Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Gouvernance de la sécurite des Systèmes d'Information Volet-1

2,029 views

Published on

Gouvernance de la sécurité des Systèmes d'Information Volet-

Published in: Education
  • Be the first to comment

Gouvernance de la sécurite des Systèmes d'Information Volet-1

  1. 1. VOLET 1 1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  2. 2. SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION Philippe PRESTIGIACOMO - Dirigeant de PRONETIS Consultant SSI – Lead Auditor 27001 / Risk Manager 27005 Membre du GREPSSI, OWASP Formation en enseignement supérieur (PolyTech’Marseille, CNAM, Luminy) PRONETIS – www.pronetis.fr Société indépendante spécialisée en SSI Audit – Conseil – Formation – Lutte contre la fraude informatique 2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  3. 3. AGENDA VOLET I Module N°1 : Rappels Quelques chiffres - Statistiques Système d’information industriel – état des lieux Problématiques spécifiques des SI industriels Domaines d’exploitation – Impacts majeurs Évolution de la sécurité Module N°2 : Management de la sécurité Périmètre de la sécurité et les axes stratégiques Système de management de la sécurité Norme ISO 27001 Fonction RSSI : Rôles et missions – Positionnement Difficultés de la sécurité des systèmes d’information Module N°3 : Gestion des risques Gestion des risques - État des lieux Définitions, métriques et illustrations Module N°4 : Méthode EBIOS - Exemple Méthode EBIOS étape par étape Illustration avec une étude de cas 3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Module N°5 : Politique de sécurité Définition d’une politique cadre et des politiques ciblées de sécurité Exemples de politiques de sécurité Normes de sécurité - Normes 27001, 27002 Module N°6 : Plan d’action et contrôles Plan d’action sécurité et budget Audit de sécurité fonctionnel et technique Tableau de bord sécurité Pour aller plus loin Livre Magazine Articles - Web
  4. 4. TRAVAIL PERSONNEL Sécurité informatique et réseaux - 4eme édition Ghernaouti Lecture des chapitres suivants Chapitre 1 Principes de sécurité : 1.1, 1.2, 1.3 Chapitre 2 Cybercriminalité : 2.5, 2.6 Chapitre 3 Gouvernance et Stratégie : 3.1 à 3,6 Chapitre 4 Politique de Sécurité : 4.1 à 4,4, 4.6, 4.7 4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  5. 5. MODULE N°1 : RAPPELS 5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés QUELQUES CHIFFRES – STATISTIQUES CLUSIF DÉFINITION DU SYSTÈME D’INFORMATION INDUSTRIEL CARACTÉRISTIQUES ET VULNÉRABILITÉS DES SI INDUSTRIELS DOMAINES D’EXPLOITATION ACTEURS DU SYSTÈME D’INFORMATION IMPACTS MAJEURS VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  6. 6. 6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés CONTEXTE
  7. 7. CYBER-ATTAQUES INDUSTRIELLES Piratage du système d’adduction d’eau de Springfield Attaque sur différents gazoducs aux états unis en 2012 - Attaque provenant d’un malware en pièce jointe d’un mail En 2012, Cyber attaque de la centrale nucléaire Three Mile Island au niveau du système de contrôle commande des pompes de refroidissement En 2013, cyber attaque d’un réseau ferroviaire aux états unis occasionnant de nombreux retards. 7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés http://securid.novaclic.com/cyber-securite-industrielle/cyberloup.html
  8. 8. SYSTÈME D’INFORMATION INDUSTRIEL Les systèmes d’automatisme ou systèmes de contrôle industriel sont utilisés pour de multiples applications Usine classique : chimie, agro, automobile, pharma, production d’énergie… Sites plus vastes : traitement de l’eau, des réseaux de transport… Gestion de bâtiment (aéroport, hôpitaux…) Propulsion de navire Santé : biomédicale, laboratoire d’analyse … Les systèmes industriels contrôlent les infrastructures critiques depuis les réseaux électriques au traitement de l'eau, de l'industrie chimique aux transports. Ils sont présents partout. 8 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  9. 9. CARACTÉRISTIQUES DES SYSTÈMES INDUSTRIELS Disponibilité : « temps réel », contraintes de sûreté de fonctionnement (SdF) , disponibilité 24/7 Environnement physique : ateliers de production : poussière, température, vibrations, électromagnétisme, produits nocifs à proximité, environnement extérieur, etc. Durée de vie des équipements : plus de 10 ans (parfois 30 ou 40 ans) Multiples technologies et fournisseurs : la grande durée de vie des installations conduit à une « superposition » des vagues technologiques successives sur un même site entrainant un phénomène d’obsolescence des matériels et logiciels. Couvertures géographiques : dans des entrepôts, des usines, sur la voie publique, dans la campagne (stations de pompage, sous-stations électriques, etc.), des lieux isolés, en mer, dans l’air et dans l’espace Effets indésirables de la mise en œuvre de la sécurité Télémaintenance : accès à distance sur les automates Culture sécurité : automaticiens, instrumentistes électrotechniciens, spécialistes en génie du procédé 9 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La sécurisation des systèmes industriels passent par la compréhension de leurs spécificités et de leurs contraintes
  10. 10. ARCHITECTURE TYPIQUE 10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Combinaison du monde industriel avec le monde informatique
  11. 11. VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS Vulnérabilités intrinsèques aux systèmes industriels Peu de prise en compte de la sécurité lors des phases de conception, d’installation, d’exploitation et de maintenance Automates et composants industriels en production avec des configurations par défauts et mots de passe par défaut Informations accessibles – les manuels techniques sont disponibles assez facilement- avec les mots de passe par défaut. Une culture et une expérience des opérationnels différentes du monde informatique : Connexion à l’Internet et ignorance de la menace extérieure Des opérateurs non formés à la sécurité informatique 11 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  12. 12. CE QUE L’ON OBSERVE SUR LE TERRAIN 12 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Personnel non sensibilité Aux enjeux / risques Virus – erreur de donnéesMauvaise configuration Pare-feu & intrusion Console de programmation Infectée – modification application API Virus – envoi aléatoire de requêtes Modbus Mot de passe Admin par défaut OS API Non à jour Opérateurs de maintenance non formés Pas de cartographie des flux API Clé USB infecté
