SlideShare une entreprise Scribd logo
SÉCURITÉ VS. CONTINUITÉ «  THE DEVIL IS IN THE DETAILS  ». soit en français «  LE DIABLE SE CACHE DANS LES DÉTAILS  ».
SOMMAIRE Introduction Normes ISO Ecosystèmes Champs d’action Statistiques Interactions … conceptuelles … opérationnelles Problématiques Solutions Conclusion Expériences & Questions
INTRODUCTION Sécurité & Continuité… non-génératrices de revenus différentes et séparées gestion des risques valeur qu’en cas d’incident trop limitées aux services TIC responsabilités des personnes critiques et transverses communs et complémentaires … donc ?
NORMES ISO : 2700X Ecosystème ISO 27031:2011 propose un cadre pour la continuité d'activité.
NORMES ISO : 27001 & 27002 Champ d’action
LES CHIFFRES
NORMES ISO : 27002 & 27031 Champ d’action de 27002, chapitre 14 « Le Chapitre 14 décrit des mesures pour la gestion d’un plan de continuité de l’activité visant à réduire le plus possible l’impact sur l’organisme et à récupérer les actifs informationnels perdus notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés. » Wikipédia Champ d’action de 27031 « ISO/CEI 27031:2011 couvre tous les événements et incidents (y compris ceux liés à la sécurité) qui peuvent porter atteinte à l’infrastructure et aux systèmes TIC. Elle regroupe, en les complétant, les pratiques de gestion des incidents liés à la sécurité de l’information, et les pratiques de gestion de la planification de mise en état des TIC et des services TIC. »  ISO
NORMES ISO : 22301 Champ d’action
LES CHIFFRES
INTERACTIONS CONCEPTUELLES Gestion de risque commune ? Actif [ Propriétaire, Valeur, Responsable ] Menace -> Actif Actif { Vulnérabilité } (Menace x Vulnérabilité) x Valeur = Impact Probabilité x Impact = Risque Cindynique, science du danger Que trouve-t-on dans les politiques et plans ? Analyse Recommandations Implantation
LES CHIFFRES
LA VRAIE PROBLÉMATIQUE OPÉRATIONNELLE
LA VRAIE PROBLÉMATIQUE OPÉRATIONNELLE Constat de double, triple, quadruple,… panne. Les croyances Les probabilités simplistes Les probabilités réelles in situ L’incident « gris » ou « irritant » Nouveau concept du jour hors du H-M-L Le faux-incident L’incident partiel à impact significatif modéré Intégration dans les BIAs
INTERACTIONS OPÉRATIONNELLES La sécurité obstacle à la continuité Excès de sécurité Déséquilibre de sécurité Processus de sécurité tiers La continuité obstacle à la sécurité Le principe de « pré-action » L’urgence L’ « anti-champion »
INTERACTIONS OPÉRATIONNELLES Etude de cas n°1 : la continuité menace la sécurité Menace logique in situ via une vulnérabilité physique. Etude de cas n°2 : la sécurité menace la continuité Menace logique via intimidation publique et auto-sabotage.
SOLUTIONS OPÉRATIONNELLES POSSIBLES Conformité du plan de continuité à la politique de sécurité.  Sensibilisation des « champions » Equipe de DR incluant une dimension d’autocontrôle Tests de vulnérabilité intégrés aux tests de DR Extériorisation des services de sécurité Inclusion par SLA des Tiers de sécurité au processus de continuité Surveillance de sécurité logique et physique décentralisée Elévation de droits automatisée (ex. PowerBroker)
A INSÉRER DANS NOS POLITIQUES… Sécurité Recommandations standards (CMMI 3) « En service normal, l’accès aux ressources doit être contrôlé (identification utilisateurs, double-authentification) et adapté au droit à en connaître de l’utilisateur (droits et privilèges, profil utilisateur). » Recommandations d’urgence (CMMI 1) « Dans le cas d’une urgence, l’accès aux ressources peut être facilité par des contrôles exceptionnels (identification par machine, authentification unifiée) et adapté au obligations de moyens de l’utilisateur (droits et privilèges exceptionnels documentés, profil administrateur). »
A INSÉRER DANS NOS POLITIQUES… Continuité Liste des contrôle de sécurité dégradés Processus d’autocontrôle CADILLAC ! Une analyse des risques résiduels cumulés sur la base des « SPoF »
RETOURS D’EXPÉRIENCES ?
BIBLIOGRAPHY M53 – Étude de cas, suite ISO 2700x http://fr.wikipedia.org/wiki/ISO/CEI_27001 http://fr.wikipedia.org/wiki/ISO/CEI_27002 http://www.duquesnegroup.com/ISO-22301-la-future-norme-de-Continuite-d-activite_a187.html http://www.bcifiles.com/22301Transition_BSI20110321.pdf http://www.icm.co.uk/newsroom/events/downloads/sp4launch/Raising_the_Standard_John_Sharp.pdf http://www.itsc.org.sg/pdf/synthesis09/Four_ICT.pdf http://fr.wikipedia.org/wiki/Cindynique http://www.clusif.asso.fr/fr/production/sinistralite/docs/etude2005.pdf http://download.pwc.com/ie/pubs/pwc_goodbye_sas_70_isae_3402.pdf

