gouvernance de la sécurite des systèmes d'information volet-1
Post on 16-Apr-2017
253 Views
Preview:
TRANSCRIPT
VOLET 1
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
Philippe PRESTIGIACOMO - Dirigeant de PRONETIS� Consultant SSI – Lead Auditor 27001 / Risk Manager 27005
� Membre du GREPSSI, OWASP
� Formation en enseignement supérieur (PolyTech’Marseille, CNAM, Luminy)
PRONETIS – www.pronetis.fr� Société indépendante spécialisée en SSI
� Audit – Conseil – Formation – Lutte contre la fraude informatique
2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AGENDA VOLET I
� Module N°1 : Rappels� Quelques chiffres - Statistiques
� Système d’information industriel – état des lieux
� Problématiques spécifiques des SI industriels
� Domaines d’exploitation – Impacts majeurs
� Évolution de la sécurité
� Module N°2 : Management de la sécurité� Périmètre de la sécurité et les axes stratégiques
� Système de management de la sécurité Norme ISO 27001
� Fonction RSSI : Rôles et missions – Positionnement
� Difficultés de la sécurité des systèmes d’information
� Module N°3 : Gestion des risques � Gestion des risques - État des lieux
� Définitions, métriques et illustrations
� Module N°4 : Méthode EBIOS - Exemple� Méthode EBIOS étape par étape
� Illustration avec une étude de cas
3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
� Module N°5 : Politique de sécurité� Définition d’une politique cadre et des politiques
ciblées de sécurité
� Exemples de politiques de sécurité
� Normes de sécurité - Normes 27001, 27002
� Module N°6 : Plan d’action et contrôles� Plan d’action sécurité et budget
� Audit de sécurité fonctionnel et technique
� Tableau de bord sécurité
� Pour aller plus loin� Livre
� Magazine
� Articles - Web
TRAVAIL PERSONNEL
� Sécurité informatique et réseaux - 4eme édition Ghernaouti� Lecture des chapitres suivants
� Chapitre 1 Principes de sécurité : 1.1, 1.2, 1.3
� Chapitre 2 Cybercriminalité : 2.5, 2.6
� Chapitre 3 Gouvernance et Stratégie : 3.1 à 3,6
� Chapitre 4 Politique de Sécurité : 4.1 à 4,4, 4.6, 4.7
4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MODULE N°1 : RAPPELS
5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
QUELQUES CHIFFRES – STATISTIQUES CLUSIF
DÉFINITION DU SYSTÈME D’INFORMATION INDUSTRIEL
CARACTÉRISTIQUES ET VULNÉRABILITÉS DES SI INDUSTRIELS
DOMAINES D’EXPLOITATION
ACTEURS DU SYSTÈME D’INFORMATION
IMPACTS MAJEURS
VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ
ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CONTEXTE
CYBER-ATTAQUES INDUSTRIELLES
� Piratage du système d’adduction d’eau de Springfield
� Attaque sur différents gazoducs aux états unis en 2012 - Attaque provenant d’un malware en pièce jointe d’un mail
� En 2012, Cyber attaque de la centrale nucléaire Three Mile Island au niveau du système de contrôle commande des pompes de refroidissement
� En 2013, cyber attaque d’un réseau ferroviaire aux états unis occasionnant de nombreux retards.
7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
http://securid.novaclic.com/cyber-securite-industrielle/cyberloup.html
SYSTÈME D’INFORMATION INDUSTRIEL
� Les systèmes d’automatisme ou systèmes de contrôle industrielsont utilisés pour de multiples applications� Usine classique : chimie, agro, automobile, pharma, production d’énergie…
� Sites plus vastes : traitement de l’eau, des réseaux de transport…
� Gestion de bâtiment (aéroport, hôpitaux…)
� Propulsion de navire
� Santé : biomédicale, laboratoire d’analyse …
Les systèmes industriels contrôlent les infrastructurescritiques depuis les réseaux électriques au traitement del'eau, de l'industrie chimique aux transports. Ils sontprésents partout.
8 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CARACTÉRISTIQUES DES SYSTÈMES INDUSTRIELS
� Disponibilité : « temps réel », contraintes de sûreté de fonctionnement (SdF) ,disponibilité 24/7
� Environnement physique : ateliers de production : poussière, température,vibrations, électromagnétisme, produits nocifs à proximité, environnement extérieur, etc.
� Durée de vie des équipements : plus de 10 ans (parfois 30 ou 40 ans)
� Multiples technologies et fournisseurs : la grande durée de vie des installationsconduit à une « superposition » des vagues technologiques successives sur un mêmesite entrainant un phénomène d’obsolescence des matériels et logiciels.
� Couvertures géographiques : dans des entrepôts, des usines, sur la voiepublique, dans la campagne (stations de pompage, sous-stations électriques, etc.), deslieux isolés, en mer, dans l’air et dans l’espace Effets indésirables de la mise en œuvrede la sécurité
� Télémaintenance : accès à distance sur les automates
� Culture sécurité : automaticiens, instrumentistes électrotechniciens, spécialistes engénie du procédé
9 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
La sécurisation des systèmes industriels passent par lacompréhension de leurs spécificités et de leurs contraintes
ARCHITECTURE TYPIQUE
10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Combinaison du monde industrielavec le monde informatique
VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS
Vulnérabilités intrinsèques aux systèmes industriel s� Peu de prise en compte de la sécurité lors des phases de conception,
d’installation, d’exploitation et de maintenance
� Automates et composants industriels en production avec des configurations par défauts et mots de passe par défaut
� Informations accessibles – les manuels techniques sont disponibles assez facilement- avec les mots de passe par défaut.
� Une culture et une expérience des opérationnels différentes du monde informatique : Connexion à l’Internet et ignorance de la menace extérieure
� Des opérateurs non formés à la sécurité informatique
11 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CE QUE L’ON OBSERVE SUR LE TERRAIN
12 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Personnel non sensibilitéAux enjeux / risques
Virus – erreur dedonnéesMauvaise configuration
Pare-feu & intrusion
Console de programmation Infectée – modificationapplication API
Virus – envoi aléatoire de requêtes Modbus
Mot de passeAdmin par défaut
OS APINon à jour
Opérateurs de maintenancenon formés
Pas de cartographiedes flux API
Clé USB infecté
STATISTIQUESCLUSIF 2014
13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
STATISTIQUESCLUSIF 2014
14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DOMAINES D’EXPLOITATION
Industrie Transports Energie Défense
15 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LE SYSTÈME D’INFORMATION (S.I.)
Le S.I. doit permettre et faciliter la mission de l’organisationLa sécurité du S.I. consiste donc à assurer la sécurité del’ensemble de ces biens.
Le système d’information (S.I.) d’une organisation contient un ensemble d’actifs :
personnesite matériel réseau logiciel organisation
actifs primordiaux
actifs supports
processus métiers et informations
ISO/IEC 27005:2008
VUE DE QUELQUES ACTEURS DU SYSTÈME D’INFORMATION
Entreprise
LAN / station de travail
Environnement
Informatique et télécom
Equipements
de sécurité
Fournisseur
d’accès
Fournisseurs de services
- Opérateurs Télécom
- Hébergeurs,
- Paiement sécurisé,
- Sites de sauvegarde et secours
Environnement
Général : EDF
Intervenants
en amont
dans la conception
et la réalisation
des environnements
Personnel
Serveurs
Prestataires
de services
infogérance
17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
� La sécurité a pour objectif de réduire les risques pesant sur le système d’information, pour limiter leurs impacts
LA SÉCURITÉ INFORMATIQUE
Impacts financiersInterruption de la production Modification des paramètres
de fabrication
Impacts juridiqueset réglementaires
Impactsorganisationnels
Impacts sur l’imageet la réputation
Sécuritédes S.I.