  13. 13. STATISTIQUES CLUSIF 2014 13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  14. 14. STATISTIQUES CLUSIF 2014 14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  15. 15. DOMAINES D’EXPLOITATION Industrie Transports Energie Défense 15 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  16. 16. 16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés LE SYSTÈME D’INFORMATION (S.I.) Le S.I. doit permettre et faciliter la mission de l’organisation La sécurité du S.I. consiste donc à assurer la sécurité de l’ensemble de ces biens. Le système d’information (S.I.) d’une organisation contient un ensemble d’actifs : personnesite matériel réseau logiciel organisation actifs primordiaux actifs supports processus métiers et informations ISO/IEC 27005:2008
  17. 17. VUE DE QUELQUES ACTEURS DU SYSTÈME D’INFORMATION Entreprise LAN / station de travail Environnement Informatique et télécom Equipements de sécurité Fournisseur d’accès Fournisseurs de services - Opérateurs Télécom - Hébergeurs, - Paiement sécurisé, - Sites de sauvegarde et secours Environnement Général : EDF Intervenants en amont dans la conception et la réalisation des environnements Personnel Serveurs Prestataires de services infogérance 17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  18. 18. 18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La sécurité a pour objectif de réduire les risques pesant sur le système d’information, pour limiter leurs impacts LA SÉCURITÉ INFORMATIQUE Impacts financiers Interruption de la production Modification des paramètres de fabrication Impacts juridiques et réglementaires Impacts organisationnels Impacts sur l’image et la réputation Sécurité des S.I. Dommages matériels et/ou corporels Responsabilité civil ou pénale Impact environnemental Pollution du site de production et de l’environnement
  19. 19. VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ 19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Anti-virus • Anti-Spyware, • Anti-rootkids • … • Détecter les vulnérabilités • Appliquer les Correctifs • Sondes IDS • Analyse des traces •Supervision, Veille, •Surveillance • Firewall • Compartimenter le réseau et les systèmes • Sécuriser et certifier les échanges (VPN / Mails chiffrés) • Former et sensibiliser les utilisateurs • Consignes en cas d’attaque ou de doutes • Mise en œuvre de procédures de sécurité • Plan de continuité •Sauvegarde et protection des supports •Redondance des systèmes • Classifier les données • Analyse de risques • Protéger des données • Accès restrictifs Gestion de la sécurité (non exhaustif) Données •Protéger et isoler les réseaux sans fil
  20. 20. ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION 20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Source : Denis Virole Telindus et Jean-Louis Brunel
  21. 21. DÉCLINAISON DES BONNES PRATIQUES 21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Source : Jean-Louis Brunel Détection d’intrusion Centralisation des logs Audit / Tests intrusifs Cours 3A Cours 4A
  22. 22. APPROCHE SÉCURITÉ Difficultés d’appliquer les standards de sécurité des systèmes d’information de gestion Une approche différente à construire pour les systèmes d’information industriels « tout en adaptant les recettes existantes de sécurité » La gestion du risque, la maîtrise des techniques de sécurisation deviennent des compétences indispensables pour les entreprises dans les secteurs industriels. 22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  23. 23. PAUSE-RÉFLEXION Avez-vous des questions ? 23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  24. 24. RÉSUMÉ DU MODULE 24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Chiffres Statistiques Caractéristiques des SI Industriels Vulnérabilités des SI Industriels Domaines d’exploitation Impacts majeurs Évolution de la sécurité des SI SI : Systèmes d’Information
  25. 25. MODULE N°2 : MANAGEMENT DE LA SÉCURITÉ 25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés PÉRIMÈTRE DE LA SÉCURITÉ ET LES AXES STRATÉGIQUES SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ - PDCA -27001 FONCTION RSSI : RÔLES ET MISSIONS - POSITIONNEMENT DIFFICULTÉS DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  26. 26. Concevoir et manager un dispositif de sécurité adapté nécessite : – Une bonne connaissance / évaluation des risques – Une approche globale et transversale faisant interagir les fonctions Direction Générale, Direction de la Sécurité des Systèmes d'Information, Direction du Contrôle Interne et Direction de l'Audit – Un modèle de conception dynamique qui intègre l’ évolution des architectures et des menaces. Une problématique complexe PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ 26 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le SMSI (Système de Management de la Sécurité de l’Information) doit être cohérent avec les objectifs métiers de l’organisme et cohérent avec le système de management de la qualité
  27. 27. La sécurité du SI doit être abordée d’une manière globale avec une volonté affichée et un appui de la direction Les seules réponses techniques à la problématique sécurité sont insuffisantes si elles ne sont pas sous-tendues par une approche structurée intégrant les composantes : Stratégique Économique Organisationnelle Humaine 27 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ Les priorités portent désormais davantage sur les aspects d’organisation et de management.