Contenu connexe

Tendances

Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
polenumerique33
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
Alain Huet
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Sébastien Rabaud
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
Agathe Mercante
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
ISACA Chapitre de Québec
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Eric DUPUIS
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
Shema Labidi
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
polenumerique33
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)
Prof. Jacques Folon (Ph.D)
 
Ssi
SsiSsi
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
Thierry RAMARD
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...
Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...
Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...
Thierry RAMARD
 

Tendances (20)

Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)
 
Ssi
SsiSsi
Ssi
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...
Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...
Université AFCDP des CIL 2016 : Denis Virole anime l’atelier « L’homologation...
 

En vedette

Normes ISO : Nouvelle stratégie & dernière révision
Normes ISO : Nouvelle stratégie & dernière révision Normes ISO : Nouvelle stratégie & dernière révision
Normes ISO : Nouvelle stratégie & dernière révision
MOUJAHED Houssem
 
ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?
Oxalide
 
ISO 27001
ISO 27001ISO 27001
ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3
Tanmay Shinde
 
Créer une campagne de bienvenue performante
Créer une campagne de bienvenue performanteCréer une campagne de bienvenue performante
Créer une campagne de bienvenue performante
Dialog Insight
 
Contenido laboral del Reglamento de extranjería.
Contenido laboral del Reglamento de extranjería. Contenido laboral del Reglamento de extranjería.
Contenido laboral del Reglamento de extranjería.
Universidad Autónoma de Barcelona
 
Firefox et Firefox OS et vie privee - Journée du libre 2015 Lille
Firefox et Firefox OS et vie privee - Journée du libre 2015 LilleFirefox et Firefox OS et vie privee - Journée du libre 2015 Lille
Firefox et Firefox OS et vie privee - Journée du libre 2015 Lille
Christophe Villeneuve
 
Séjours Linguistiques 2014 pour les jeunes de 7-17 ans - Catalogue You're Wel...
Séjours Linguistiques 2014 pour les jeunes de 7-17 ans - Catalogue You're Wel...Séjours Linguistiques 2014 pour les jeunes de 7-17 ans - Catalogue You're Wel...
Séjours Linguistiques 2014 pour les jeunes de 7-17 ans - Catalogue You're Wel...
You're Welcome Séjours Linguistiques
 
Presentación1 (1)
Presentación1 (1)Presentación1 (1)
Presentación1 (1)
JOSÉ TOMÁS
 
Negocios en red
Negocios en redNegocios en red
La comunicacion
La comunicacionLa comunicacion
La comunicacion
Juan José
 
Despidos colectivos. Nota crítica a la sentencia del Tribunal Supremo de 19 d...
Despidos colectivos. Nota crítica a la sentencia del Tribunal Supremo de 19 d...Despidos colectivos. Nota crítica a la sentencia del Tribunal Supremo de 19 d...
Despidos colectivos. Nota crítica a la sentencia del Tribunal Supremo de 19 d...
Universidad Autónoma de Barcelona
 
