Geoffrey Thiesset, profile picture
Téléchargé parGeoffrey Thiesset
1,388 vues

Gouvernance de la Sécurité

Le document aborde la gouvernance de la sécurité au sein des entreprises, en détaillant ses définitions, ses objectifs et les bonnes pratiques associées, notamment l'utilisation des normes ISO 27000. Il décrit également les choix architecturaux et techniques adoptés, tels que l'utilisation de solutions open source pour les systèmes de gestion de la sécurité. Enfin, un bilan des réalisations et des perspectives d'amélioration est proposé, accompagné d'indicateurs de performance.

Intégrer la présentation

Gouvernance de la Sécurité Comité Technique Le 15 Juillet 2010
Sommaire La Gouvernance Qu’est-ce que c’est ? À quoi ça sert ? Que font les autres ? Tourner la roue Mesurer les processus Qu’est-ce que j’ai fait ? Un peu d’architecture Des choix de produits Beaucoup de formalisation À quoi ça ressemble ? Surveiller un pare feu Surveiller les identités et les accès Tout ça pour quoi ?
LA GOUVERNANCE Quoi ? Pourquoi ? La Gouvernance Que font les autres ? Qu’est-ce que j’ai fait ? À quoi ça ressemble ? Tout ça pour quoi ?
La Gouvernance Qu’est-ce que c’est ? C’est l’ensemble des processus, réglementations, lois et institutions influant la manière dont l’entreprise est dirigée, administrée, contrôlée.
La Gouvernance A quoi ça sert ? Assurer le ROI : Aide à la décision Suivi des plans d’action Assurer le : Chiffre d’affaire Fidélité Image de marque Recherche & Développement Assurer la : Confidentialité Intégrité Disponibilité Preuve Objectifs Business Objectifs Sécurité
QUE FONT LES AUTRES ? Les bonnes pratiques La Gouvernance Que font les autres ? Qu’est-ce que j’ai fait ? À quoi ça ressemble ? Tout ça pour quoi ?
Que font les autres ? Tourner la roue ISO 27001 : Mise en place d’un SMSI
Que font les autres ? Mesurer les processus ISO 27004 : Mesurage Critères de décision Décisions
QU’EST-CE QUE J’AI FAIT ? « Dis Cortex, qu’est-ce qu’on fait ce soir ? » La Gouvernance Que font les autres ? Qu’est-ce que j’ai fait ? À quoi ça ressemble ? Tout ça pour quoi ?
Qu’est-ce que j’ai fait ? Un peu d’architecture (1/2)
Qu’est-ce que j’ai fait ? Un peu d’architecture (2/2) Authentification
Qu’est-ce que j’ai fait ? Des choix de produits (1/2) Entièrement OpenSource Plusieurs modules : Analyseur de log Corrélateur Sondes tierces (Snort) Module de présentation intégré
Qu’est-ce que j’ai fait ? Des choix de produits (2/2) Entièrement OpenSource Basé sur un serveur applicatif Utilise d’autres moteurs OpenSource Gestion de profils d’utilisateurs Utilisation de paramètres Déjà utilisé chez Arismore
Qu’est-ce que j’ai fait ? Beaucoup de formalisation (0/6) Hiérarchie des vues
Qu’est-ce que j’ai fait ? Beaucoup de formalisation (1/6) La vue Globale
Qu’est-ce que j’ai fait ? Beaucoup de formalisation (2/6) La vue Tableau de Bord Résumé Détail des indicateurs
Qu’est-ce que j’ai fait ? Beaucoup de formalisation (3/6) La vue Indicateur Résumé Détail de la note
Qu’est-ce que j’ai fait ? Beaucoup de formalisation (4/6) La vue Indicateur Historique
Qu’est-ce que j’ai fait ? Beaucoup de formalisation (5/6) Aide à la décision
Qu’est-ce que j’ai fait ? Beaucoup de formalisation (6/6) Suivi des plans d’action
A QUOI ÇA RESSEMBLE ? Et concrètement… La Gouvernance Que font les autres ? Qu’est-ce que j’ai fait ? À quoi ça ressemble ? Tout ça pour quoi ?
A quoi ça ressemble ? Démonstration
TOUT ÇA POUR QUOI ? A l’heure du bilan… La Gouvernance Que font les autres ? Qu’est-ce que j’ai fait ? À quoi ça ressemble ? Tout ça pour quoi ?
Tout ça pourquoi ? Bilan du stage Définition et impacts de la Gouvernance de la Sécurité Résumé des normes ISO2700x ROI et représentation de la valorisation Tableaux de bord et indicateurs Univers technique Documentation associée
Tout ça pourquoi ? La suite… Points perfectibles Structure de la Base de Données Serveur applicatif Ergonomie des rapports Pour plus d’informations État de l’Art Spécifications fonctionnelles Spécifications techniques Synthèse Rapport de stage https://svn.arismore.fr/svn/DET/SECU/90_stages/2010_01_Gouvernance%20de%20la%20securite/90_Livraisons/
Des questions ?