Dommages matériels et/ou corporelsResponsabilité civil ou pénale
Impact environnementalPollution du site de production et de l’environnement
VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ
19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Anti-virus• Anti-Spyware,• Anti-rootkids• …
• Détecter les vulnérabilités• Appliquer les Correctifs
• Sondes IDS• Analyse des traces
•Supervision, Veille,•Surveillance
• Firewall• Compartimenter le réseau et les systèmes
• Sécuriser et certifier les échanges (VPN / Mails chiffrés)
• Former et sensibiliser les utilisateurs• Consignes en cas d’attaque ou de doutes
• Mise en œuvre de procédures de sécurité• Plan de continuité
•Sauvegarde et protection des supports•Redondance des systèmes
• Classifier les données• Analyse de risques• Protéger des données• Accès restrictifs
Gestion de la sécurité (non exhaustif)
Données
•Protéger et isolerles réseaux sans fil
ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Source : Denis Virole Telindus et Jean-Louis Brunel
DÉCLINAISON DES BONNES PRATIQUES
21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Source : Jean-Louis Brunel
Détection d’intrusionCentralisation des logsAudit / Tests intrusifs
Cours 3A Cours 4A
APPROCHE SÉCURITÉ
� Difficultés d’appliquer les standards de sécurité dessystèmes d’information de gestion
� Une approche différente à construire pour les systèmesd’information industriels « tout en adaptant les recettesexistantes de sécurité »
La gestion du risque, la maîtrise des techniques desécurisation deviennent des compétencesindispensables pour les entreprises dans les secteursindustriels.
22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PAUSE-RÉFLEXION
Avez-vous des questions ?
23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Chiffres
Statistiques
Caractéristiques des SI
Industriels
Vulnérabilités
des SI Industriels
Domaines d’exploitation
Impacts majeurs
Évolution de la sécurité des SI
SI : Systèmes d’Information
MODULE N°2 : MANAGEMENT DE LA SÉCURITÉ
25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PÉRIMÈTRE DE LA SÉCURITÉ ET LES AXES STRATÉGIQUES
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ - PDCA -27001
FONCTION RSSI : RÔLES ET MISSIONS - POSITIONNEMENT
DIFFICULTÉS DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
Concevoir et manager un dispositif de sécurité adapté nécessite :– Une bonne connaissance / évaluation des risques– Une approche globale et transversale faisant interagir les fonctions
Direction Générale, Direction de la Sécurité des Systèmesd'Information, Direction du Contrôle Interne et Direction de l'Audit
– Un modèle de conception dynamique qui intègre l’ évolution desarchitectures et des menaces.
Une problématique complexe
PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ
26 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le SMSI (Système de Management de la Sécurité de l’Information) doit être cohérent avec les objectifs métiers de l’organisme et cohérent avec le système de management de la qualité
La sécurité du SI doit être abordée d’une manière globale avec une volonté affichée et un appui de la direction
Les seules réponses techniques à la problématique sécurité sont insuffisantes sielles ne sont pas sous-tendues par une approche structurée i ntégrant lescomposantes :
� Stratégique� Économique� Organisationnelle� Humaine
27 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ
Les priorités portent désormais davantage sur les aspects d’organisation et de management.
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION - SMSI� Norme ISO-27001
28 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION - SMSI� Norme ISO-27001
29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION - SMSI
30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
� Phase PLAN - Fixer des objectifs et des plans d'actions� Identification des actifs ou des biens ;
� Analyse de risques ;
� Choisir le périmètre
� Phase DO - Mise en œuvre et exploitation des mesures et dela politique� Établir un plan de traitement des risques ;
� Déployer les mesures de sécurité ;
� Former et sensibiliser les personnels ;
� Détecter les incidents en continu pour réagir rapidement.
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION : SMSI
31 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
� Phase CHECK - Mesurer les résultats issus des actions mis es en œuvre� Audits internes de conformité et d’efficacité du SMSI (ponctuels et planifiés) ;
� Réexaminer l’adéquation de la politique SSI avec son environnement ;
� Suivre l'efficacité des mesures et la conformité du système ;
� Suivre les risques résiduels.
� Phase ACT� Planifier et suivre les actions correctrices et préventives
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION : SMSI
32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION : SMSI
33 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MÉTIERS EN CYBER SÉCURITÉ
34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
La cybersécurité est transverse à toute activité qui requiert de l’informatique et desréseaux de télécommunications, de la TPE à la multinationale, dans le domaine privéou public.
Exploitants
Administrateurs
Techniciens supports
Direction systèmes d’information et télécom
Responsable SSI - RSSI : gouvernance et gestion de crise
Etudes et services d’ingénierie MOA/MOE
Ingénieurs d’étude SSI : analyse de risque, politique de sécurité, audit
Opérationnels SSI : intégration, configuration, administration, supervision et réaction
Positionnement des métiers au sein des organisation s
Fon
ctio
ns
MÉTIERS EN CYBER SÉCURITÉ
35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Gouvernance de la sécuritéGouvernance de la sécurité
Les métiers se répartissent dans le cycle de vie d’un projet depuis l’expressionde besoin jusqu’au retrait de l’exploitation sous la responsabilité de lagouvernance globale de l’organisation.
Exploitation / maintien de condition de sécurité
Validation / audit organisationnel / test intrusion
Expression de besoin / maitrise d’ouvrage (MOA)
Conception d’architecture / maitrise d’œuvre (MOE)
Développement logiciel ou composant matériel
veille des vulnérabilités / analyse forensics
Intégration de produit / déploiement d’architecture
Cartographie des métiers et compétence en SSI
MÉTIERS EN CYBER SÉCURITÉ
36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
b. Cartographie des métiers et compétence en SSI
ÉtudeExploitation / Maintenance
Gestion des incidents, des crises
Mét
iers
Pha
ses
Implémentation, déploiementConception
Auditeur organisationnel
Auditeur technique
RSSI, Technicien support
Investigateur numérique
Ingénieur de sécurité, architecte de sécurité, développeur de sécurité,
Consultant
Analyste dans un SOC
LA FONCTION DE RSSIDéfinition des principes ou règles applicables
Coordination des actionsAnimation du réseau de correspondants
Evaluation régulière du niveau de sécuritéIntégration de la sécurité dans les projetsEvaluation des risquesVeille sécuritaireSurveillance – gestion des incidents
Promotion de la politique de sécuritéCoordination des actions de sensibilisationConseil en matière de sécurité
37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ORGANISATION DE LA SÉCURITÉ
38 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉMUNÉRATION DU RSSI
(analyse effectuée 2009 - Assises de la sécurité)
Une répartition dessalaires qui varie peuavec un salaire moyenquasi stable à 73,8 k€contre 73,4 k€ en 2008.
39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SOURCE ZDNET 2011
68K€ pour un RSSI avec 5 à 8 ans d'expérience soit 4.533 € net par mois. 85K€ de salaire moyen entre 10 et 15 ans d'ex périence soit 5.666 € net par mois … et plus de 100K€ au-delà de 15 ans d'expérience.
