SlideShare une entreprise Scribd logo

AMAN - JNS4 Management sécurité 13 Mai 2014

A
Abdeljalil AGNAOU

Association Marocaine de Confiance Numérique

Ingénierie
1  sur  17
Télécharger pour lire hors ligne
20/07/2016 1 Management, Politiques et Modèles de sécurité Anas ABOU EL KALAM Président de l'Association Marocaine de confi@nce Numérique (AMAN) – www.aman.ma Certifié CEH, ISO 27001 Lead Auditor, (CISSP) Auteur de 6 chapitres de livres + 150 article scientifique ... 13 mai 2014JNS4 2Anas Abou El Kalam « Notre cybersécurité est liée à notre capacité économique » « Le coût de la cybercriminalité dans le monde env. 388 milliards de $ - plus que le marché mondial de l'héroïne, cocaïne et marijuana combinée ... « outre Al-Qaïda, la cybercriminalité est la plus grande menace .... Malheureusement, il s'agit d'un domaine en forte croissance » "La cybercriminalité est un vrai deal, beaucoup plus grand que Al-Qaïda,... " Schneier. " Panorama de la cybercriminalité 3Anas Abou El Kalam Plus de 6/10 ont subi accident sécurité – 20 % ont subi des pertes financières liées à problèmes sécurité,  – 17 % ont été victimes de vol de propriété intellectuelle,  – 13 % ont vu leur image dégradée. Plus de 650 000 SI sont aujourd'hui infectés Panorama de la cybercriminalité 9 cas sur 10 : la perte totale des données entraîne la fermeture de l’entreprise. 4
20/07/2016 2 5Anas Abou El Kalam Sûreté de fonctionnement vs Sécurité Sûreté de Fonctionnement Sécurité-innocuité pas de conséquence catastrophique Fiabilité continuité de service Maintenabilité capacité à être réparé et à évoluer Disponibilité prêt à être utilisé Intégrité pas d'altération Confidentialité pas de divulgation non-autorisée Sécurité des S.I. = combinaison de confidentialité, d'intégrité et de disponibilité = propriété qui permet de placer une confiance justifiée dans le service délivré par le système 6Anas Abou El Kalam Définitions • Sécurité – Absence de risques inacceptables • En cohérence avec les enjeux et objectifs de l’entreprise Sécuriser un SI = maitriser les risques 7Anas Abou El Kalam Agenda • Prendre en compte la sécurité,  QUAND ? • Gérer les risques,  COMMENT ? • Méthodologie,  LAQUELLE ? • Certification,  POURQUOI ? • Conclusions  … enfin ... ISO 27005 Mehari, Octave, EBIOS PMSI, ISO 27001 Spécification, conception, réalisation, ... 8Anas Abou El Kalam Agenda • Prendre en compte la sécurité,  QUAND ? • Gérer les risques,  COMMENT ? • Méthodologie,  LAQUELLE ? • Certification,  POURQUOI ? • Conclusions  … enfin ... ISO 27005 Mehari, Octave, EBIOS PMSI, ISO 27001 Spécification, conception, réalisation, ...
20/07/2016 3 9Anas Abou El Kalam Sécuriser un système … Gestion comptes Patchs Antivirus, FW, ... Scans vuln. Sauvegardes Chiffrement DD Poste de travail Gestion accès Analyse trafic Architecture VPN, AAA, ... Redondance IDS ... Réseau Pentests Patchs CA, FW, Antivirus Secu Services Sauvegardes Physique, virtualis. ServeursServeurs 10Anas Abou El Kalam Cycle de vie d’une solution ... spécification des besoins (ce que fait le système) conception (comment on fait le système) réalisation (faire le système) utilisation (installer et exploiter le système) 11Anas Abou El Kalam Spécification des besoins  services que le système doit rendre  contexte  grands choix (stratégiques, fonctionnels...) relatifs au système  … concrétisée par Cahier des Charges Fonctionnel (CdCF)  objectifs stratégiques et enjeux du système à concevoir  contraintes : solutions, normes, réglementations, coûts, délais,  missions du système, limites du système à concevoir  grandes fonctions et relations avec l'extérieur  identification sous systèmes & interfaces entre ces sous-systèmes … 12Anas Abou El Kalam  analyse des besoins exprimés par le maître d'ouvrage dans le CdCF  examen de l'existant  étude des solutions  bilan de faisabilité et le choix d'une solution  réponse au CdCF formalisé par Spécifications Techniques de Besoin Conception
20/07/2016 4 13Anas Abou El Kalam  Réalisation  Acquisition ou développement solution  intégration  Validation  Utilisation  installation sur site,  exploitation,  maintenance … Réalisation & utilisation 14Anas Abou El Kalam   analyser les enjeux d’un point de vue de la sécurité  poids stratégique du système pour l'organisme  impact sécurité système sur sécurité globale de l'organisme  pertes maximales que le système peut supporter  analyser le contexte dans lequel se situe le système / sécurité  environnement physique dans lequel va évoluer le système  menaces générales pesant sur l'organisme qui abritera le système  contraintes de sécurité auxquelles le système est soumis  définir les besoins intrinsèques de sécurité  déterminer les objectifs de sécurité pour le système sécurité dans spécification des besoins 15Anas Abou El Kalam  Prise en compte sécurité lors de la Conception  choisir les fonctions de sécurité répondant aux objectifs de sécurité  sélectionner ou spécifier les mécanismes associés  consolider la politique de sécurité technique du système  définir la politique d'administration de la sécurité  définir, le cas échéant : mode dégradé, plan sauvegarde et plan secours Sécurité, … quand ? 16Anas Abou El Kalam  Prise en compte sécurité lors de la Réalisation  Réaliser (soit même) ou se procurer (produit marché) mécanismes séc  les intégrer avec les autres éléments du système  effectuer une analyse de vulnérabilité résiduelle.  Prise en compte sécurité lors de l'utilisation  installer puis configurer mécanismes sécurité sur site d'exploitation  validation de la sécurisation globale du système  formation des futurs responsables de la sécurité du système.  administration, test,sauvegarde, audit Sécurité, … quand ?
20/07/2016 5 17Anas Abou El Kalam Agenda • Prendre en compte la sécurité,  QUAND ? • Gérer les risques,  COMMENT ? • Méthodologie,  LAQUELLE ? • Certification,  POURQUOI ? • Conclusions  … enfin ... Spécification, conception, réalisation, ... ISO 27005 Mehari, Octave, EBIOS PMSI, ISO 27001 L'ISO 2700x : un Standard de sécurité ? Standard – spécifications ou code de pratique ==> méthodes, processus, manières de faire. • Sert de référence pour déterminer des niveaux minimum acceptables de qualité, sécurité, fiabilité … Norme  document de référence  couvrant un large intérêt industriel  basé sur un processus volontaire,  approuvé par un organisme reconnu,  fournit (pour des usages communs) des règles, des lignes directrices ou des caractéristiques, pour des activités, ou leurs résultats, L'ISO 2700x : un Standard de sécurité ? L'ISO 2700x : un Standard de sécurité ? ISO 2700x ... devenir le pendant de la sécurité – 900x ==> qualité, 1400x ==> environnement. ... Le principal point commun : approche processus, articulée autour de la méthode Plan-Do-Check-Act – ==> amélioration continue. Au coeur de la famille 2700x se trouve la notion de SGSI ou ISMS : définit le cadre d’une amélioration continue de la sécurité en se basant principalement sur une approche de gestion des risques. 8 normes sont en développement au sein de la série 2700x ... L'ISO 2700x : un Standard de sécurité ?
20/07/2016 6 la famille des normes ISO/IEC 2700x ISO 27001 décrit les processus permettant le management de la sécurité de l’information (SMSI) Elle est à la base de la certification d’un SGSI ISO 27002 présente un catalogue de bonnes pratiques de sécurité ISO 27003 décrit les différentes phases initiales à accomplir afin d’aboutir à (implémenter) un système de Management tel que décrit dans la norme ISO 27001 ISO 27004 permet de définir les contrôles (indicateurs, métriques) de fonctionnement du SMSI aider les organisations à mesurer & rapporter l’efficacité de l’implémentation de leur SGSI ISO 27005 décrit les processus de la gestion des risques techniques à mettre en oeuvre dans le cadre d’une démarche de gestion des risques ISO 27006 décrit les exigences relatives aux organismes qui auditent et certifient les SMSI des sociétés ISO 27007 guide spécifique pour les audits d’ISMS, notamment en support à l’ISO 27006 la famille des normes ISO/IEC 2700x La norme 27005 Conçue pour aider à la mise en place de la sécurité de l’information, Basée sur une approche de gestion des risques, pour protéger l’information et garantir : Disponibilité : prêt à l'utilisation, accessible en continu ; performance ; ... Intégrité : sans altération; exactitude ; exhaustivité Confidentialité : sans divulgation, accès restreint ; classification Traçabilité : identification et analyse de tous les événements La norme 27005  Installer une vraie Gouvernance de la Sécurité 24
