle de vie
                                                    jour
  services pouvant           préventive des                                  des VM;
  s’exécuter sur la                                Consolider les mises à
                             plateformes                                    Éviter le clonage de
  console                                           jour (monitoring)
                                                                             VM en production




                                                                                              38
39
DÉMARCHE DE RÉALISATION

Définir les étapes clés de la réalisation du mandat d’audit
suivant les normes d’audit d’ISACA


 Approche de réalisation du mandat d’audit:

                                    Réaliser       Définir niveau de
  Définir la      Formaliser                         maturité avec      Documenter
                                   entrevues,
  portée du      grille d’audit                    l’outil « maturity     rapport
                                  compléter la        assessment
   mandat       basée sur Cobit                                           d’audit
                                  grille d’audit          tool »




                                                                                 40
DÉMARCHE DE RÉALISATION

Définir et compléter la grille d’audit suivant les objectifs
de contrôle de Cobit
                               Ébaucher niveau de
    Description des
                             niveau de maturité avec
    processus cibles
                                 les gestionnaires
       identifiés
                                    (entrevue)




                                                               41
DÉMARCHE DE RÉALISATION

Calculer le niveau de maturité à l’aide de l’outil
développé par l’IT/GI
        Compléter les énoncés
         de la grille suivant le
        degré de conformité de
             l’organisation




                                            Corréler le niveau de maturité
                                            obtenu, avec celui ébauché lors
                                                 de l’entrevue avec les
                                             gestionnaires en tant compte
                                               de l’importance relative




                                                                          42
EXEMPLE D’ARCHITECTURE DE PROCESSUS
  (à définir dans les recommandations)




                                         43
CONCLUSION

Cobit 5 ainsi que les publications associées, offrent suivant
une dimension sécurité, des processus en mesure
d’encadrer les nouvelles formes d’évolution de
l’infrastructure ainsi que la mobilité en entreprise.
Le succès de la mise en œuvre des processus Cobit 5 pour
la sécurité de l’information repose sur la recherche de
l’équilibre entre l’envergure de l’infrastructure, les
processus d’affaires et la criticité des actifs.




                                                          44
MERCI POUR VOTRE ATTENTION !!!




      Courriel: elhadji.niang@nurun.com




                                          45

Contenu connexe

Tendances

Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5ISACA Chapitre de Québec
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Cobit5 - Outil de la performance
Cobit5   - Outil de la performanceCobit5   - Outil de la performance
Cobit5 - Outil de la performanceAntoine Vigneron
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Le controle interne-pratique
Le controle interne-pratiqueLe controle interne-pratique
Le controle interne-pratiqueHervé Boullanger
 

Tendances (20)

Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
Audit des si
Audit des siAudit des si
Audit des si
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Cobit5 - Outil de la performance
Cobit5   - Outil de la performanceCobit5   - Outil de la performance
Cobit5 - Outil de la performance
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobIT
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Le controle interne-pratique
Le controle interne-pratiqueLe controle interne-pratique
Le controle interne-pratique
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 

En vedette

CobIT presentation
CobIT presentationCobIT presentation
CobIT presentationMarc Vael
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationMiguel Iriart
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...Antoine Vigneron
 
Certification ISO/CEI 27001
Certification ISO/CEI 27001Certification ISO/CEI 27001
Certification ISO/CEI 27001Valoricert Group
 

En vedette (8)

Cobit
CobitCobit
Cobit
 
CobIT presentation
CobIT presentationCobIT presentation
CobIT presentation
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’information
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
 
Certification ISO/CEI 27001
Certification ISO/CEI 27001Certification ISO/CEI 27001
Certification ISO/CEI 27001
 