FREINS A LA SECURITE : CLUSIF 2014
40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le premier frein principal reste le manque de moyens budgétaires
LES DIFFICULTÉS DE LA SÉCURITÉ
� Les usagers ont des besoins spécifiques en sécurité informatique, mais en général ils ont aucune expertise dans le domaine� L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de
comprendre ses besoins et de mettre en œuvre les moyens adéquates
� Performance et confort d’utilisation Versus Sécurité� Les mécanismes de sécurité consomment des ressources
additionnelles� La sécurité interfère avec les habitudes de travail des usagers
� Ouverture vers le monde extérieur en constante progression� Les frontières de l’entreprise sont virtuelles ex : télémaintenance
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés41
LES DIFFICULTÉS DE LA SÉCURITÉ
� Centre de coût versus centre de profit� La justification des dépenses en matière de sécurité n’est pas évidente� Le retour sur investissement en sécurité est un exercice parfois difficile
� La sécurité n’est pas une fin en soi mais résulte d’un compromis entre :- un besoin de protection ;- le besoin opérationnel qui prime sur la sécurité (coopérations,
interconnexions…)- les fonctionnalités toujours plus tentantes offertes par les technologies
(sans fil, VoIP…)- un besoin de mobilité (technologies mobiles…)- des ressources financières et des limitations techniques
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés42
LA SÉCURITÉ EST UN PROCESSUS CONTINU
� La sécurité ne se met pas en œuvre en une seule fois� Elle fait partie intégrante du cycle de vie du système� Il s’agit d’un processus itératif qui n’est jamais fini et doit être
corrigé et testé régulièrement
La sécurité n’est pas une activité ponctuelle :
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés43
« La sécurité absolue est inatteignable, c’est un voyage, pas une destination »
PAUSE-RÉFLEXION
Avez-vous des questions ?
44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Périmètre axes
stratégiques
Système de management de
la sécurité - PDCA -27001
Difficultés et freins de la sécurité des
systèmes d’information
Fonction RSSI : Rôles et
missions -positionnement
Enquête
CLUSIF 2014
SI : Systèmes d’Information
MODULE N°3 : GESTION DES RISQUES
46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MÉTHODOLOGIE - ANALYSE DE RISQUES
ÉTAT DES LIEUX – CLUSIF 2014
DÉMARCHE – DÉFINITIONS - ILLUSTRATIONS
MÉTHODES D’ANALYSE DE RISQUES
PRÉSENTATION DE LA NORME ISO/IEC 27005
ANALYSE DE RISQUES
� La première étape du management de la sécurité des systèmesd'information doit rendre intelligible les risques qui visent une
organisation, l’analyse de risques� Objectifs recherchés
� Inventaire des actifs sensibles (informations : données, applications)� Cartographier l’ensemble des risques qui pèsent sur l’entreprise afin de
prendre les décisions stratégiques adaptées� Enclencher les actions associées par ordre de priorité
� L’analyse des risques répond à un besoin de gouvernance desrisques et représente un outil de pilotage / d’aide à la décision.
47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Minimiser les risques encourus par l’organisme du fait de son système d’information. Faire que ces risques soient acceptables
RAPPEL : MÉTHODOLOGIE
48 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Liste des biens sensibles
Liste des menaces et modes opératoires
Listes des impacts et probabilités
Liste des contre-mesures
1 : Quoi protéger et pourquoi ?
2 : De Quoi protéger ?
3 : Quels sont les risques ?
4 Comment protéger l’entreprise ?
INVENTAIRE DES DONNÉES
� Inventaire des données:� Classifier les données. Par exemple : Publique, Interne, Confidentielle
� permettra de définir les protections, le mode de stockage, d’accès et de diffusion des données en fonction de leur classification.
� Inventaire de l’infrastructure:� Les équipements Logiciels et Matériels
� Réseaux
� Inventaire des canaux d’échange et mode de communication� Mode, fonctionnement, Échanges chiffrés
� Matrice des flux
49 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ANALYSE DE RISQUES
Nouvelle activité de l’entreprise
Nouvelle architecture technique
Nouveau système d’information
Identification des enjeux Analyse de la menace
Identification des risques majeurs
Caractérisation du S.I.(ressources fonctionnelles et techniques)
Identification des vulnérabilités potentielles maje ures
Quels moyens engager ?
SERVICES DE SECURITE
Système d’information existant
Profils fonctionnels de sécurité
S.I.
ProcéduresMécanismes techniques Plans
50 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ANALYSE DE RISQUES
51 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ETAT DES LIEUX –SOURCE CLUSIF 2014
52 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ETAT DES LIEUX – SOURCE CLUSIF 2014
53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Vulnérabilités
Menaces
Impact
RISQUE
DÉFINITIONS : RISQUES
54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉFINITIONS : NIVEAU DE RISQUES
55 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MÉTRIQUE GRAVITÉ (IMPACTS)
56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Niveau de Gravité (exemple dans le monde de la sant é)
Niveau Valeur Description
1 MineureInconfort patient, gène ponctuelle dans l’activité, perte financière négligeable, absence de plainte,événement pas médiatisé ou sans impact sur l’image
2 SignificativePerte de chance patient mais limitée et réversible, surcharge de travail ou désorganisation modérée ettemporaire, impact financier modéré, contentieux, dégradation passagère d’image ou de confiance
3 Importante
Perte de chance pour les patients d’un service, avec mise en danger immédiate mais sans atteinteirréversible, désorganisation importante et durable de l’activité, perte financière importante, atteinte à lavie privée d’un patient/salarié ou condamnation pénale et/ou financière, perte d’image ou de confianceavec mise en cause de l’établissement ou d’un organisme tiers
4 Critique
Mise en danger des patients ou menace du pronostic vital, arrêt prolongé d’une part importante del’activité, perte financière élevée pouvant mettre en cause la pérennité de l’établissement, atteinte à lavie privée de plusieurs patients/salariés ou condamnation pénale et/ou financière avec risquejudiciaire, rejet définitif de la capacité de l’établissement à offrir le service attendu
La gravité est l’estimation de la hauteur des effets d’un évé nement redouté ou d’un risque. Lagravité (ou impact) représente l’ampleur d’un risque. Elle dépend essentiellement des DICP et ducaractère préjudiciable des impacts potentiels.
MÉTRIQUE GRAVITÉ (IMPACTS) – ILLUSTRATION SANTÉ
57 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Gravité (Impact)Qualité de prise en
chargeOrganisation Pertes Financières
Atteinte à l‘ImageEngagement de Responsabilité
1 MineureSans effet sur l’état du patient
Sans effet sur les processus de l’activité
Sans impact financierVisible uniquementen interneDivulgation limitée
2 Significative
Impact sur la santé augmentant la durée d’hospitalisation ou de ré hospitalisation
Fonctionnement processus perturbé –indisponibilité des ressources
Pertes financières < 1% du budget global
Réclamations ou plaintes de patients signalant un dysfonctionnementgrave – visible par peu de patients
3 ImportanteAggravation de l’état de santé - chance limitée pour une victime
Arrêt temporaire de l’activité, fermeturepartielle
Pertes financières < 5% du budget global
Réclamations ou plaintes de patients liés au non respect des bonnes pratiques de prise en charge -débouchant sur une sanction disciplinaire – visible au niveau local
4 CritiquePerte de chance pour un patient, décès, effet irréversible sur la santé
Arrêt prolongé de l’activité, fermeture de l’établissement
Pertes financières >10% du budget global
Visible par un nombre important de patients / niveau régional ou national - Plainte de victimes débouchant sur la condamnation civile ou pénale d'un responsable
MÉTRIQUE VRAISEMBLANCE
58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Echelle de vraisemblance
Niveau Valeur Description
1 Exceptionnel Théoriquement possible mais jamais rencontré dans l’établissement ou réalisable dans des conditions très difficiles; événement très rare s’il s’agit d’un accident ( une fois sur plusieurs dizaines d’années)
2 Peu probable Déjà rencontré une ou plusieurs fois (moins d’une fois par an) ou réalisable dans des conditions difficiles ou malveillance présentant peu d’intérêt
3 Plausible Rencontré assez fréquemment, réalisable avec des moyens limités en cas de malveillance ou de probabilité très plausible pour un incident involontaire (au moins une fois par an)
4 Quasi certain Cas systématique ou fréquent (plusieurs fois par an), réalisable facilement, avec un intérêt évident en cas de malveillance
La vraisemblance est l’estimation de la possibilité qu’une menace se produise
La vraisemblance traduit la faisabilité d’un risque. Elle dépend essentiellement des vulnérabilités des supports face aux menaces et des capacités des sources de risques à les exploiter.
