Presentation club qualite
Upcoming SlideShare
Loading in...5
×
 

Presentation club qualite

on

  • 1,888 views

 

Statistics

Views

Total Views
1,888
Views on SlideShare
1,802
Embed Views
86

Actions

Likes
2
Downloads
75
Comments
0

2 Embeds 86

http://claudesuper.com 54
http://infgov.net 32

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

CC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike LicenseCC Attribution-NonCommercial-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Presentation club qualite Presentation club qualite Presentation Transcript

  • Cette action est financée par : Sécurité de l'information : politiques et stratégies du calcul du risque à l'opportunité organisationnelle CLUB QUALITE
    • Créé à l'initiative du Conseil Général de la Drôme, des Chambres Consulaires de la Drôme et du CRITT Drôme-Ardèche
    • Centre de ressources, d'échanges et de soutien aux projets de développement territorial des TIC
    • Espace de prospective et de mutualisation à destination des entreprises, collectivités et associations
    Favoriser l'appropriation des technologies de l'information par tous LE PÔLE NUMERIQUE
  • Les enjeux de la sécurité
    • Si l'information à une valeur intrinsèque, c'est dans son échange et son partage qu'elle développe cette valeur
    • L'information acquiert de la valeur quand elle aide les collaborateurs à agir plus efficacement lorsqu'ils cherchent à réaliser les objectifs assignés par l'entreprise
    L'information est le sang de l'entreprise VALEUR DE L'INFORMATION 1
  • Formes de la valeur de l'information
    • Connaissance de l'environnement économique de l'entreprise (clients, fournisseurs, concurrents, partenaires ...)
    • Base de données de l'entreprise
    • Connaissances et savoirs du personnels : capital humain
    • Les brevets, les méthodes ...
    VALEUR DE L'INFORMATION Difficilement estimable de manière comptable, la perte ou le vol d'information peuvent affaiblir considérablement une entreprise 2
  • QUELQUES CHIFFRES 15% Information sensible 5% Information stratégique 80% information divulguable 80 % de l'effort en matière de sécurité (budget, ressources) doît être consacré à sécuriser les 20 % de données qui contiennent 80 % de l'information stratégique de l'entreprise
  • QUELLES MENACES ? Causes de perte de données les plus fréquentes en entreprise Source : observatoire des usages TIC – ENE 2008 20 % externe – 80% interne dont 80% négligence et 20% intentionnel
  • Impact d'un dysfonctionnement de son SI :
    • Quelle est la quantité maximale d'informations qui peut-être perdue sans compromettre l'activité de l'entreprise ?
    • Quel est le délai maximum de reprise d'activité acceptable sans menacer le fonctionnement de la société ?
    QUEL IMPACT ?
    • Comprendre et gérer les risques
    • Organiser un projet de sécurité
    • S'appuyer sur des normes et des méthodes
    • Identifier les coûts et les gains
    SECURITE & MANAGEMENT La sécurité : 80% d'organisation - 20% de technologie
  • Politique de sécurité les grands principes
    • Garantir la continuité de l'activité de l'entreprise
    • Répondre aux exigences clients en matière de sécurité
    • Faciliter l'accès au marché de l'assurance
    • Limiter la judiciarisation (charte des droits et devoirs des salariés …)
    • Préserver la notoriété de l'entreprise
    LES OBJECTIFS
    • La SSI repose sur trois finalités :
    • L'intégrité du SI : s'assurer du bon fonctionnement, de l'exactitude des données et de leur intégrité
    • La confidentialité du SI : s'assurer que seules les personnes autorisées ont accès aux données
    • La disponibilité du SI : s'assurer que les ressources (ordinateurs, réseaux, périphériques, applications) sont accessibles au moment voulu par les personnes autorisées
    FINALITE L'information de l'entreprise est un actif comme les autres
  • LES ACTIFS INFORMATIONNELS Actifs d'informations: Fichiers de données, bases de données, procédures et manuels utilisateurs, archives ... Actifs physiques: Serveurs informatiques, PC, portables, matériels de communication, PABX, unités de climatisation ... Actifs applicatifs: Progiciels, logiciels spécifiques, systèmes d'exploitation, outils de développement, utilitaires ... Actifs liés à la fourniture de servcies: Services informatique et de communication, services généraux (alimentation électricité ...)
  • SMSI - Système de Management de la Sécurité de l'Information
    • Éléments documentaires (politiques, description objectifs ...)