Contenu connexe

PDF
ISO 27001
parMELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
PDF
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
parEric Clairvoyant, Adm.A.,T.P., CRISC
 
PPTX
Sécurité des systèmes d'informations
parEmna Tfifha
 
PDF
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
parBachir Benyammi
 
PPTX
Sécurité de l'IoT | Internet des objets - Formation d'une journée
parTactika inc.
 
PDF
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
PPTX
Sécurité des Systèmes d'Information et de l'Information
parShema Labidi
 
PPT
Analyse de risques en cybersécurité industrielle
parPatrice Bock
 
ISO 27001
parMELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
parEric Clairvoyant, Adm.A.,T.P., CRISC
 
Sécurité des systèmes d'informations
parEmna Tfifha
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
parBachir Benyammi
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
parTactika inc.
 
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
Sécurité des Systèmes d'Information et de l'Information
parShema Labidi
 
Analyse de risques en cybersécurité industrielle
parPatrice Bock
 

Tendances

PDF
Guide iso 20000
parORSYP France
 
PPS
Audit Informatique
paretienne
 
PDF
La sécurité et le Cloud Computing
parTactika inc.
 
PDF
Le Management de la sécurité des SI
parDIALLO Boubacar
 
PPT
Cours CyberSécurité - Concepts Clés
parFranck Franchin
 
PPTX
Processus Audit SI
parArsène Ngato
 
PDF
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
parhpfumtchum
 
PDF
la sécurité de l'information (extrait de presentation)
parDiane de Haan
 
PDF
Gouvernance de la sécurite des Systèmes d'Information Volet-1
parPRONETIS
 
PDF
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
PDF
Tests & recette - Les fondamentaux
parCOMPETENSIS
 
PPTX
METHODE OCTAVE
pardazaiazouze
 
PDF
Iso27001
parArsene Allogo
 
PDF
SMSI.pdf
parHajarSalimi
 
PDF
Cours Préparation à l’ISO 27001 version 2022.pdf
parssuserc72852
 
PDF
Presentation iso27002
parsoumaila Doumbia
 
PPTX
Audit de sécurité informatique
parMohamed Ali Hadhri
 
PDF
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
parDanny Batomen Yanga
 
PDF
ISO 27001
parPhilippe CELLIER
 
PPT
Mission d'audit des Systéme d'information
parAymen Foudhaili
 
Guide iso 20000
parORSYP France
 
Audit Informatique
paretienne
 
La sécurité et le Cloud Computing
parTactika inc.
 