Cobit
Cobit Cobit
Cobit
 

Similaire à Évolution des bonnes pratiques en sécurité de l’information

Sifaris conseil
Sifaris conseilSifaris conseil
Sifaris conseilSIFARIS
 
Sifaris architecture
Sifaris architectureSifaris architecture
Sifaris architectureSIFARIS
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure :  Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure :  Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...jumeletArnaud
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Livre blanc - SaaS : garantir le meilleur niveau de service
Livre blanc - SaaS  : garantir le meilleur niveau de serviceLivre blanc - SaaS  : garantir le meilleur niveau de service
Livre blanc - SaaS : garantir le meilleur niveau de serviceglobalsp
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Philippe Beraud
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsRoland Kouakou
 
agrement hebergement des données de santé-ISO 27799-SMSSI-Ebios-PSSI-
agrement hebergement des données de santé-ISO 27799-SMSSI-Ebios-PSSI-agrement hebergement des données de santé-ISO 27799-SMSSI-Ebios-PSSI-
agrement hebergement des données de santé-ISO 27799-SMSSI-Ebios-PSSI-Act IT Conseil
 
AGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptxAGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptxGerard Konan
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Assurance Qualité S O A
Assurance Qualité  S O AAssurance Qualité  S O A
Assurance Qualité S O Aguestb55335
 
Sécurité du Si et création de valeur Vb
Sécurité du Si et création de valeur VbSécurité du Si et création de valeur Vb
Sécurité du Si et création de valeur Vbeburet
 
Chapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptChapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptNajah Idrissi Moulay Rachid
 
Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.Jérôme Boulon
 

Similaire à Évolution des bonnes pratiques en sécurité de l’information (20)

Sifaris conseil
Sifaris conseilSifaris conseil
Sifaris conseil
 
La stratégie de sécurité de Microsoft
La stratégie de sécurité de MicrosoftLa stratégie de sécurité de Microsoft
La stratégie de sécurité de Microsoft
 
Sifaris architecture
Sifaris architectureSifaris architecture
Sifaris architecture
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure :  Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure :  Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Livre blanc - SaaS : garantir le meilleur niveau de service
Livre blanc - SaaS  : garantir le meilleur niveau de serviceLivre blanc - SaaS  : garantir le meilleur niveau de service
Livre blanc - SaaS : garantir le meilleur niveau de service
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuels
 
agrement hebergement des données de santé-ISO 27799-SMSSI-Ebios-PSSI-
agrement hebergement des données de santé-ISO 27799-SMSSI-Ebios-PSSI-agrement hebergement des données de santé-ISO 27799-SMSSI-Ebios-PSSI-
agrement hebergement des données de santé-ISO 27799-SMSSI-Ebios-PSSI-
 
AGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptxAGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptx
 
Business Technology Optimisation
Business Technology OptimisationBusiness Technology Optimisation
Business Technology Optimisation
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Assurance Qualité S O A
Assurance Qualité  S O AAssurance Qualité  S O A
Assurance Qualité S O A
 
Sécurité du Si et création de valeur Vb
Sécurité du Si et création de valeur VbSécurité du Si et création de valeur Vb
Sécurité du Si et création de valeur Vb
 
Chapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptChapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.ppt
 
Mehari
MehariMehari
Mehari
 
Ab nac fr
Ab nac frAb nac fr
Ab nac fr
 
Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.
 

Plus de ISACA Chapitre de Québec

Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...ISACA Chapitre de Québec
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonISACA Chapitre de Québec
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdISACA Chapitre de Québec
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardISACA Chapitre de Québec
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantISACA Chapitre de Québec
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetISACA Chapitre de Québec
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015ISACA Chapitre de Québec
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIIISACA Chapitre de Québec
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2ISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationISACA Chapitre de Québec
 

Plus de ISACA Chapitre de Québec (20)