Workshop entreprises et web social "Bee Numérique"
Workshop entreprises et web social "Bee Numérique"Workshop entreprises et web social "Bee Numérique"
Workshop entreprises et web social "Bee Numérique"
dupin laurent
 
Conférence: l'affiliation BtoB, ça marche ! - Invité KEYYO BUSINESS
Conférence: l'affiliation BtoB, ça marche !  - Invité KEYYO BUSINESSConférence: l'affiliation BtoB, ça marche !  - Invité KEYYO BUSINESS
Conférence: l'affiliation BtoB, ça marche ! - Invité KEYYO BUSINESS
agence b2b
 
Modelo de negocios elevaglobal mayo2011
Modelo de negocios elevaglobal mayo2011Modelo de negocios elevaglobal mayo2011
Modelo de negocios elevaglobal mayo2011
ElevaGlobal
 
Sobre las prácticas no laborales en empresas ¿A quién se dirige el Real Decr...
Sobre las prácticas no laborales en empresas  ¿A quién se dirige el Real Decr...Sobre las prácticas no laborales en empresas  ¿A quién se dirige el Real Decr...
Sobre las prácticas no laborales en empresas ¿A quién se dirige el Real Decr...
Universidad Autónoma de Barcelona
 
Mandefa export pour PME
Mandefa export pour PMEMandefa export pour PME
Mandefa export pour PME
Mary Walckiers
 
L'exploration de Mars - un objectif de découverte de l'Espace.
L'exploration de Mars - un objectif de découverte de l'Espace.L'exploration de Mars - un objectif de découverte de l'Espace.
L'exploration de Mars - un objectif de découverte de l'Espace.
guestb098bb9
 
Journées ABES 2014 - 20 mai - intervention sponsor - EBSCO
Journées ABES 2014 - 20 mai - intervention sponsor - EBSCOJournées ABES 2014 - 20 mai - intervention sponsor - EBSCO
Journées ABES 2014 - 20 mai - intervention sponsor - EBSCO
ABES
 
Ag 19juin2014 1
Ag 19juin2014 1Ag 19juin2014 1
Ag 19juin2014 1
camille meyer
 

En vedette (20)

Normes ISO : Nouvelle stratégie & dernière révision
Normes ISO : Nouvelle stratégie & dernière révision Normes ISO : Nouvelle stratégie & dernière révision
Normes ISO : Nouvelle stratégie & dernière révision
 
ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3ISO 27001 - Information security user awareness training presentation - part 3
ISO 27001 - Information security user awareness training presentation - part 3
 
Créer une campagne de bienvenue performante
Créer une campagne de bienvenue performanteCréer une campagne de bienvenue performante
Créer une campagne de bienvenue performante
 
Contenido laboral del Reglamento de extranjería.
Contenido laboral del Reglamento de extranjería. Contenido laboral del Reglamento de extranjería.
Contenido laboral del Reglamento de extranjería.
 
Firefox et Firefox OS et vie privee - Journée du libre 2015 Lille
Firefox et Firefox OS et vie privee - Journée du libre 2015 LilleFirefox et Firefox OS et vie privee - Journée du libre 2015 Lille
Firefox et Firefox OS et vie privee - Journée du libre 2015 Lille
 
Séjours Linguistiques 2014 pour les jeunes de 7-17 ans - Catalogue You're Wel...
Séjours Linguistiques 2014 pour les jeunes de 7-17 ans - Catalogue You're Wel...Séjours Linguistiques 2014 pour les jeunes de 7-17 ans - Catalogue You're Wel...
Séjours Linguistiques 2014 pour les jeunes de 7-17 ans - Catalogue You're Wel...
 