Le Management de la sécurité des SI
parDIALLO Boubacar
 
Cours CyberSécurité - Concepts Clés
parFranck Franchin
 
Processus Audit SI
parArsène Ngato
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
parhpfumtchum
 
la sécurité de l'information (extrait de presentation)
parDiane de Haan
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
parPRONETIS
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
Tests & recette - Les fondamentaux
parCOMPETENSIS
 
METHODE OCTAVE
pardazaiazouze
 
Iso27001
parArsene Allogo
 
SMSI.pdf
parHajarSalimi
 
Cours Préparation à l’ISO 27001 version 2022.pdf
parssuserc72852
 
Presentation iso27002
parsoumaila Doumbia
 
Audit de sécurité informatique
parMohamed Ali Hadhri
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
parDanny Batomen Yanga
 
ISO 27001
parPhilippe CELLIER
 
Mission d'audit des Systéme d'information
parAymen Foudhaili
 

Similaire à Gouvernance de la Sécurité

PDF
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
parMansouri Khalifa
 
PDF
L'entreprise face à ses enjeux et risques numériques
parAntoine Vigneron
 
PDF
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
parpolenumerique33
 
PPTX
Cobit, se4
parAlamisalma
 
PDF
La sécurité de l’information et les auditeurs internes
parISACA Chapitre de Québec
 
PDF
Livre blanc Guide d'évaluation SAP
parAntoine Vigneron
 
PPTX
La Gouvernance IT
parNicolas PIGNAL
 
PPTX
516492_2-7Cours_Pilote_Gouvernance_SI-UTM-Oct-2018 (1).pptx
parWassimMansour5
 
PDF
#NSD16 - rex-audit coté startup - Youen Chéné
parNetSecure Day
 
PPT
La mise en œuvre de la gouvernance du SI au Ministère des Affaires Étrangères
parpeguet
 
PDF
0. GOUVERNANCE SI 2.pdf présentation du management de système d’information
parsalimguizani0
 
PDF
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
parlesurfeur1
 
PDF
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
paroumaima82
 
PDF
Guide audit du SI - 2nd édition 2019
parCHARLES Frédéric
 
PPT
Gouvernance et Gestion des TI
parArsène Ngato
 
PDF
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
parISACA Chapitre de Québec
 
PDF
audit_chapitre_2 audit_chapitre_2 audit_chapitre_2
paramar719595
 
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
parMansouri Khalifa
 
L'entreprise face à ses enjeux et risques numériques
parAntoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
parpolenumerique33
 
Cobit, se4
parAlamisalma
 
La sécurité de l’information et les auditeurs internes
parISACA Chapitre de Québec
 
Livre blanc Guide d'évaluation SAP
parAntoine Vigneron
 
La Gouvernance IT
parNicolas PIGNAL
 
516492_2-7Cours_Pilote_Gouvernance_SI-UTM-Oct-2018 (1).pptx
parWassimMansour5
 
#NSD16 - rex-audit coté startup - Youen Chéné
parNetSecure Day
 
La mise en œuvre de la gouvernance du SI au Ministère des Affaires Étrangères
parpeguet
 
0. GOUVERNANCE SI 2.pdf présentation du management de système d’information
parsalimguizani0
 
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
parlesurfeur1
 
2019-Guide-Audit-Gouvernance-Systeme-Information-Entreprise-Numerique-2eme-ed...
paroumaima82
 
Guide audit du SI - 2nd édition 2019
parCHARLES Frédéric
 
Gouvernance et Gestion des TI
parArsène Ngato
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
parISACA Chapitre de Québec
 
