1 / 20

ISO 27001

ISO 9001. Interconnexions. SMSI. Risques. Technologies. Menaces. Flux accéléré. RSSI. ISO 27001. Actifs. Sécurité. Vulnérabilités. 5à7 MFQ Cartographier, protéger et contrôler la valeur de l ’ information Le 3 juin 2013.

taji
Download Presentation

ISO 27001

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ISO 9001 Interconnexions SMSI Risques Technologies Menaces Flux accéléré RSSI ISO 27001 Actifs Sécurité Vulnérabilités

  2. 5à7 MFQ Cartographier, protéger et contrôler la valeur de l’information Le 3 juin 2013

  3. Présentation co-animée par Stéphanie Buscayret (Latecoere) et Michel Tudela (Cabinet StraTime) • Qualité et sécurité, même combat ? • Démystification des concepts clés • Contenu de la boite à outils (démarche, normes, méthodes, etc.) • Quels sont les acteurs transverses à fédérer pour protéger l’information ? • Le rôle clé de l’audit interne/externe • Et au quotidien … accompagner, accompagner, accompagner ! Ordre du jour du 5à7

  4. 160disparitions par jour de matériel informatique en France • + de 80% du trafic e-mail mondial est du spam • 1/4 des entreprises françaises ont mis en place une politique de sécurité • Causes d'incidents de sécurité dans les entreprises: • manque de robustesse IT : 69% • failles de management : 63% • confidentialité mal assurée : 60% • qualité des données mal assurée : 49%(sources : sources : Gartner, Radicati Group, APWG, Canalys, Clusif, PricewaterhouseCoopers) Quelques chiffres …

  5. Management de la qualité • Passif : Produits et/ou des services sans processus qualité, plaintes et pertes de clients, mesures correctives au coup par coup et coûteuses • Proactif : Démarche de management de la qualité pour écouter et répondre aux exigences des clients • Management de la sécurité de l'information • Passif : Ne rien faire (anti-virus par ci et firewall par là), croiser les doigts et espérer qu'il n'y aura pas de problèmes impactant les activités • Proactif : Démarche de management de la sécurité de l'information pour assurer le bon niveau de sécurité sur les actifs, et efficacement Qualité et sécurité, même combat ?

  6. Actifs = Tout ce qui a de la valeur pour l'entreprise (informations, données, logiciels, etc.) • Menace = Cause potentielle d'un incident de sécurité pouvant entraîner des dommages à un actif • Vulnérabilité = Faiblesse d'un actif pouvant être exploitée par une menace • Risque = Possibilité qu'une menace exploite la vulnérabilité d'un actif • SMSI = Système de management de la sécurité des systèmes d’informations Les concepts clés

  7. Série IS0 27XXX • ISO 27000 = Fondements et vocabulaire SMSI (2008) • ISO 27002 = ISO17799 à partir de 2007 • ISO 27003 = Guide pour la mise en place d’un SMSI (2008) • ISO 27004 = Mesures et métriques pour le MSI (2007) • ISO 27005 = Gestion du risque de la sécurité de l’information (2007) Contenu de la boite à outils : normes (1/5)

  8. EBIOS = Expression des Besoins et Identification des Objectifs de Sécurité • Principes de base • Identification des actifs (fonctions, informations) reposant sur des entités (matériels, logiciels, réseaux, personnels, sites, organisations) • Les actifs ont des besoins de sécurité (disponibilité, confidentialité, intégrité, éventuellement, non-répudiation, traçabilité,…) plus ou moins forts (conséquences si le besoin n’est pas satisfait) • Les entités ont des vulnérabilités et sont soumis à des menaces pouvant avoir des impacts sur les actifs (risques) • Identification des objectifs permettant de contrer ces risques et traduction de ces objectifs en mesures de sécurité (exigences de sécurité) Contenu de la boite à outils : EBIOS (2/5)

  9. Planifier • Définir les objectifs, la stratégie, la politique globale de sécurité • Identifier les actifs d'informations • Analyser les risques • Implémenter • Mettre en œuvre les mesures de protection • Assurer la sensibilisation et la formation des personnels Roue de Deming Contenu de la boite à outils : démarche (3/5)