NIVEAU DE RISQUE
59 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Echelle de niveaux de risque
Niveau Valeur Description
1 Limité les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmontermalgré quelques difficultés (frais supplémentaires, refus d’accès à des prestations commerciales, peur,incompréhension, stress, affection physique mineure…).
2 Modéréles personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoirsurmonter, mais avec de sérieuses difficultés (détournements d’argent, interdiction bancaire, dégradation debiens, perte d’emploi, assignation en justice, aggravation de l’état de santé…).
3 Fortles personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’ellespourraient ne pas surmonter (péril financier tel que des dettes importantes ou une impossibilité de travailler,affection psychologique ou physique de longue durée, décès…).
Exceptionnel Peu probable Plausible Quasi-certain
Critique
Importante
Significative
Mineure
Vraisemblance1 2 3 4
1
2
3
4
Gravité
60 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CRITERES DICP (DISPONIBILITE, INTEGRITE, CONFIDENTIALITE, PREUVE)
� Disponibilité (D) : La disponibilité des SI permet de garantir enpermanence la communication et l’échange des données
�
� Intégrité (I) : L’intégrité est l’objectif d’exactitude et de fiabilité desdonnées et des traitements. Les SI doivent garantir que les informationssont identiques et inaltérables dans le temps et l’espace et certifier leurexhaustivité, leur validité et leur cohérence.
� Confidentialité (C) : La confidentialité permet de réserver l’accès auxdonnées aux seules personnes autorisées.
61 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MÉTRIQUE DIC
62 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Disponibilité
Valeur Description
1 Un arrêt max de 72 heures
2 Un arrêt max de 24 heures
3 Un arrêt max de 12 heures
4 Un arrêt max de 4 heures
Intégrité
Valeur Description
1 Un perte d’intégrité des informations ou des fonctions n’a pas de conséquence significative
2 Un perte d’intégrité des informations ou des fonctions est dommageable (saisies supplémentaires, délais) - Quelques erreurs sont tolérées.
3 Une perte d’intégrité des informations ou des fonctions est grave, portant atteinte aux intérêts d’un client, ou entraînant des pertes financières limitée - Très peu d’erreurs sont tolérées.
4 Une perte d’intégrité des informations ou des fonctions est très grave - Aucune erreur n’est tolérée.
Confidentialité
Valeur Description
1 Une perte de confidentialité des informations n’a pas de conséquence significative – info publique
2 Une perte de confidentialité des informations est dommageable – accès protégé
3 Une perte de confidentialité des informations est grave – accès restreint - info nominative
4 Une perte de confidentialité des informations est très grave - secret médical est renforcé
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
63 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉFINITIONS
64 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
� Menace : attaque possible d'un individu ou d'un élément naturel sur des biens (ici, des informations)entraînant des conséquences potentielles négatives. Elle est souvent caractérisée par une expertise del'attaquant, ses ressources disponibles et sa motivation.
Exemple: un développeur modifie le code source en vue de détournement de fonds (grande expertise et forte motivation si les flux financiers sont importants), vol d'un ordinateur portable lors d'un déplacement (peu d'expertise nécessaire),...
� Vulnérabilité: caractéristique d'une entité qui peut constituer une faiblesse ou une faille au regard de lasécurité de l'information. Ces vulnérabilités peuvent être organisationnelle (ex: pas de politique desécurité), humaine (ex: pas de formation des personnels), logicielles ou matérielles (ex: utilisation deproduits peu fiables ou non testés),...
Exemple: les fichiers sur les ordinateurs portables ne sont pas protégés en lecture.
� Impact: conséquence sur l'organisme de la réalisation d'une menace. L'impact peut être exprimé financièrement, ou dans une échelle qui dépend du contexte
� Impact financier ou pertes financières
� Impact sur la production
� Impact sur l’image de marque et les responsabilités (juridique) : engagement de responsabilités
� Impact sur l’organisation de l’établissement (désorganisation …)
SCÉNARII GÉNÉRIQUES DE MENACES
� Accident physique� Malveillance physique� Perte de servitudes essentielles� Perte de données� Indisponibilité d'origine logique� Divulgation d'informations en interne� Divulgation d'informations en externe� Abus ou usurpation de droits� Fraude� Reniement d'actions� Non-conformité à la législation� Erreurs de saisie ou d'utilisation� Erreurs d’exploitation, de conception� Perturbation sociale� Attaque logique du réseau
AccidentErreurMalveillance
Origines AEM
65 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION
� Les menaces pesant sur l’intégrité, la disponibilité ou la confidentialité des informationssont souvent liées à des erreurs humaines (du fait de la négligence ou de l’ignorance).
� Les erreurs d’implémentation des systèmes sont aussi à l’origine d’incidents
Exemple : Un défaut d’intégrité de la donnée de santé, comme l'altération accidentelle ou illégitime d'undossier de santé d’un patient ou du paramétrage d’un équipement biomédical, est susceptibled'entraîner des erreurs médicales, voire un préjudice vital envers le patient.
� Négligence du personnel dans la protection des données par méconnaissance desrisques.
Exemple : A cause de cette ignorance du risque, des données médicales se sont retrouvées indexées surles moteurs de recherche internet début 2013 dans un hôpital :
� Le premier fait est le recours à un hébergeur externe non agréé, par méconnaissance desrisques du stockage des données médicales à l’extérieur de l’établissement ; il n’a pas ététenu compte du cadre réglementaire, du « décret hébergeurs » (Décret n° 2006-6 du 4 janvier2006 relatif à l’hébergement de données de santé à caractère personnel).
� Le second fait est la négligence de l’hébergeur qui dans la conception de son système destockage a rendu possible que les dossiers médicaux soient visibles par les moteurs derecherche.
66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION
� Introduction d'un virus dans le système d’information. Une grande partie des incidentsde sécurité informatique impliquent la propagation de virus. Des moyens techniquespeuvent en limiter la propagation (anti-virus) mais le facteur humain ou la conception dessystèmes peuvent faciliter leur diffusion.
Exemple : En mars 2009, le virus « Conficker » a infecté plusieurs millions d’ordinateurs et on comptait,parmi les cibles, un grand nombre d’établissements de santé en France.
� Vols externes. Le vol de données par des personnes extérieures peut se faire par uneentrée physique dans l’hôpital par exemple mais également à distance via Internet. Desfailles de sécurité dans les applications ou le réseau peuvent permettre à un hackerd’accéder aux données stockées sur les serveurs d’un établissement, de les subtiliser et,dans certains cas, de perturber le fonctionnement du SI.