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 

Évolution des bonnes pratiques en sécurité de l’information

  • 1. ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L’INFORMATION AVEC COBIT 5 CONFÉRENCIER: ELHADJI NIANG, CISA 6 FÉVRIER 2013 http://www.isaca-quebec.ca
  • 2. OBJECTIFS – VOLET EXPLOITATION Objectif  Présenter sous le volet de l’exploitation la mise en œuvre des principes en sécurité de l’information de Cobit 5, au niveau des applications et infrastructures TI de l’organisation. 2
  • 3. VOLET EXPLOITATION Ordre du jour  Introduction;  Avancées majeures de Cobit 5 au niveau de l’exploitation: 1. Prise en compte du BMIS; 2. Définition d’indicateurs de performance pour l’exploitation de l’infrastructure  Sécurité des applications et de l’infrastructure;  Sécurité des équipements mobiles;  Objectifs de contrôles TI dans l’infonuagique;  Retour d’expérience mise en œuvre processus Cobit. 3
  • 4. INTRODUCTION  Dépendance accrue de l’organisation aux systèmes et applications informatiques;  Importance de la sécurité et de la confidentialité de l’information ;  Dans un tel contexte, la prise en compte de la sécurité au niveau de l’exploitation est un enjeu critique pour le succès des opérations. 4
  • 5. 5
  • 6. MODÈLE D’AFFAIRES POUR LA SÉCURITÉ DE L’INFORMATION (BMIS)  Le modèle d’affaires pour la sécurité de l’information, un descriptif approfondi qui examine les aspects de sécurité au sein de l’entreprise dans une perspective systémique. Organisation Processus Personnes Technologies 6
  • 7. MÉTRIQUES DE PERFORMANCE EN SÉCURITÉ DE L’INFORMATION SELON COBIT 5 Cobit 5 pour la sécurité de l’information propose un ensemble de métriques pour mesurer la performance des objectifs de contrôles mises en œuvre au niveau de l’exploitation. Capacités de services Objectif qualité Métriques • Nombre d’entité ou de services qui n’utilisent pas les services Fournir des services d’authentification Authentification complète et d’authentification • Exhaustivité des facteurs exacte de toute entité / service d'authentification qui répondent aux exigences de sécurité • Nombre de transactions Service d’approvisionnement d’approvisionnement en sécurité Fournir un service précis complet et à jour de tous incomplète • Nombre de transactions d’approvisionnement en les services et éléments de d’approvisionnement en sécurité sécurité de l’information sécurité pour les entités ou inexacte services •Moyenne des retards des services d’approvisionnement en sécurité 7
  • 8. 8
  • 9. ARCHITECTURE DE SÉCURITÉ DES SYSTÈMES ET APPLICATIONS Définir des principes architecturaux applicables à toute l’infrastructure suivant une vision d’ensemble : Affaires, informations, applications et infrastructure. Définir des capacités de services supportés par des outils et bonnes pratiques mesurés par des indicateurs de performance. Vue Approche proactive pour prévenir les affaires Gestion sécuritaire de la incidents consécutifs à des failles de configuration, afin de réduire les coûts configuration Via une configuration sécuritaire et standardisée Vue informations Soutenue par: CMDB; Technologies et bonnes Outils scan vulnérabilités; pratiques Outils de surveillance; Vue Solutions audit applications Mesurées par: Nbre erreurs de configuration; Nbre de configurations Vue Métriques de standardisés; performance % de changmts autorisés Vs non Infrastructure autorisés; .......... 9
  • 10. SÉCURITÉ AU NIVEAU DU DÉVELOPPEMENT Favoriser des pratiques de codages sécuritaires et adaptées à tout type de langages et d’environnements; Développer et maintenir des bibliothèques sécurisées. La preuve par l’exemple (inspirée du SDLC de Microsoft): Dynamique récurrente Démarche proactive Modéliser les menaces de sécurité Nommer un coach responsable de l’ensemble des ressources de la sécurité du projet systèmes Utiliser des outils d’analyses Réaliser des tests de sécurité ciblés statiques de codes Réaliser des revues finales de Réaliser les mises à jour correctives sécurité avant mise en production 10
