1. 20/07/2016
1
Management, Politiques et
Modèles de sécurité
Anas ABOU EL KALAM
Président de l'Association Marocaine de confi@nce Numérique
(AMAN) – www.aman.ma
Certifié CEH, ISO 27001 Lead Auditor, (CISSP)
Auteur de 6 chapitres de livres + 150 article scientifique ...
13 mai 2014JNS4 2Anas Abou El Kalam
« Notre cybersécurité est liée à notre capacité économique »
« Le coût de la cybercriminalité dans le monde env. 388 milliards de $ -
plus que le marché mondial de l'héroïne, cocaïne et marijuana combinée ...
« outre Al-Qaïda, la cybercriminalité est la plus grande menace ....
Malheureusement, il s'agit d'un domaine en forte croissance »
"La cybercriminalité est un vrai deal, beaucoup plus grand que Al-Qaïda,...
" Schneier. "
Panorama de la cybercriminalité
3Anas Abou El Kalam
Plus de 6/10 ont subi accident sécurité
– 20 % ont subi des pertes financières liées à problèmes sécurité,
– 17 % ont été victimes de vol de propriété intellectuelle,
– 13 % ont vu leur image dégradée.
Plus de 650 000 SI sont aujourd'hui infectés
Panorama de la cybercriminalité
9 cas sur 10 :
la perte totale des données entraîne
la fermeture de l’entreprise.
4
2. 20/07/2016
2
5Anas Abou El Kalam
Sûreté de fonctionnement vs Sécurité
Sûreté de Fonctionnement
Sécurité-innocuité
pas de conséquence catastrophique
Fiabilité
continuité de service
Maintenabilité
capacité à être réparé et à évoluer
Disponibilité
prêt à être utilisé
Intégrité
pas d'altération
Confidentialité
pas de divulgation non-autorisée
Sécurité des S.I.
= combinaison de confidentialité,
d'intégrité et de disponibilité
= propriété qui permet de placer une confiance
justifiée dans le service délivré par le
système
6Anas Abou El Kalam
Définitions
• Sécurité
– Absence de risques inacceptables
• En cohérence avec les enjeux et objectifs de l’entreprise
Sécuriser un SI
=
maitriser les risques
7Anas Abou El Kalam
Agenda
• Prendre en compte la sécurité, QUAND ?
• Gérer les risques, COMMENT ?
• Méthodologie, LAQUELLE ?
• Certification, POURQUOI ?
• Conclusions … enfin ...
ISO 27005
Mehari, Octave, EBIOS
PMSI, ISO 27001
Spécification, conception, réalisation, ...
8Anas Abou El Kalam
Agenda
• Prendre en compte la sécurité, QUAND ?
• Gérer les risques, COMMENT ?
• Méthodologie, LAQUELLE ?
• Certification, POURQUOI ?
• Conclusions … enfin ...
ISO 27005
Mehari, Octave, EBIOS
PMSI, ISO 27001
Spécification, conception, réalisation, ...
3. 20/07/2016
3
9Anas Abou El Kalam
Sécuriser un système …
Gestion comptes
Patchs
Antivirus, FW, ...
Scans vuln.
Sauvegardes
Chiffrement DD
Poste de
travail
Gestion accès
Analyse trafic
Architecture
VPN, AAA, ...
Redondance
IDS ...
Réseau
Pentests
Patchs
CA, FW, Antivirus
Secu Services
Sauvegardes
Physique,
virtualis.
