Le document présente l'importance de la sécurité de l'information dans le cadre de l'entreprise, en soulignant que l'information est un actif précieux qui nécessite une gestion adaptée pour éviter les pertes. Il met également en avant les enjeux de stratégie, de politiques de sécurité, ainsi que les processus d'analyse et de gestion des risques à privilégier. Enfin, il insiste sur le rôle crucial du facteur humain et la nécessité d'une sensibilisation au sein des organisations pour garantir l'efficacité des mesures de sécurité mises en place.

1. Cette action est financée par : Sécurité de l'information : politiques et stratégies du calcul du risque à l'opportunité organisationnelle CLUB QUALITE

2. Créé à l'initiative du Conseil Général de la Drôme, des Chambres Consulaires de la Drôme et du CRITT Drôme-Ardèche Centre de ressources, d'échanges et de soutien aux projets de développement territorial des TIC Espace de prospective et de mutualisation à destination des entreprises, collectivités et associations Favoriser l'appropriation des technologies de l'information par tous LE PÔLE NUMERIQUE

3. Les enjeux de la sécurité

4. Si l'information à une valeur intrinsèque, c'est dans son échange et son partage qu'elle développe cette valeur L'information acquiert de la valeur quand elle aide les collaborateurs à agir plus efficacement lorsqu'ils cherchent à réaliser les objectifs assignés par l'entreprise L'information est le sang de l'entreprise VALEUR DE L'INFORMATION 1

5. Formes de la valeur de l'information Connaissance de l'environnement économique de l'entreprise (clients, fournisseurs, concurrents, partenaires ...) Base de données de l'entreprise Connaissances et savoirs du personnels : capital humain Les brevets, les méthodes ... VALEUR DE L'INFORMATION Difficilement estimable de manière comptable, la perte ou le vol d'information peuvent affaiblir considérablement une entreprise 2

6. QUELQUES CHIFFRES 15% Information sensible 5% Information stratégique 80% information divulguable 80 % de l'effort en matière de sécurité (budget, ressources) doît être consacré à sécuriser les 20 % de données qui contiennent 80 % de l'information stratégique de l'entreprise

7. QUELLES MENACES ? Causes de perte de données les plus fréquentes en entreprise Source : observatoire des usages TIC – ENE 2008 20 % externe – 80% interne dont 80% négligence et 20% intentionnel

8. Impact d'un dysfonctionnement de son SI : Quelle est la quantité maximale d'informations qui peut-être perdue sans compromettre l'activité de l'entreprise ? Quel est le délai maximum de reprise d'activité acceptable sans menacer le fonctionnement de la société ? QUEL IMPACT ?

9. Comprendre et gérer les risques Organiser un projet de sécurité S'appuyer sur des normes et des méthodes Identifier les coûts et les gains SECURITE & MANAGEMENT La sécurité : 80% d'organisation - 20% de technologie

10. Politique de sécurité les grands principes

11. Garantir la continuité de l'activité de l'entreprise Répondre aux exigences clients en matière de sécurité Faciliter l'accès au marché de l'assurance Limiter la judiciarisation (charte des droits et devoirs des salariés …) Préserver la notoriété de l'entreprise LES OBJECTIFS

12. La SSI repose sur trois finalités : L'intégrité du SI : s'assurer du bon fonctionnement, de l'exactitude des données et de leur intégrité La confidentialité du SI : s'assurer que seules les personnes autorisées ont accès aux données La disponibilité du SI : s'assurer que les ressources (ordinateurs, réseaux, périphériques, applications) sont accessibles au moment voulu par les personnes autorisées FINALITE L'information de l'entreprise est un actif comme les autres

13. LES ACTIFS INFORMATIONNELS Actifs d'informations: Fichiers de données, bases de données, procédures et manuels utilisateurs, archives ... Actifs physiques: Serveurs informatiques, PC, portables, matériels de communication, PABX, unités de climatisation ... Actifs applicatifs: Progiciels, logiciels spécifiques, systèmes d'exploitation, outils de développement, utilitaires ... Actifs liés à la fourniture de servcies: Services informatique et de communication, services généraux (alimentation électricité ...)