� D’autres menaces existent : le vol interne, les dommages matériels intentionnels ounon, la défaillance de connexion Internet ; il faut aussi indiquer le bug d’un logiciel, lapanne d’un matériel informatique ou du réseau, qui peuvent conduire à un arrêt completdu système, si les mesures de sécurité sont inexistantes ou incomplètes
Exemples
� http://www.zataz.com/ransomware-dans-un-hopital-les-dossiers-des-patients-pris-en-otage/� http://archives.nicematin.com/nice/un-piratage-informatique-dejoue-au-chu-de-nice.1986813.html
67 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DEFINITIONS
� D, I, C
� Les représentants métiers (maîtrise d’ouvrage)• S’assure de la représentation exhaustive des actifs les plus sensibles du SI à ces critères• Confirme/infirme leur perception sur les besoins en Disponibilité, Intégrité, Confidentialité de
ces actifs sensibles
� Evènements redoutés
� Les représentants métiers et SI de l’établissement indique quels évènements sont à redouter dans la situation actuelle de leur SI
Exemple Données médecine du travail: Modification non désirée des données : le statut d’aptitude des employés pourrait être faussé avec toutes les conséquences possibles sur leur carrière et leur intégrité́ physique (licenciement, mauvais suivi des risques de santé, voire invalidité́ ou décès...)
� Source de menace
� Les représentants métiers et SI de l’établissement choisissent un type de menace (il est possible d’en ajouter)
� Vraisemblance/Gravité
� Les représentants métiers et SI de l’établissement évaluent selon des grilles définies
� Niveau de risque
� Il est calculé automatiquement selon une matrice (voir après)
68 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉFINITIONS : NIVEAU DE RISQUES
69 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TRAITEMENT DU RISQUE
� Traitement du risque: processus de sélection et de mise en œuvre visant à modifier le risque, ce qui signifie une réduction du risque, un transfert du risque ou une prise de risque.
� Réduction du risque: processus visant à minimiser les conséquences négatives et les opportunités d’une menace.
� Transfert de risque: partage avec une autre partie de la charge de la perte d’un risque particulier (souscription d’assurance par exemple)
� Evitement du risque : refus du risque
� Acceptation du risque: décision d’accepter un risque traité selon les critères de risques
70 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PAUSE-RÉFLEXION
Avez-vous des questions ?
71 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
72 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Gestion des risques
État des lieux –CLUSIF 2014
NormeISO/IEC27005
Définitions, métriques et illustrations
Méthodes d’analyse de
risques
MODULE N°4 : MÉTHODE D’ANALYSE DE RISQUES EBIOS
73 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRÉSENTATION DE LA MÉTHODE D’ANALYSE DE RISQUES EBIOS
ILLUSTRATIONS
PRÉSENTATION D’EBIOS
� Expression des besoins et identification des objectifs de sécurité� La méthode EBIOS
� créée en 1995 par le SCSSI ;
� acteur majeur de la gestion du risque en France ;
� aboutit à la version 2.0 en 2004 ;
� compatible avec la norme ISO/IEC 27002
� Méthode d’appréciation et de traitement des risques
� Peut être utilisée pour un système existant ou à concevoir
� Fournit une terminologie et des concepts communs
74 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FINALITÉS D’UNE ANALYSE DE RISQUES
75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRÉSENTATION DE LA MÉTHODE EBIOS
76 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
1.Étude du contexte
2. Etude des événements
redoutés
3. Étude des scénarios de
menaces
4. Etude des risques
5. Etude des mesures de
sécurité
EBIOS MODULE 1 : ETUDE DU CONTEXTE
Définir le cadre
77 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Cadrer l’étude des risques� Qu’est-ce qui est à l’origine de l’étude (motif, événement…) ? � Quel est l’objectif de l’étude (son but et les livrables attendus) ?� Comment organiser le travail (actions, rôles, charges…) ?
Décrire le contexte général� Que sait-on du contexte (externe et interne) ? � Comment les risques sont-ils gérés actuellement ?
Délimiter le périmètre de l’étude� Quelles sont les limites du périmètre étudié ? � Qui doit participer à l’étude ?
Identifier les paramètres à prendre en compte
� Quels sont les référentiels applicables ? � Quelles sont les contraintes qui pourraient impacter l’étude ?
Identifier les sources de menaces� Contre quels types de sources décide-t-on de se protéger ? � Quels sont les exemples illustratifs ?
EBIOS : SOURCES DE MENACES
78 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : MESURES EXISTANTES
79 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : ETUDE DU CONTEXTE
Préparer les métriques
80 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Définir les critères de sécurité et élaborer les échelles de besoins
� Quels critères de sécurité devront être étudiés (D, I, C…) ?� Quelle est la définition de chacun des critères retenus ?� Quelles échelles utilisera-t-on (ensemble des niveaux possibles) ?
Élaborer une échelle de niveaux de gravité
� Quelle échelle utilisera-t-on pour la gravité ?
Élaborer une échelle de niveaux de vraisemblance
� Quelle échelle utilisera-t-on pour la vraisemblance ?
Définir les critères de gestion des risques
� Sur quelles règles s’accorde-t-on pour gérer les risques (manière d’estimer, règles d’ordonnancement, critères d’évaluation…) ?
81 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CritèresDIC
Vraisemblance
EBIOS MODULE 1 : MÉTRIQUES SUR LES BESOINS DE SÉCURITÉ
EBIOS MODULE 1 : MÉTRIQUES SUR LES NIVEAUX DE GRAVITÉ
82 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ECHELLE DE NIVEAUX DE GRAVITÉ
Niveau Valeur Description
1 Limité
les personnes concernées pourraient connaître des désagrémentssignificatifs, qu’elles pourront surmonter malgré quelques difficultés(frais supplémentaires, refus d’accès à des prestations commerciales,peur, incompréhension, stress, affection physique mineure…).
2 Modéré
les personnes concernées pourraient connaître des conséquencessignificatives, qu’elles devraient pouvoir surmonter, mais avec desérieuses difficultés (détournements d’argent, interdiction bancaire,dégradation de biens, perte d’emploi, assignation en justice, aggravationde l’état de santé…).
3 Fort
les personnes concernées pourraient connaître des conséquencessignificatives, voire irrémédiables, qu’elles pourraient ne passurmonter (péril financier tel que des dettes importantes ou uneimpossibilité de travailler, affection psychologique ou physique de longuedurée, décès…).
EBIOS MODULE 1 : CRITÈRES DE GESTION DES RISQUES
83 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : ETUDE DU CONTEXTE
Identifier les biens
84 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Identifier les biens essentiels, leurs relations et leurs dépositaires
� Quels sont les informations et processus essentiels aux métiers ?� Quels sont les liens (inclusions, dépendances…) entre ces biens ?� Quel est le responsable de chacun de ces biens essentiels ?
Identifier les biens supports, leurs relations et leurs propriétaires
� Sur quoi reposent les biens essentiels (systèmes informatiques et de téléphonie, organisations, locaux) ?
� Quels sont les liens (inclusions, dépendances…) entre ces biens ?� Quel est le responsable de chacun de ces biens supports ?
Déterminer le lien entre les biens essentiels et les biens supports
� Quel est le lien entre chaque bien essentiel et bien support ?
Identifier les mesures de sécurité existantes
� Quels sont les mesures de sécurité mises en œuvre ou prévues ?� Sur quels biens supports reposent-elles ?