ServeursServeurs
10Anas Abou El Kalam
Cycle de vie d’une solution ...
spécification des besoins (ce que fait le système)
conception (comment on fait le système)
réalisation (faire le système)
utilisation (installer et exploiter le système)
11Anas Abou El Kalam
Spécification des besoins
services que le système doit rendre
contexte
grands choix (stratégiques, fonctionnels...) relatifs au système
… concrétisée par Cahier des Charges Fonctionnel (CdCF)
objectifs stratégiques et enjeux du système à concevoir
contraintes : solutions, normes, réglementations, coûts, délais,
missions du système, limites du système à concevoir
grandes fonctions et relations avec l'extérieur
identification sous systèmes & interfaces entre ces sous-systèmes
…
12Anas Abou El Kalam
analyse des besoins exprimés par le maître d'ouvrage dans le CdCF
examen de l'existant
étude des solutions
bilan de faisabilité et le choix d'une solution
réponse au CdCF formalisé par Spécifications Techniques de Besoin
Conception
4. 20/07/2016
4
13Anas Abou El Kalam
Réalisation
Acquisition ou développement solution
intégration
Validation
Utilisation
installation sur site,
exploitation,
maintenance …
Réalisation & utilisation
14Anas Abou El Kalam
analyser les enjeux d’un point de vue de la sécurité
poids stratégique du système pour l'organisme
impact sécurité système sur sécurité globale de l'organisme
pertes maximales que le système peut supporter
analyser le contexte dans lequel se situe le système / sécurité
environnement physique dans lequel va évoluer le système
menaces générales pesant sur l'organisme qui abritera le système
contraintes de sécurité auxquelles le système est soumis
définir les besoins intrinsèques de sécurité
déterminer les objectifs de sécurité pour le système
sécurité dans spécification des besoins
15Anas Abou El Kalam
Prise en compte sécurité lors de la Conception
choisir les fonctions de sécurité répondant aux objectifs de sécurité
sélectionner ou spécifier les mécanismes associés
consolider la politique de sécurité technique du système
définir la politique d'administration de la sécurité
définir, le cas échéant : mode dégradé, plan sauvegarde et plan secours
Sécurité, … quand ?
16Anas Abou El Kalam
Prise en compte sécurité lors de la Réalisation
Réaliser (soit même) ou se procurer (produit marché) mécanismes séc
les intégrer avec les autres éléments du système
effectuer une analyse de vulnérabilité résiduelle.
Prise en compte sécurité lors de l'utilisation
installer puis configurer mécanismes sécurité sur site d'exploitation
validation de la sécurisation globale du système
formation des futurs responsables de la sécurité du système.
administration, test,sauvegarde, audit
Sécurité, … quand ?
5. 20/07/2016
5
17Anas Abou El Kalam
Agenda
• Prendre en compte la sécurité, QUAND ?
• Gérer les risques, COMMENT ?
• Méthodologie, LAQUELLE ?
• Certification, POURQUOI ?
• Conclusions … enfin ...
Spécification, conception, réalisation, ...
ISO 27005
Mehari, Octave, EBIOS
PMSI, ISO 27001
L'ISO 2700x : un Standard de sécurité ?
Standard
– spécifications ou code de pratique ==> méthodes, processus,
manières de faire.
• Sert de référence pour déterminer des niveaux minimum
acceptables de qualité, sécurité, fiabilité …
Norme
document de référence
couvrant un large intérêt industriel
basé sur un processus volontaire,
approuvé par un organisme reconnu,
fournit (pour des usages communs) des règles, des lignes directrices
ou des caractéristiques, pour des activités, ou leurs résultats,
L'ISO 2700x : un Standard de sécurité ?
L'ISO 2700x : un Standard de sécurité ?
ISO 2700x ... devenir le pendant de la sécurité
– 900x ==> qualité, 1400x ==> environnement. ...
Le principal point commun : approche processus,
articulée autour de la méthode Plan-Do-Check-Act
– ==> amélioration continue.
Au coeur de la famille 2700x se trouve la notion de SGSI ou ISMS :
définit le cadre d’une amélioration continue de la sécurité en se
basant principalement sur une approche de gestion des risques.
8 normes sont en développement au sein de la série 2700x ...
L'ISO 2700x : un Standard de sécurité ?