audit_chapitre_2 audit_chapitre_2 audit_chapitre_2
paramar719595
 

Gouvernance de la Sécurité

  • 1.
    Gouvernance de laSécurité Comité Technique Le 15 Juillet 2010
  • 2.
    Sommaire La GouvernanceQu’est-ce que c’est ? À quoi ça sert ? Que font les autres ? Tourner la roue Mesurer les processus Qu’est-ce que j’ai fait ? Un peu d’architecture Des choix de produits Beaucoup de formalisation À quoi ça ressemble ? Surveiller un pare feu Surveiller les identités et les accès Tout ça pour quoi ?
  • 3.
    LA GOUVERNANCE Quoi? Pourquoi ? La Gouvernance Que font les autres ? Qu’est-ce que j’ai fait ? À quoi ça ressemble ? Tout ça pour quoi ?
  • 4.
    La Gouvernance Qu’est-ceque c’est ? C’est l’ensemble des processus, réglementations, lois et institutions influant la manière dont l’entreprise est dirigée, administrée, contrôlée.
  • 5.
    La Gouvernance Aquoi ça sert ? Assurer le ROI : Aide à la décision Suivi des plans d’action Assurer le : Chiffre d’affaire Fidélité Image de marque Recherche & Développement Assurer la : Confidentialité Intégrité Disponibilité Preuve Objectifs Business Objectifs Sécurité
  • 6.
    QUE FONT LESAUTRES ? Les bonnes pratiques La Gouvernance Que font les autres ? Qu’est-ce que j’ai fait ? À quoi ça ressemble ? Tout ça pour quoi ?
  • 7.
    Que font lesautres ? Tourner la roue ISO 27001 : Mise en place d’un SMSI
  • 8.
    Que font lesautres ? Mesurer les processus ISO 27004 : Mesurage Critères de décision Décisions
  • 9.
    QU’EST-CE QUE J’AIFAIT ? « Dis Cortex, qu’est-ce qu’on fait ce soir ? » La Gouvernance Que font les autres ? Qu’est-ce que j’ai fait ? À quoi ça ressemble ? Tout ça pour quoi ?
  • 10.
    Qu’est-ce que j’aifait ? Un peu d’architecture (1/2)
  • 11.
    Qu’est-ce que j’aifait ? Un peu d’architecture (2/2) Authentification
  • 12.
    Qu’est-ce que j’aifait ? Des choix de produits (1/2) Entièrement OpenSource Plusieurs modules : Analyseur de log Corrélateur Sondes tierces (Snort) Module de présentation intégré
  • 13.
    Qu’est-ce que j’aifait ? Des choix de produits (2/2) Entièrement OpenSource Basé sur un serveur applicatif Utilise d’autres moteurs OpenSource Gestion de profils d’utilisateurs Utilisation de paramètres Déjà utilisé chez Arismore
  • 14.
    Qu’est-ce que j’aifait ? Beaucoup de formalisation (0/6) Hiérarchie des vues
  • 15.
    Qu’est-ce que j’aifait ? Beaucoup de formalisation (1/6) La vue Globale
  • 16.
    Qu’est-ce que j’aifait ? Beaucoup de formalisation (2/6) La vue Tableau de Bord Résumé Détail des indicateurs
  • 17.
    Qu’est-ce que j’aifait ? Beaucoup de formalisation (3/6) La vue Indicateur Résumé Détail de la note
  • 18.
    Qu’est-ce que j’aifait ? Beaucoup de formalisation (4/6) La vue Indicateur Historique
  • 19.
    Qu’est-ce que j’aifait ? Beaucoup de formalisation (5/6) Aide à la décision
  • 20.
    Qu’est-ce que j’aifait ? Beaucoup de formalisation (6/6) Suivi des plans d’action
  • 21.
    A QUOI ÇARESSEMBLE ? Et concrètement… La Gouvernance Que font les autres ? Qu’est-ce que j’ai fait ? À quoi ça ressemble ? Tout ça pour quoi ?
  • 22.
    A quoi çaressemble ? Démonstration
  • 23.
    TOUT ÇA POURQUOI ? A l’heure du bilan… La Gouvernance Que font les autres ? Qu’est-ce que j’ai fait ? À quoi ça ressemble ? Tout ça pour quoi ?
  • 24.
    Tout ça pourquoi? Bilan du stage Définition et impacts de la Gouvernance de la Sécurité Résumé des normes ISO2700x ROI et représentation de la valorisation Tableaux de bord et indicateurs Univers technique Documentation associée
  • 25.
    Tout ça pourquoi? La suite… Points perfectibles Structure de la Base de Données Serveur applicatif Ergonomie des rapports Pour plus d’informations État de l’Art Spécifications fonctionnelles Spécifications techniques Synthèse Rapport de stage https://svn.arismore.fr/svn/DET/SECU/90_stages/2010_01_Gouvernance%20de%20la%20securite/90_Livraisons/
  • 26.