Presentación1 (1)
Presentación1 (1)Presentación1 (1)
Presentación1 (1)
 
Negocios en red
Negocios en redNegocios en red
Negocios en red
 
La comunicacion
La comunicacionLa comunicacion
La comunicacion
 
Despidos colectivos. Nota crítica a la sentencia del Tribunal Supremo de 19 d...
Despidos colectivos. Nota crítica a la sentencia del Tribunal Supremo de 19 d...Despidos colectivos. Nota crítica a la sentencia del Tribunal Supremo de 19 d...
Despidos colectivos. Nota crítica a la sentencia del Tribunal Supremo de 19 d...
 
Workshop entreprises et web social "Bee Numérique"
Workshop entreprises et web social "Bee Numérique"Workshop entreprises et web social "Bee Numérique"
Workshop entreprises et web social "Bee Numérique"
 
Conférence: l'affiliation BtoB, ça marche ! - Invité KEYYO BUSINESS
Conférence: l'affiliation BtoB, ça marche !  - Invité KEYYO BUSINESSConférence: l'affiliation BtoB, ça marche !  - Invité KEYYO BUSINESS
Conférence: l'affiliation BtoB, ça marche ! - Invité KEYYO BUSINESS
 
Modelo de negocios elevaglobal mayo2011
Modelo de negocios elevaglobal mayo2011Modelo de negocios elevaglobal mayo2011
Modelo de negocios elevaglobal mayo2011
 
Sobre las prácticas no laborales en empresas ¿A quién se dirige el Real Decr...
Sobre las prácticas no laborales en empresas  ¿A quién se dirige el Real Decr...Sobre las prácticas no laborales en empresas  ¿A quién se dirige el Real Decr...
Sobre las prácticas no laborales en empresas ¿A quién se dirige el Real Decr...
 
Mandefa export pour PME
Mandefa export pour PMEMandefa export pour PME
Mandefa export pour PME
 
L'exploration de Mars - un objectif de découverte de l'Espace.
L'exploration de Mars - un objectif de découverte de l'Espace.L'exploration de Mars - un objectif de découverte de l'Espace.
L'exploration de Mars - un objectif de découverte de l'Espace.
 
Journées ABES 2014 - 20 mai - intervention sponsor - EBSCO
Journées ABES 2014 - 20 mai - intervention sponsor - EBSCOJournées ABES 2014 - 20 mai - intervention sponsor - EBSCO
Journées ABES 2014 - 20 mai - intervention sponsor - EBSCO
 
Ag 19juin2014 1
Ag 19juin2014 1Ag 19juin2014 1
Ag 19juin2014 1
 

Similaire à Sécurité vs Continuité -rev2-

Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
proximit
 
E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1
MustaphaChaoui1
 
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Alterest
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
20171129-4 colloque ssi-plan d'action ssi
20171129-4 colloque ssi-plan d'action ssi20171129-4 colloque ssi-plan d'action ssi
20171129-4 colloque ssi-plan d'action ssi
ASIP Santé
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
PECB
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
Lexing - Belgium
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
ISACA Chapitre de Québec
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Alain EJZYN
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
NRC
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
FootballLovers9
 
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensibles
COMPETITIC
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt converti
IsmailElouarga
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
Naully Nicolas
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
Kyos
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & Fortinet
Exaprobe
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
Patrice Bock
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
Dany Rabe
 

Similaire à Sécurité vs Continuité -rev2- (20)

Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1
 
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
20171129-4 colloque ssi-plan d'action ssi
20171129-4 colloque ssi-plan d'action ssi20171129-4 colloque ssi-plan d'action ssi
20171129-4 colloque ssi-plan d'action ssi
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
earlegal #9 - Cyberattaque - Comment se préparer et bien s'assurer ?
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensibles
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt converti
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & Fortinet
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 