20/07/2016 7 25Anas Abou El Kalam Management des risques : démarche Merci Ahmed 26Anas Abou El Kalam Gravité du risque • Gravité G = I x P 27Anas Abou El Kalam Traitement des risques • Décider du traitement de chacun des risques (MOA &  Direction) : Appréciation des risques Résultat de l’appréciation Choix de traitement des risques Evitement Conservation Le risque est il acceptable ? Acceptation du risque Transfert Réduction Risque résiduel Oui Non 27 28Anas Abou El Kalam Livrables • Tableau des synthèse des  traitements des risques • Mesures de réduction • Risques résiduels • Approbation, Acceptation Menace Scénario de risque concerné Actifs concernés Options de traitement Mesures Accepter Refuser Transférer Réduire I. Incendie Incendie - Postes de travail - Routeurs Mise en œuvre d’un système d’extinction incendie V. Écoute passive Interception de données sur le réseau interne - Réseau interne Coût de mise en œuvre de solutions de chiffrement plus élevé que la perte financière engendrée
20/07/2016 8 29Anas Abou El Kalam Gestion des risques La gestion des risques liés à la Sécurité de l'information consiste à : • Établir le contexte de l'analyse des risques, • Evaluer les risques, • Traiter les risques, • Accepter les risques, • Communiquer sur les risques, • Surveiller et assurer des revues périodiques des risques. ISO 27005 ne fournit pas à proprement parlé de méthode de gestion des risques, … elle permet de bâtir une méthode. 30Anas Abou El Kalam Agenda • Prendre en compte la sécurité,  QUAND ? • Gérer les risques,  COMMENT ? • Méthodologie,  LAQUELLE ? • Certification,  POURQUOI ? • Conclusions  … enfin ... Conception, ... ISO 27005 Mehari, Octave, EBIOS PMSI, ISO 27001 31Anas Abou El Kalam Comparatif des normes L. PayantAlSec. privéAexis2000RA2 BeSec. privéEvosec2002ISAMM L. PayantGBSec. privéC&A2001COBRA L. PayantCaSec. privéCALLIO2001CALLIO L. PayantFrSec. privéAgeris2004SCORE InternatiISO 15408 InternatiISO 13335 Internati* * *ISO 17799 GBGouv* * *BS 7799 L. PayantGBAssoISF*1995SPRINT L. PayantGBGouvSiemens* *1986Cramm L. PayantEUUnivUniv* *1999Octave L. RisicareFrAssoCLUSIF* * *1995Mehari AbandonnéeFrAssoCLUSIF* *1980Marion AbandonnéeFrArm.DGA* *Melisa Log grat.FrGouvDCSSI* * *1995EBIOS EtatOutilsPayssoutienAuteurPopularitéCréationMéthode 32Anas Abou El Kalam  Quoi ? – évaluation quantitative des facteurs de risque propres à chaque situation,  Idées de base ?  Analyse des vulnérabilités  Lien entre vulnérabilité existante & risques encourus  Présence (ou absence) de mesures de sécurité pour réduire » Potentialité de survenance d'un sinistre » Impact sinistre  L'interaction de ces types de mesures concoure à réduire la gravité du risque jusqu'au niveau choisi. MEthode Harmonisée d'Analyse de Risques
20/07/2016 9 33Anas Abou El Kalam  6 facteurs de risque indépendants : – 3 influant sur la potentialité + 3 influant sur son impact  6 types de mesures de sécurité, chacun agissant sur un facteur de risque – Structurelle, • pour faire baisser exposition naturelle • e.g., gestion envrnmt, gestion crises, ... – Dissuasive, • e.g., comm sur sys détection et enrgstrmnt, réglementation et sévérité des sanctions, imputabilité actions tentées ou effectuées – Préventive • e.g., mesures de sécu physique, contrôle d'accès, etc. – Protection, • Détection, contrôle a posteriori, capacité investigation/intervention – palliative • Plan maintenance & secours, formation, ... – Récupération • Assurance, préparation spécifique actions en justice MEthode Harmonisée d'Analyse de Risques 34Anas Abou El Kalam • La démarche générale de MEHARI consiste en • analyse des enjeux de sécurité : quels sont les scénarios redoutés ? • classification préalable des entités du SI en fonction de C I D • Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activité de l'entreprise. • des audits identifient les vulnérabilités du SI • l'analyse des risques proprement dite est enfin réalisée MEthode Harmonisée d'Analyse de Risques 35Anas Abou El Kalam  Phase 1 : plan stratégique de sécurité  définition des métriques des risques & objectifs de sécurité,  établissement d'une politique de sécurité,  établissement d'une charte de management.  Phase 2 : plans opérationnels de sécurité – définir pour chaque site, mesures de sécurité qui doivent être MEV • exprimer les besoins de sécurité • scénarios de compromission • évaluation de chaque risque (probabilité, impact) • mesures de protections nécessaires • planification de la mise à niveau de la sécurité du SI  Phase 3 : plan opérationnel d'entreprise – assure le suivi de la sécurité : • élaboration d'indicateurs sur les risques identifiés • choix des scénarios de catastrophe contre lesquels il faut se prémunir. MEthode Harmonisée d'Analyse de Risques 36Anas Abou El Kalam bases de connaissances permettent d'automatiser certains calculs de gravité des scénarios de risques, liens entre menaces <==> parades... Ses audits permettent la création de plan d'actions concrets Logiciel RISICARE développé par la société BUC SA Livrables types aidés d'un guide méthodologie Support du CLUSIF MEthode Harmonisée d'Analyse de Risques
20/07/2016 10 37Anas Abou El Kalam EBIOS méthode pour l’Expression des Besoins et l’Identification des Objectifs de Sécurité Vue globale 38Anas Abou El Kalam • EBIOS est un outil d'assistance à : • Maîtrise d'ouvrage en foufnissant les justifs ... • périmètre d'étude, expression de besoins, responsabilisation des acteurs… • Prise de décision • descriptions précises, enjeux stratégiques, risques détaillés, impact sur l'organisme, objectifs et exigences de sécurité explicites • EBIOS peut-être appliqué aussi bien sur – systèmes simples (serveur web) // complexes (système distribué gestion concours) – systèmes à concevoir // existants, – SI entiers // sous-systèmes. • aisément adaptable à des contexte particulier • Possibilité de n'employer que des parties de la démarche EBIOS 39Anas Abou El Kalam  Compatibilité avec les normes internationales • ISO 13335 (GMITS) : Lignes directrices relatives à la gestion de la sécurité des SI • ISO 17799 : Code de bonnes pratiques pour la gestion de la sécurité d'information. • ISO 15408 • ISO 27001 • ISO 27005 • ISO 31000  Largement utilisée dans les secteurs public & privé, en France et à l'étranger –UE, Québec, Belgique, Tunisie, Luxembourg…  Diffusion gratuite sur le site de la DCSSI EBIOS : compatibilité 40Anas Abou El Kalam • Les guides – Bases de connaissances : • méthodes d'attaques, vulnérabilités, objectifs et exigences de sécurité – Guides meilleures pratiques, plaquettes, mémento synthétiques ... • Le logiciel libre – Gratuit, disponible sur demande ou en téléchargement • Les traductions – Référentiel disponible gratuitement en français, anglais, allemand et espagnol • Les compétences – Formations au CFSSI pour les agents de l’administration – Formation en ligne sur la gestion des risques – Labellisation de personnes • Le Club EBIOS – 75 experts du secteur public et du secteur privé, français et étrangers EBIOS : outillage et services
20/07/2016 11 41Anas Abou El Kalam EBIOS : Le « Tout Terrain » pour gérer les risques EBIOS ne protège pas des risques, EBIO permet identifier les risques qui pèsent sur le SI estimer leur niveau (gravité, vraisemblance) choisir les mesures nécessaires et suffisantes en termes de prévention, protection, récupération. faire prendre conscience des risques aux décideurs. 42Anas Abou El Kalam  EBIOS n'est pas EBIOS : ce que ne permet pas la méthode catalogue de solutions ou de règles de sécurité prêtes à l’emploi "boite noire" avec une E/S fournir de solutions immédiates et génériques aux problèmes de sécurité Objectifs de sécurité seront déterminées afin de spécifier des mesures de sécurité, mais leur mise en oeuvre sera réalisée à la suite de l'étude. 43Anas Abou El Kalam Démarche EBIOS 44Anas Abou El Kalam Démarche EBIOS Risques = { événements redoutés + scénarios de menaces} Evénements redoutés sources de menaces,  besoins de sécurité  impacts engendrés en cas de non respect de ces besoins Scénarios de menaces sources de menaces menaces vulnérabilités
