Presentation club qualite

2 283 vues

Publié le

0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 283
Sur SlideShare
0
Issues des intégrations
0
Intégrations
100
Actions
Partages
0
Téléchargements
89
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Presentation club qualite

  1. 1. Cette action est financée par : Sécurité de l'information : politiques et stratégies du calcul du risque à l'opportunité organisationnelle CLUB QUALITE
  2. 2. <ul><li>Créé à l'initiative du Conseil Général de la Drôme, des Chambres Consulaires de la Drôme et du CRITT Drôme-Ardèche </li></ul><ul><li>Centre de ressources, d'échanges et de soutien aux projets de développement territorial des TIC </li></ul><ul><li>Espace de prospective et de mutualisation à destination des entreprises, collectivités et associations </li></ul>Favoriser l'appropriation des technologies de l'information par tous LE PÔLE NUMERIQUE
  3. 3. Les enjeux de la sécurité
  4. 4. <ul><li>Si l'information à une valeur intrinsèque, c'est dans son échange et son partage qu'elle développe cette valeur </li></ul><ul><li>L'information acquiert de la valeur quand elle aide les collaborateurs à agir plus efficacement lorsqu'ils cherchent à réaliser les objectifs assignés par l'entreprise </li></ul>L'information est le sang de l'entreprise VALEUR DE L'INFORMATION 1
  5. 5. Formes de la valeur de l'information <ul><li>Connaissance de l'environnement économique de l'entreprise (clients, fournisseurs, concurrents, partenaires ...) </li></ul><ul><li>Base de données de l'entreprise </li></ul><ul><li>Connaissances et savoirs du personnels : capital humain </li></ul><ul><li>Les brevets, les méthodes ... </li></ul>VALEUR DE L'INFORMATION Difficilement estimable de manière comptable, la perte ou le vol d'information peuvent affaiblir considérablement une entreprise 2
  6. 6. QUELQUES CHIFFRES 15% Information sensible 5% Information stratégique 80% information divulguable 80 % de l'effort en matière de sécurité (budget, ressources) doît être consacré à sécuriser les 20 % de données qui contiennent 80 % de l'information stratégique de l'entreprise
  7. 7. QUELLES MENACES ? Causes de perte de données les plus fréquentes en entreprise Source : observatoire des usages TIC – ENE 2008 20 % externe – 80% interne dont 80% négligence et 20% intentionnel
  8. 8. Impact d'un dysfonctionnement de son SI : <ul><li>Quelle est la quantité maximale d'informations qui peut-être perdue sans compromettre l'activité de l'entreprise ? </li></ul><ul><li>Quel est le délai maximum de reprise d'activité acceptable sans menacer le fonctionnement de la société ? </li></ul>QUEL IMPACT ?
  9. 9. <ul><li>Comprendre et gérer les risques </li></ul><ul><li>Organiser un projet de sécurité </li></ul><ul><li>S'appuyer sur des normes et des méthodes </li></ul><ul><li>Identifier les coûts et les gains </li></ul>SECURITE & MANAGEMENT La sécurité : 80% d'organisation - 20% de technologie
  10. 10. Politique de sécurité les grands principes
  11. 11. <ul><li>Garantir la continuité de l'activité de l'entreprise </li></ul><ul><li>Répondre aux exigences clients en matière de sécurité </li></ul><ul><li>Faciliter l'accès au marché de l'assurance </li></ul><ul><li>Limiter la judiciarisation (charte des droits et devoirs des salariés …) </li></ul><ul><li>Préserver la notoriété de l'entreprise </li></ul>LES OBJECTIFS
  12. 12. <ul><li>La SSI repose sur trois finalités : </li></ul><ul><li>L'intégrité du SI : s'assurer du bon fonctionnement, de l'exactitude des données et de leur intégrité </li></ul><ul><li>La confidentialité du SI : s'assurer que seules les personnes autorisées ont accès aux données </li></ul><ul><li>La disponibilité du SI : s'assurer que les ressources (ordinateurs, réseaux, périphériques, applications) sont accessibles au moment voulu par les personnes autorisées </li></ul>FINALITE L'information de l'entreprise est un actif comme les autres
  13. 13. LES ACTIFS INFORMATIONNELS Actifs d'informations: Fichiers de données, bases de données, procédures et manuels utilisateurs, archives ... Actifs physiques: Serveurs informatiques, PC, portables, matériels de communication, PABX, unités de climatisation ... Actifs applicatifs: Progiciels, logiciels spécifiques, systèmes d'exploitation, outils de développement, utilitaires ... Actifs liés à la fourniture de servcies: Services informatique et de communication, services généraux (alimentation électricité ...)