  28. 28. SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION - SMSI Norme ISO-27001 28 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  29. 29. SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION - SMSI Norme ISO-27001 29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  30. 30. SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION - SMSI 30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  31. 31. Phase PLAN - Fixer des objectifs et des plans d'actions Identification des actifs ou des biens ; Analyse de risques ; Choisir le périmètre Phase DO - Mise en œuvre et exploitation des mesures et de la politique Établir un plan de traitement des risques ; Déployer les mesures de sécurité ; Former et sensibiliser les personnels ; Détecter les incidents en continu pour réagir rapidement. SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION : SMSI 31 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  32. 32. Phase CHECK - Mesurer les résultats issus des actions mises en œuvre Audits internes de conformité et d’efficacité du SMSI (ponctuels et planifiés) ; Réexaminer l’adéquation de la politique SSI avec son environnement ; Suivre l'efficacité des mesures et la conformité du système ; Suivre les risques résiduels. Phase ACT Planifier et suivre les actions correctrices et préventives SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION : SMSI 32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  33. 33. SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION : SMSI 33 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  34. 34. MÉTIERS EN CYBER SÉCURITÉ 34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La cybersécurité est transverse à toute activité qui requiert de l’informatique et des réseaux de télécommunications, de la TPE à la multinationale, dans le domaine privé ou public. Exploitants Administrateurs Techniciens supports Direction systèmes d’information et télécom Responsable SSI - RSSI : gouvernance et gestion de crise Etudes et services d’ingénierie MOA/MOE Ingénieurs d’étude SSI : analyse de risque, politique de sécurité, audit Opérationnels SSI : intégration, configuration, administration, supervision et réaction Positionnement des métiers au sein des organisations Fonctions
  35. 35. MÉTIERS EN CYBER SÉCURITÉ 35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Gouvernance de la sécuritéGouvernance de la sécurité Les métiers se répartissent dans le cycle de vie d’un projet depuis l’expression de besoin jusqu’au retrait de l’exploitation sous la responsabilité de la gouvernance globale de l’organisation. Exploitation / maintien de condition de sécurité Validation / audit organisationnel / test intrusion Expression de besoin / maitrise d’ouvrage (MOA) Conception d’architecture / maitrise d’œuvre (MOE) Développement logiciel ou composant matériel veille des vulnérabilités / analyse forensics Intégration de produit / déploiement d’architecture Cartographie des métiers et compétence en SSI
  36. 36. MÉTIERS EN CYBER SÉCURITÉ 36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés b. Cartographie des métiers et compétence en SSI Étude Exploitation / Maintenance Gestion des incidents, des crises MétiersPhases Implémentation, déploiement Conception Auditeur organisationnel Auditeur technique RSSI, Technicien support Investigateur numérique Ingénieur de sécurité, architecte de sécurité, développeur de sécurité, Consultant Analyste dans un SOC
  37. 37. LA FONCTION DE RSSI Définition des principes ou règles applicables Coordination des actions Animation du réseau de correspondants Evaluation régulière du niveau de sécurité Intégration de la sécurité dans les projets Evaluation des risques Veille sécuritaire Surveillance – gestion des incidents Promotion de la politique de sécurité Coordination des actions de sensibilisation Conseil en matière de sécurité 37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  38. 38. ORGANISATION DE LA SÉCURITÉ 38 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  39. 39. RÉMUNÉRATION DU RSSI (analyse effectuée 2009 - Assises de la sécurité) Une répartition des salaires qui varie peu avec un salaire moyen quasi stable à 73,8 k€ contre 73,4 k€ en 2008. 39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés SOURCE ZDNET 2011 68K€ pour un RSSI avec 5 à 8 ans d'expérience soit 4.533 € net par mois. 85K€ de salaire moyen entre 10 et 15 ans d'expérience soit 5.666 € net par mois … et plus de 100K€ au-delà de 15 ans d'expérience.