20/07/2016 12 45Anas Abou El Kalam 1. Etude du contexte – cadre de la gestion des risques, – métriques – périmètre – biens essentiels, – biens supports – ... Ebios : étapes (1/2) 2. Etude des événements redoutés – contribue à l'appréciation des risques. – identifier et estimer besoins de sécurité des biens essentiels (CIA) – impacts (sur missions, personnes, financiers, juridiques, image, … en cas de non respect de ces besoins et les sources de menaces – humaines, environnementales, internes, externes, accidentelles, délibérées… 46Anas Abou El Kalam 3. scénarios de menaces – (Rentre dans le cadre de l'appréciation des risques) – Identifier et estimer les scénarios qui peuvent engendrer les événements redoutés, et ainsi composer des risques. – menaces que les sources de menaces peuvent générer – vulnérabilités exploitables. Ebios : étapes (2/2) 4. Etude des risques – met en évidence les risques pesant sur l'organisme en confrontant • événements redoutés • scénarios de menaces. – décrit comment estimer et évaluer ces risques, – identifier objectifs de sécurité à atteindre pour les traiter. 5. Mesures – (Rentre dans le cadre du traitement des risques) – Spécifier & planifier mesures à MEV, – valider traitement des risques et les risques résiduels 47Anas Abou El Kalam EBIOS vs MEHARI 48Anas Abou El Kalam EBIOS vs MEHARI abordent même sujets sous un angle un peu plus fonctionnel pour EBIOS et plus “managériale” pour MEHARI
20/07/2016 13 49Anas Abou El Kalam Agenda • Prendre en compte la sécurité,  QUAND ? • Gérer les risques,  COMMENT ? • Méthodologie,  LAQUELLE ? • Certification,  POURQUOI ? • Conclusions  … enfin ... Conception, ... ISO 27005 Mehari, Octave, EBIOS PMSI, ISO 27001 Fournir un modèle pour implémenter, exploiter, monitorer, contrôler, maintenir et améliorer un SMSI Les audits de certification évaluent le SMSI, ⇒pas la pertinence de tel ou tel choix technologique… Couverture ? Tout , de la sécurité physique à la sécurité logique … n’impose pas de solutions techniques ! Ex : La norme ne spécifie pas un système de filtrage mais spécifie que : A11.4.7. « Routing controls shall be implemented for networks to ensure that computer connections and information flows do not breach the access control policy of the business applications. » 50 ⇒La norme ISO 27001 est un outil de MANAGEMENT ⇒ON NE REGARDE PAS L'EFFICACITE DES MESURES TECHNIQUES L'ISO 27001 : objectif 0. Introduction - Approche processus 1. Champ d'application (Scope) 2. Références normatives (Normatives references) 3. Termes & définitions (Terms & definitions) 4. SMSI (ISMS) 5. Responsabilité du Management (Management responsibility) 6. Audits internes du SMSI (Internal ISMS audits) 7. Revue du SMSI par le Management (Management review of ISMS) 8. Amélioration du SMSI (ISMS improvement) 51 Les clauses 4 à 8 doivent impérativement être respectées pour prétendre à la certification : aucune dérogation L'ISO 27001 : les clauses Un SMSI Basé sur 4 principes fondamentaux 52
20/07/2016 14 Construire un SGSI : la roue de Deming appliquée à la sécurité Plan : dire ce que l’on va faire Do : faire ce que l’on a dit Check : contrôler ce que l’on a fait Act : corriger et d’améliorer dans le temps PDCA : Plan (Planification) ... Périmètre : Précis & clairement délimité, e.g., processus DSI, processus métier, un/++ sites Politique du SGSI : principes fondamentaux du SGSI & enjeux propres à la société contraintes (e.g., légales), montre l’engagement de la direction générale Analyse des risques : méthode d’analyse des risques doit être choisie : e.g., EBIOS, MEHARI Traitement des risques : Pour chaque risques, une décision doit être prise et acceptée au plus haut niveau Réduit (mesure de séc), transféré, évités (arrêter service), acceptés ... Déclaration d’applicabilité (SOA ou Statement Of Applicability ) : Quels contrôles de sécurité seront mis en oeuvre dans le périmètre du SGSI. A minima, sélectionner (et justifier) parmi contrôles de l’annexe A de ISO27001 Mise en œuvre des contrôles sélectionnés : Contrôles du SOA & mesures identifiées doivent être mis en œuvre selon priorités Sensibilisation & formation : Large : inclus responsables, utilisateurs, tiers, personnes intervenant temporairement .. Procédures de gestion et suivi des incidents : savoir gérer un incident et surtout éviter qu’il ne se reproduise définition critères qualification des incidents, processus d’alertes, mise en place d’une cellule de gestion opérationnelle de la sécurité, analyse des journaux, ... Indicateurs de suivi (tech & org) : doivent donner une vue concrète et fiable de l’efficacité des contrôles mis en oeuvre. ISO 27004 : recommandations sur indicateurs à sélectionner et comment les collecter Exploitation et gestion du SGSI au quotidien : le système doit fonctionner au quotidien afin de garantir la sécurité dans le temps. actions non limitées aux périmètres informatiques ou sécurité, mais touche proc métier PDCA : Do (Déploiement) ... PDCA : Check (contrôle) et Act (Amélioration) ... Contrôle audits internes, d’audits externes, collectes d’informations auprès des collaborateurs et des acteurs externes suivi régulier des résultats Amélioration Réévaluation de l’adéquation du SGSI aux enjeux métier l’approbation du management doivent être effectuées a minima annuellement. suivi des actions identifiées, démonstration de la réalisation des actions correctives… Si certification ==> gestion des traces et des enregistrements doit être réalisée. • Cause des échecs : aspects à long terme, de contrôle et d’amélioration continue. Documents liés : plan de contrôle, traces relatives aux contrôles, traces relatives aux actions d’amélioration, ensemble des décisions d’amélioration prises, approbation régulière du management.
20/07/2016 15 Feuille de route de la mise en place d'un SMSI 1. Définir le périmètre du SMSI à certifier 2. Définir la politique du SMSI (ou les politiques) 3. Identifier les actifs 4. Définir la méthode d'analyse de risques 5. Identifier les risques 6. Mesurer les risques 7. Définir les objectifs de sécurité et décider le mode de traitement des risques 8. identifier mesures pour réduire les risques résiduels accepté par le management 9. Mettre en oeuvre les mesures approuvées 10. Établir l'ensemble de la documentation du SMSI (Manuel Sécurité) 11. Implémenter le SMSI 12. Établir le SOA (statment of applicability) 13. Suivre et revoir le SMSI 14. Maintenir & améliorer le SMSI 58Anas Abou El Kalam Agenda • Prendre en compte la sécurité,  QUAND ? • Gérer les risques,  COMMENT ? • Méthodologie,  LAQUELLE ? • Certification,  POURQUOI ? • Conclusions  … enfin ... PMSI ISO 27005 Mehari, Octave, EBIOS ISO 27001 59Anas Abou El Kalam Tou le monde est concerné ... doit être prise en compte depuis la conception La sécurité est un processus continu, pas une collection de produits et de solutions. Instaurer une vraie politique de management de risques en s'appuyant sur le principe PDCA Facteur humain et des aspects organisationnels doit s'intégrer dans le monde de gestion du SI d’une E/Se – croître en permanence sa performance, – contribuer à son essor, – rentabilité et pérennité de son organisme. Conclusions 60Anas Abou El Kalam Que faire ...
20/07/2016 16 61Anas Abou El Kalam Que faire ... 62Anas Abou El Kalam Que faire ... 63Anas Abou El Kalam Que faire ... 64Anas Abou El Kalam Merci ...  Questions ?  Remarques ?  Commentaires ?  Avis ?
20/07/2016 17 65Anas Abou El Kalam AMAN … www.aman.ma association scientifique et technique, sans but lucratif, apolitique et autonome. rassemblement de la communauté des personnes physiques et morales concernées par les thématiques liées à la confiance numérique : Promouvoir l’innovation et le développement dans le domaine de la Sécurité des Réseaux et Systèmes d'Information (SI). Multiplier les échanges entre les acteurs de la Sécurité des Réseaux et SI notamment les industriels, administrations, et organismes de recherche. Mener une réflexion sur la formation classique et la formation continue en Sécurité des Réseaux et Systèmes au Maroc. Diffuser l'information scientifique par tous les moyens jugés utiles (conférences, journal périodique d'information sur les activités de l'association, revues scientifiques et supports NTIC liés à la sécurité des réseaux et systèmes). 66Anas Abou El Kalam AMAN ... * Organiser des activités socioculturelles pouvant impliquer d'autres associations, et organismes nationaux et internationaux. * Assurer les liens et les échanges avec la communauté scientifique internationale. * Aider au montage de start-up et de projets recherche-industrie dans le domaine de la sécurité des réseaux et systèmes.