14. SMSI - Système de Management de la Sécurité de l'Information Éléments documentaires (politiques, description objectifs ...) Description de la méthode d'analyse des risques utilisée Les processus impliqués dans la mise en œuvre Les responsabilités relatives à la sécurité de l'information Ressources nécessaires à la mise en œuvre Les activités relatives à la sécurité de l'information Les enregistrements issus des activités relatives à la sécurité de l'information Les relevés de mesures prises sur les processus Les actions relatives à l'amélioration de la sécurité de l'information Ensemble d'éléments permettant d'établir une politique et des objectifs en matière de sécurité de l'information, d'appliquer cette politique, d'atteindre les objectifs et d'en contrôler l'efficacité

15. Processus cyclique en 4 étapes : Recenser les opérations critiques, essentiels à la survie de l'entreprise : Bilan d'Impact sur les Activités (BIA) Choix de stratégies permettant le maintien de l'exécution des opérations critiques Mise en œuvre de la réponse : plan de continuité d'activité, plan de secours techniques, plan de gestion de crise Tester, auditer et maintenir GESTION DE CONTINUITE D'ACTIVITE

16. Définition des exigences de l'entreprise en fonctions des risques et menaces - durée d'indisponibilité par activité - processus prioritaire à redémarrer - moyens existants Conception des solutions de prévention et du plan de secours Mise en œuvre des mesures retenues et l'organisation d'un plan de crise Processus de maintien du plan en conditions opérationnelles PLAN DE REPRISE D'ACTIVITE

17. Analyse et Gestion des risques

18. CLASSIFICATION DES RISQUES Fraude des employés Imconpétence Grêves Absences Indisponibilité des systèmes Erreurs de programmation Faille de sécurité Risque politique Absence de respect de la réglementation Attaques externes Catastrophes naturelles Défaillance de sous-traitants Erreurs manuelles Processus clés non maîtrisé Personnes Systèmes Eléments externes Processus Risque opérationnel

19. AXES D'ANALYSE DES RISQUES Impact métier Probabilité de réalisation Criticité pour le SI Détectabilité

20. GESTION DU RISQUE Évitement ou contournement Transfert Réduction Acceptation Risque Ex : ne pas faire l'activité à risque Ex : assurances Ex : mesure de sécurité Insupportable - Inacceptable - Tolérable - Insignifiant

21. METHODES D'ANALYSE Méthode quantitative Méthode qualitative Méthode avec base de connaissances Méhari - Risicare oui oui oui Octave (PME) oui oui CRAM VS oui oui Buddy Systems oui Cobra (ISO 17799) oui

22. ISO 27000 séries de normes ISO 17799 Code de bonnes pratiques ISO 13335 TR (rapports techniques) Guide de la sécurité ISO 15408 Critère d'évaluation des risques ... SECURITE & NORMES ISO Les limites : Faible prise en compte du contexte de l'entreprise Périodicité de mise à jour vs évolution de l'informatique

23. Gestion opérationnelle

24. Une politique de sécurité ne repose pas uniquement sur des solutions matérielles. L'humain est un facteur déterminant dans la mise en place et le respect d'une telle politique RSSI ≠ DSI LE FACTEUR HUMAIN

25. Une organisation dans l'entreprise Des processus et des ressources associées Des contrôles et une méthode d'organisation Des processus de révision : corriger les non-conformités, analyse et mise en œuvre des axes d'amélioration SYSTEME DE MANAGEMENT => Méthode Plan Do Check Act

26. Décliné en trois niveaux : Opérationnel : indicateurs de disponibilités et de mise à niveau des services Pilotage : avancement de la mise en œuvre Décisionnel : vision synthétique pour la direction TABLEAUX DE BORD

27. Intégrer la protection du SI dans la communication globale de l'entreprise Sensibiliser, informer, impliquer et responsabiliser le personnel à tous les niveaux Assurer le responsable sécurité du soutien de la hiérarchie Éviter que l'entreprise attende les problèmes pour réagir, il est souvent trop tard Mettre en place des solutions réalistes et adaptées en fonction des risques encourus par l'entreprise LES POINTS CLES

28. LES FREINS

29. Cette création est mise à disposition selon le Contrat Attribution-NonCommercial 2.0 France disponible en ligne http://creativecommons.org/licenses/by-nc/2.0/fr/ ou par courrier postal à Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA. En citant « Source Pôle Numérique » pour toutes reprises intégrales ou « Librement inspiré des travaux du Pôle Numérique » en cas de modification