Notes de l'éditeur

  • #2 0-2 Transition avec la première partie Présentation personnelle (école/sujet) Présentation sujet Réseaux décloisonnés Interconnexion via des réseaux publics (Internet par exemple) Nécessité de surveiller les flux et non plus les seules ressources Nécessiter de globaliser cette surveillance  Gouvernance de la Sécurité des Systèmes d’Information On reviendra sur ce qu’est la Gouvernance plus tard.
  • #3 2-3 Un plan classique en 4 parties : À quoi ça sert ? Sur quoi je me suis basé ? Qu’est-ce que j’ai mis en place ? Qu’est-ce que ça donne ?  Conclusion générale sur le sujet et sur le stage
  • #4 3-4
  • #5 4-8 Pour ceux qui veulent briller en société : Du grec kubernan (piloter, diriger) Du latin gubernare (tenir le gouvernail) Passé en anglais au XIVè siècle puis revenu en français dans les 90’s Attention à la manière dont le processus est mis en place. Exemple : Mise en place du socle (infra et standards), de la couche légale, des couches développement et économique, de la couche sociale (bancale) et enfin une surcouche de Gouvernance. Une politique de Gouvernance prend en compte l’ensemble des acteurs pendant toutes les phases de la vie de la société. C’est un processus cyclique qui met les objectifs DSI en adéquation avec les objectifs Business.
  • #6 8-12 Objectif principal : il faut que ça rapporte de l’argent Auparavant : investissement en matière de sécurité  contrainte, coût Maintenant : ça rapporte. Il faut cibler les dépenses prioritaires, celles qui permettront de créer de la valeur (les quickwin seront appréciés) Il faut mettre en place les outils d’aide à la décision (où investir ?) et du suivi de ces décisions pour pouvoir suivre le ROI Objectifs Business Pour les managers. Exemple : Je veux un taux de fidélisation de mes clients de 50% et un taux d’attractivité de nouveaux clients de 30% Objectifs DSI Pour les responsables SI, plus parlant Exemple : Outre la politique de princing attrayante, pour assurer les objectifs en fidélisation et attractivité, il faut assurer les objectifs de Disponibilité (>99.99…%), Confidentialité et Intégrité (Bonne image de l’entreprise)
  • #7 12-13 Avantages : Structurer la gestion du SI, Aider le management, Aider les exploitants, … Inconvénients : Profonde modification des processus (Conduite du changement), … Avant de commencer un nouveau projet, considérons comment les voisins font chez eux. Plusieurs aspects : Bonnes pratiques : ITIL (  Opérationnel), COBIT, … Normes : ISO2700x (Plus high level, avec des références à ITIL)  ITIL et ISO27001 sont complémentaires. Les normes traduisent la maturité d’une méthode. Deux intéressantes : 27001 et 27004
  • #8 13-18 ISO27001 : La référence. Les exigences d’un SMSI (Système de Management de la Sécurité de l’Information)  Roue de Deming Publiée en 2005. Aboutissement de la norme BS7799-2 Planifier-Déployer-Contrôler-Agir  Ce cycle doit être effectué de manière constante, afin de permettre l’adéquation entre la politique globale de l’entreprise et la réalité du Système d’Information. Un cycle = 1 an ou 1 an et demi. Capitalisation pour éviter les retours en arrière. Plan : Définir le périmètre (domaine d’application du SMSI) et la politique (niveau de sécurité à appliquer à l’intérieur du périmètre) Evaluer les risques (Physiques, Humains, Matériels, Logiciels, Documents, Immatériel). Identifier les responsables, les vulnérabilités, les menaces, les impacts, la vraisemblance et enfin évaluer le niveau de risque Traiter les risques : Accepter (je suis d’accord pour que ça arrive), Éviter (faire en sorte que ça ne m’arrive pas), Transférer (transférer les impacts  Assurance), Réduire (Diminuer les impacts) Sélectionner les mesures à mettre en place pour réduire le risque. 