Recommandé

Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
Alain Huet
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Sébastien Rabaud
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
dihiaselma
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
michaeldean
 
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
Shellmates
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
Alain Huet
 
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sébastien Rabaud
 

Recommandé

Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
Alain Huet
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Sébastien Rabaud
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
dihiaselma
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
michaeldean
 
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
Shellmates
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
Alain Huet
 
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Sébastien Rabaud
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)
Prof. Jacques Folon (Ph.D)
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
Dimassi Khoulouda
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - BrochureMaster en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
CRP Henri Tudor
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
Laurent Pingault
 
EBIOS
EBIOSEBIOS
EBIOS
Houda Elmoutaoukil
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
Bertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
Thierry Pertus
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliers
Sara SI-MOUSSI
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
BRIVA
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
lara houda
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
proximit
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Microsoft Technet France
 

Contenu connexe

Tendances

La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
Dimassi Khoulouda
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliers
Sara SI-MOUSSI
 

Tendances (20)

MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - BrochureMaster en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
Master en Management de la Sécurité des Systèmes d'Information (MSSI) - Brochure
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
 
EBIOS
EBIOSEBIOS
EBIOS
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliers
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 

Similaire à AMAN - JNS4 Management sécurité 13 Mai 2014

Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
proximit
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Microsoft Technet France
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Patrick Leclerc
 
Cy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securiteCy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securite
CERTyou Formation
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
Kyos
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
PMI-Montréal
 

Similaire à AMAN - JNS4 Management sécurité 13 Mai 2014 (20)

Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecurite
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
 
Cy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securiteCy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securite
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
AGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptxAGILLY Securité du Cloud.pptx
AGILLY Securité du Cloud.pptx
 
Mehari
MehariMehari
Mehari
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
Mehari
MehariMehari
Mehari
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 

Plus de Abdeljalil AGNAOU

Plus de Abdeljalil AGNAOU (10)

L'internaute N°14
L'internaute N°14L'internaute N°14
L'internaute N°14
 
L'internaute N°13
L'internaute N°13L'internaute N°13
L'internaute N°13
 
AMAN - CISSI SIEM 12 mars 2014
AMAN - CISSI SIEM 12 mars 2014AMAN - CISSI SIEM 12 mars 2014
AMAN - CISSI SIEM 12 mars 2014
 
Mieux maitriser numérique
Mieux maitriser numériqueMieux maitriser numérique
Mieux maitriser numérique
 
AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014
 
AMAN Hacknowledge Contest Marocain net sécurite 5 décembre 2013
AMAN Hacknowledge Contest Marocain net sécurite 5 décembre 2013AMAN Hacknowledge Contest Marocain net sécurite 5 décembre 2013
AMAN Hacknowledge Contest Marocain net sécurite 5 décembre 2013
 
AMAN défis strategiques confiance numérique 28 Juin 2011
AMAN défis strategiques confiance numérique 28 Juin 2011AMAN défis strategiques confiance numérique 28 Juin 2011
AMAN défis strategiques confiance numérique 28 Juin 2011
 
AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013
 
AMAN - Economie Numerique et sécurité 29 septembre 2011
AMAN - Economie Numerique et sécurité 29 septembre 2011AMAN - Economie Numerique et sécurité 29 septembre 2011
AMAN - Economie Numerique et sécurité 29 septembre 2011
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
 

Dernier

[2024] Comment scaler une application PHP vieille de plus de 20 ans ?
[2024] Comment scaler une application PHP vieille de plus de 20 ans ?[2024] Comment scaler une application PHP vieille de plus de 20 ans ?
[2024] Comment scaler une application PHP vieille de plus de 20 ans ?
LAHAXE Arnaud
 