  • 11. ÉVALUER LE NIVEAU DE SÉCURITÉ DE L’INFRASTRUCTURE Réaliser une évaluation du niveau de sécurité de l’infrastructure Infrastructure technologique technologique; Utiliser des outils adaptés à l’envergure Outils d’analyses techniques et à la criticité de votre infrastructure Suite à la corrélation des résultats de Corrélation des l’analyse, définir le niveau de risque résultats d’analyse acceptable ainsi que les mesures de mitigation appropriées; 11
  • 12. ALIGNER LA CONFIGURATION AVEC LES BESOINS ET L’ARCHITECTURE DE SÉCURITÉ S’assurer de la configuration dans une perspective d’ensemble de tous les composants de l’infrastructure (systèmes, bases de données, applications et équipements réseaux ). Durcir la configuration des systèmes en conformité . avec les exigences de l’architecture de sécurité et des bonnes pratiques. S’assurer de la sécurité des applications (messages d’erreurs, limitation temps de . session…). Utilisez des outils spécialisés de type Web application configuration analyzer S’assurer de la configuration sécurisée de tous les . équipements, désactiver tous les services, ports, protocoles non utilisés. 12
  • 13. GÉRER LES ACCÈS UTILISATEURS EN LIEN AVEC LES BESOINS D’AFFAIRES Mettre en œuvre un dispositif comportant les fonctionnalités de sécurité nécessaires pour la création de compte utilisateurs et la gestion des habilitations; Gérer et maintenir à jour un service d’authentification aligné sur la criticité des actifs; S’assurer de l’efficacité et l’efficience des mécanismes de retrait et d’annulation des droits d’accès et privilèges utilisateurs. 13
  • 14. MODÈLE GÉNÉRIQUE DE GESTION DES ACCÈS BASÉ SUR LE BESOIN D’AFFAIRES Embauche  Création d’une identité;  Création de compte; Départ:  Octroi des droits  Suppression de d’accès; l’identité;  Définition des  Suppression des autorisations. comptes, droits d’accès et autorisations associés. Changement d’unité administrative  Modification des droits d’accès;  Révision des autorisations. 14
  • 15. PROTECTION CONTRE LE CODE MALICIEUX ET LES INTRUSIONS Planifier, mettre en œuvre, et maintenir des mécanismes efficaces et efficients pour contrer les menaces internes et externes; Fournir des capacités et pratiques de gestion pour prévenir les atteintes ou fuites de données de l’organisation. Favoriser les technologies émergentes pour contrer les codes malicieux ou les tentatives d’intrusions. Solution DLP (prévenir la fuite d’information Solution unifiée de gestion des menaces quelque soit le support) UTM 15
  • 16. PROCESSUS DE GESTION DES INCIDENTS DE SÉCURITÉ Processus visant à encadrer les activités de détection, de réaction et de résolution des incidents de sécurité. Doit prendre en compte les activités suivantes: Prendre en charge et Communiquer avec les Prendre les mesures de définir le niveau de parties prenantes, confinements et sévérité de l’incident gérer la divulgation de d’éradication de de sécurité; l’information l’incident Produire suivant une Collecter les éléments Prévoir un scénario de périodicité définie des de preuve lorsque retour en arrière, rapports de suivi des requis, documenter remettre les services incidents l’incident en marche 16
  • 17. SURVEILLANCE ET SERVICES D’ALERTES DE SÉCURITÉ Mettre en œuvre une solution de surveillance en temps réel de l’infrastructure; Corréler tous les événements de sécurité à l’aide de tableau de bord avec des indicateurs clairement définis; Arrimer le processus de gestion des incidents de sécurité avec les outils de surveillance pour favoriser une meilleure prise en charge des évènements de sécurité. 17
  • 18. 18
  • 19. LA SÉCURITÉ DES ÉQUIPEMENTS MOBILES AU NIVEAU DE L’EXPLOITATION Rechercher l’équilibre entre le durcissement des équipements mobiles (OS, applications, connexions réseaux) et les besoins d’affaires exprimés. Valeur ajoutée Dossier d’affaires Risques de sécurité 19
