La classification de données est une problématique répandue dans le monde scientifique car elle est à l’origine de nombreuses applications. Aujourd’hui on la rencontre dans des domaines très variés, tel que le domaine médical, industriel et celui de la sécurité. Dans ce dernier domaine, on pourra citer les applications militaires, les accès sécurisés à l’information gouvernementale et à l’information confidentielle des grandes compagnies et même les PMEs. A travers cette conférence, nous proposons un modèle pour la classification des données au niveau de l’entreprise tunisienne en fonction de leur niveau de criticité. Ladite classification aidera à déterminer les contrôles de sécurité de base pour la protection des données.
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
Dans ce projet, on s’intéresse à la mise en place d’une solution de gestion de la sécurité du
réseau d’Afribone Mali. Une telle solution est composée d’un tableau de bord de sécurité du réseau,
d’une solution de gestion de logs centralisées et d’une équipe CIRT pour le pilotage de la solution.
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
Qu'est-ce qu'une Sécurité Informatique ?
Pourquoi la Sécurité Informatique?
Mise en œuvre d’une stratégie pour la Sécurité Informatique.
Concepts et Technologies: Cas Pratique
Gestion des vulnérabilités dans l'Internet des Objets : comment atteindre la cyber-résilience ?
Objectif : Être résilient « by design » face à de nouvelles vulnérabilités, en intégrant la gestion des vulnérabilités dans la maintenance du constructeur.
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Microsoft
Le contrôle d’accès dynamique disponible avec Windows Server 2012 permet d’améliorer et de simplifier la protection de vos données. Durant cette session vous découvrirez comment avec DAC, vous allez pouvoir utiliser des règles d’accès plus « intelligentes » pour diminuer de manière drastique le nombre de groupes de sécurité utilisés dans vos ACLs. Vous verrez comment introduire les claims (revendications) d’utilisateurs et de postes que l’on peut maintenant définir dans Active Directory et comprendre comment gérer centralement les règles d’accès et d’audit. Vous découvrirez enfin la nouvelle fonction de classification et de chiffrement automatique des données sensibles. Le tout sera agrémenté de démos pour bien comprendre comment tout cela fonctionne !
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
Dans ce projet, on s’intéresse à la mise en place d’une solution de gestion de la sécurité du
réseau d’Afribone Mali. Une telle solution est composée d’un tableau de bord de sécurité du réseau,
d’une solution de gestion de logs centralisées et d’une équipe CIRT pour le pilotage de la solution.
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
Qu'est-ce qu'une Sécurité Informatique ?
Pourquoi la Sécurité Informatique?
Mise en œuvre d’une stratégie pour la Sécurité Informatique.
Concepts et Technologies: Cas Pratique
Gestion des vulnérabilités dans l'Internet des Objets : comment atteindre la cyber-résilience ?
Objectif : Être résilient « by design » face à de nouvelles vulnérabilités, en intégrant la gestion des vulnérabilités dans la maintenance du constructeur.
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Microsoft
Le contrôle d’accès dynamique disponible avec Windows Server 2012 permet d’améliorer et de simplifier la protection de vos données. Durant cette session vous découvrirez comment avec DAC, vous allez pouvoir utiliser des règles d’accès plus « intelligentes » pour diminuer de manière drastique le nombre de groupes de sécurité utilisés dans vos ACLs. Vous verrez comment introduire les claims (revendications) d’utilisateurs et de postes que l’on peut maintenant définir dans Active Directory et comprendre comment gérer centralement les règles d’accès et d’audit. Vous découvrirez enfin la nouvelle fonction de classification et de chiffrement automatique des données sensibles. Le tout sera agrémenté de démos pour bien comprendre comment tout cela fonctionne !
The document outlines Clark University's data classification policies, which categorize data into three levels - Confidential, Restricted, and Public. Confidential data requires the highest level of protection, such as legal requirements for protection, high reputation risk if exposed, and strict access and transmission controls. Restricted data requires moderate protection, such as some legal protections, medium reputation risk, and some access and transmission restrictions. Public data requires low or no specific protections but should still be handled appropriately. Examples of different types of data that fall into each category are also provided.