2024 03 27 JTC actualités C Perrot (idele).pdf
2024 03 27 JTC actualités C Perrot (idele).pdf2024 03 27 JTC actualités C Perrot (idele).pdf
2024 03 27 JTC actualités C Perrot (idele).pdf
idelewebmestre
 

Dernier (14)

01-La génétique s’adapte à la demande de la filière ovine
01-La génétique s’adapte à la demande de la filière ovine01-La génétique s’adapte à la demande de la filière ovine
01-La génétique s’adapte à la demande de la filière ovine
 
Pour une traite de qualité, mieux comprendre l’interface trayon-manchon
Pour une traite de qualité, mieux comprendre l’interface trayon-manchonPour une traite de qualité, mieux comprendre l’interface trayon-manchon
Pour une traite de qualité, mieux comprendre l’interface trayon-manchon
 
JTC 2024 - Actualités sur le bien-être animal
JTC 2024 - Actualités sur le bien-être animalJTC 2024 - Actualités sur le bien-être animal
JTC 2024 - Actualités sur le bien-être animal
 
Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...
Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...
Provinlait 2024-Leviers fourrages - Madrid Aurélie Frayssinhes, Sandra (Cha...
 
Présentation_Soirée-Information_ St-Eugène.pptx
Présentation_Soirée-Information_ St-Eugène.pptxPrésentation_Soirée-Information_ St-Eugène.pptx
Présentation_Soirée-Information_ St-Eugène.pptx
 
05-La génétique, un levier majeur pour les enjeux à venir
05-La génétique, un levier majeur pour les enjeux à venir05-La génétique, un levier majeur pour les enjeux à venir
05-La génétique, un levier majeur pour les enjeux à venir
 
02-Le bélier de sélection:investissement technique, économique,environnemental
02-Le bélier de sélection:investissement technique, économique,environnemental02-Le bélier de sélection:investissement technique, économique,environnemental
02-Le bélier de sélection:investissement technique, économique,environnemental
 
04-La génomique, un outil pour la sélection des ovins
04-La génomique, un outil pour la sélection des ovins04-La génomique, un outil pour la sélection des ovins
04-La génomique, un outil pour la sélection des ovins
 
Presentation ing 1 pour le soutnance .pptx
Presentation ing 1 pour le soutnance .pptxPresentation ing 1 pour le soutnance .pptx
Presentation ing 1 pour le soutnance .pptx
 
[2024] Comment scaler une application PHP vieille de plus de 20 ans ?
[2024] Comment scaler une application PHP vieille de plus de 20 ans ?[2024] Comment scaler une application PHP vieille de plus de 20 ans ?
[2024] Comment scaler une application PHP vieille de plus de 20 ans ?
 
2024 03 27 JTC actualités C Perrot (idele).pdf
2024 03 27 JTC actualités C Perrot (idele).pdf2024 03 27 JTC actualités C Perrot (idele).pdf
2024 03 27 JTC actualités C Perrot (idele).pdf
 
03-La sélection pour la résistance au parasitisme
03-La sélection pour la résistance au parasitisme03-La sélection pour la résistance au parasitisme
03-La sélection pour la résistance au parasitisme
 
JTC_2024_TC Bâtiment et bien-être estival.pdf
JTC_2024_TC Bâtiment et bien-être estival.pdfJTC_2024_TC Bâtiment et bien-être estival.pdf
JTC_2024_TC Bâtiment et bien-être estival.pdf
 
JTC 2024 - Approche collective de la santé
JTC 2024 - Approche collective de la santéJTC 2024 - Approche collective de la santé
JTC 2024 - Approche collective de la santé
 