  • 20. STRATÉGIE DE DÉFENSE EN PROFONDEUR DES ÉQUIPEMENTS MOBILES Définir et corréler plusieurs lignes de défense pour la sécurité des équipements mobiles. e 3 ligne de défense:  Contrôle internes de Une image vaut mille mots !!! sécurité;  Audits internes ; 1e Ligne de défense:  Mesures préventives / correctives  Analyse des risques;  Analyses des impacts ;  Mesures de mitigations 2e Ligne de défense:  Politique de gestion;  Auto évaluation des contrôles ;  Tests de sécurité 20
  • 21. SÉCURITÉ DES OS DES ÉQUIPEMENTS MOBILES OS principalement conçus pour une multiplicité d’usages privés et publics. Il existe un risque de perte des garanties avec certaines modifications des OS; La sécurité des OS des équipements mobiles peut prendre appui sur certaines mesures de contrôles de type: • Sécuriser le noyau (mises à jour firmware) • Favoriser des OS propriétaires pour les env. à hauts risques • Désactiver « back doors » intégrés pour accès distants 21
  • 22. SÉCURITÉ DES APPLICATIONS DES ÉQUIPEMENTS MOBILES Niveau élevé de risques de sécurité compte tenu de la diversité d’applications (commerciales ou non) disponibles pour les équipements mobiles; Nécessité de réaliser une évaluation des risques et si pertinent, des tests d’intrusion sur les applications approuvées; Préciser la nature et le type d’applications dont l’installation est autorisée sur les équipements mobiles propriétés de l’organisation. 22
  • 23. OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ DES ÉQUIPEMENTS MOBILES Des objectifs de contrôles adaptés aux applications mobiles. Implémenter des règles sur le pare-feu pour bloquer les S’assurer que les applications ne services non autorisés des se connectent pas applications automatiquement sur les serveurs de l’éditeur Contrôler les privilèges associés aux applications mobiles Désinstaller les applications commerciales livrées par défaut Utiliser antivirus, anti malware… adaptés aux applications mobiles 23
  • 24. SÉCURITÉ DES CONNEXIONS RÉSEAU DES ÉQUIPEMENTS MOBILES Diversité de connectivité avec les équipements mobiles (réseaux privés, réseaux domestiques, réseaux d’entreprise…); Une typologie de connexions de plus en plus diversifiée avec des capacités grandissantes en termes de bande passante et de transfert de données:  Global System for Mobile Communication (GSM);  Global Packet Radio Service (GPRS);  Enhanced Data Rate for GSM Evolution (EDGE);  Universal Mobile Telecommunications System (UMTS);  … 24
  • 25. OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ DES CONNEXIONS RÉSEAUX Adapter les contrôles de sécurité avec les types de connexions réseaux GSM GPRS Bluetooth WIFI • Restreindre le GSM au noyau du • Limiter autant que possible • Limiter l’utilisation du bluetooth • Limiter la fonctionnalité téléphone; l’utilisation de l’équipement à titre au strict minimum; découverte et connexion • Limiter autant que possible de concentrateur pour la connexion • Limiter l’utilisation du bluetooth automatique à un réseau wifi; l’utilisation du GSM par les d’autres équipements; pour les échanges de données ou • Utiliser un chiffrement sécurisé applications; • S’assurer de la correcte d’objets; pour les connexions wifi; •Surveiller les transmissions de implémentation du GPRS / EDGE; • Définir et imposer des mots de • Masquer le SSID de l’appareil si données anormales; • Limiter l’utilisation du modem de passes complexes pour l’usage du possible; l’équipement mobile. bluetooth •Éviter des noms de SSID de type « Guillaume L. SSID » Sécurité des connexions réseaux – équipements mobiles 25
  • 26. SÉCURITÉ DES CARTES SIM Cartes SIM souvent conçus pour permettre un interfaçage avec une multiplicité d’équipements; Implémenter un maximum de contrôle sur la carte SIM afin de définir un niveau d’autorisation granulaire en fonction de l’utilisation de l’équipement; Il existe des possibilités de personnaliser la carte SIM auprès des fournisseurs. Toutefois, les gestionnaires devront au préalable mesurer les potentiels impacts sur la logique d’affaires qui sous-tend l’utilisation des équipements mobiles au sein de l’organisation. 26