Sécurité vs Continuité -rev2-

  • 1. SÉCURITÉ VS. CONTINUITÉ «  THE DEVIL IS IN THE DETAILS  ». soit en français «  LE DIABLE SE CACHE DANS LES DÉTAILS  ».
  • 2. SOMMAIRE Introduction Normes ISO Ecosystèmes Champs d’action Statistiques Interactions … conceptuelles … opérationnelles Problématiques Solutions Conclusion Expériences & Questions
  • 3. INTRODUCTION Sécurité & Continuité… non-génératrices de revenus différentes et séparées gestion des risques valeur qu’en cas d’incident trop limitées aux services TIC responsabilités des personnes critiques et transverses communs et complémentaires … donc ?
  • 4. NORMES ISO : 2700X Ecosystème ISO 27031:2011 propose un cadre pour la continuité d'activité.
  • 5. NORMES ISO : 27001 & 27002 Champ d’action
  • 7. NORMES ISO : 27002 & 27031 Champ d’action de 27002, chapitre 14 « Le Chapitre 14 décrit des mesures pour la gestion d’un plan de continuité de l’activité visant à réduire le plus possible l’impact sur l’organisme et à récupérer les actifs informationnels perdus notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés. » Wikipédia Champ d’action de 27031 « ISO/CEI 27031:2011 couvre tous les événements et incidents (y compris ceux liés à la sécurité) qui peuvent porter atteinte à l’infrastructure et aux systèmes TIC. Elle regroupe, en les complétant, les pratiques de gestion des incidents liés à la sécurité de l’information, et les pratiques de gestion de la planification de mise en état des TIC et des services TIC. » ISO
  • 8. NORMES ISO : 22301 Champ d’action
  • 10. INTERACTIONS CONCEPTUELLES Gestion de risque commune ? Actif [ Propriétaire, Valeur, Responsable ] Menace -> Actif Actif { Vulnérabilité } (Menace x Vulnérabilité) x Valeur = Impact Probabilité x Impact = Risque Cindynique, science du danger Que trouve-t-on dans les politiques et plans ? Analyse Recommandations Implantation
  • 12. LA VRAIE PROBLÉMATIQUE OPÉRATIONNELLE
  • 13. LA VRAIE PROBLÉMATIQUE OPÉRATIONNELLE Constat de double, triple, quadruple,… panne. Les croyances Les probabilités simplistes Les probabilités réelles in situ L’incident « gris » ou « irritant » Nouveau concept du jour hors du H-M-L Le faux-incident L’incident partiel à impact significatif modéré Intégration dans les BIAs
  • 14. INTERACTIONS OPÉRATIONNELLES La sécurité obstacle à la continuité Excès de sécurité Déséquilibre de sécurité Processus de sécurité tiers La continuité obstacle à la sécurité Le principe de « pré-action » L’urgence L’ « anti-champion »
  • 15. INTERACTIONS OPÉRATIONNELLES Etude de cas n°1 : la continuité menace la sécurité Menace logique in situ via une vulnérabilité physique. Etude de cas n°2 : la sécurité menace la continuité Menace logique via intimidation publique et auto-sabotage.
  • 16. SOLUTIONS OPÉRATIONNELLES POSSIBLES Conformité du plan de continuité à la politique de sécurité. Sensibilisation des « champions » Equipe de DR incluant une dimension d’autocontrôle Tests de vulnérabilité intégrés aux tests de DR Extériorisation des services de sécurité Inclusion par SLA des Tiers de sécurité au processus de continuité Surveillance de sécurité logique et physique décentralisée Elévation de droits automatisée (ex. PowerBroker)
  • 17. A INSÉRER DANS NOS POLITIQUES… Sécurité Recommandations standards (CMMI 3) « En service normal, l’accès aux ressources doit être contrôlé (identification utilisateurs, double-authentification) et adapté au droit à en connaître de l’utilisateur (droits et privilèges, profil utilisateur). » Recommandations d’urgence (CMMI 1) « Dans le cas d’une urgence, l’accès aux ressources peut être facilité par des contrôles exceptionnels (identification par machine, authentification unifiée) et adapté au obligations de moyens de l’utilisateur (droits et privilèges exceptionnels documentés, profil administrateur). »
  • 18. A INSÉRER DANS NOS POLITIQUES… Continuité Liste des contrôle de sécurité dégradés Processus d’autocontrôle CADILLAC ! Une analyse des risques résiduels cumulés sur la base des « SPoF »
  • 20. BIBLIOGRAPHY M53 – Étude de cas, suite ISO 2700x http://fr.wikipedia.org/wiki/ISO/CEI_27001 http://fr.wikipedia.org/wiki/ISO/CEI_27002 http://www.duquesnegroup.com/ISO-22301-la-future-norme-de-Continuite-d-activite_a187.html http://www.bcifiles.com/22301Transition_BSI20110321.pdf http://www.icm.co.uk/newsroom/events/downloads/sp4launch/Raising_the_Standard_John_Sharp.pdf http://www.itsc.org.sg/pdf/synthesis09/Four_ICT.pdf http://fr.wikipedia.org/wiki/Cindynique http://www.clusif.asso.fr/fr/production/sinistralite/docs/etude2005.pdf http://download.pwc.com/ie/pubs/pwc_goodbye_sas_70_isae_3402.pdf