6. 20/07/2016
6
la famille des normes ISO/IEC 2700x
ISO 27001
décrit les processus permettant le management de la sécurité de l’information (SMSI)
Elle est à la base de la certification d’un SGSI
ISO 27002
présente un catalogue de bonnes pratiques de sécurité
ISO 27003
décrit les différentes phases initiales à accomplir afin d’aboutir à (implémenter) un système
de Management tel que décrit dans la norme ISO 27001
ISO 27004
permet de définir les contrôles (indicateurs, métriques) de fonctionnement du SMSI
aider les organisations à mesurer & rapporter l’efficacité de l’implémentation de leur SGSI
ISO 27005
décrit les processus de la gestion des risques
techniques à mettre en oeuvre dans le cadre d’une démarche de gestion des risques
ISO 27006
décrit les exigences relatives aux organismes qui auditent et certifient les SMSI des sociétés
ISO 27007
guide spécifique pour les audits d’ISMS, notamment en support à l’ISO 27006
la famille des normes ISO/IEC 2700x
La norme 27005
Conçue pour aider à la mise en place de la sécurité de l’information,
Basée sur une approche de gestion des risques, pour protéger
l’information et garantir :
Disponibilité : prêt à l'utilisation, accessible en continu ; performance ; ...
Intégrité : sans altération; exactitude ; exhaustivité
Confidentialité : sans divulgation, accès restreint ; classification
Traçabilité : identification et analyse de tous les événements
La norme 27005
Installer une vraie Gouvernance de la Sécurité
24
7. 20/07/2016
7
25Anas Abou El Kalam
Management des risques : démarche
Merci Ahmed 26Anas Abou El Kalam
Gravité du risque
• Gravité G = I x P
27Anas Abou El Kalam
Traitement des risques
• Décider du traitement de chacun des risques (MOA &
Direction) : Appréciation des risques
Résultat de
l’appréciation
Choix de traitement des risques
Evitement Conservation
Le risque est il acceptable ?
Acceptation du risque
Transfert Réduction
Risque résiduel
Oui
Non
27 28Anas Abou El Kalam
Livrables
• Tableau des synthèse des
traitements des risques
• Mesures de réduction
• Risques résiduels
• Approbation, Acceptation
Menace
Scénario de
risque concerné
Actifs concernés
Options de
traitement
Mesures
Accepter
Refuser
Transférer
Réduire
I. Incendie Incendie
- Postes de travail
- Routeurs
Mise en œuvre d’un
système d’extinction
incendie
V.
Écoute
passive
Interception de
données sur le
réseau interne
- Réseau interne
Coût de mise en œuvre de
solutions de chiffrement
plus élevé que la perte
financière engendrée
8. 20/07/2016
8
29Anas Abou El Kalam
Gestion des risques
La gestion des risques liés à la Sécurité de l'information consiste à :
• Établir le contexte de l'analyse des risques,
• Evaluer les risques,
• Traiter les risques,
• Accepter les risques,
• Communiquer sur les risques,
• Surveiller et assurer des revues périodiques des risques.
ISO 27005 ne fournit pas à proprement parlé de méthode de gestion
des risques, … elle permet de bâtir une méthode.
30Anas Abou El Kalam
Agenda
• Prendre en compte la sécurité, QUAND ?
• Gérer les risques, COMMENT ?
• Méthodologie, LAQUELLE ?
• Certification, POURQUOI ?
• Conclusions … enfin ...
Conception, ...
ISO 27005
Mehari, Octave, EBIOS
PMSI, ISO 27001
31Anas Abou El Kalam
Comparatif des normes
L. PayantAlSec. privéAexis2000RA2
BeSec. privéEvosec2002ISAMM
L. PayantGBSec. privéC&A2001COBRA
L. PayantCaSec. privéCALLIO2001CALLIO
L. PayantFrSec. privéAgeris2004SCORE
InternatiISO 15408
InternatiISO 13335
Internati* * *ISO 17799
GBGouv* * *BS 7799
L. PayantGBAssoISF*1995SPRINT
L. PayantGBGouvSiemens* *1986Cramm
L. PayantEUUnivUniv* *1999Octave
L. RisicareFrAssoCLUSIF* * *1995Mehari
AbandonnéeFrAssoCLUSIF* *1980Marion
AbandonnéeFrArm.DGA* *Melisa
Log grat.FrGouvDCSSI* * *1995EBIOS
EtatOutilsPayssoutienAuteurPopularitéCréationMéthode
32Anas Abou El Kalam
Quoi ?