  • 27. OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ DES CARTES SIM L’interfaçage des cartes SIM avec une multiplicité d’équipements requiert la prise en compte des objectifs de contrôles suivants: Limiter les droits en Identifier et activer écriture et les fonctions de modification sur la verrouillage carte SIM Activer les fonctions Identifier et de blocage de la contrôler les carte SIM avec les fonctionnalités de la services carte SIM fournisseurs. 27
  • 28. SÉCURITÉ DES UNITÉS DE STOCKAGE DES ÉQUIPEMENTS MOBILES Des équipements mobiles dotés d’unités de stockage de plus en plus importants; Possibilité de connecter les équipements mobiles avec des unités de stockage amovibles; Les unités de stockage connectés sur les équipements mobiles doivent faire l’objet d’une classification en fonction de leur niveau d’exposition aux risques; Inventorier et tenir à jour la liste des périphériques de stockage externes connectés aux équipements mobiles, mettre en œuvre des mesures de sécurité alignées sur les besoins d’affaires et sur les exigences de la sécurité opérationnelle. 28
  • 29. OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ DES UNITÉS DE STOCKAGE Prendre en compte les objectifs de contrôles suivants afin de rehausser le niveau de sécurité des unités de stockage Partitionner l’unité de stockage pour isoler les données sensibles S’assurer de la Chiffrer toutes destruction les données, sécurisée lors fichiers de la mise au sensibles rebut Gérer les accès en fonction de Restreindre les la GIA en accès au BIOS vigueur 29
  • 30. SÉCURITÉ DES FONCTIONNALITÉS À DISTANCE (GÉO LOCALISATION…) Des fonctionnalités à distance de type géo localisation de plus en plus fournies ou intégrées dans les applications mobiles; Ces fonctionnalités peuvent être utiles dans le contexte de certaines lignes d’affaires (services de livraison de courriers, services de transports…) ou advenant un cas de vol; Nécessité de s’assurer de la conformité de ces fonctionnalités avec les impératifs de protection de la vie privée. 30
  • 31. OBJECTIFS DE CONTRÔLE POUR LES FONCTIONNALITÉS À DISTANCE Compte tenu de l’utilité de certaines fonctionnalités à distance, les objectifs de contrôles suivants doivent être pris en considération: – Mises à jour correctives; – Fermeture et blocage du compte à distance; – suppression à distance de contenu. – Sensibiliser les utilisateurs; – Limiter l’utilisation des applications de géo localisation à ce qui est strictement nécessaire. – Interdire les fonctionnalités de géo localisation dans les réseaux sociaux; – S’assurer de la conformité des fonctionnalités de géo localisation en regard à la PRP. 31
  • 32. AUDITS PÉRIODIQUES DES ÉQUIPEMENTS MOBILES Outre les normes d’audits d’ISACA (indépendance professionnelle, importance relative; utilisation de logiciels d’audit….), la vérification des équipements mobiles doit prendre en compte les principes ci-dessous: • Réception de l’équipement mobile; Sécuriser l’équipement • Isolation de l’équipement mobile. • Copie miroir; Sécuriser l’information • Chronologie évènements de sécurité. • Procédures de tests; Analyser linformation • Éléments de preuve. • Approbation des gestionnaires; Remise de l’équipement • Remise de l’équipement mobile. 32
  • 33. 33
  • 34. DIFFÉRENTES FORMES D’UTILISATION DE L’INFONUAGIQUE  Infrastructure as a service (IAAS) : Utilisation des capacités de traitement du fournisseur de service, de ses espaces de stockage ou de ses ressources réseau….  Plateform as a service (PAAS): Mise à disposition de la plateforme d’exécution des applications du client (OS, SGBD, connexion réseau….)  Software as a service (SAAS): modèle d'utilisation des logiciels par abonnement avec le fournisseur de services. 34