EBIOS MODULE 1 : IDENTIFIER LES BIENS
85 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : BIEN ESSENTIEL
Processus métiers
Processus essentiels Informations essentiels concern ées Dépositaires
Gestion des études
Créer des plans et calculer des structures
Dossier technique d'un projet Bureaud'étudesParamètres techniques (pour les
calculs de structure)Plan techniqueRésultat de calcul de structure
Responsable du Bureau des études
86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : SCHÉMA GÉNÉRAL DU SYSTÈME
87 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : BIEN SUPPORT
88 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : SYNTHÈSE DU MODULE 1
� Cadrer l’étude:� Décrire le contexte, définir le périmètre
� Sélectionner les sources de menaces retenues
� Préparer les métriques:� Définir les critères de sécurité (D, I, C, …)
� Définir les échelles
� Définir les critères de gestion des risques
� Identifier les biens:� Identifier les biens essentiels (immatériels)
� Identifier les biens supports (supportent les biens essentiels)
� Relier les biens essentiels aux biens supports via un tableau de croisement
� Identifier les mesures de sécurité existantes
89 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 2 : ETUDE DES ÉVÉNEMENTS REDOUTÉS
90 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Analyser tous les événements redoutés
� Quels sont les besoins de sécurité de chaque bien essentiel ?� Quelles sources de menaces peuvent les affecter ?� Quels seraient les impacts si l’événement se produisait ?� Quelle serait la gravité d’un tel événement ?
Évaluer chaque événement redouté � Quelle est la hiérarchie des événements redoutés identifiés ?
Quelles sont les craintes ?
EBIOS MODULE 2 : EVÈNEMENTS REDOUTÉS
91 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Evénement redouté : scénario avec un niveau de gravité donné, représentant unesituation crainte par un organisme. Il combine un bien essentiel et un critère de sécurité,assorti d’impact(s) potentiel(s), du besoin de sécurité et de source(s) de menace(s).
Exemple : un journaliste parvient à obtenir le budget prévisionnel de l’organisme, jugé confidentiel, etpublie l’information dans les media, portant atteinte à l’image de l’organisme et faisant chuter le cours enbourse.
Exemple : Un employé peu sérieux ou un concurrent atteint la confidentialité des informations liées au processus d’établissement des devis qui doit rester limitée aux personnels et partenaires. Cela provoquerait la perte d’un marché, une action en justice ou une perte de crédibilité. Cet événement redouté est jugé de gravité importante.
EBIOS MODULE 2 : APPRÉCIER LES ÉVÈNEMENTS REDOUTÉS
92 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE MENACES
93 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Analyser tous les scénarios de menaces
� Quelles menaces peuvent s’exercer sur chaque bien support ?� Quelles sources de menaces peuvent en être à l’origine ?� Quelles sont les vulnérabilités potentiellement utilisables ?� Y a-t-il des prérequis pour que la menace se réalise ?� Quelle est la vraisemblance des scénarios ?
Évaluer chaque scénario de menace � Quelle est la hiérarchie des scénarios de menaces identifiés ?
Comment cela peut-il arriver ?
EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE MENACES
Cette activité sélectionne les méthodes d'attaque pertinentes pour le système cible.
� Une méthodes d'attaque � est caractérisée par les critères de sécurité qu'elle peut affecter ;
� est associée à des éléments menaçants caractérisés par :
� leur type (naturel, humain ou environnemental) � leurs causes possibles (accidentelle, délibérée) ;
� a un potentiel d'attaque.
94 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 3 : SCÉNARIOS DE MENACES
� Analyse des menaces
95 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MAT : matériel, LOG : Logiciel, CAN : Canaux interpersonnels, PER : Personnes
EBIOS MODULE 3 : SCÉNARIOS DE MENACES
� Analyse des vulnérabilités
96 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 3 : SCÉNARIOS DE MENACES
97 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Scénario de menace : scénario, avec un niveau donné, décrivant des modes opératoires. Ilcombine, un bien support, un critère de sécurité, des sources de menaces susceptibles d’en êtreà l’origine, assorti des menaces et des vulnérabilités exploitables pour qu’elles se réalisent.
EBIOS MODULE 4 : ÉTUDE DE RISQUES
Apprécier les risques
98 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Analyser les risques
� Quels scénarios s’appliquent aux événements redoutés ?� Y a-t-il des mesures existantes pour traiter ces risques ?� Quelle est la gravité des risques ?� Quelle est la vraisemblance des risques ?
Évaluer les risques � Quelle est la hiérarchie des risques identifiés ?
EBIOS MODULE 4 : ÉTUDE DE RISQUES
99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 4 : ÉTUDE DE RISQUES
100 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Risque : scénario, avec un niveau donné, combinant un événement redouté et un ou plusieurs scénarios de menaces.
EBIOS MODULE 4 : ÉTUDE DE RISQUES
101 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Risque : scénario, avec un niveau donné,combinant un événement redouté et un ou plusieurs scénarios de menaces.
EBIOS MODULE 4 : ÉTUDE DE RISQUES
102
Risque(module 4)
Événement redouté(module 2)
Scénarios de menaces(module 3)
Bien essentiel(module 1)
Critère de sécurité(module 1)
Biens supports(module 1)
Tableau de croisement(module 1)
Sources de menaces(modules 1, 2 et 3)
Risque : scénario, avec un niveau donné, combinant un événement redouté et un ou plusieurs scénarios de menaces.
Gravité(module 2)
Vraisemblance(module 3)
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 4 : ÉTUDE DE RISQUES
� Éléments dimensionnant d’une étude de risques
103 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 4 : ÉTUDE DE RISQUES
104 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Choisir les options de traitement de chaque risque
� Comment choisit-on de traiter chaque risque (réduire, transférer, éviter, prendre) ?
Analyser les risques résiduels � Quels risques resteraient si les objectifs étaient satisfaits ?
Identifier les objectifs de sécurité
EBIOS MODULE 4 : ÉTUDE DE RISQUES
� Décisions� Evitement
� Réduction
� Prise
� Transfert
105 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 4 : ÉTUDE DE RISQUES
106 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 5 : ÉTUDE DES MESURES
107 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Formaliser les mesures de sécurité à mettre en œuvre
Déterminer les mesures de sécurité� Quelles mesures doivent être mise en place ?� Servent-elles à la prévention, la protection, ou la récupération ?� Sur quels biens supports reposent-elles ?
Analyser les risques résiduels� Quelles sont les nouvelles valeurs de gravité et vraisemblance ?� Quels sont les scénarios toujours possibles ?
Établir une déclaration d'applicabilité
� Les paramètres à prendre en compte ont-ils bien été traités ?
EBIOS MODULE 5 : ÉTUDE DES MESURES
108 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Mettre en œuvre les mesures de sécurité
Élaborer le plan d'action et suivre la réalisation des mesures de sécurité
� Comment planifie-t-on la mise en place des mesures ?� Qui pilote chaque action ?� Où en est la mise en place des mesures de sécurité ?
Analyser les risques résiduels� Quelles sont les nouvelles valeurs de gravité et vraisemblance ?� Quels sont les scénarios toujours possibles ?
Prononcer l'homologation de sécurité
� La manière dont les risques ont été gérés est-elle satisfaisante ?� Les risques résiduels sont-ils acceptables ?
Bien essentielInformation ou processus jugé comme important pour l'organisme. On appréciera ses besoins de sécurité mais pas ses vulnérabilités.Exemples : le dossier patient et les données médicales, les informations personnelles des
patients
Besoin de sécuritéDéfinition précise et non ambiguë du niveau d'exigences opérationnelles relatives à un bien essentiel pour un critère de sécurité donné (disponibilité, confidentialité, intégrité…). Exemples : les données médicales d’un patient ont un besoin de niveau de confidentialité
élevé.
ImpactConséquence directe ou indirecte de l'insatisfaction des besoins de sécurité sur l'organisme et/ou sur son environnement. Exemple : la divulgation externe de données patient peut
nuire gravement à l’image de l’établissement.