AMAN - JNS4 Management sécurité 13 Mai 2014

  • 1. 20/07/2016 1 Management, Politiques et Modèles de sécurité Anas ABOU EL KALAM Président de l'Association Marocaine de confi@nce Numérique (AMAN) – www.aman.ma Certifié CEH, ISO 27001 Lead Auditor, (CISSP) Auteur de 6 chapitres de livres + 150 article scientifique ... 13 mai 2014JNS4 2Anas Abou El Kalam « Notre cybersécurité est liée à notre capacité économique » « Le coût de la cybercriminalité dans le monde env. 388 milliards de $ - plus que le marché mondial de l'héroïne, cocaïne et marijuana combinée ... « outre Al-Qaïda, la cybercriminalité est la plus grande menace .... Malheureusement, il s'agit d'un domaine en forte croissance » "La cybercriminalité est un vrai deal, beaucoup plus grand que Al-Qaïda,... " Schneier. " Panorama de la cybercriminalité 3Anas Abou El Kalam Plus de 6/10 ont subi accident sécurité – 20 % ont subi des pertes financières liées à problèmes sécurité,  – 17 % ont été victimes de vol de propriété intellectuelle,  – 13 % ont vu leur image dégradée. Plus de 650 000 SI sont aujourd'hui infectés Panorama de la cybercriminalité 9 cas sur 10 : la perte totale des données entraîne la fermeture de l’entreprise. 4
  • 2. 20/07/2016 2 5Anas Abou El Kalam Sûreté de fonctionnement vs Sécurité Sûreté de Fonctionnement Sécurité-innocuité pas de conséquence catastrophique Fiabilité continuité de service Maintenabilité capacité à être réparé et à évoluer Disponibilité prêt à être utilisé Intégrité pas d'altération Confidentialité pas de divulgation non-autorisée Sécurité des S.I. = combinaison de confidentialité, d'intégrité et de disponibilité = propriété qui permet de placer une confiance justifiée dans le service délivré par le système 6Anas Abou El Kalam Définitions • Sécurité – Absence de risques inacceptables • En cohérence avec les enjeux et objectifs de l’entreprise Sécuriser un SI = maitriser les risques 7Anas Abou El Kalam Agenda • Prendre en compte la sécurité,  QUAND ? • Gérer les risques,  COMMENT ? • Méthodologie,  LAQUELLE ? • Certification,  POURQUOI ? • Conclusions  … enfin ... ISO 27005 Mehari, Octave, EBIOS PMSI, ISO 27001 Spécification, conception, réalisation, ... 8Anas Abou El Kalam Agenda • Prendre en compte la sécurité,  QUAND ? • Gérer les risques,  COMMENT ? • Méthodologie,  LAQUELLE ? • Certification,  POURQUOI ? • Conclusions  … enfin ... ISO 27005 Mehari, Octave, EBIOS PMSI, ISO 27001 Spécification, conception, réalisation, ...
  • 3. 20/07/2016 3 9Anas Abou El Kalam Sécuriser un système … Gestion comptes Patchs Antivirus, FW, ... Scans vuln. Sauvegardes Chiffrement DD Poste de travail Gestion accès Analyse trafic Architecture VPN, AAA, ... Redondance IDS ... Réseau Pentests Patchs CA, FW, Antivirus Secu Services Sauvegardes Physique, virtualis. ServeursServeurs 10Anas Abou El Kalam Cycle de vie d’une solution ... spécification des besoins (ce que fait le système) conception (comment on fait le système) réalisation (faire le système) utilisation (installer et exploiter le système) 11Anas Abou El Kalam Spécification des besoins  services que le système doit rendre  contexte  grands choix (stratégiques, fonctionnels...) relatifs au système  … concrétisée par Cahier des Charges Fonctionnel (CdCF)  objectifs stratégiques et enjeux du système à concevoir  contraintes : solutions, normes, réglementations, coûts, délais,  missions du système, limites du système à concevoir  grandes fonctions et relations avec l'extérieur  identification sous systèmes & interfaces entre ces sous-systèmes … 12Anas Abou El Kalam  analyse des besoins exprimés par le maître d'ouvrage dans le CdCF  examen de l'existant  étude des solutions  bilan de faisabilité et le choix d'une solution  réponse au CdCF formalisé par Spécifications Techniques de Besoin Conception
  • 4. 20/07/2016 4 13Anas Abou El Kalam  Réalisation  Acquisition ou développement solution  intégration  Validation  Utilisation  installation sur site,  exploitation,  maintenance … Réalisation & utilisation 14Anas Abou El Kalam   analyser les enjeux d’un point de vue de la sécurité  poids stratégique du système pour l'organisme  impact sécurité système sur sécurité globale de l'organisme  pertes maximales que le système peut supporter  analyser le contexte dans lequel se situe le système / sécurité  environnement physique dans lequel va évoluer le système  menaces générales pesant sur l'organisme qui abritera le système  contraintes de sécurité auxquelles le système est soumis  définir les besoins intrinsèques de sécurité  déterminer les objectifs de sécurité pour le système sécurité dans spécification des besoins 15Anas Abou El Kalam  Prise en compte sécurité lors de la Conception  choisir les fonctions de sécurité répondant aux objectifs de sécurité  sélectionner ou spécifier les mécanismes associés  consolider la politique de sécurité technique du système  définir la politique d'administration de la sécurité  définir, le cas échéant : mode dégradé, plan sauvegarde et plan secours Sécurité, … quand ? 16Anas Abou El Kalam  Prise en compte sécurité lors de la Réalisation  Réaliser (soit même) ou se procurer (produit marché) mécanismes séc  les intégrer avec les autres éléments du système  effectuer une analyse de vulnérabilité résiduelle.  Prise en compte sécurité lors de l'utilisation  installer puis configurer mécanismes sécurité sur site d'exploitation  validation de la sécurisation globale du système  formation des futurs responsables de la sécurité du système.  administration, test,sauvegarde, audit Sécurité, … quand ?
  • 5. 20/07/2016 5 17Anas Abou El Kalam Agenda • Prendre en compte la sécurité,  QUAND ? • Gérer les risques,  COMMENT ? • Méthodologie,  LAQUELLE ? • Certification,  POURQUOI ? • Conclusions  … enfin ... Spécification, conception, réalisation, ... ISO 27005 Mehari, Octave, EBIOS PMSI, ISO 27001 L'ISO 2700x : un Standard de sécurité ? Standard – spécifications ou code de pratique ==> méthodes, processus, manières de faire. • Sert de référence pour déterminer des niveaux minimum acceptables de qualité, sécurité, fiabilité … Norme  document de référence  couvrant un large intérêt industriel  basé sur un processus volontaire,  approuvé par un organisme reconnu,  fournit (pour des usages communs) des règles, des lignes directrices ou des caractéristiques, pour des activités, ou leurs résultats, L'ISO 2700x : un Standard de sécurité ? L'ISO 2700x : un Standard de sécurité ? ISO 2700x ... devenir le pendant de la sécurité – 900x ==> qualité, 1400x ==> environnement. ... Le principal point commun : approche processus, articulée autour de la méthode Plan-Do-Check-Act – ==> amélioration continue. Au coeur de la famille 2700x se trouve la notion de SGSI ou ISMS : définit le cadre d’une amélioration continue de la sécurité en se basant principalement sur une approche de gestion des risques. 8 normes sont en développement au sein de la série 2700x ... L'ISO 2700x : un Standard de sécurité ?
  • 6. 20/07/2016 6 la famille des normes ISO/IEC 2700x ISO 27001 décrit les processus permettant le management de la sécurité de l’information (SMSI) Elle est à la base de la certification d’un SGSI ISO 27002 présente un catalogue de bonnes pratiques de sécurité ISO 27003 décrit les différentes phases initiales à accomplir afin d’aboutir à (implémenter) un système de Management tel que décrit dans la norme ISO 27001 ISO 27004 permet de définir les contrôles (indicateurs, métriques) de fonctionnement du SMSI aider les organisations à mesurer & rapporter l’efficacité de l’implémentation de leur SGSI ISO 27005 décrit les processus de la gestion des risques techniques à mettre en oeuvre dans le cadre d’une démarche de gestion des risques ISO 27006 décrit les exigences relatives aux organismes qui auditent et certifient les SMSI des sociétés ISO 27007 guide spécifique pour les audits d’ISMS, notamment en support à l’ISO 27006 la famille des normes ISO/IEC 2700x La norme 27005 Conçue pour aider à la mise en place de la sécurité de l’information, Basée sur une approche de gestion des risques, pour protéger l’information et garantir : Disponibilité : prêt à l'utilisation, accessible en continu ; performance ; ... Intégrité : sans altération; exactitude ; exhaustivité Confidentialité : sans divulgation, accès restreint ; classification Traçabilité : identification et analyse de tous les événements La norme 27005  Installer une vraie Gouvernance de la Sécurité 24