  • 35. RISQUES DE SÉCURITÉ ASSOCIÉS À L’INFONUAGIQUE Plusieurs risques de sécurité peuvent découler de l’utilisation de l’infonuagique: Disponibilité et performance • Mutualisation des services offerts; • Perte de contrôle physique sur l’infrastructure. Intégrité et confidentialité • Gestion des accès aux données; • Persistance des données à l’issue du contrat. Conformité légale • Impératifs de protection de la vie privée; • Problématique liée à la juridiction (Patriot act) 35
  • 36. OBJECTIFS DE CONTRÔLE TI DANS LE CADRE DE L’INFONUAGIQUE  S’assurer dans les contrats avec les fournisseurs de services de la prise en compte des objectifs de contrôles suivants: Haute disponibilité: Définir des RTO et des RPO alignés sur les charges de travail avec des solutions de contournement et des pénalités; S’assurer que le fournisseur de service dispose d’une redondance, de capacités de sauvegarde et un basculement automatique advenant une perte de service. Gérer les accès: Définir les privilèges utilisateurs en fonction des rôles, groupes  sécuriser les interfaces d’accès à distance (authentification forte); Sécuriser l’accès aux outils d’administration et de surveillance; Séparation des tâches incompatibles. 36
  • 37. OBJECTIFS DE CONTRÔLE TI DANS LE CADRE DE L’INFONUAGIQUE  S’assurer dans les contrats avec les fournisseurs de services de la prise en compte des objectifs de contrôles suivants: Conformité légale:  Analyse juridique sur les risques de non conformité;  Encadrer par contrat les mécanismes de protection des renseignements personnels; Intégrité et confidentialité:  Chiffrement des données sensibles;  Clause pour la suppression effective des données à l’issue du contrat;  Sécurité applicative dans le contexte de Platform as a service ou software as a service. 37
  • 38. OBJECTIFS DE CONTRÔLE TI AU NIVEAU DE L’EXPLOITATION Administration des Surveillance réseau Gestion des Virtualisation de serveurs et des applications mises à jour machines  Limiter les privilèges  Cloisonnement des  Contrôle de la  Tester les mises à administrateurs; flux réseaux création de VM; jour;  Administrer les  Surveillance des  Créer un snapshot du  Recourir à la création serveurs avec des applications & de Template système outils sécurisés niveaux de service normalisée;  Déployer les mises à  Limiter les logiciels et  Surveillance  Suivi du cycle de vie jour services pouvant préventive des des VM; s’exécuter sur la  Consolider les mises à plateformes  Éviter le clonage de console jour (monitoring) VM en production 38
  • 39. 39
  • 40. DÉMARCHE DE RÉALISATION Définir les étapes clés de la réalisation du mandat d’audit suivant les normes d’audit d’ISACA Approche de réalisation du mandat d’audit: Réaliser Définir niveau de Définir la Formaliser maturité avec Documenter entrevues, portée du grille d’audit l’outil « maturity rapport compléter la assessment mandat basée sur Cobit d’audit grille d’audit tool » 40
  • 41. DÉMARCHE DE RÉALISATION Définir et compléter la grille d’audit suivant les objectifs de contrôle de Cobit Ébaucher niveau de Description des niveau de maturité avec processus cibles les gestionnaires identifiés (entrevue) 41
  • 42. DÉMARCHE DE RÉALISATION Calculer le niveau de maturité à l’aide de l’outil développé par l’IT/GI Compléter les énoncés de la grille suivant le degré de conformité de l’organisation Corréler le niveau de maturité obtenu, avec celui ébauché lors de l’entrevue avec les gestionnaires en tant compte de l’importance relative 42
  • 43. EXEMPLE D’ARCHITECTURE DE PROCESSUS (à définir dans les recommandations) 43
  • 44. CONCLUSION Cobit 5 ainsi que les publications associées, offrent suivant une dimension sécurité, des processus en mesure d’encadrer les nouvelles formes d’évolution de l’infrastructure ainsi que la mobilité en entreprise. Le succès de la mise en œuvre des processus Cobit 5 pour la sécurité de l’information repose sur la recherche de l’équilibre entre l’envergure de l’infrastructure, les processus d’affaires et la criticité des actifs. 44
  • 45. MERCI POUR VOTRE ATTENTION !!! Courriel: elhadji.niang@nurun.com 45