133 sont disponibles dans la norme Do : Définir l’ordre dans lequel doivent être appliquées les mesures Plan de traitement des risques : Pour chaque mesure, définir les actions à entreprendre, les moyens nécessaires et les responsabilités et priorités. Identifier les quickwin Déployer les mesures de sécurité Générer les indicateurs pour traduire le bon fonctionnement. Indicateurs de performance et de conformité  Aucune indication sur ce qu’il faut faire. Former et sensibiliser le personnel Check : Vérifier le bon fonctionnement et l’impact des mesures Audits internes, planifiés Contrôles internes, inopinés Revues, plus globales Act : Corriger les écarts Mesures correctives : corriger l’écart et la source de l’écart Mesures préventives : éviter qu’un incident ne se produise Mesures d’amélioration : améliorer l’efficacité du SMSI. On ne corrige pas un écart et on n’effectue aucune action préventive
  • #9 18-23 Publiée en décembre 2009. Elle formalise les indicateurs à implémenter dans la phase Do du SMSI (ISO27001) Isoler les processus inefficaces et ainsi prioriser les actions à effectuer. Processus métier à mesurer : au niveau opérationnel, i.e. les ressources (ex : les pare feu) Méthode de mesure : séquence logique d’opérations (par exemple une somme d’événements, un délai, …) permettant de quantifier un attribut dans le respect d’une échelle prédéfinie Mesure brute : la plus simple qui peut être obtenue. Obtenue en appliquant une méthode de mesure sur un attribut de la ressource à mesurer. Un ou plusieurs attributs. Un attribut pour une ou plusieurs mesures de base Fonction de retr aitement : fonction de calcul permettant la combinaison de mesures de bases pour créer une mesure dérivée  Mesure dérivée : agrégation de deux ou plus mesures de base. L’échelle et l’unité de la mesure dérivée dépend des échelles et unités des mesures de base combinés par la fonction de retraitement Indicateur : mesure qui permet une évaluation ou une estimation à partir d’un modèle analytique en fonction des besoins d’information. Le modèle analytique est appliqué à une ou plusieurs mesures (de base ou dérivée). Un indicateur est fonction de l’échelle et de l’unité des mesures utilisées pour le construire Critère de décision : Seuil, cible ou modèle permettant de définir une action à effectuer ou de nouvelles mesures à effectuer. Ils permettent d’aider à l’interprétation de la mesure. Résultats de mesure : Interprétation de l’indicateur. Format et aide à l’interprétation adapté au client Critère d’efficacité : permettre d’améliorer le processus métier qui a été mesuré
  • #10 23-24 État de l’Art  On sait quoi faire et on sait comment le faire Réalisation en deux étapes : Mise en place d’un SIEM Mise en place d’un outil de Business Intelligence  Mise en place des indicateurs et des tableaux de bord
  • #11 24-28 Chaque indicateur a besoin d’un processus associé afin de permettre l’extraction des données, le calcul des notes et la mise à disposition des tableaux de bord. Ici, processus générique. Données opérationnelles : différents types (BDD, Fichiers de conf, Fichiers Excel, fichiers plats, données externes, …). Les indicateurs doivent accéder et agréger ces données pour les exploiter. Processus ETL : transformer et charger les données dans le Datawarehouse Extraire : Centraliser dans un même entrepôt l’ensemble des données à utiliser. Il s’agit d’une copie conforme des données de production, dans leur mise en forme actuelle Transformer : Purifier les données de production. Elles sont regroupées, triées, mises au bon format et comptées afin de permettre de calculer la note grâce à la formule définie. Charger : Les données sont copiées avec les notes dans la base de données de l’outil de BI. Lors de chaque exécution du processus, les données sont stockées afin de permettre d’éditer les tableaux de bord pour n’importe quelle