    • Description de la méthode d'analyse des risques utilisée
    • Les processus impliqués dans la mise en œuvre
    • Les responsabilités relatives à la sécurité de l'information
    • Ressources nécessaires à la mise en œuvre
    • Les activités relatives à la sécurité de l'information
    • Les enregistrements issus des activités relatives à la sécurité de l'information
    • Les relevés de mesures prises sur les processus
    • Les actions relatives à l'amélioration de la sécurité de l'information
    Ensemble d'éléments permettant d'établir une politique et des objectifs en matière de sécurité de l'information, d'appliquer cette politique, d'atteindre les objectifs et d'en contrôler l'efficacité
    • Processus cyclique en 4 étapes :
    • Recenser les opérations critiques, essentiels à la survie de l'entreprise : Bilan d'Impact sur les Activités (BIA)
    • Choix de stratégies permettant le maintien de l'exécution des opérations critiques
    • Mise en œuvre de la réponse : plan de continuité d'activité, plan de secours techniques, plan de gestion de crise
    • Tester, auditer et maintenir
    GESTION DE CONTINUITE D'ACTIVITE
    • Définition des exigences de l'entreprise en fonctions des risques et menaces - durée d'indisponibilité par activité - processus prioritaire à redémarrer - moyens existants
    • Conception des solutions de prévention et du plan de secours
    • Mise en œuvre des mesures retenues et l'organisation d'un plan de crise
    • Processus de maintien du plan en conditions opérationnelles
    PLAN DE REPRISE D'ACTIVITE
  • Analyse et Gestion des risques
  • CLASSIFICATION DES RISQUES Fraude des employés Imconpétence Grêves Absences Indisponibilité des systèmes Erreurs de programmation Faille de sécurité Risque politique Absence de respect de la réglementation Attaques externes Catastrophes naturelles Défaillance de sous-traitants Erreurs manuelles Processus clés non maîtrisé Personnes Systèmes Eléments externes Processus Risque opérationnel
  • AXES D'ANALYSE DES RISQUES Impact métier Probabilité de réalisation Criticité pour le SI Détectabilité
  • GESTION DU RISQUE Évitement ou contournement Transfert Réduction Acceptation Risque Ex : ne pas faire l'activité à risque Ex : assurances Ex : mesure de sécurité Insupportable - Inacceptable - Tolérable - Insignifiant
  • METHODES D'ANALYSE Méthode quantitative Méthode qualitative Méthode avec base de connaissances Méhari - Risicare oui oui oui Octave (PME) oui oui CRAM VS oui oui Buddy Systems oui Cobra (ISO 17799) oui
    • ISO 27000 séries de normes
    • ISO 17799 Code de bonnes pratiques
    • ISO 13335 TR (rapports techniques) Guide de la sécurité
    • ISO 15408 Critère d'évaluation des risques
    • ...
    SECURITE & NORMES ISO
    • Les limites :
    • Faible prise en compte du contexte de l'entreprise
    • Périodicité de mise à jour vs évolution de l'informatique
  • Gestion opérationnelle
  • Une politique de sécurité ne repose pas uniquement sur des solutions matérielles. L'humain est un facteur déterminant dans la mise en place et le respect d'une telle politique RSSI ≠ DSI LE FACTEUR HUMAIN
    • Une organisation dans l'entreprise
    • Des processus et des ressources associées
    • Des contrôles et une méthode d'organisation
    • Des processus de révision : corriger les non-conformités, analyse et mise en œuvre des axes d'amélioration
    SYSTEME DE MANAGEMENT => Méthode Plan Do Check Act
    • Décliné en trois niveaux :
    • Opérationnel : indicateurs de disponibilités et de mise à niveau des services
    • Pilotage : avancement de la mise en œuvre
    • Décisionnel : vision synthétique pour la direction
    TABLEAUX DE BORD
    • Intégrer la protection du SI dans la communication globale de l'entreprise
    • Sensibiliser, informer, impliquer et responsabiliser le personnel à tous les niveaux
    • Assurer le responsable sécurité du soutien de la hiérarchie
    • Éviter que l'entreprise attende les problèmes pour réagir, il est souvent trop tard
    • Mettre en place des solutions réalistes et adaptées en fonction des risques encourus par l'entreprise
    LES POINTS CLES
  • LES FREINS
  • Cette création est mise à disposition selon le Contrat Attribution-NonCommercial 2.0 France disponible en ligne http://creativecommons.org/licenses/by-nc/2.0/fr/ ou par courrier postal à Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA. En citant « Source Pôle Numérique » pour toutes reprises intégrales ou « Librement inspiré des travaux du Pôle Numérique » en cas de modification