  40. 40. FREINS A LA SECURITE : CLUSIF 2014 40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le premier frein principal reste le manque de moyens budgétaires
  41. 41. LES DIFFICULTÉS DE LA SÉCURITÉ Les usagers ont des besoins spécifiques en sécurité informatique, mais en général ils ont aucune expertise dans le domaine L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de comprendre ses besoins et de mettre en œuvre les moyens adéquates Performance et confort d’utilisation Versus Sécurité Les mécanismes de sécurité consomment des ressources additionnelles La sécurité interfère avec les habitudes de travail des usagers Ouverture vers le monde extérieur en constante progression Les frontières de l’entreprise sont virtuelles ex : télémaintenance PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés41
  42. 42. LES DIFFICULTÉS DE LA SÉCURITÉ Centre de coût versus centre de profit La justification des dépenses en matière de sécurité n’est pas évidente Le retour sur investissement en sécurité est un exercice parfois difficile La sécurité n’est pas une fin en soi mais résulte d’un compromis entre : - un besoin de protection ; - le besoin opérationnel qui prime sur la sécurité (coopérations, interconnexions…) - les fonctionnalités toujours plus tentantes offertes par les technologies (sans fil, VoIP…) - un besoin de mobilité (technologies mobiles…) - des ressources financières et des limitations techniques PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés42
  43. 43. LA SÉCURITÉ EST UN PROCESSUS CONTINU La sécurité ne se met pas en œuvre en une seule fois Elle fait partie intégrante du cycle de vie du système Il s’agit d’un processus itératif qui n’est jamais fini et doit être corrigé et testé régulièrement La sécurité n’est pas une activité ponctuelle : PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés43 « La sécurité absolue est inatteignable, c’est un voyage, pas une destination »
  44. 44. PAUSE-RÉFLEXION Avez-vous des questions ? 44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  45. 45. RÉSUMÉ DU MODULE 45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Périmètre axes stratégiques Système de management de la sécurité - PDCA -27001 Difficultés et freins de la sécurité des systèmes d’information Fonction RSSI : Rôles et missions - positionnement Enquête CLUSIF 2014 SI : Systèmes d’Information
  46. 46. MODULE N°3 : GESTION DES RISQUES 46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés MÉTHODOLOGIE - ANALYSE DE RISQUES ÉTAT DES LIEUX – CLUSIF 2014 DÉMARCHE – DÉFINITIONS - ILLUSTRATIONS MÉTHODES D’ANALYSE DE RISQUES PRÉSENTATION DE LA NORME ISO/IEC 27005
  47. 47. ANALYSE DE RISQUES La première étape du management de la sécurité des systèmes d'information doit rendre intelligible les risques qui visent une organisation, l’analyse de risques Objectifs recherchés Inventaire des actifs sensibles (informations : données, applications) Cartographier l’ensemble des risques qui pèsent sur l’entreprise afin de prendre les décisions stratégiques adaptées Enclencher les actions associées par ordre de priorité L’analyse des risques répond à un besoin de gouvernance des risques et représente un outil de pilotage / d’aide à la décision. 47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Minimiser les risques encourus par l’organisme du fait de son système d’information. Faire que ces risques soient acceptables
  48. 48. RAPPEL : MÉTHODOLOGIE 48 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Liste des biens sensibles Liste des menaces et modes opératoires Listes des impacts et probabilités Liste des contre-mesures 1 : Quoi protéger et pourquoi ? 2 : De Quoi protéger ? 3 : Quels sont les risques ? 4 Comment protéger l’entreprise ?