Evénement redoutéScénario générique présentant une situation crainte par un organisme. Il combine un bien
essentiel et un critère de sécurité, assorti d’impact(s) potentiel(s), du besoin de sécurité et de source(s) de menace(s).Exemple Données médecine du travail: Modifica�on non désirée des données : le statut
d’ap�tude des employés pourrait être faussé avec toutes les conséquences possibles sur leur
carrière et leur intégrité ́ physique (licenciement, mauvais suivi des risques de santé, voire
invalidité ́ou décès...)
Risque : scénario, avec un niveau donné,
combinant un événement redouté et un ou plusieurs scénarios de menaces.
GravitéEstimation de la hauteur des effets d’un événement redouté ou d’un risque. Elle représente les conséquences.Exemple : Négligeable : l’organisme surmontera les impacts sans difficultés.
Limitée : l’organisme surmontera les impacts malgré quelques difficultés.
Importante : l’organisme surmontera les impacts avec de sérieuses difficultés.
Critique : l’organisme ne surmontera pas les impacts, sa survie est menacée.
VraisemblanceEstimation de la possibilité qu’un scénario de menace ou un risque se produise. Elle représente la force d’occurrence.Exemple : Minime : cela ne devrait pas se (re)produire.
Significative : cela devrait se (re)produire un jour ou l’autre.
Forte : cela pourrait se reproduire.
Maximale : cela va certainement se reproduire.
Critère de sécuritéCaractéristique d'un bien essentiel permettant d'apprécier ses différents besoins de sécurité (disponibilité, confidentialité, intégrité…).
Source de menaceChose ou personne à l'origine de menaces. Elle peut notamment être caractérisée par son type (humain ou environnemental), par sa cause (accidentelle ou délibérée) et selon lecas par les ressources dont elle dispose - son expertise, sa motivation…
Bien supportBien sur lequel reposent des biens essentiels. On distinguenotamment les systèmes informatiques, les organisationset les locaux. On appréciera ses vulnérabilités mais pas sesbesoins de sécurité.
MenaceMoyen type utilisé par une source de menace.Exemples : écoute passive d’un canal informatique ou de
téléphonie ; modification d’un logiciel.
VulnérabilitéCaractéristique d'un bien support qui peut constituer unefaiblesse ou une faille au regard de la sécurité des systèmesd'information.
Scénario de menaceScénario, avec un niveau donné, décrivant des modesopératoires. Il combine, un bien support, un critère de
sécurité, des sources de menaces susceptibles d’en être àl’origine, assorti des menaces et des vulnérabilités
exploitables pour qu’elles se réalisent.Exemple : vol de supports ou de documents du fait de la
facilité de pénétrer dans les locaux.
109
MODULE N°4 : POLITIQUES DE SÉCURITÉ
110 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉFINITION D’UNE POLITIQUE CADRE ET DES POLITIQUES CIBLÉES DE SÉCURITÉ
EXEMPLES DE POLITIQUES DE SÉCURITÉ
NORMES DE SÉCURITÉ
NORMES 27001, 27002
POLITIQUE DE SÉCURITÉ
Politique de sécurité� Définition formelle de la position d'une entreprise en matière de sécurité.
« Ensemble des règles formelles auxquelles doivent se conformer les personnesautorisées à accéder à l’information et aux ressources d’une organisation »(RFC 2196)
Finalité d’une politique de sécurité ?� « Réduire les risques »� « Qu'est-ce qui est autorisé ? Qu'est-ce qui ne l'est pas ? »� « Définir les règles du jeu »� « Communiquer , faire accepter et faire respecter les règles du jeu »
111 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
POLITIQUE DE SÉCURITÉ
Composantes d’une politique de sécurité� Ensemble des principes juridiques, humains, organisationnels et techniques qu’il
est recommandé de mettre en œuvre pour créer, gérer, protéger le système d’information
Réussite de mise en œuvre d’une politique de sécurité� Implication forte de la direction
� En accord avec les directions fonctionnelles et les équipes techniques
� Analyse des risques pleinement étudiée
112 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
POLITIQUE DE SÉCURITÉ – CLUSIF 2014
113 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Les politiques de sécurité sont de trois types :– Communication– Informatique– Organisation
POLITIQUE DE SÉCURITÉ
114 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CLUSIF 2014
Les politiques de communication prennent les formes suivantes :– Sensibilisation (ex : guide de l’utilisateur, Page Intranet)– Responsabilisation (ex : élaboration de charte de sécurité)– Formations ciblées par métier
POLITIQUE DE SÉCURITÉ
115 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CLUSIF 2014
Les politiques touchant aux infrastructures informatiques s'articulent autour des thèmes suivants :
– Systèmes et réseaux sécurisés : organisation de la sécurité opérationnelle, architectures de sécurité, études de solutions techniques, mise en œuvre (intégration, administration, exploitation, supervision)
– Intégration de la sécurité dans la conduite de projets : définition méthode, actions menées sur tout le cycle conception – développement - intégration, clauses contractuelles avec les fournisseurs
POLITIQUE DE SÉCURITÉ
116 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
POLITIQUE DE SÉCURITÉ – CLUSIF 2014
117 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Les politiques touchant à l'organisation de la sécurité portent sur les aspects suivants :
– Structures, organigramme, comités de sécurité– Responsabilités, fonctions, fiches de mission– Management du changement– Plan de continuité d'activités, Plan de secours, Gestion de crise
POLITIQUE DE SÉCURITÉ
118 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EXEMPLES DE POLITIQUES DE SÉCURITÉ CIBLÉES
Politique d’authentification (gestion des comptes) Politique d’autorisation (gestion des habilitations)Politique de gestion de la continuité des services informatiquePolitique d’exploitation des applications et de gestion du réseauPolitique d’acquisition, développement et maintenance des applicationsPolitique d’intervention par des tiers externes pour le personnel informatiquePolitique de sécurité des ressources humainesPolitique de respect de la réglementation interne et externe
119 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EXEMPLE : POLITIQUE DE SÉCURITÉ GÉNÉRALE
120 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
NORMES DE SÉCURITÉ
121 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
NORMES ET CERTIFICATIONS DE SÉCURITÉ
Pourquoi s’inspirer des normes ou des recueils de meilleures pratiquesen matière de sécurité ?
� Avoir une approche structurée face à la complexité de la tâche
� s’assurer d’une certaine exhaustivité, cohérence et homogénéité dans sa démarche,� Avoir des éléments communs (vocabulaire, concepts, …) avec tous les intervenants
dans le projet : décideurs, utilisateurs, personnels de l’informatique, sous-traitants,fournisseurs, partenaires, etc.
� Bénéficier de l’expérience des meilleures pratiques (succès et erreurs dupassé)
� Se comparer aux meilleures pratiques du moment
� Référentiel de comparaison par rapport aux autres entreprises
122 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
POLITIQUE DE SÉCURITÉ ET NORMES – CLUSIF 2014
123 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• ISO-27001 : SMSI– Cycle de gestion de la SI dit « PDCA » PLAN-DO,CHECK-ACT de la roue de Deming– Référentiel pouvant être utilisé pour auditer et certifier le système de management de
la sécurité
• ISO-27002 : « Code de pratiques pour la gestion de la sécurité del'information »
– propose des recommandations pour assurer la sécurité de l'information, sous la formed'objectifs de contrôles ou de mesures de sécurité
– 114 mesures de sécurité réparties en 14 chapitres
Normes ISO 27001 et ISO 27002
124 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
NORMES ISO 27001 ET ISO 27002
� « ISO-27001 explique comment appliquer ISO-27002 »
125 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
126 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
� La norme ISO/IEC 27002:2013 constitue un code de bonnes pratiques. Elle est composée de 114 mesures de sécurité réparties en 14 chapitres couvrant les domaines organisationnels et techniques ci-contre.