  • 7. 20/07/2016 7 25Anas Abou El Kalam Management des risques : démarche Merci Ahmed 26Anas Abou El Kalam Gravité du risque • Gravité G = I x P 27Anas Abou El Kalam Traitement des risques • Décider du traitement de chacun des risques (MOA &  Direction) : Appréciation des risques Résultat de l’appréciation Choix de traitement des risques Evitement Conservation Le risque est il acceptable ? Acceptation du risque Transfert Réduction Risque résiduel Oui Non 27 28Anas Abou El Kalam Livrables • Tableau des synthèse des  traitements des risques • Mesures de réduction • Risques résiduels • Approbation, Acceptation Menace Scénario de risque concerné Actifs concernés Options de traitement Mesures Accepter Refuser Transférer Réduire I. Incendie Incendie - Postes de travail - Routeurs Mise en œuvre d’un système d’extinction incendie V. Écoute passive Interception de données sur le réseau interne - Réseau interne Coût de mise en œuvre de solutions de chiffrement plus élevé que la perte financière engendrée
  • 8. 20/07/2016 8 29Anas Abou El Kalam Gestion des risques La gestion des risques liés à la Sécurité de l'information consiste à : • Établir le contexte de l'analyse des risques, • Evaluer les risques, • Traiter les risques, • Accepter les risques, • Communiquer sur les risques, • Surveiller et assurer des revues périodiques des risques. ISO 27005 ne fournit pas à proprement parlé de méthode de gestion des risques, … elle permet de bâtir une méthode. 30Anas Abou El Kalam Agenda • Prendre en compte la sécurité,  QUAND ? • Gérer les risques,  COMMENT ? • Méthodologie,  LAQUELLE ? • Certification,  POURQUOI ? • Conclusions  … enfin ... Conception, ... ISO 27005 Mehari, Octave, EBIOS PMSI, ISO 27001 31Anas Abou El Kalam Comparatif des normes L. PayantAlSec. privéAexis2000RA2 BeSec. privéEvosec2002ISAMM L. PayantGBSec. privéC&A2001COBRA L. PayantCaSec. privéCALLIO2001CALLIO L. PayantFrSec. privéAgeris2004SCORE InternatiISO 15408 InternatiISO 13335 Internati* * *ISO 17799 GBGouv* * *BS 7799 L. PayantGBAssoISF*1995SPRINT L. PayantGBGouvSiemens* *1986Cramm L. PayantEUUnivUniv* *1999Octave L. RisicareFrAssoCLUSIF* * *1995Mehari AbandonnéeFrAssoCLUSIF* *1980Marion AbandonnéeFrArm.DGA* *Melisa Log grat.FrGouvDCSSI* * *1995EBIOS EtatOutilsPayssoutienAuteurPopularitéCréationMéthode 32Anas Abou El Kalam  Quoi ? – évaluation quantitative des facteurs de risque propres à chaque situation,  Idées de base ?  Analyse des vulnérabilités  Lien entre vulnérabilité existante & risques encourus  Présence (ou absence) de mesures de sécurité pour réduire » Potentialité de survenance d'un sinistre » Impact sinistre  L'interaction de ces types de mesures concoure à réduire la gravité du risque jusqu'au niveau choisi. MEthode Harmonisée d'Analyse de Risques
  • 9. 20/07/2016 9 33Anas Abou El Kalam  6 facteurs de risque indépendants : – 3 influant sur la potentialité + 3 influant sur son impact  6 types de mesures de sécurité, chacun agissant sur un facteur de risque – Structurelle, • pour faire baisser exposition naturelle • e.g., gestion envrnmt, gestion crises, ... – Dissuasive, • e.g., comm sur sys détection et enrgstrmnt, réglementation et sévérité des sanctions, imputabilité actions tentées ou effectuées – Préventive • e.g., mesures de sécu physique, contrôle d'accès, etc. – Protection, • Détection, contrôle a posteriori, capacité investigation/intervention – palliative • Plan maintenance & secours, formation, ... – Récupération • Assurance, préparation spécifique actions en justice MEthode Harmonisée d'Analyse de Risques 34Anas Abou El Kalam • La démarche générale de MEHARI consiste en • analyse des enjeux de sécurité : quels sont les scénarios redoutés ? • classification préalable des entités du SI en fonction de C I D • Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activité de l'entreprise. • des audits identifient les vulnérabilités du SI • l'analyse des risques proprement dite est enfin réalisée MEthode Harmonisée d'Analyse de Risques 35Anas Abou El Kalam  Phase 1 : plan stratégique de sécurité  définition des métriques des risques & objectifs de sécurité,  établissement d'une politique de sécurité,  établissement d'une charte de management.  Phase 2 : plans opérationnels de sécurité – définir pour chaque site, mesures de sécurité qui doivent être MEV • exprimer les besoins de sécurité • scénarios de compromission • évaluation de chaque risque (probabilité, impact) • mesures de protections nécessaires • planification de la mise à niveau de la sécurité du SI  Phase 3 : plan opérationnel d'entreprise – assure le suivi de la sécurité : • élaboration d'indicateurs sur les risques identifiés • choix des scénarios de catastrophe contre lesquels il faut se prémunir. MEthode Harmonisée d'Analyse de Risques 36Anas Abou El Kalam bases de connaissances permettent d'automatiser certains calculs de gravité des scénarios de risques, liens entre menaces <==> parades... Ses audits permettent la création de plan d'actions concrets Logiciel RISICARE développé par la société BUC SA Livrables types aidés d'un guide méthodologie Support du CLUSIF MEthode Harmonisée d'Analyse de Risques
  • 10. 20/07/2016 10 37Anas Abou El Kalam EBIOS méthode pour l’Expression des Besoins et l’Identification des Objectifs de Sécurité Vue globale 38Anas Abou El Kalam • EBIOS est un outil d'assistance à : • Maîtrise d'ouvrage en foufnissant les justifs ... • périmètre d'étude, expression de besoins, responsabilisation des acteurs… • Prise de décision • descriptions précises, enjeux stratégiques, risques détaillés, impact sur l'organisme, objectifs et exigences de sécurité explicites • EBIOS peut-être appliqué aussi bien sur – systèmes simples (serveur web) // complexes (système distribué gestion concours) – systèmes à concevoir // existants, – SI entiers // sous-systèmes. • aisément adaptable à des contexte particulier • Possibilité de n'employer que des parties de la démarche EBIOS 39Anas Abou El Kalam  Compatibilité avec les normes internationales • ISO 13335 (GMITS) : Lignes directrices relatives à la gestion de la sécurité des SI • ISO 17799 : Code de bonnes pratiques pour la gestion de la sécurité d'information. • ISO 15408 • ISO 27001 • ISO 27005 • ISO 31000  Largement utilisée dans les secteurs public & privé, en France et à l'étranger –UE, Québec, Belgique, Tunisie, Luxembourg…  Diffusion gratuite sur le site de la DCSSI EBIOS : compatibilité 40Anas Abou El Kalam • Les guides – Bases de connaissances : • méthodes d'attaques, vulnérabilités, objectifs et exigences de sécurité – Guides meilleures pratiques, plaquettes, mémento synthétiques ... • Le logiciel libre – Gratuit, disponible sur demande ou en téléchargement • Les traductions – Référentiel disponible gratuitement en français, anglais, allemand et espagnol • Les compétences – Formations au CFSSI pour les agents de l’administration – Formation en ligne sur la gestion des risques – Labellisation de personnes • Le Club EBIOS – 75 experts du secteur public et du secteur privé, français et étrangers EBIOS : outillage et services
  • 11. 20/07/2016 11 41Anas Abou El Kalam EBIOS : Le « Tout Terrain » pour gérer les risques EBIOS ne protège pas des risques, EBIO permet identifier les risques qui pèsent sur le SI estimer leur niveau (gravité, vraisemblance) choisir les mesures nécessaires et suffisantes en termes de prévention, protection, récupération. faire prendre conscience des risques aux décideurs. 42Anas Abou El Kalam  EBIOS n'est pas EBIOS : ce que ne permet pas la méthode catalogue de solutions ou de règles de sécurité prêtes à l’emploi "boite noire" avec une E/S fournir de solutions immédiates et génériques aux problèmes de sécurité Objectifs de sécurité seront déterminées afin de spécifier des mesures de sécurité, mais leur mise en oeuvre sera réalisée à la suite de l'étude. 43Anas Abou El Kalam Démarche EBIOS 44Anas Abou El Kalam Démarche EBIOS Risques = { événements redoutés + scénarios de menaces} Evénements redoutés sources de menaces,  besoins de sécurité  impacts engendrés en cas de non respect de ces besoins Scénarios de menaces sources de menaces menaces vulnérabilités