  49. 49. INVENTAIRE DES DONNÉES Inventaire des données: Classifier les données. Par exemple : Publique, Interne, Confidentielle permettra de définir les protections, le mode de stockage, d’accès et de diffusion des données en fonction de leur classification. Inventaire de l’infrastructure: Les équipements Logiciels et Matériels Réseaux Inventaire des canaux d’échange et mode de communication Mode, fonctionnement, Échanges chiffrés Matrice des flux 49 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  50. 50. ANALYSE DE RISQUES Nouvelle activité de l’entreprise Nouvelle architecture technique Nouveau système d’information Identification des enjeux Analyse de la menace Identification des risques majeurs Caractérisation du S.I. (ressources fonctionnelles et techniques) Identification des vulnérabilités potentielles majeures Quels moyens engager ? SERVICES DE SECURITE Système d’information existant Profils fonctionnels de sécurité S.I. Procédures Mécanismes techniques Plans 50 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  51. 51. ANALYSE DE RISQUES 51 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  52. 52. ETAT DES LIEUX – SOURCE CLUSIF 2014 52 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  53. 53. ETAT DES LIEUX – SOURCE CLUSIF 2014 53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  54. 54. Vulnérabilités Menaces Impact RISQUE DÉFINITIONS : RISQUES 54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  55. 55. DÉFINITIONS : NIVEAU DE RISQUES 55 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  56. 56. MÉTRIQUE GRAVITÉ (IMPACTS) 56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Niveau de Gravité (exemple dans le monde de la santé) Niveau Valeur Description 1 Mineure Inconfort patient, gène ponctuelle dans l’activité, perte financière négligeable, absence de plainte, événement pas médiatisé ou sans impact sur l’image 2 Significative Perte de chance patient mais limitée et réversible, surcharge de travail ou désorganisation modérée et temporaire, impact financier modéré, contentieux, dégradation passagère d’image ou de confiance 3 Importante Perte de chance pour les patients d’un service, avec mise en danger immédiate mais sans atteinte irréversible, désorganisation importante et durable de l’activité, perte financière importante, atteinte à la vie privée d’un patient/salarié ou condamnation pénale et/ou financière, perte d’image ou de confiance avec mise en cause de l’établissement ou d’un organisme tiers 4 Critique Mise en danger des patients ou menace du pronostic vital, arrêt prolongé d’une part importante de l’activité, perte financière élevée pouvant mettre en cause la pérennité de l’établissement, atteinte à la vie privée de plusieurs patients/salariés ou condamnation pénale et/ou financière avec risque judiciaire, rejet définitif de la capacité de l’établissement à offrir le service attendu La gravité est l’estimation de la hauteur des effets d’un événement redouté ou d’un risque. La gravité (ou impact) représente l’ampleur d’un risque. Elle dépend essentiellement des DICP et du caractère préjudiciable des impacts potentiels.
  57. 57. MÉTRIQUE GRAVITÉ (IMPACTS) – ILLUSTRATION SANTÉ 57 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Gravité (Impact) Qualité de prise en charge Organisation Pertes Financières Atteinte à l‘Image Engagement de Responsabilité 1 Mineure Sans effet sur l’état du patient Sans effet sur les processus de l’activité Sans impact financier Visible uniquement en interne Divulgation limitée 2 Significative Impact sur la santé augmentant la durée d’hospitalisation ou de ré hospitalisation Fonctionnement processus perturbé – indisponibilité des ressources Pertes financières < 1% du budget global Réclamations ou plaintes de patients signalant un dysfonctionnement grave – visible par peu de patients 3 Importante Aggravation de l’état de santé - chance limitée pour une victime Arrêt temporaire de l’activité, fermeture partielle Pertes financières < 5% du budget global Réclamations ou plaintes de patients liés au non respect des bonnes pratiques de prise en charge - débouchant sur une sanction disciplinaire – visible au niveau local 4 Critique Perte de chance pour un patient, décès, effet irréversible sur la santé Arrêt prolongé de l’activité, fermeture de l’établissement Pertes financières > 10% du budget global Visible par un nombre important de patients / niveau régional ou national - Plainte de victimes débouchant sur la condamnation civile ou pénale d'un responsable
  58. 58. MÉTRIQUE VRAISEMBLANCE 58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Echelle de vraisemblance Niveau Valeur Description 1 Exceptionnel Théoriquement possible mais jamais rencontré dans l’établissement ou réalisable dans des conditions très difficiles; événement très rare s’il s’agit d’un accident ( une fois sur plusieurs dizaines d’années) 2 Peu probable Déjà rencontré une ou plusieurs fois (moins d’une fois par an) ou réalisable dans des conditions difficiles ou malveillance présentant peu d’intérêt 3 Plausible Rencontré assez fréquemment, réalisable avec des moyens limités en cas de malveillance ou de probabilité très plausible pour un incident involontaire (au moins une fois par an) 4 Quasi certain Cas systématique ou fréquent (plusieurs fois par an), réalisable facilement, avec un intérêt évident en cas de malveillance La vraisemblance est l’estimation de la possibilité qu’une menace se produise La vraisemblance traduit la faisabilité d’un risque. Elle dépend essentiellement des vulnérabilités des supports face aux menaces et des capacités des sources de risques à les exploiter.