Notes de l'éditeur

  1. Définition de «  détails  » : oublis entre les lignes concepts entre 2 chaises dénis délibérés manque de discernement et d’imagination
  2. Sondage dans la salle Qui travaille en sécurité ? Qui travaille en continuité ? Qui a déjà rédigé au complet une politique de sécurité ? Qui a déjà rédigé au complet une politique de continuité ?
  3. … ne sont pas vues comme génératrices de revenus (batailles budgétaire) … font partie du processus global de gestion des risques. … ne créent et acquièrent de la valeur qu’en cas d’incident. … sont souvent 2 unités d’affaires différentes et séparées (batailles politiques) … sont souvent cantonnées aux services TIC. … sont les responsabilités intrinsèques de chaque salarié. (objectifs des fiches de postes et non uniquement dans les codes à signer) … sont 2 processus critiques et transverses de l’entreprise. … ont des concepts communs et complémentaires. … DEVRAIENT FONCTIONNER DE CONCERT !
  4. PUBLIEES ISO 27000 vocabulaire et définitions (terminologie pour l'ensemble des standards). Statut : Publiée. ISO 27001 décrit les exigences d'un système de pilotage de la sécurité des informations, basé sur la BS7799. Statut : Publiée. ISO 27002 décrit un ensemble cohérent d'objectifs de contrôles de la sécurité fondé sur 11 Chapitres principaux Statut : Publiée. ISO 27003 contient un guide de mise en œuvre pour l'implémentation du SMSI . Statut : Publiée. ISO 27004 propose une base de métriques de sécurité permettant de mesurer l'efficacité de la mise en œuvre de la PSSI. Statut : Publiée. ISO 27005 propose une méthode de gestion des risques . Statut : Publiée. ISO 27006 contient un cadre pour les exercices liés à l'audit et à la certification des SMSI . Statut : Publiée. ISO 27799 Décinaison de l'ISO 27002 pour le secteur de la santé. Statut : Publiée . DRAFTS ISO 27007 proposera des instructions pour les audits accrédités en cas d'audit ISO 27001 d'un SMSI . Status : Draft ISO 27008 proposera des instructions pour les auditeurs accrédités concernant les Contrôles ISO 27002 . Status : Draft ISO 27011 proposera un guide pour le secteur des télécommunications . Statut : Draft. ISO 27012 proposera un guide pour le secteur financier . Statut : Proposée. ISO 27013 proposera un guide pour le secteur de l' Industrie lourde . Statut : Proposée. ISO 27015 proposera un guide pour l' accréditation . Statut : Proposée. ISO 27016 proposera des méthodes pour les audits et revues . Statut : Proposée. ISO 27032 proposera un guide lié à la cybersécurité (Internet) . Statut : Draft. ISO 27033-x proposera un guide pour la sécurité des réseaux . Statut : Draft. ISO 27034-1 proposera un guide pour la sécurité applicative . Statut : Draft. ISO 27035 proposera un guide de gestion des incidents de sécurité . Statut : Draft. CONTINUITE EN DRAFT ISO 27031 proposera un cadre pour la continuité d'activité . Statut : Publié en 2011
  5. provision of disaster recovery services (ISO/IEC 24762), network security (ISO/IEC 18028), intrusion detection systems (ISO/IEC 18043), information security incident management (ISO/IEC TR 18044). ICT readiness for business continuity (ISO/IEC 27031). ISO/IEC 27031 supports clause 14 (Business Continuity Management control objectives) of ISO/IEC 27002 in the management of information security, its scope extends well beyond the information security management domain and intends to elaborate how to plan and maintain an organization's ICT readiness in support of its business continuity management effort. Contrôles de sécurité en amont du BCP Incidents de Sécurité qui mènent au BCP