  • 12. 20/07/2016 12 45Anas Abou El Kalam 1. Etude du contexte – cadre de la gestion des risques, – métriques – périmètre – biens essentiels, – biens supports – ... Ebios : étapes (1/2) 2. Etude des événements redoutés – contribue à l'appréciation des risques. – identifier et estimer besoins de sécurité des biens essentiels (CIA) – impacts (sur missions, personnes, financiers, juridiques, image, … en cas de non respect de ces besoins et les sources de menaces – humaines, environnementales, internes, externes, accidentelles, délibérées… 46Anas Abou El Kalam 3. scénarios de menaces – (Rentre dans le cadre de l'appréciation des risques) – Identifier et estimer les scénarios qui peuvent engendrer les événements redoutés, et ainsi composer des risques. – menaces que les sources de menaces peuvent générer – vulnérabilités exploitables. Ebios : étapes (2/2) 4. Etude des risques – met en évidence les risques pesant sur l'organisme en confrontant • événements redoutés • scénarios de menaces. – décrit comment estimer et évaluer ces risques, – identifier objectifs de sécurité à atteindre pour les traiter. 5. Mesures – (Rentre dans le cadre du traitement des risques) – Spécifier & planifier mesures à MEV, – valider traitement des risques et les risques résiduels 47Anas Abou El Kalam EBIOS vs MEHARI 48Anas Abou El Kalam EBIOS vs MEHARI abordent même sujets sous un angle un peu plus fonctionnel pour EBIOS et plus “managériale” pour MEHARI
  • 13. 20/07/2016 13 49Anas Abou El Kalam Agenda • Prendre en compte la sécurité,  QUAND ? • Gérer les risques,  COMMENT ? • Méthodologie,  LAQUELLE ? • Certification,  POURQUOI ? • Conclusions  … enfin ... Conception, ... ISO 27005 Mehari, Octave, EBIOS PMSI, ISO 27001 Fournir un modèle pour implémenter, exploiter, monitorer, contrôler, maintenir et améliorer un SMSI Les audits de certification évaluent le SMSI, ⇒pas la pertinence de tel ou tel choix technologique… Couverture ? Tout , de la sécurité physique à la sécurité logique … n’impose pas de solutions techniques ! Ex : La norme ne spécifie pas un système de filtrage mais spécifie que : A11.4.7. « Routing controls shall be implemented for networks to ensure that computer connections and information flows do not breach the access control policy of the business applications. » 50 ⇒La norme ISO 27001 est un outil de MANAGEMENT ⇒ON NE REGARDE PAS L'EFFICACITE DES MESURES TECHNIQUES L'ISO 27001 : objectif 0. Introduction - Approche processus 1. Champ d'application (Scope) 2. Références normatives (Normatives references) 3. Termes & définitions (Terms & definitions) 4. SMSI (ISMS) 5. Responsabilité du Management (Management responsibility) 6. Audits internes du SMSI (Internal ISMS audits) 7. Revue du SMSI par le Management (Management review of ISMS) 8. Amélioration du SMSI (ISMS improvement) 51 Les clauses 4 à 8 doivent impérativement être respectées pour prétendre à la certification : aucune dérogation L'ISO 27001 : les clauses Un SMSI Basé sur 4 principes fondamentaux 52
  • 14. 20/07/2016 14 Construire un SGSI : la roue de Deming appliquée à la sécurité Plan : dire ce que l’on va faire Do : faire ce que l’on a dit Check : contrôler ce que l’on a fait Act : corriger et d’améliorer dans le temps PDCA : Plan (Planification) ... Périmètre : Précis & clairement délimité, e.g., processus DSI, processus métier, un/++ sites Politique du SGSI : principes fondamentaux du SGSI & enjeux propres à la société contraintes (e.g., légales), montre l’engagement de la direction générale Analyse des risques : méthode d’analyse des risques doit être choisie : e.g., EBIOS, MEHARI Traitement des risques : Pour chaque risques, une décision doit être prise et acceptée au plus haut niveau Réduit (mesure de séc), transféré, évités (arrêter service), acceptés ... Déclaration d’applicabilité (SOA ou Statement Of Applicability ) : Quels contrôles de sécurité seront mis en oeuvre dans le périmètre du SGSI. A minima, sélectionner (et justifier) parmi contrôles de l’annexe A de ISO27001 Mise en œuvre des contrôles sélectionnés : Contrôles du SOA & mesures identifiées doivent être mis en œuvre selon priorités Sensibilisation & formation : Large : inclus responsables, utilisateurs, tiers, personnes intervenant temporairement .. Procédures de gestion et suivi des incidents : savoir gérer un incident et surtout éviter qu’il ne se reproduise définition critères qualification des incidents, processus d’alertes, mise en place d’une cellule de gestion opérationnelle de la sécurité, analyse des journaux, ... Indicateurs de suivi (tech & org) : doivent donner une vue concrète et fiable de l’efficacité des contrôles mis en oeuvre. ISO 27004 : recommandations sur indicateurs à sélectionner et comment les collecter Exploitation et gestion du SGSI au quotidien : le système doit fonctionner au quotidien afin de garantir la sécurité dans le temps. actions non limitées aux périmètres informatiques ou sécurité, mais touche proc métier PDCA : Do (Déploiement) ... PDCA : Check (contrôle) et Act (Amélioration) ... Contrôle audits internes, d’audits externes, collectes d’informations auprès des collaborateurs et des acteurs externes suivi régulier des résultats Amélioration Réévaluation de l’adéquation du SGSI aux enjeux métier l’approbation du management doivent être effectuées a minima annuellement. suivi des actions identifiées, démonstration de la réalisation des actions correctives… Si certification ==> gestion des traces et des enregistrements doit être réalisée. • Cause des échecs : aspects à long terme, de contrôle et d’amélioration continue. Documents liés : plan de contrôle, traces relatives aux contrôles, traces relatives aux actions d’amélioration, ensemble des décisions d’amélioration prises, approbation régulière du management.
  • 15. 20/07/2016 15 Feuille de route de la mise en place d'un SMSI 1. Définir le périmètre du SMSI à certifier 2. Définir la politique du SMSI (ou les politiques) 3. Identifier les actifs 4. Définir la méthode d'analyse de risques 5. Identifier les risques 6. Mesurer les risques 7. Définir les objectifs de sécurité et décider le mode de traitement des risques 8. identifier mesures pour réduire les risques résiduels accepté par le management 9. Mettre en oeuvre les mesures approuvées 10. Établir l'ensemble de la documentation du SMSI (Manuel Sécurité) 11. Implémenter le SMSI 12. Établir le SOA (statment of applicability) 13. Suivre et revoir le SMSI 14. Maintenir & améliorer le SMSI 58Anas Abou El Kalam Agenda • Prendre en compte la sécurité,  QUAND ? • Gérer les risques,  COMMENT ? • Méthodologie,  LAQUELLE ? • Certification,  POURQUOI ? • Conclusions  … enfin ... PMSI ISO 27005 Mehari, Octave, EBIOS ISO 27001 59Anas Abou El Kalam Tou le monde est concerné ... doit être prise en compte depuis la conception La sécurité est un processus continu, pas une collection de produits et de solutions. Instaurer une vraie politique de management de risques en s'appuyant sur le principe PDCA Facteur humain et des aspects organisationnels doit s'intégrer dans le monde de gestion du SI d’une E/Se – croître en permanence sa performance, – contribuer à son essor, – rentabilité et pérennité de son organisme. Conclusions 60Anas Abou El Kalam Que faire ...
  • 16. 20/07/2016 16 61Anas Abou El Kalam Que faire ... 62Anas Abou El Kalam Que faire ... 63Anas Abou El Kalam Que faire ... 64Anas Abou El Kalam Merci ...  Questions ?  Remarques ?  Commentaires ?  Avis ?
  • 17. 20/07/2016 17 65Anas Abou El Kalam AMAN … www.aman.ma association scientifique et technique, sans but lucratif, apolitique et autonome. rassemblement de la communauté des personnes physiques et morales concernées par les thématiques liées à la confiance numérique : Promouvoir l’innovation et le développement dans le domaine de la Sécurité des Réseaux et Systèmes d'Information (SI). Multiplier les échanges entre les acteurs de la Sécurité des Réseaux et SI notamment les industriels, administrations, et organismes de recherche. Mener une réflexion sur la formation classique et la formation continue en Sécurité des Réseaux et Systèmes au Maroc. Diffuser l'information scientifique par tous les moyens jugés utiles (conférences, journal périodique d'information sur les activités de l'association, revues scientifiques et supports NTIC liés à la sécurité des réseaux et systèmes). 66Anas Abou El Kalam AMAN ... * Organiser des activités socioculturelles pouvant impliquer d'autres associations, et organismes nationaux et internationaux. * Assurer les liens et les échanges avec la communauté scientifique internationale. * Aider au montage de start-up et de projets recherche-industrie dans le domaine de la sécurité des réseaux et systèmes.