Tunisia elections the country that chose "life"... by Chema GargouriAhmEd Hamza
Here again on Sunday, this small republic of 11 million people, the keystone of North Africa, proved to itself first, and then to the whole world, that the Tunisian revolution of 2011, the first in the wave of civil uprisings that some call the “Arab Spring”, was first and foremost about affirming a life with dignity and freedom.
http://businessculture.org - Find out about business culture in Poland. This guide is part of the Passport to Trade 2.0 project which examined European Business culture in 31 countries looking at business communication, business etiquette, business meeting etiquette, internship and student placements, cost of living, work-life-balance and social media guide.
A proposal for a local governance model in Tunisia that is compatible with the principles of decentralization and local democracy enshrined in the new constitution (adopted January 2014). A publication of the Arab Governance Institute (AGI). Language: Arabic. Authors: Sofiane Sahraoui & Khalil Amiri. Contributionaand design by Donia Turki. AGI 2015.
Security Presentation that empowers expats & travelers with practical personal security information. Tunisia is going through a lot of security challenges but with the right setup you can safely visit Tunisia.
This seminar discussed open budgets and fiscal transparency in Tunisia. It covered topics like open government, open data, and open budgets. The agenda included discussions of transparency and accountability, open data standards, examples of open budget projects, and connecting budget transparency to performance. The goal was to have an open discussion on commitments in Tunisia's action plan to improve budget reporting and make budget and spending data more open and accessible to citizens.
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Hanen Bensaad
Le système d’information, considéré comme le cœur de l’entreprise, est l’ensemble des moyens organisationnels, humains et technologiques mis en œuvre pour la gestion de l’information.
Il doit être exempt de toute faille de sécurité qui risquerait de compromettre l’information qui y circule, du point de vue de la confidentialité, de l’intégrité ou de la disponibilité.
Ainsi, des normes de sécurité ont été définies, donnant les règles à respecter afin de maintenir la sécurité du système d’information de l’entreprise.
Analyse d’impact : comment adapter la démarche au degré de maturité de mon entreprise ? – Denis VIROLE – Directeur des services d’Ageris Group, Gérant de Virole Conseil Formation
Un grand nombre d’entreprises ont traité les risques qui pèsent sur leurs systèmes d’information par l’application de règles et de bonnes pratiques mises en œuvre par les informaticiens de manière quasi auto justifiée. Mais ces derniers sont peu habitués à conduire une analyse de risque orientée « métiers », graduée selon une échelle définie et endossée au final par la direction générale. Le DPO ne va-t-il pas rencontrer plusieurs difficultés pour faire appliquer la bonne méthode par l’ensemble des parties prenantes ? Faut-il suivre la démarche proposée par la CNIL de manière exhaustive ou faut-il adapter la méthode à son contexte ? Quels sont les pièges à éviter ? Jusqu’à quel niveau faut-il pousser l’analyse ? Comment formaliser les règles de protection ? Comment présenter les résultats de l’analyse au Responsable du Traitement afin qu’il puisse la valider en toute connaissance de cause ? Quelle répartition des tâches entre les acteurs concernés ? Comment intégrer la démarche EIVP dans la gestion de projets de manière coordonnée ? Afin de proposer une démarche pragmatique, l’animateur modélisera plusieurs scenarii, adaptés à la maturité de l’organisme et au type de traitement.
Comment appliquer le principe du Privacy By DesignThierry RAMARD
Ce livre blanc décrit la démarche et les prérequis permettant de prendre en compte la protection des données et la sécurité des SI dès les phases de conception d'un nouveau projet.
Activité historique de la société depuis sa création, ITrust conseille et accompagne petites et grandes entreprises dans leur démarche de sécurisation. ITrust a acquis une expérience riche en sécurité informatique et réseau et offre ainsi aux entreprises un accompagnement de qualité.
CNIL - Guide de la sécurité des données personnellesChristophe Elut
Pour aider les professionnels dans la mise en conformité à la loi Informatique et Liberté et au règlement général sur la protection des données, ce guide rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique.
Source : CNIL
https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Denis VIROLE
Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […] le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement […] Lorsque cela est proportionné au regard des activités de traitement, les mesures comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement ». Devant cette responsabilité nouvelle, les organismes rencontrent souvent de réelles difficultés sur la formalisation de ces politiques. Dans quel cas sont-elles nécessaires ? Quel doit en être le contenu ? Quelles sont les populations cibles ? Le management, les directions métiers, la DSI, les MOA, les sous-traitants, voire les personnes concernées (clients ou usagers) ? Quelle interaction avec les politiques « Sécurité système d’information », avec les chartes, ou le règlement intérieur ? Comment garantir l’opposabilité du référentiel documentaire du DPO, sa conformité aux normes internationales et au RGPD
Ce module vise à doter les étudiants des atouts nécessaire pouvant leurs permettre de (d’):
Se familiariser avec les concepts de la sécurité informatique.