� C’est en adressant l’ensemble de ces domaines que l’on peut avoir une approche globale de la sécurité des S.I.
d. Code de bonnes pratiques pour le management de la sécurité de l’information (27002)
Politique de sécurité de l’information
Organisation de la sécurité de l’information
Contrôle d'accès
Sécurité liée aux ressources humaines
Sécurité opérationnelle
Acquisition, dévpt. et maint. des SI
Sécurité physique et environnementale
Gestion des actifs
Conformité
Organisationnel
Opérationnel
Gestion de incidents liés à la sécurité de l’information
Gestion de la continuité de l’activité
Cryptographie
Sécurité des communications
Relations avec les fournisseurs
NORME ISO 27002
PAUSE-RÉFLEXION
Avez-vous des questions ?
127 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
128 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Définition d’une
politique de sécurité
3 types de politique de sécurité - exemples
Normes27001,27002
Normes de sécurité
MODULE N°6 : PLAN D’ACTION ET CONTRÔLES
129 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PLAN D’ACTION SÉCURITÉ ET BUDGET
AUDIT DE SÉCURITÉ FONCTIONNEL
AUDIT DE SÉCURITÉ TECHNIQUE
TABLEAU DE BORD SÉCURITÉ
PLAN D’ACTION SÉCURITÉ ET BUDGET
� Un plan d’actions peut découler :� d’une analyse de risques
� d’un audit de sécurité organisationnel ou technique
� Les objectifs de sécurité se déclinent en plan d’actions et projets :� Plan de continuité, protection des réseaux informatiques
� SSO (Single Sign On), VPN (Virtual Private Network), Messageriesécurisée …
130 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PLAN D’ACTION SÉCURITÉ ET BUDGET
131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Politique, procédures
Sécurité physique
DMZ
Réseau Interne
Machine
Application
DonnéeChiffrement, mots de passe, droit d’accès par fichier/répertoire
Contrôle des entrées, test d’intrusion, communication (https, ssh…), traçabilité…
Antivirus, Correctifs de sécurité, HIDS, Authentification
Sous-réseau, NIDS, VLAN…
Pare-feu, VPN, Zone démilitarisée…
Gardiens, verrous, contrôle d’accès…
Politique de sécurité, procédure de secours, sensibilisation…
EXEMPLES DE MESURES
� Mesures techniques� Solution de secours informatique
� Cloisonnement des réseaux et sécurisation de la télémaintenance
� Développement sécurisé d’application
� Contrôle d’accès logique des utilisateurs et des administrateurs systèmes
� Intégration de produits de sécurité
� Mesures organisationnelles� Intégration de la cyber sécurité dans le cycle de vie des projets industriels
� Spécification, Conception, développement, recette� Plan de maintenance et opérations associées
� Sécurité physique et contrôle des accès aux locaux
� Plan de continuité (mode dégradé de fonctionnement)
132 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
BUDGET SÉCURITÉ – SOURCE CLUSIF - 2014
133 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RSSI : Responsable Sécurité
BUDGET SÉCURITÉ – SOURCE CLUSIF 2014
134 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT DE SÉCURITÉ
� Un audit de sécurité permet d’évaluer le niveau de sécurité d’une entité à un moment donné.
� L’audit de sécurité positionne rapidement le niveau de sécurité de votre entreprise et identifie les chantiers prioritaires de sécurité du système d'information à mettre en œuvre.
� L’audit de sécurité se base sur des référentiels de sécurité telles que les normes ISO-27001 et ISO-27002.
135 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT DE SÉCURITÉ
� Audit organisationnel et technique pour garantir la cohérence
� Interviews des différents acteurs fonctionnels (DIRECTION, DRH, DAF, QUALITE,SERVICE JURIDIQUE…) et techniques du SI
� Audit du référentiel organisationnel (procédures, règles de sécurité, pratiques)� Audit du référentiel technique (existence de systèmes de sécurité, redondance,
sauvegarde, etc…)� Basé sur une approche normative ISO 27002 – ISO 27001� Avantage - Positionnement rapide du niveau de sécurité par rapport à un
référentiel
136 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
137 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DIFFÉRENTS TYPES D’AUDIT TECHNIQUES
AUDIT TECHNIQUE : TESTS INTRUSIFS
� Objectifs des tests d’intrusions� Stigmatiser les aspects techniques� Matérialiser les vulnérabilités identifiées lors de l’audit.� Référentiels : OWASP, OSSTMM
� Accord entre un prestataire et une société sur :� Un périmètre d’action : les serveurs, les sous-réseaux, équipements et/ou applications
concernées� Une période de temps : durée de l’autorisation des tests d’intrusion.� Une limite de tests : pas de perturbation de la production ni de corruption de données.
� Focus sur les aspects juridiques� Objet du contrat d’audit : entre obligations et responsabilités
� La licéité de l’exécution de la prestation d’audit
� Les risques inhérents à l’audit
� La confidentialité
138 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TABLEAU DE BORD SÉCURITÉ
� Indicateurs stratégiques : Exposition aux risques (identifiés lors de l’analyse de risque), � Pour le niveau stratégique, la mise en place d'un tableau de bord SSI permet :
� de suivre l'application de la politique de sécurité,
� d'établir des comparaisons avec d'autres organismes,
� de préparer les choix de mise en place des ressources (définition de priorités, réévaluation de la menace et du risque).
� Indicateurs de pilotage : Respect de la politique de sécurité et de la charte utilisateur, � Pour le niveau de pilotage, la mise en place d'un tableau de bord SSI permet :
� de contrôler la réalisation des objectifs par le niveau opérationnel,
� d'améliorer la qualité de service.
� Indicateurs opérationnels : Mesure du niveau « réel » de sécurité. � Pour le niveau opérationnel, la mise en place d'un tableau de bord SSI permet :
� de préciser les besoins opérationnels à mettre en œuvre,
� de mesurer la production et les efforts entrepris pour atteindre les objectifs visés en matière de production,
� de motiver et dynamiser les équipes.
139 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TABLEAU DE BORD SÉCURITÉ
140 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TABLEAU DE BORD SÉCURITÉ
141 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TABLEAU DE BORD SÉCURITÉ
142 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TABLEAU DE BORD SÉCURITÉ
143 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TABLEAU DE BORD SÉCURITÉ
144 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PAUSE-RÉFLEXION
Avez-vous des questions ?
145 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
146 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Plan d’action sécurité Budget
Tests intrusifsAudits de sécurité
Tableau de bord Sécurité
POUR ALLER PLUS LOIN
� Livres
� Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti (Auteur) édition DUNOD
� Management de la sécurité de l'information. Implémentation ISO 27001 Broché – 1 mars 2012 d’Alexandre Fernandez-Toro (Auteur), Hervé Schauer (Préface)
� La fonction RSSI - Guide des pratiques et retours d'expérience - 2 e éditions Brochées – 9 février 2011 de Bernard Foray (Auteur)
� La sécurité du système d'information des établissements de santé Broché – 31 mai 2012 de Cédric Cartau (Auteur)
� Magazine
� http://boutique.ed-diamond.com/ (revue MISC)
� Web
� www.ssi.gouv.fr – Sécurité des systèmes industriels� Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr� www.clusif.fr
147 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés147 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIN DU VOLET
MERCI POUR VOTRE ATTENTION
148 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
top related