  59. 59. NIVEAU DE RISQUE 59 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Echelle de niveaux de risque Niveau Valeur Description 1 Limité les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés (frais supplémentaires, refus d’accès à des prestations commerciales, peur, incompréhension, stress, affection physique mineure…). 2 Modéré les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec de sérieuses difficultés (détournements d’argent, interdiction bancaire, dégradation de biens, perte d’emploi, assignation en justice, aggravation de l’état de santé…). 3 Fort les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter (péril financier tel que des dettes importantes ou une impossibilité de travailler, affection psychologique ou physique de longue durée, décès…). Exceptionnel Peu probable Plausible Quasi-certain Critique Importante Significative Mineure Vraisemblance1 2 3 4 1 2 3 4 Gravité
  60. 60. 60 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  61. 61. CRITERES DICP (DISPONIBILITE, INTEGRITE, CONFIDENTIALITE, PREUVE) Disponibilité (D) : La disponibilité des SI permet de garantir en permanence la communication et l’échange des données Intégrité (I) : L’intégrité est l’objectif d’exactitude et de fiabilité des données et des traitements. Les SI doivent garantir que les informations sont identiques et inaltérables dans le temps et l’espace et certifier leur exhaustivité, leur validité et leur cohérence. Confidentialité (C) : La confidentialité permet de réserver l’accès aux données aux seules personnes autorisées. 61 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  62. 62. MÉTRIQUE DIC 62 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Disponibilité Valeur Description 1 Un arrêt max de 72 heures 2 Un arrêt max de 24 heures 3 Un arrêt max de 12 heures 4 Un arrêt max de 4 heures Intégrité Valeur Description 1 Un perte d’intégrité des informations ou des fonctions n’a pas de conséquence significative 2 Un perte d’intégrité des informations ou des fonctions est dommageable (saisies supplémentaires, délais) - Quelques erreurs sont tolérées. 3 Une perte d’intégrité des informations ou des fonctions est grave, portant atteinte aux intérêts d’un client, ou entraînant des pertes financières limitée - Très peu d’erreurs sont tolérées. 4 Une perte d’intégrité des informations ou des fonctions est très grave - Aucune erreur n’est tolérée. Confidentialité Valeur Description 1 Une perte de confidentialité des informations n’a pas de conséquence significative – info publique 2 Une perte de confidentialité des informations est dommageable – accès protégé 3 Une perte de confidentialité des informations est grave – accès restreint - info nominative 4 Une perte de confidentialité des informations est très grave - secret médical est renforcé
  63. 63. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ 63 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  64. 64. DÉFINITIONS 64 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Menace: attaque possible d'un individu ou d'un élément naturel sur des biens (ici, des informations) entraînant des conséquences potentielles négatives. Elle est souvent caractérisée par une expertise de l'attaquant, ses ressources disponibles et sa motivation. Exemple: un développeur modifie le code source en vue de détournement de fonds (grande expertise et forte motivation si les flux financiers sont importants), vol d'un ordinateur portable lors d'un déplacement (peu d'expertise nécessaire),... Vulnérabilité: caractéristique d'une entité qui peut constituer une faiblesse ou une faille au regard de la sécurité de l'information. Ces vulnérabilités peuvent être organisationnelle (ex: pas de politique de sécurité), humaine (ex: pas de formation des personnels), logicielles ou matérielles (ex: utilisation de produits peu fiables ou non testés),... Exemple: les fichiers sur les ordinateurs portables ne sont pas protégés en lecture. Impact: conséquence sur l'organisme de la réalisation d'une menace. L'impact peut être exprimé financièrement, ou dans une échelle qui dépend du contexte Impact financier ou pertes financières Impact sur la production Impact sur l’image de marque et les responsabilités (juridique) : engagement de responsabilités Impact sur l’organisation de l’établissement (désorganisation …)
  65. 65. SCÉNARII GÉNÉRIQUES DE MENACES Accident physique Malveillance physique Perte de servitudes essentielles Perte de données Indisponibilité d'origine logique Divulgation d'informations en interne Divulgation d'informations en externe Abus ou usurpation de droits Fraude Reniement d'actions Non-conformité à la législation Erreurs de saisie ou d'utilisation Erreurs d’exploitation, de conception Perturbation sociale Attaque logique du réseau Accident Erreur Malveillance Origines AEM 65 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  66. 66. ILLUSTRATION Les menaces pesant sur l’intégrité, la disponibilité ou la confidentialité des informations sont souvent liées à des erreurs humaines (du fait de la négligence ou de l’ignorance). Les erreurs d’implémentation des systèmes sont aussi à l’origine d’incidents Exemple : Un défaut d’intégrité de la donnée de santé, comme l'altération accidentelle ou illégitime d'un dossier de santé d’un patient ou du paramétrage d’un équipement biomédical, est susceptible d'entraîner des erreurs médicales, voire un préjudice vital envers le patient. Négligence du personnel dans la protection des données par méconnaissance des risques. Exemple : A cause de cette ignorance du risque, des données médicales se sont retrouvées indexées sur les moteurs de recherche internet début 2013 dans un hôpital : Le premier fait est le recours à un hébergeur externe non agréé, par méconnaissance des risques du stockage des données médicales à l’extérieur de l’établissement ; il n’a pas été tenu compte du cadre réglementaire, du « décret hébergeurs » (Décret n° 2006-6 du 4 janvier 2006 relatif à l’hébergement de données de santé à caractère personnel). Le second fait est la négligence de l’hébergeur qui dans la conception de son système de stockage a rendu possible que les dossiers médicaux soient visibles par les moteurs de recherche. 