  10. Contrôler • Vérifier régulièrement la conformité des mesures de protection • Revoir régulièrement les niveaux de risques résiduels et acceptés en fonction des évolutions (activités, systèmes et technologies, nouvelles menaces, etc.) • Mettre en œuvre des procédures de gestion du changement et un schéma de gestion des incidents de sécurité • Réagir • Assurer l'administration et la maintenance (préventive / corrective) des mesures de protection mises en œuvre • Identifier et implémenter les évolutions requises sur le SMSI Roue de Deming Contenu de la boite à outils : démarche (4/5)

  11. (1) Impact « DICA »: disponibilité, intégrité, confidentialité et auditabilité Contenu de la boite à outils : méthode (5/5)

  12. La sécurité de l’information n’est pas (uniquement) l’affaire de la DSI: • Evidemment, les collaborateurs de l’entreprise sont les 1ers acteurs de la sécurité de leur information! • Parce que la sécurité repose sur les comportements des salariés, la Direction des Ressources Humaines est un partenaire naturel, • Parce qu’elle engage contractuellement des Tiers, la Direction des Affaires Juridiques est forcément impliquée , • Parce que les prestataires et partenaires sont acteurs de la sécurité de l’information de l’entreprise, la Direction des Achats est concernée, • Parce que l’information doit aussi être protégée contre les risques « physiques », la Direction des Services Généraux est un partenaire quotidien. Sine Qua None A minima Acteurs transverses à fédérer pour protéger l’information Sécurité information

  13. L’audit interne permet de : • Confronter formellement les processus aux exigences de la norme. • Vérifier l’intégration des processus métiers (méthodologie associée dans la conduite de projets, se poser les bonnes questions à chaque affaire, etc.). • Conserver un historique formalisé de la prise en compte de la sécurité sur les affaires/projets. • L’audit externe atteste : • Du caractère indépendant de vos contrôles internes, des risques d’exploitation, de la maîtrise des processus opérationnels, des exigences de continuité des activités.  • Souligner les points d’amélioration à envisager. • Prouver aux clients que la sécurité de leurs informations est fondamentale. • Attester de l'engagement de l'équipe dirigeante quant à la sécurité des informations. Le rôle clé de l’audit interne/externe

  14. Parce que nul n’est sensé ignorer la loi (et les sanctions encourues en cas de violation) • Parce que les risques ne sont pas connus de tous… • Parce que l’adhésion de chacun est indispensable à la sécurité de tous • Communiquer sur les droits et devoirs issus de la Charte informatique de l’entreprise • Illustrer les situations à risques selon le contexte du métier • Positionner chaque acteur dans la chaîne de protection de l’information Et au quotidien … accompagner, accompagner, accompagner !!

  15. les “Y” sont parmi nous … • 70% des jeunes employés admettent ne pas respecter les politiques de sécurité informatique (étude Cisco 2012) • Férus de BYOD (Bring Your OwnDevice) • Des utilisateurs avertis … impression de maîtriser le SI … Indépendant+ Instantané+ Mobile + Impatient

  16. Quelle tactique ?

  17. Exemples d’indicateurs de sécurité de l’information Maîtrise du risque lié à l’hébergement de l’information

  18. Activité / Activity: Gestion des salles informatiques/ IT rooms’ management KPI: Evaluation des risques liés à la localisation des ressources serveurs / Assessment of servers’ location risk level Bilan du programme d’audit des environnements IT physiques Métriques fictives données à titre d’illustration Example based on fictive data

  19. Activité / Activity: Risques liés au SI, maîtrise des risques physiques et environnementauxObjectif /Objective : Evaluer l’efficacité et la complétude des dispositifs de protectionKPI : Maîtrise du risque physique et environnemental par site géographique Mesure d’exposition aux risques physiques et environnementaux Exposure level to physical and environmental risks Métriques fictives données à titre d’illustration Example based on fictive data Status  Analyse / analysis • Les valeurs comprises entre 100 et 75 sont pleinement conformes aux exigences de sécurité • Les valeurs comprises entre 75 et 60 indiquent les points d’amélioration prioritaires • Les valeurs en deçà de 60 identifient les zones de risques intolérables devant faire l’objet de plan d’action à court terme. Autorité/ Accountable : IT operations manager/ [Name] Mise à jour / Updated : [date] / [Nom] / [Name] NIV_SECURITE_DATACENTERS

  20. Zoom… Métriques fictives données à titre d’illustration Example based on fictive data

More Related