Politique de sécurité Introduction Sylvain Maret Février 2002 Version 1.0

Politique de sécurité: introduction Protection des biens informatiques de l’entreprise ( S ystème d’ I nformation) Intégrité des informations Confidentialité des informations Disponibilité Deux type de documents Politique générale et spécifique Procédures, standards et guides

Protection des biens informatiques de l’entreprise ( S ystème d’ I nformation)

Intégrité des informations

Confidentialité des informations

Disponibilité

Deux type de documents

Politique générale et spécifique

Procédures, standards et guides

Les 7 éléments de la politique de sécurité Doit supporter la mission de l’entreprise Doit être un élément intégral du management de l’entreprise Doit être rentable (ROI) Responsabilités doivent êtres définies de manière explicite Sécurité informatique demande une approche compréhensible et intégré au SI Sécurité informatique doit être ré-évaluée périodiquement Sécurité informatique doit tenir compte des facteurs sociaux et humains

Doit supporter la mission de l’entreprise

Doit être un élément intégral du management de l’entreprise

Doit être rentable (ROI)

Responsabilités doivent êtres définies de manière explicite

Sécurité informatique demande une approche compréhensible et intégré au SI

Sécurité informatique doit être ré-évaluée périodiquement

Sécurité informatique doit tenir compte des facteurs sociaux et humains

Politique générale Stratégie de « haut niveau » pour protéger le SI Définition complète des biens et des ressources de l’entreprise à protéger Catégorisation des données Définition des applications majeures et/ou critiques Définition des systèmes informatiques majeures et/ou critiques Définition des responsabilités et des rôles Documents très stables dans le temps

Stratégie de « haut niveau » pour protéger le SI

Définition complète des biens et des ressources de l’entreprise à protéger

Catégorisation des données

Définition des applications majeures et/ou critiques

Définition des systèmes informatiques majeures et/ou critiques

Définition des responsabilités et des rôles

Documents très stables dans le temps

Politique générale: catégorisation des données Catégorisation des données produites ou traitées par l’entreprise Sensibles aux pertes Sensibles à la confidentialité 4 catégories de données Sensibles Confidentielles Privées Publiques

Catégorisation des données produites ou traitées par l’entreprise

Sensibles aux pertes

Sensibles à la confidentialité

4 catégories de données

Sensibles

Confidentielles

Privées

Publiques

Politique générale: définition des applications majeures ou critiques Catégorisation des applications informatiques critiques pour le bon fonctionnement de l’entreprise Support de la mission de l’entreprise Exemples ERP Système de production Etc.

Catégorisation des applications informatiques critiques pour le bon fonctionnement de l’entreprise

Support de la mission de l’entreprise

Exemples

ERP

Système de production

Etc.

Politique générale: définition des systèmes informatiques Catégorisation des systèmes informatiques pour le bon fonctionnement de l’entreprise Les systèmes Réseaux Télécomunications Serveurs Etc.

Catégorisation des systèmes informatiques pour le bon fonctionnement de l’entreprise

Les systèmes

Réseaux

Télécomunications

Serveurs

Etc.

Personnes impliqués Direction Responsable sécurité Directeur informatique Ingénieurs systèmes, réseaux et sécurité Fournisseurs de technologies Architectes et chefs de projets Consultants, externes, etc. Utilisateurs

Direction

Responsable sécurité

Directeur informatique

Ingénieurs systèmes, réseaux et sécurité

Fournisseurs de technologies

Architectes et chefs de projets

Consultants, externes, etc.

Utilisateurs

Politique spécifique Compléments à la politique de sécurité générale Accès à l’internet URL Filtering Email Nouvelles technologies Palm, GSM, etc.

Compléments à la politique de sécurité générale

Accès à l’internet

URL Filtering

Email

Nouvelles technologies

Palm, GSM, etc.

Procédures, standards et guides Décrit comment la politique de sécurité est implémentée dans l’entreprise Les standards et les guides Technologies utilisées Méthodes pour sécuriser le SI Les Procédures Méthode pour l’opérationel Backup, création de compte, accounting, etc. Documents très dynamiques

Décrit comment la politique de sécurité est implémentée dans l’entreprise

Les standards et les guides

Technologies utilisées

Méthodes pour sécuriser le SI

Les Procédures

Méthode pour l’opérationel

Backup, création de compte, accounting, etc.

Documents très dynamiques

Exemple de champ d’application Identification et authentification Politique de backup Politique Virus Politique accès Internet Politique Laptop Politique d’encryption Politique Remote Access Etc.

Identification et authentification

Politique de backup

Politique Virus

Politique accès Internet

Politique Laptop

Politique d’encryption

Politique Remote Access

Etc.

Questions?

Pour plus d’informations e-Xpert Solutions SA Sylvain Maret Route de Pré-Marais 29 CH-1233 Bernex / Genève +41 22 727 05 55 [email_address]