Connaitre quelques risques liés aux attaques sur les systèmes d'information.
identifier les menaces de sécurité qui pèsent sur les réseaux d'entreprise et de décrire les méthodes permettant d'y faire face.
Connaître les différents services de sécurité.
Connaitre et implémenter quelques outils utilisés pour lutter contre les attaques
Similaire à La protection de données, La classification un premier pas (20)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...Horgix
This is the slide deck of a talk by Alexis "Horgix" Chotard and Laurentiu Capatina presented at the MongoDB Paris User Group in June 2024 about the feedback on how PayFit move away from a monolithic hell of a self-hosted MongoDB cluster to managed alternatives. Pitch below.
March 15, 2023, 6:59 AM: a MongoDB cluster collapses. Tough luck, this cluster contains 95% of user data and is absolutely vital for even minimal operation of our application. To worsen matters, this cluster is 7 years behind on versions, is not scalable, and barely observable. Furthermore, even the data model would quickly raise eyebrows: applications communicating with each other by reading/writing in the same MongoDB documents, documents reaching the maximum limit of 16MiB with hundreds of levels of nesting, and so forth. The incident will last several days and result in the loss of many users. We've seen better scenarios.
Let's explore how PayFit found itself in this hellish situation and, more importantly, how we managed to overcome it!
On the agenda: technical stabilization, untangling data models, breaking apart a Single Point of Failure (SPOF) into several elements with a more restricted blast radius, transitioning to managed services, improving internal accesses, regaining control over risky operations, and ultimately, approaching a technical migration when it impacts all development teams.
La protection de données, La classification un premier pas
1. Fadhel GHAJATI
Lead Auditor 27001
Risk Manager ISO 27005
fadhel.ghajati@ansi.tn
Tunisian Computer Emergency Response Team
La protection de données:
La classification un premier pas
25 Février 2015
2. Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
2
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team
3. Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
3
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team
4. Tunisian Computer Emergency Response Team
4
Lancement d’une unité, spécialisée dans la sécurité des SI
(Secrétariat d’état à l’informatique)
1999
Considération du rôle de la sécurité des SI comme pilier de la « Société
d’Information : Mise en place d’une stratégie : priorités, volume des actions,
logistique nécessaire
2002
Décision du conseil ministériel restreint (CMR):
Créer une Agence Nationale : Obligation d’audit et création d’un corps
d’auditeurs certifiés en sécurité des SI.
2003
Promulgation d’une Loi “originale” sur la sécurité des SI (Loi N° 5-2004,
Fév. 2004 et ses 3 décrets associés)
2004
Lancement du CERT-TCC (Computer Emergency Response Team / Tunisian
Coordination Center)
2005
Historique
5. L'agence effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes
publics et privés, elle est chargée des missions suivantes:
Missions
Tunisian Computer Emergency Response Team
Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de sécurité des systèmes
informatiques et des réseaux
Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public à l'exception
des applications particulières à la défense et à la sécurité nationale et assurer la coordination entre les intervenants
dans ce domaine
Assurer la veille technologique dans le domaine de la sécurité informatique
Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et
procéder à leur publication
Œuvrer pour encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à
les promouvoir conformément aux priorités et aux programmes qui seront fixés par l'agence
Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique
Veiller à l'exécution des réglementations relatives a l'obligation de l'audit périodique de la sécurité des
systèmes informatiques et des réseaux
5
6. Décret 1249 du 25 Mai 2004
fixant les conditions et les procédures de certification des experts dans le domaine de la
sécurité informatique.
Cadre réglementaire
Tunisian Computer Emergency Response Team
6
Loi n° 5 - 2004 du 3 février 2004
relative à la sécurité informatique et portant sur l'organisation du domaine de la sécurité
informatique et fixant les règles générales de protection des systèmes informatiques et des
réseaux.
Décret 1250 du 25 Mai 2004
fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire
périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et a sa
périodicité et aux procédures de suivi de l'application des recommandations contenues
dans le rapport d'audit.