– évaluation quantitative des facteurs de risque propres à chaque
situation,
Idées de base ?
Analyse des vulnérabilités
Lien entre vulnérabilité existante & risques encourus
Présence (ou absence) de mesures de sécurité pour réduire
» Potentialité de survenance d'un sinistre
» Impact sinistre
L'interaction de ces types de mesures concoure à réduire la
gravité du risque jusqu'au niveau choisi.
MEthode Harmonisée d'Analyse de Risques
9. 20/07/2016
9
33Anas Abou El Kalam
6 facteurs de risque indépendants :
– 3 influant sur la potentialité + 3 influant sur son impact
6 types de mesures de sécurité, chacun agissant sur un facteur de risque
– Structurelle,
• pour faire baisser exposition naturelle
• e.g., gestion envrnmt, gestion crises, ...
– Dissuasive,
• e.g., comm sur sys détection et enrgstrmnt, réglementation et
sévérité des sanctions, imputabilité actions tentées ou effectuées
– Préventive
• e.g., mesures de sécu physique, contrôle d'accès, etc.
– Protection,
• Détection, contrôle a posteriori, capacité investigation/intervention
– palliative
• Plan maintenance & secours, formation, ...
– Récupération
• Assurance, préparation spécifique actions en justice
MEthode Harmonisée d'Analyse de Risques
34Anas Abou El Kalam
• La démarche générale de MEHARI consiste en
• analyse des enjeux de sécurité : quels sont les scénarios redoutés ?
• classification préalable des entités du SI en fonction de C I D
• Ces enjeux expriment les dysfonctionnements ayant un impact direct sur
l'activité de l'entreprise.
• des audits identifient les vulnérabilités du SI
• l'analyse des risques proprement dite est enfin réalisée
MEthode Harmonisée d'Analyse de Risques
35Anas Abou El Kalam
Phase 1 : plan stratégique de sécurité
définition des métriques des risques & objectifs de sécurité,
établissement d'une politique de sécurité,
établissement d'une charte de management.
Phase 2 : plans opérationnels de sécurité
– définir pour chaque site, mesures de sécurité qui doivent être MEV
• exprimer les besoins de sécurité
• scénarios de compromission
• évaluation de chaque risque (probabilité, impact)
• mesures de protections nécessaires
• planification de la mise à niveau de la sécurité du SI
Phase 3 : plan opérationnel d'entreprise
– assure le suivi de la sécurité :
• élaboration d'indicateurs sur les risques identifiés
• choix des scénarios de catastrophe contre lesquels il faut se prémunir.
MEthode Harmonisée d'Analyse de Risques
36Anas Abou El Kalam
bases de connaissances permettent d'automatiser certains calculs de
gravité des scénarios de risques,
liens entre menaces <==> parades...
Ses audits permettent la création de plan d'actions concrets
Logiciel RISICARE développé par la société BUC SA
Livrables types aidés d'un guide méthodologie
Support du CLUSIF
MEthode Harmonisée d'Analyse de Risques
10. 20/07/2016
10
37Anas Abou El Kalam
EBIOS
méthode pour
l’Expression des Besoins et
l’Identification des Objectifs de
Sécurité
Vue globale 38Anas Abou El Kalam
• EBIOS est un outil d'assistance à :
• Maîtrise d'ouvrage en foufnissant les justifs ...
• périmètre d'étude, expression de besoins, responsabilisation des acteurs…
• Prise de décision
• descriptions précises, enjeux stratégiques, risques détaillés, impact sur
l'organisme, objectifs et exigences de sécurité explicites
• EBIOS peut-être appliqué aussi bien sur
– systèmes simples (serveur web) // complexes (système distribué gestion concours)
– systèmes à concevoir // existants,
– SI entiers // sous-systèmes.