  6. Comme la ISO 17799 est issue de la BS 7799, la ISO 22301 est issue directement du cadre de la BS 25999. – BS25111 –Human Aspects of BC – BS25666 –Exercising – BS25777 –ICT BCM (Information and Communication Technology Business Continuity Manage – BS25888 –Recovery (in development) – PAS 200 –Crisis management – ISO 22301 -International Business Continuity Standard (specification) – ISO 22399 –Code of practice supporting ISO 22301 – ISO 27031 -ICT Readiness for Business Continuity J’ai cherché le jalon « sécurité » de la norme sur internet, je n’ai rien trouvé de très important. J’ai été directement lire l’ISO et voilà la cible de ce chapitre :
  7. Chaque actif est associé à un propriétaire , le propriétaire détermine sa valeur intrinsèque pour l’organisation et définit un responsable de l'actif (owner et custodian) Une menace vise un actif Un actif présente une vulnérabilité Une menace exploite une vulnérabilité s’attaquant directement à la valeur de l’actif, c’est l’impact La probabilité de cette occurrence assimilé à son impact sur l’organisation définit le risque lié à l’actif PROBLEME : LES ACTIFS IMBRIQUES, ACTIFS IMPACTANT DIRECTEMENT D’AUTRES ACTIFS En amont, analyse de risques et d’impact En aval, sensibilisation, implantation, tests et vérifications En substance, éléments de recommandation stratégique et tactiques Depuis le 15 juin 2011, la norme ISAE 3402 a pris le relais de SAS 70, lui apportant une dimension plus internationale.
  8. La vraie problématique de la continuité c’est sa praticité : le problème du « lance moi le binder !» et la question existentielle « les emails sont-ils un actif critique ?» Gros investissements en amont pour écrire une PCA/PRA Suivi des stratégies de haut niveau proposée par l’ISO ne permettent pas de descendre facilement au niveau tactique réel Les investissements au niveau des tests sont plus important et intéressant dans la découverte des activités métier
  9. Nouveau concept du jour = « High », « Medium », « Low », « Critical » pour les téméraires et pour les créatifs « irritant » Le faux-incident = le voisin a pris feu tout le monde croit que c’est moi L’incident partiel à impact significatif modéré = sérieux mais pas trop Intégration dans les BIAs = NON trop couteux !
  10. La sécurité obstacle à la continuité L’excès de sécurité crée l’incident « gris » Les contrôles préventifs de sécurité sont appliqués aux hommes et aux machines, mais très peu au processus La continuité obstacle à la sécurité La « pré-action » crée souvent la faille sécurité L’urgence régit le décisionnel et l’opérationnel > CMMI 3 à 1 par incompréhension du processus Les prises de risques se font « ad-hoc » et rarement par leurs propriétaires L’organisation ne fonctionne plus via ses contrôles habituels L’organisation risque d’être menée par ses leaders psychologiques « anti-champions » et non des learders métiers
  11. D’autres exemples : L’alerte à la bombe avec prise en main par les forces de l’ordre. La manifestation devant une tour, le site de BCP froid plein de gens sauf les concernés.
  12. L’analyse de conformité du plan de continuité à la politique de sécurité d’un point de vue opérationnel et de l’interopérabilité des actifs de relève tiers.
  13. Liste des contrôle de sécurité dégradés Tableau comparatif des contrôles de sécurité applicables en temps normal, en processus d’urgence et de reprise. Processus d’autocontrôle Les post-mortem de chaque tests de continuité doivent être fait au niveau opérationnel par l’équipe de gestion des risques pour les propriétaires d’actifs eux-mêmes pour lister les actions menées en urgence et « sans-filet ».