Circulaire n° 19 - du 11 avril 2007
relatif au renforcement des mesures de sécurité informatique dans les établissements
publiques (Création d'une Cellule Technique de Sécurité, nomination d'un Responsable de
la Sécurité des Systèmes d'Information RSSI ; et mise en place d'un Comité de pilotage).
7. Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
7
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team
8. 8
Tunisian Computer Emergency Response Team
Faux sentiment
de propriété
Méconnaissance des
obligations nées du
contrat de travail ou de
prestation de service
Contrôle de
l’application des règles
d’utilisation du SI
Déficit de sensibilisation
ou complexité de la
politique de protection et
de classification de
l’information
« Vol de données »
par un Utilisateur
Quelle est la portée et
le contenu de
l’obligation de loyauté
? Quelles sont les
clauses importantes
des contrats
d’externalisation ? …
Comment la Charte peut-
elle protéger l’entreprise ?
Quelles sont les
dispositions à prévoir ? …
Quel périmètre pour
la politique de
protection de
données? …
Quel est le statut juridique de
l’information ? Toutes les
informations présentes sur le SI sont-
elles protégées ? Quels sont les
titulaires des droits qui s’appliquent ?
…
10. Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
10
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team
11. Données: définitions
Ce qui est connu ou admis comme tel, sur lequel on peut fonder un
raisonnement, qui sert de point de départ pour une recherche,
Représentation conventionnelle d'une information en vue de son
traitement informatique.
Une Donnée au sens statistique est destinée à être étudiée dans le cadre
de l'analyse des données.
Une Donnée au sens informatique est destinée à faire l'objet d'un
traitement de données.
Une Donnée à caractère personnel pouvant bénéficier d'une certaine
protection dans le cadre de la Protection de la vie privée ou du droit à
l'image.
Dictionnaire
11
12. données personnelles : tenant à la personne
données privées : tenant au respect de la vie privée
données professionnelles : à finalité professionnelle
données publiques : définies par la loi
12
Données: définitions
Tunisian Computer Emergency Response Team
13. Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
13
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team
14. SECURITE SantéIndustrie
La classification de données est une problématique répandue dans le monde scientifique,
car elle est à l’origine de nombreuses applications.
14Tunisian Computer Emergency Response Team
Gouvernement Finances
Classification (1/8)
15. Généralement, trois niveaux de sécurité existent : C’est au « classifieur » de décider le
niveau de sécurité qui s’applique à chaque document ou n’importe quelle autre forme
d’information qui existe dans la base de données.
interne secretconfidentiel
15Tunisian Computer Emergency Response Team
Classification (2/8)
16. 16Tunisian Computer Emergency Response Team
PaysClasse Très secret Secret Confidentiel Restreint
Afrique du Sud Top Secret Secret Confidential Restricted
USA Top Secret Secret Confidential
Belgique Très secret Secret Confidentiel
Diffusion
Restreinte
France
Très secret
Défense
Secret Défense
Confidentiel
Défense
Diffusion
restreinte
Italie Segretissimo Segreto Riservatissimo Riservato
Suisse Secret Secret Confidentiel Interne
Source: http://cryptome.info/appf.pdf
Classification (3/8)
17. Ordonnance concernant la protection des informations de la Confédération Suisse
Secret Confidentiel Interne
Les informations dont la prise de connaissance par des
personnes non autorisées peut porter un grave préjudice
aux intérêts du pays. Il s’agit notamment d’informations
dont la divulgation peut:
a. compromettre gravement la liberté d’action de
l’Assemblée fédérale ou du Conseil fédéral;
b. compromettre gravement la sécurité de la population;
c. compromettre gravement l’approvisionnement
économique du pays ou la sécurité d’installations de
conduite et d’infrastructures d’intérêt national;
d. compromettre gravement l’accomplissement de la
mission de l’administration fédérale, de l’armée ou de
parties essentielles de celle-ci;
e. compromettre gravement les intérêts en matière de
politique extérieure ou les relations internationales de la
Suisse;
f. compromettre gravement soit la protection des
sources ou des personnes, soit le maintien du secret
quant aux moyens et aux méthodes opératifs des
services de renseignements.