66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  67. 67. ILLUSTRATION Introduction d'un virus dans le système d’information. Une grande partie des incidents de sécurité informatique impliquent la propagation de virus. Des moyens techniques peuvent en limiter la propagation (anti-virus) mais le facteur humain ou la conception des systèmes peuvent faciliter leur diffusion. Exemple : En mars 2009, le virus « Conficker » a infecté plusieurs millions d’ordinateurs et on comptait, parmi les cibles, un grand nombre d’établissements de santé en France. Vols externes. Le vol de données par des personnes extérieures peut se faire par une entrée physique dans l’hôpital par exemple mais également à distance via Internet. Des failles de sécurité dans les applications ou le réseau peuvent permettre à un hacker d’accéder aux données stockées sur les serveurs d’un établissement, de les subtiliser et, dans certains cas, de perturber le fonctionnement du SI. D’autres menaces existent : le vol interne, les dommages matériels intentionnels ou non, la défaillance de connexion Internet ; il faut aussi indiquer le bug d’un logiciel, la panne d’un matériel informatique ou du réseau, qui peuvent conduire à un arrêt complet du système, si les mesures de sécurité sont inexistantes ou incomplètes Exemples http://www.zataz.com/ransomware-dans-un-hopital-les-dossiers-des-patients-pris-en-otage/ http://archives.nicematin.com/nice/un-piratage-informatique-dejoue-au-chu-de-nice.1986813.html 67 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  68. 68. DEFINITIONS D, I, C Les représentants métiers (maîtrise d’ouvrage) • S’assure de la représentation exhaustive des actifs les plus sensibles du SI à ces critères • Confirme/infirme leur perception sur les besoins en Disponibilité, Intégrité, Confidentialité de ces actifs sensibles Evènements redoutés Les représentants métiers et SI de l’établissement indique quels évènements sont à redouter dans la situation actuelle de leur SI Exemple Données médecine du travail: Modification non désirée des données : le statut d’aptitude des employés pourrait être faussé avec toutes les conséquences possibles sur leur carrière et leur intégrité́ physique (licenciement, mauvais suivi des risques de santé, voire invalidité́ ou décès...) Source de menace Les représentants métiers et SI de l’établissement choisissent un type de menace (il est possible d’en ajouter) Vraisemblance/Gravité Les représentants métiers et SI de l’établissement évaluent selon des grilles définies Niveau de risque Il est calculé automatiquement selon une matrice (voir après) 68 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  69. 69. DÉFINITIONS : NIVEAU DE RISQUES 69 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  70. 70. TRAITEMENT DU RISQUE Traitement du risque: processus de sélection et de mise en œuvre visant à modifier le risque, ce qui signifie une réduction du risque, un transfert du risque ou une prise de risque. Réduction du risque: processus visant à minimiser les conséquences négatives et les opportunités d’une menace. Transfert de risque: partage avec une autre partie de la charge de la perte d’un risque particulier (souscription d’assurance par exemple) Evitement du risque : refus du risque Acceptation du risque: décision d’accepter un risque traité selon les critères de risques 70 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  71. 71. PAUSE-RÉFLEXION Avez-vous des questions ? 71 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  72. 72. RÉSUMÉ DU MODULE 72 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Gestion des risques État des lieux – CLUSIF 2014 Norme ISO/IEC 27005 Définitions, métriques et illustrations Méthodes d’analyse de risques
  73. 73. MODULE N°4 : MÉTHODE D’ANALYSE DE RISQUES EBIOS 73 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés PRÉSENTATION DE LA MÉTHODE D’ANALYSE DE RISQUES EBIOS ILLUSTRATIONS
  74. 74. PRÉSENTATION D’EBIOS Expression des besoins et identification des objectifs de sécurité La méthode EBIOS créée en 1995 par le SCSSI ; acteur majeur de la gestion du risque en France ; aboutit à la version 2.0 en 2004 ; compatible avec la norme ISO/IEC 27002 Méthode d’appréciation et de traitement des risques Peut être utilisée pour un système existant ou à concevoir Fournit une terminologie et des concepts communs 74 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  75. 75. FINALITÉS D’UNE ANALYSE DE RISQUES 75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  76. 76. PRÉSENTATION DE LA MÉTHODE EBIOS 76 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 1.Étude du contexte 2. Etude des événements redoutés 3. Étude des scénarios de menaces 4. Etude des risques 5. Etude des mesures de sécurité
  77. 77. EBIOS MODULE 1 : ETUDE DU CONTEXTE Définir le cadre 77 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Cadrer l’étude des risques Qu’est-ce qui est à l’origine de l’étude (motif, événement…) ? Quel est l’objectif de l’étude (son but et les livrables attendus) ? Comment organiser le travail (actions, rôles, charges…) ? Décrire le contexte général Que sait-on du contexte (externe et interne) ? Comment les risques sont-ils gérés actuellement ? Délimiter le périmètre de l’étude Quelles sont les limites du périmètre étudié ? Qui doit participer à l’étude ? Identifier les paramètres à prendre en compte Quels sont les référentiels applicables ? Quelles sont les contraintes qui pourraient impacter l’étude ? Identifier les sources de menaces Contre quels types de sources décide-t-on de se protéger ? Quels sont les exemples illustratifs ?