période. Auditer : Le responsable de l’indicateur doit vérifier en fin de processus que les données ont bien été chargées et que les notes calculées sont cohérentes. C’est lors de cette phase d’audit que le responsable peut également commenter le résultat et ainsi prévenir sa chaîne hiérarchique que l’indicateur de la période est prêt. Données de Reporting : Une fois les données chargées, celles-ci peuvent être utilisées par l’outil de BI. Chaque indicateur prend la période en paramètre et le moteur graphique se charge d’incorporer les nouvelles données au template de présentation des rapports. Utilisateur final : il se connecte à l’outil de BI et en fonction de son profil utilisateur peut afficher certains tableaux de bord
  • #12 28-32 Architecture technique globale (SIEM+BI) Utilisateurs connectés depuis un poste de travail et un navigateur. Le profil détermine les droits Servlet BI : couche présentation (après le DW) Serveur : Utilise la BDD du SIEM et le moteur de rapport pour Agréger/Mettre en forme/Personnaliser/Afficher les données. Extraire les données de la BDD du SIEM pour générer un rapport en utilisant le moteur de rapport selon les souhaits exprimés par l’utilisateur. Moteur graphique : Chargé de l’affichage. Il combine et met en forme à partir d’un template xml. Base de données : Contient les droits des utilisateurs ainsi que les liens entre les rapports. Permet la gestion des paramètres. Ressources : ensemble des équipements réseau et logiciels émettant des informations à remonter vers le SIEM. Agent potentiellement sur une autre machine du réseau (interconnexion stage Fédération) SIEM : Système de Collecte Collecteur : Intermédiaire entre les cibles et le serveur central. Regroupe l’ensemble des évènements générés par les ressources et effectue des prétraitements avant de les transmettre au serveur central ou ils seront agrégés et corrélés. Serveur : Intelligence du traitement. Il traite les événements remontés par le collecteur. Il centralise/agrége (plus de doublons)/Filtre/ corr èle(vague d’événements) et priorise. Base de données : Garantit la conservation et la persistance des évènements bruts en provenance du collecteur ainsi que les évènements traités par le serveur central.
  • #13 32-33 Ceci est un slide fusible.
  • #14 33-34 Ceci est un slide fusible.
  • #15 34-36 Les indicateurs vont chercher leur source sur les mêmes équipements. En revanche, la mise en forme, la mise à disposition ou encore l’agrégation peuvent varier. Ici, les données sont à titre d’exemple. Ne pas faire attention à leur éventuel manque de cohérence. Vue Stratégique : Contient l’ensemble des tableaux de bord agrégés dans une vue globale afin de considérer en un seul rapport l’état du SI. Le manager peut alors naviguer dans les différents tableaux de bord et consulter les indicateurs comme peut le faire un utilisateur de la vue exploitant Vue Exploitant : Contient les différents indicateurs auxquels peut accéder l’utilisateur
  • #16 36-40 Agrège l’ensemble des informations de tous les tableaux de bord disponibles. Pour le manager, elle permet en un seul coup d’œil de se rendre compte de l’état du SI. Différentes informations : - Intitulé  : nom du tableau de bord ; - Note A-1  : note de ce même tableau de bord lors de la même période de l’année précédente ; - Note mois précédent  : note de ce même tableau de bord sur la période précédente ; - Note mois en cours  : note actuelle du tableau de bord ; - Variation  : évolution de la note du tableau de bord par rapport à la période précédente ; - Statut  : comparaison de la note du tableau de bord par rapport aux objectifs ; - Commentaire (variation)  : commentaire du responsable du tableau de bord sur la note actuelle du tableau de bord ; - Prévision  : tentative de prédiction de l’évolution de la note sur la période suivante ; - IC  : indice de confiance sur l’évolution de la note ; Commentaire (prévision)  : commentaire du responsable du tableau de bord sur la prévision pour la période suivante.  Toutes les informations concernant l’état du SI doivent être immédiatement consultables.