les informations dont la prise de connaissance par des
personnes non autorisées peut porter préjudice aux
intérêts du pays. Il s’agit notamment d’informations
dont la divulgation peut :
a. porter atteinte à la libre formation de l’opinion et de
la volonté de l’Assemblée fédérale ou du Conseil
fédéral;
b. porter atteinte à la mise en œuvre conforme de
mesures concrètes décidées par une autorité;
c. porter atteinte à la sécurité de la population;
d. porter atteinte à l’approvisionnement économique du
pays ou à la sécurité d’infrastructures importantes;
e. porter atteinte à l’accomplissement de la mission de
parties de l’administration fédérale ou de l’armée;
f. porter atteinte aux intérêts de la Suisse en matière de
politique de sécurité ou aux relations internationales de
la Suisse;
g. porter atteinte aux relations entre la confédération et
les cantons ou aux relations entre les cantons;
h. porter atteinte aux intérêts de la Suisse en matière
économique, monétaire et de politique monétaire.
les informations:
a. dont la prise de
connaissance par
des personnes non
autorisées peut
porter atteinte aux
intérêts du pays; et
b. qui ne doivent
être classifiées ni
«SECRET» ni
«CONFIDENTIE
L».
17
Classification (4/8)
18. 18
le droit français ne protège pas tant contre l’appréhension de l’information (sous
réserve des articles 323-1 et suivants du Code Pénal), la protège plus efficacement
contre sa divulgation :
Livraison d’informations à une puissance étrangère (art. 411-6 à 411-8 du Code
pénal) : vise les « données informatisées ou fichiers »
Protection par le secret :
secret de la défense nationale (art. 413-9 à 413-12 C.Pén. ; IGI n° 1300 et 900)
secret professionnel (articles 226-13 et 226-14 du Code pénal)
secrets de fabrique et espionnage industriel : cas Dassault Aviation (2002)
Protection des informations dans le cadre de procédures administratives ou
judiciaires (type E-discovery) : loi n°68-678 du 26 juillet 1968
Tunisian Computer Emergency Response Team
Classification (5/8)
19. 19Tunisian Computer Emergency Response Team
Classification (6/8)
En Tunisie la protection des données est régie par:
La loi organique - 63 du 27 Juillet 2004 portant sur la protection des données à
caractère personnel
Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les
procédures de déclaration et d'autorisation pour le traitement des données à
caractère personnel
20. A.8.2.1 Classification des informations
Mesure
Les informations doivent être classifiées en termes d’exigences légales, de valeur, de
caractère critique et de sensibilité au regard d’une divulgation ou modification non
autorisée.
A.8.2.2 Marquage des informations
Mesure
Un ensemble approprié de procédures pour le marquage de l’information doit être élaboré
et mis en œuvre conformément au plan de classification adopté par l’organisation.
ISO 27001 version 2013
1. la divulgation ne cause aucun dommage,
2. la divulgation provoque un dommage mineur,
3. la divulgation a un impact significatif à court terme sur les opérations ou les
objectifs tactiques,
4. la divulgation a un grave impact sur les objectifs stratégiques à long terme ou met la
survie de l'organisation à risque.
Exemple
20
Classification (7/8)
21. FIPS PUB 199
Le format généralisé pour exprimer la catégorie de sécurité est :
SC Information = {(confidentialité, impact), (Intégrité, impact), (Disponibilité,
impact)},
Avec l’impact potentiel est : Faible, Modéré, Elevé, Non Applicable
L’impact potentiel est faible si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un
effet négatif limité pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers.
L’impact potentiel est modéré si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir
un effet négatif sérieux pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers.
L’impact potentiel est élevé si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un
effet négatif catastrophique pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers.
Tunisian Computer Emergency Response Team
21
Classification (8/8)
22. Plan
• Problématique
• Données: définitions
• Classification de données
• Modèle Tunisien (Draft)
• Conclusion
22
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team
23. IMPACT POTENTIEL
Objectif de sécurité FAIBLE MOYEN ELEVE
Confidentialité
La divulgation non autorisée
d'informations pourrait avoir un
effet négatif limité sur les
activités de l'organisation, les
actifs de l'organisation ou des
individus.
IMPACT_C = 1
La divulgation non autorisée
d'informations pourrait avoir un
effet négatif important sur les
opérations de l'organisation, les
actifs de l'organisation ou des
individus.
IMPACT_C = 2
La divulgation non autorisée
d'informations pourrait avoir un
effet négatif grave ou
catastrophique sur les opérations
de l'organisation, les actifs de
l'organisation ou des individus.
IMPACT_C = 3
Intégrité
La modification ou la destruction
non autorisée de renseignements
pourraient avoir un effet négatif
limité sur les activités de
l'organisation, les actifs de
l'organisation ou des individus.