  14. 14. SMSI - Système de Management de la Sécurité de l'Information <ul><li>Éléments documentaires (politiques, description objectifs ...) </li></ul><ul><li>Description de la méthode d'analyse des risques utilisée </li></ul><ul><li>Les processus impliqués dans la mise en œuvre </li></ul><ul><li>Les responsabilités relatives à la sécurité de l'information </li></ul><ul><li>Ressources nécessaires à la mise en œuvre </li></ul><ul><li>Les activités relatives à la sécurité de l'information </li></ul><ul><li>Les enregistrements issus des activités relatives à la sécurité de l'information </li></ul><ul><li>Les relevés de mesures prises sur les processus </li></ul><ul><li>Les actions relatives à l'amélioration de la sécurité de l'information </li></ul>Ensemble d'éléments permettant d'établir une politique et des objectifs en matière de sécurité de l'information, d'appliquer cette politique, d'atteindre les objectifs et d'en contrôler l'efficacité
  15. 15. <ul><li>Processus cyclique en 4 étapes : </li></ul><ul><li>Recenser les opérations critiques, essentiels à la survie de l'entreprise : Bilan d'Impact sur les Activités (BIA) </li></ul><ul><li>Choix de stratégies permettant le maintien de l'exécution des opérations critiques </li></ul><ul><li>Mise en œuvre de la réponse : plan de continuité d'activité, plan de secours techniques, plan de gestion de crise </li></ul><ul><li>Tester, auditer et maintenir </li></ul>GESTION DE CONTINUITE D'ACTIVITE
  16. 16. <ul><li>Définition des exigences de l'entreprise en fonctions des risques et menaces - durée d'indisponibilité par activité - processus prioritaire à redémarrer - moyens existants </li></ul><ul><li>Conception des solutions de prévention et du plan de secours </li></ul><ul><li>Mise en œuvre des mesures retenues et l'organisation d'un plan de crise </li></ul><ul><li>Processus de maintien du plan en conditions opérationnelles </li></ul>PLAN DE REPRISE D'ACTIVITE
  17. 17. Analyse et Gestion des risques
  18. 18. CLASSIFICATION DES RISQUES Fraude des employés Imconpétence Grêves Absences Indisponibilité des systèmes Erreurs de programmation Faille de sécurité Risque politique Absence de respect de la réglementation Attaques externes Catastrophes naturelles Défaillance de sous-traitants Erreurs manuelles Processus clés non maîtrisé Personnes Systèmes Eléments externes Processus Risque opérationnel
  19. 19. AXES D'ANALYSE DES RISQUES Impact métier Probabilité de réalisation Criticité pour le SI Détectabilité
  20. 20. GESTION DU RISQUE Évitement ou contournement Transfert Réduction Acceptation Risque Ex : ne pas faire l'activité à risque Ex : assurances Ex : mesure de sécurité Insupportable - Inacceptable - Tolérable - Insignifiant
  21. 21. METHODES D'ANALYSE Méthode quantitative Méthode qualitative Méthode avec base de connaissances Méhari - Risicare oui oui oui Octave (PME) oui oui CRAM VS oui oui Buddy Systems oui Cobra (ISO 17799) oui
  22. 22. <ul><li>ISO 27000 séries de normes </li></ul><ul><li>ISO 17799 Code de bonnes pratiques </li></ul><ul><li>ISO 13335 TR (rapports techniques) Guide de la sécurité </li></ul><ul><li>ISO 15408 Critère d'évaluation des risques </li></ul><ul><li>... </li></ul>SECURITE & NORMES ISO <ul><li>Les limites : </li></ul><ul><li>Faible prise en compte du contexte de l'entreprise </li></ul><ul><li>Périodicité de mise à jour vs évolution de l'informatique </li></ul>
  23. 23. Gestion opérationnelle
  24. 24. Une politique de sécurité ne repose pas uniquement sur des solutions matérielles. L'humain est un facteur déterminant dans la mise en place et le respect d'une telle politique RSSI ≠ DSI LE FACTEUR HUMAIN
  25. 25. <ul><li>Une organisation dans l'entreprise </li></ul><ul><li>Des processus et des ressources associées </li></ul><ul><li>Des contrôles et une méthode d'organisation </li></ul><ul><li>Des processus de révision : corriger les non-conformités, analyse et mise en œuvre des axes d'amélioration </li></ul>SYSTEME DE MANAGEMENT => Méthode Plan Do Check Act
  26. 26. <ul><li>Décliné en trois niveaux : </li></ul><ul><li>Opérationnel : indicateurs de disponibilités et de mise à niveau des services </li></ul><ul><li>Pilotage : avancement de la mise en œuvre </li></ul><ul><li>Décisionnel : vision synthétique pour la direction </li></ul>TABLEAUX DE BORD
  27. 27. <ul><li>Intégrer la protection du SI dans la communication globale de l'entreprise </li></ul><ul><li>Sensibiliser, informer, impliquer et responsabiliser le personnel à tous les niveaux </li></ul><ul><li>Assurer le responsable sécurité du soutien de la hiérarchie </li></ul><ul><li>Éviter que l'entreprise attende les problèmes pour réagir, il est souvent trop tard </li></ul><ul><li>Mettre en place des solutions réalistes et adaptées en fonction des risques encourus par l'entreprise </li></ul>LES POINTS CLES
  28. 28. LES FREINS
  29. 29. Cette création est mise à disposition selon le Contrat Attribution-NonCommercial 2.0 France disponible en ligne http://creativecommons.org/licenses/by-nc/2.0/fr/ ou par courrier postal à Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA. En citant « Source Pôle Numérique » pour toutes reprises intégrales ou « Librement inspiré des travaux du Pôle Numérique » en cas de modification

×