  • #17 40-41 Un tableau de bord est un ensemble d’indicateurs d’une même famille. Deux parties : Résumé : données qui résument l’état du TdB. Ces données sont reportées sur la vue globale Détail des indicateurs : le détail des indicateurs qui composent ce tableau de bord, présenté de la même manière que la vue globale Permet d’avoir en un seul coup d’œil le détail des TdB comme : Efficacité de l’Assistance Informatique Maîtrise des Identités et des Accès au SI Sensibilisation du personnel aux problématiques de la sécurité, …
  • #18 41-42 Le plus bas niveau d’information. Deux parties également : Résumé, reporté sur la vue tableau de Bord correspondante Détail : détail du calcul de la note. Cela dépend de l’indicateur.
  • #19 42-44 Historique important. Corrélations à faire : Mois précédent Même mois de l’année précédente On doit pouvoir retrouver les notes d’une période précédente. En plus : Détail spécifiques à un indicateur. Exemple : répartition des règles sur un FW (conformes ou non). Ce sont des informations nécessaires à la compréhension de l’indicateur
  • #20 44-46 Décision en matière de sécurité : génération de profits ou de pertes. Calculer le ROSI : plusieurs méthodes Avant l’investissement : Aide à la Décision. Dans le cadre de la Gouvernance du SI, une décision « lucrative » en matière de sécurité est une décision qui aura un impact positif sur les composantes de Confidentialité, Intégrité, Disponibilité et Preuve des données. L’impact financier de mise en œuvre de la décision doit être inférieur. Impacts positifs et négatifs représentés. Exemple : Ainsi, sur ces schémas, sont représentés les impacts négatifs (les coûts) et les impacts positifs (les gains). Dans l’exemple, on peut lire qu’effectuer un audit des règles sur les pare feu va entraîner : 1- Des coûts liés aux prestataires extérieurs qui vont effectuer l’audit : 2- Des gains sur l’attractivité ou l’image de marque (l’entreprise a renforcé sa sécurité, c’est donc une plus-value par rapport à ses concurrents), à la fidélité (moins d’attaques donc moins d’interruptions de service donc une meilleure satisfaction client) et au chiffre d’affaire (qui augmente logiquement).
  • #21 46-48 Une fois l’investissement lancé. Il faut suivre son évolution. Un manager doit pouvoir suivre les impacts d’une décision en temps réel (ou du moins à brève échéance) et pouvoir les comparer rapidement aux objectifs prévisionnels établis lors de la prise de décision. Exemple : Ainsi, sur ce schéma, sont également représentés les impacts négatifs (les coûts) et les impacts positifs (les gains). Dans l’exemple, on peut lire que le processus « harmonisation des règles sur les pare feu » : 1- N’a pas dépassé le budget initialement prévu, mais que celui-ci est atteint pour la catégorie Prestations ; 2- N’a pas atteint les objectifs initialement prévus en terme de Confidentialité et d’Intégrité, ou si on se place dans la vue métiers en terme de Chiffre d’Affaire et de Recherche. Dans ce cas, il est possible que le processus soit toujours en cours et que ces objectifs seront atteints dans un délai plus grand, ou que les objectifs de départ aient été ambitieux et que les objectifs ne soient pas tenus. Quantification : appréciation du responsable en fonction de ce qui est automatiquement calculé par les TdB
  • #22 48-48 Beaucoup de blabla, passons aux faits.
  • #23 48-58 Lien hypertexte sur l’image SpagoBI A montrer : Lien stage FedeID Bout en bout Indicateur 20 complet
  • #24 58-58
  • #25 58-59
  • #26 59-60
  • #27 60