IMPACT_I = 1
La modification ou la destruction
non autorisée de renseignements
pourraient avoir un effet négatif
important sur les activités de
l'organisation limitée, les actifs de
l'organisation ou des individus.
IMPACT_I = 2
La modification ou la destruction
non autorisée de renseignements
pourraient avoir un effet négatif
grave ou catastrophique sur les
activités de l'organisation, les
actifs de l'organisation ou des
individus.
IMPACT_I = 3
Disponibilité
L'interruption de l'accès ou de
l'utilisation des données ou un
système d'information pourrait
avoir un effet négatif limité sur
les activités de l'organisation, les
actifs de l'organisation ou des
individus.
IMPACT_D = 1
L'interruption de l'accès ou de
l'utilisation des données ou un
système d'information pourrait
avoir un effet négatif important
sur les activités de l'organisation
limitée, les actifs de l'organisation
ou des individus.
IMPACT_D = 3
L'interruption de l'accès ou de
l'utilisation des données ou un
système d'information pourrait
avoir un effet négatif grave ou
catastrophique sur les activités de
l'organisation, les actifs de
l'organisation ou des individus.
IMPACT_D = 3
23
Modèle Tunisien (Draft)
24. Criticité des
données
Classe de
données
1
CA
2
3
CB4
6
8
CC9
12
18
CD
27
Modèle Tunisien (Draft)
Tunisian Computer Emergency Response Team
Soient
C,I,D tableaux
C[i] : valeur de l’impact de confidentialité
I[j] : valeur de l’impact de l’intégrité
D[k] : Valeur de l’impact de disponibilité
SC : la valeur de la corrélation {C,I,D}
Classe_D : La classe de donnée
Pour i,j,k de 1 à 3
Calculer
SC= C[i]*I[j]*D[k]
Si SC = 1||2 alors
Classe_D = CA
Si SC = 3||4||6 alors
Classe_D = CB
Si SC=8||9||12 alors
Classe_D = CC
Si SC= 18 ||27 alors
Classe_D = CD
24
25. Criticité
des
données
Classe de
données
Confidentialté Intégrité Disponibilité
Impact Exemple Impact Outil d'échange
Temps
d’arrêt par an
1
CA
La divulgation pourrait être parfois
défavorable aux intérêts de
l’organisation ou du groupe
autorisé.
Guide utilisateur,
certains numéros
directs de
téléphone,
procédure de
fonctionnement.
La modification ou la destruction non
autorisée de renseignements pourraient
parfois avoir un effet négatif limité sur les
activités de l'organisation limitée, les
actifs de l'organisation ou des individus.
Pas de contraintes sur
l’utilisation ou la
transmission.
1 mois
2 3 semaines
3
CB
La divulgation pourrait être
défavorable aux intérêts de
l’organisation ou du groupe
autorisé.
Documentation
ou schéma de
réseau interne,
programme
source.
La modification ou la destruction non
autorisée de renseignements pourraient
avoir un effet négatif limité sur les
activités de l'organisation limitée, les
actifs de l'organisation ou des individus.
contraintes
minimalessur
l’utilisation ou la
transmission.
18 jours
4 2 Semaines
6 1 semaine
8
CC
La divulgation non autorisée
d'informations pourrait avoir un
effet négatif important sur les
opérations de l'organisation, les
actifs de l'organisation ou des
individus.
Secret bancaire,
données à
caractères
personnelles
sensibles (santé),
incidents de
sécurité.
La modification ou la destruction non
autorisée de renseignements pourraient
avoir un effet négatif important sur les
activités de l'organisation limitée, les
actifs de l'organisation ou des individus.
Limitation des droits
d’accès.
½ semaine
9 1 jour
12 ½ jour
18
CD
La divulgation non autorisée
d'informations pourrait avoir un
effet négatif grave ou
catastrophique sur les opérations
de l'organisation, les actifs de
l'organisation ou des individus.
Information
classifiée par la
loi, mot de passe
La modification ou la destruction non
autorisée de renseignements pourraient
avoir un effet négatif grave ou
catastrophique sur les activités de
l'organisation limitée, les actifs de
l'organisation ou des individus.