• aisément adaptable à des contexte particulier
• Possibilité de n'employer que des parties de la démarche
EBIOS
39Anas Abou El Kalam
Compatibilité avec les normes internationales
• ISO 13335 (GMITS) : Lignes directrices relatives à la gestion de la sécurité des SI
• ISO 17799 : Code de bonnes pratiques pour la gestion de la sécurité d'information.
• ISO 15408
• ISO 27001
• ISO 27005
• ISO 31000
Largement utilisée dans les secteurs public & privé, en France et à l'étranger
–UE, Québec, Belgique, Tunisie, Luxembourg…
Diffusion gratuite sur le site de la DCSSI
EBIOS : compatibilité
40Anas Abou El Kalam
• Les guides
– Bases de connaissances :
• méthodes d'attaques, vulnérabilités, objectifs et exigences de sécurité
– Guides meilleures pratiques, plaquettes, mémento synthétiques ...
• Le logiciel libre
– Gratuit, disponible sur demande ou en téléchargement
• Les traductions
– Référentiel disponible gratuitement en français, anglais, allemand et
espagnol
• Les compétences
– Formations au CFSSI pour les agents de l’administration
– Formation en ligne sur la gestion des risques
– Labellisation de personnes
• Le Club EBIOS
– 75 experts du secteur public et du secteur privé, français et étrangers
EBIOS : outillage et services
11. 20/07/2016
11
41Anas Abou El Kalam
EBIOS : Le « Tout Terrain » pour gérer les risques
EBIOS ne protège pas des risques,
EBIO permet
identifier les risques qui pèsent sur le SI
estimer leur niveau (gravité, vraisemblance)
choisir les mesures nécessaires et suffisantes en termes de
prévention, protection, récupération.
faire prendre conscience des risques aux décideurs.
42Anas Abou El Kalam
EBIOS n'est pas
EBIOS : ce que ne permet pas la méthode
catalogue de solutions ou de règles de sécurité prêtes à
l’emploi
"boite noire" avec une E/S
fournir de solutions immédiates et génériques aux problèmes de
sécurité
Objectifs de sécurité seront déterminées afin de spécifier des mesures de
sécurité, mais leur mise en oeuvre sera réalisée à la suite de l'étude.
43Anas Abou El Kalam
Démarche EBIOS
44Anas Abou El Kalam
Démarche EBIOS
Risques = { événements redoutés + scénarios de menaces}
Evénements redoutés
sources de menaces,
besoins de sécurité
impacts engendrés en cas de non respect de ces besoins
Scénarios de menaces
sources de menaces
menaces
vulnérabilités
12. 20/07/2016
12
45Anas Abou El Kalam
1. Etude du contexte
– cadre de la gestion des risques,
– métriques
– périmètre
– biens essentiels,
– biens supports
– ...
Ebios : étapes (1/2)
2. Etude des événements redoutés
– contribue à l'appréciation des risques.
– identifier et estimer besoins de sécurité des biens essentiels (CIA)
– impacts (sur missions, personnes, financiers, juridiques, image, …
en cas de non respect de ces besoins et
les sources de menaces
– humaines, environnementales, internes, externes,
accidentelles, délibérées… 46Anas Abou El Kalam
3. scénarios de menaces
– (Rentre dans le cadre de l'appréciation des risques)
– Identifier et estimer les scénarios qui peuvent engendrer les
événements redoutés, et ainsi composer des risques.
– menaces que les sources de menaces peuvent générer
– vulnérabilités exploitables.
Ebios : étapes (2/2)
4. Etude des risques
– met en évidence les risques pesant sur l'organisme en confrontant
• événements redoutés
• scénarios de menaces.
– décrit comment estimer et évaluer ces risques,
– identifier objectifs de sécurité à atteindre pour les traiter.
5. Mesures
– (Rentre dans le cadre du traitement des risques)
– Spécifier & planifier mesures à MEV,
– valider traitement des risques et les risques résiduels
47Anas Abou El Kalam
EBIOS vs MEHARI
48Anas Abou El Kalam
EBIOS vs MEHARI
abordent même sujets
sous un angle un peu plus fonctionnel pour EBIOS et
plus “managériale” pour MEHARI
13. 20/07/2016
13
49Anas Abou El Kalam
Agenda
• Prendre en compte la sécurité, QUAND ?
• Gérer les risques, COMMENT ?
• Méthodologie, LAQUELLE ?
• Certification, POURQUOI ?
• Conclusions … enfin ...
Conception, ...
ISO 27005
Mehari, Octave, EBIOS
PMSI, ISO 27001
Fournir un modèle pour implémenter, exploiter, monitorer, contrôler,
maintenir et améliorer un SMSI
Les audits de certification évaluent le SMSI,
⇒pas la pertinence de tel ou tel choix technologique…
Couverture ?
Tout , de la sécurité physique à la sécurité logique …
n’impose pas de solutions techniques !
Ex : La norme ne spécifie pas un système de filtrage mais spécifie que :
A11.4.7. « Routing controls shall be implemented for networks to
ensure that computer connections and information flows do not
breach the access control policy of the business applications. »
50
⇒La norme ISO 27001 est un outil de MANAGEMENT
⇒ON NE REGARDE PAS L'EFFICACITE DES MESURES TECHNIQUES
L'ISO 27001 : objectif
0. Introduction - Approche processus
1. Champ d'application (Scope)
2. Références normatives (Normatives references)
3. Termes & définitions (Terms & definitions)
4. SMSI (ISMS)
5. Responsabilité du Management (Management responsibility)
6. Audits internes du SMSI (Internal ISMS audits)
7. Revue du SMSI par le Management (Management review of ISMS)
8. Amélioration du SMSI (ISMS improvement)
51
Les clauses 4 à 8 doivent impérativement être respectées
pour prétendre à la certification : aucune dérogation
L'ISO 27001 : les clauses Un SMSI Basé sur 4 principes
fondamentaux
52
14. 20/07/2016
14
Construire un SGSI : la roue de Deming appliquée à la sécurité
Plan : dire ce que l’on va faire Do : faire ce que l’on a dit
Check : contrôler ce que l’on a fait Act : corriger et d’améliorer dans le temps
PDCA : Plan (Planification) ...
Périmètre :
Précis & clairement délimité, e.g., processus DSI, processus métier, un/++ sites
Politique du SGSI :
principes fondamentaux du SGSI & enjeux propres à la société
contraintes (e.g., légales), montre l’engagement de la direction générale
Analyse des risques :
méthode d’analyse des risques doit être choisie : e.g., EBIOS, MEHARI
Traitement des risques :
Pour chaque risques, une décision doit être prise et acceptée au plus haut niveau
Réduit (mesure de séc), transféré, évités (arrêter service), acceptés ...
Déclaration d’applicabilité (SOA ou Statement Of Applicability ) :
Quels contrôles de sécurité seront mis en oeuvre dans le périmètre du SGSI.
A minima, sélectionner (et justifier) parmi contrôles de l’annexe A de ISO27001
Mise en œuvre des contrôles sélectionnés :
Contrôles du SOA & mesures identifiées doivent être mis en œuvre selon priorités
Sensibilisation & formation :
Large : inclus responsables, utilisateurs, tiers, personnes intervenant temporairement ..
Procédures de gestion et suivi des incidents :
savoir gérer un incident et surtout éviter qu’il ne se reproduise
définition critères qualification des incidents, processus d’alertes, mise en place d’une
cellule de gestion opérationnelle de la sécurité, analyse des journaux, ...
Indicateurs de suivi (tech & org) :
doivent donner une vue concrète et fiable de l’efficacité des contrôles mis en oeuvre.
ISO 27004 : recommandations sur indicateurs à sélectionner et comment les collecter
Exploitation et gestion du SGSI au quotidien :
le système doit fonctionner au quotidien afin de garantir la sécurité dans le temps.
actions non limitées aux périmètres informatiques ou sécurité, mais touche proc métier
PDCA : Do (Déploiement) ... PDCA : Check (contrôle) et Act (Amélioration) ...