Utilisation de la
signature, coffre fort. 1 heure
27 30 min
25
Modèle Tunisien (Draft)
26. Criticité
des
données
Classe
de
données
Impact sur la
population
Impact Economique
Impact de
l'interdependance
Périmiètre affecté
1
CA
Impact mineur
(i.e <10)
Impact mineur
(i.e <10 M)
Impact mineur Local
2
3
CB
Impact modéré
(i.e 10-100)
Impact modéré
(i.e 10 M - 100 M)
Impact modéré (Perturbation)
périmètre étendu ou
d'autres sécteurs
(partiellement
affecté)
4
6
8
CC
Impact significatif
(i.e 100-500)
Impact significatif
(i.e 100 M - 500 M)
impact signaficatif
périmètre national
ou un secteur
(totalement affecté)
9
12
18
CD
Impact grave
(i.e >500)
Impact grave
(i.e > 500 M)
impact grave et affaiblissant
périmètre
international ou
plusieurs secteurs
(totalement affecté)
27
26
Modèle Tunisien (Draft)
27. 27Tunisian Computer Emergency Response Team
Modèle Tunisien (Draft)
[Traitement de données]
L’accès aux données,
Le cycle de vie de données,
L’échange de données,
Le droit d’accès.
La sécurité des locaux,
La sécurité des serveurs (l’emplacement des données le cas échéant),
La sécurité des workspaces,
L’identification et l’authentification des utilisateurs,
La sécurité d’accès aux données des utilisateurs,
La gestion des accès à distance.
L’accès aux données
Processus
28. Données
Backup
Logs
Utilisation
Collaborateur
Introduction
Modification
Destruction
Le cycle de vie des données
28Tunisian Computer Emergency Response Team
La gestion de l’introduction des
données dans le système,
La surveillance des traitements sur les
données (journalisation),
Le chiffrement des données,
La sécurité des différents supports de
données,
La sauvegarde les données,
La destruction de manière définitive
les données,
La gestion de sous-traitance de
projets,
La gestion de la sécurité de
l’information et la protection des
données.
Modèle Tunisien (Draft)
[Traitement de données]
29. Logs
Tiers
Communication Transmission
Station de travail
Supports
L’échange de données
29Tunisian Computer Emergency Response Team
Chiffrer un message à
envoyer à un tiers distant,
Signer un message à envoyer
à un tiers distant,
La transmission des
supports mobiles de
manière sécurisée,
La trace des différentes
communications.
Modèle Tunisien (Draft)
[Traitement de données]
30. Tunisian Computer Emergency Response Team
Criticité de données Classe de données Echange
1
CA Protéger l’accès au document
2
3
CB
Protéger
+ Chiffrer le document4
6
8
CC
Protéger, chiffrer
+ Journaliser le traitement9
12
18
CD
Protéger
Chiffrer
Journaliser
Numéroter27
30
Modèle Tunisien (Draft)
[Traitement de données]
31. Données
Demande d’accès
Assurer que les personnes
concernées puissent faire
valoir leur droit.
Assurer la reproductibilité
des procédures d’exécution
du droit d’accès.
Tunisian Computer Emergency Response Team
31
Le droit d’accès
Modèle Tunisien (Draft)
[Traitement de données]
32. La classification de données La protection de données
La politique de protection de l’information a besoin de tous pour s’appliquer ; il faut
replacer le facteur humain au cœur des politiques de sécurité des Systèmes
d’Information.
La confiance n’exclut pas le contrôle.
Tunisian Computer Emergency Response Team
32
Politique de classification et de gestion de l’information facteur clé de succès
La mise en place d’un système de gestion de sécurité de l’information
Conclusion
33. Merci pour votre attention
33
Share your knowledge. It is a way to achieve immortality
Notes de l'éditeur
Les organismes génèrent, managent et utilisent de nombreux types de données distincts et sous nombreuses formes dans le cadre de leurs opérations. Cependant, ces informations n’ont pas toutes la même valeur et requièrent donc des niveaux de protection différents.
Une saine gestion de la sécurité de l’information doit donc s’instaurer sur l’ensemble des processus d’acquisition, de création, d’utilisation, d’archivage et de disposition des données, tout en n’oubliant pas de tenir compte des facteurs humains et de l’évolution des nouvelles technologies.
En catégorisant et en classifiant les différents types et niveaux de sécurité de ces informations, l’organisme sera habile à établir une taxonomie appropriée de ces informations et d’édifier des stratégies basées sur des besoins de sécurité précis.
Dans ce contexte, on présente une étude sur la classification de données, les différentes démarches au niveau international et une proposition pour la classification de données au niveau national tunisien.