Contrôle
audits internes, d’audits externes,
collectes d’informations auprès des collaborateurs et des acteurs externes
suivi régulier des résultats
Amélioration
Réévaluation de l’adéquation du SGSI aux enjeux métier
l’approbation du management doivent être effectuées a minima annuellement.
suivi des actions identifiées, démonstration de la réalisation des actions correctives…
Si certification ==> gestion des traces et des enregistrements doit être réalisée.
• Cause des échecs : aspects à long terme, de contrôle et d’amélioration continue.
Documents liés :
plan de contrôle,
traces relatives aux contrôles,
traces relatives aux actions d’amélioration,
ensemble des décisions d’amélioration prises,
approbation régulière du management.
15. 20/07/2016
15
Feuille de route de la mise en place d'un SMSI
1. Définir le périmètre du SMSI à certifier
2. Définir la politique du SMSI (ou les politiques)
3. Identifier les actifs
4. Définir la méthode d'analyse de risques
5. Identifier les risques
6. Mesurer les risques
7. Définir les objectifs de sécurité et décider le mode de traitement des risques
8. identifier mesures pour réduire les risques résiduels accepté par le management
9. Mettre en oeuvre les mesures approuvées
10. Établir l'ensemble de la documentation du SMSI (Manuel Sécurité)
11. Implémenter le SMSI
12. Établir le SOA (statment of applicability)
13. Suivre et revoir le SMSI
14. Maintenir & améliorer le SMSI
58Anas Abou El Kalam
Agenda
• Prendre en compte la sécurité, QUAND ?
• Gérer les risques, COMMENT ?
• Méthodologie, LAQUELLE ?
• Certification, POURQUOI ?
• Conclusions … enfin ...
PMSI
ISO 27005
Mehari, Octave, EBIOS
ISO 27001
59Anas Abou El Kalam
Tou le monde est concerné ...
doit être prise en compte depuis la conception
La sécurité est un processus continu,
pas une collection de produits et de solutions.
Instaurer une vraie politique de management de risques
en s'appuyant sur le principe PDCA
Facteur humain et des aspects organisationnels
doit s'intégrer dans le monde de gestion du SI d’une E/Se
– croître en permanence sa performance,
– contribuer à son essor,
– rentabilité et pérennité de son organisme.
Conclusions
60Anas Abou El Kalam
Que faire ...
16. 20/07/2016
16
61Anas Abou El Kalam
Que faire ...
62Anas Abou El Kalam
Que faire ...
63Anas Abou El Kalam
Que faire ...
64Anas Abou El Kalam
Merci ...
Questions ?
Remarques ?
Commentaires ?
Avis ?
17. 20/07/2016
17
65Anas Abou El Kalam
AMAN … www.aman.ma
association scientifique et technique, sans but lucratif, apolitique et autonome.
rassemblement de la communauté des personnes physiques et morales concernées
par les thématiques liées à la confiance numérique :
Promouvoir l’innovation et le développement dans le domaine de la Sécurité des
Réseaux et Systèmes d'Information (SI).
Multiplier les échanges entre les acteurs de la Sécurité des Réseaux et SI
notamment les industriels, administrations, et organismes de recherche.
Mener une réflexion sur la formation classique et la formation continue en Sécurité
des Réseaux et Systèmes au Maroc.
Diffuser l'information scientifique par tous les moyens jugés utiles (conférences,
journal périodique d'information sur les activités de l'association, revues scientifiques
et supports NTIC liés à la sécurité des réseaux et systèmes).
66Anas Abou El Kalam
AMAN ...
* Organiser des activités socioculturelles pouvant impliquer d'autres associations, et
organismes nationaux et internationaux.
* Assurer les liens et les échanges avec la communauté scientifique internationale.
* Aider au montage de start-up et de projets recherche-industrie dans le domaine de la
sécurité des réseaux et systèmes.