  78. 78. EBIOS : SOURCES DE MENACES 78 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  79. 79. EBIOS MODULE 1 : MESURES EXISTANTES 79 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  80. 80. EBIOS MODULE 1 : ETUDE DU CONTEXTE Préparer les métriques 80 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Définir les critères de sécurité et élaborer les échelles de besoins Quels critères de sécurité devront être étudiés (D, I, C…) ? Quelle est la définition de chacun des critères retenus ? Quelles échelles utilisera-t-on (ensemble des niveaux possibles) ? Élaborer une échelle de niveaux de gravité Quelle échelle utilisera-t-on pour la gravité ? Élaborer une échelle de niveaux de vraisemblance Quelle échelle utilisera-t-on pour la vraisemblance ? Définir les critères de gestion des risques Sur quelles règles s’accorde-t-on pour gérer les risques (manière d’estimer, règles d’ordonnancement, critères d’évaluation…) ?
  81. 81. 81 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Critères DIC Vraisemblance EBIOS MODULE 1 : MÉTRIQUES SUR LES BESOINS DE SÉCURITÉ
  82. 82. EBIOS MODULE 1 : MÉTRIQUES SUR LES NIVEAUX DE GRAVITÉ 82 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés ECHELLE DE NIVEAUX DE GRAVITÉ Niveau Valeur Description 1 Limité les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés (frais supplémentaires, refus d’accès à des prestations commerciales, peur, incompréhension, stress, affection physique mineure…). 2 Modéré les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec de sérieuses difficultés (détournements d’argent, interdiction bancaire, dégradation de biens, perte d’emploi, assignation en justice, aggravation de l’état de santé…). 3 Fort les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter (péril financier tel que des dettes importantes ou une impossibilité de travailler, affection psychologique ou physique de longue durée, décès…).
  83. 83. EBIOS MODULE 1 : CRITÈRES DE GESTION DES RISQUES 83 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  84. 84. EBIOS MODULE 1 : ETUDE DU CONTEXTE Identifier les biens 84 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Identifier les biens essentiels, leurs relations et leurs dépositaires Quels sont les informations et processus essentiels aux métiers ? Quels sont les liens (inclusions, dépendances…) entre ces biens ? Quel est le responsable de chacun de ces biens essentiels ? Identifier les biens supports, leurs relations et leurs propriétaires Sur quoi reposent les biens essentiels (systèmes informatiques et de téléphonie, organisations, locaux) ? Quels sont les liens (inclusions, dépendances…) entre ces biens ? Quel est le responsable de chacun de ces biens supports ? Déterminer le lien entre les biens essentiels et les biens supports Quel est le lien entre chaque bien essentiel et bien support ? Identifier les mesures de sécurité existantes Quels sont les mesures de sécurité mises en œuvre ou prévues ? Sur quels biens supports reposent-elles ?
  85. 85. EBIOS MODULE 1 : IDENTIFIER LES BIENS 85 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  86. 86. EBIOS MODULE 1 : BIEN ESSENTIEL Processus métiers Processus essentiels Informations essentiels concernées Dépositaires Gestion des études Créer des plans et calculer des structures Dossier technique d'un projet Bureau d'études Paramètres techniques (pour les calculs de structure) Plan technique Résultat de calcul de structure Responsable du Bureau des études 86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  87. 87. EBIOS MODULE 1 : SCHÉMA GÉNÉRAL DU SYSTÈME 87 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  88. 88. EBIOS MODULE 1 : BIEN SUPPORT 88 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  89. 89. EBIOS MODULE 1 : SYNTHÈSE DU MODULE 1 Cadrer l’étude: Décrire le contexte, définir le périmètre Sélectionner les sources de menaces retenues Préparer les métriques: Définir les critères de sécurité (D, I, C, …) Définir les échelles Définir les critères de gestion des risques Identifier les biens: Identifier les biens essentiels (immatériels) Identifier les biens supports (supportent les biens essentiels) Relier les biens essentiels aux biens supports via un tableau de croisement Identifier les mesures de sécurité existantes 89 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  90. 90. EBIOS MODULE 2 : ETUDE DES ÉVÉNEMENTS REDOUTÉS 90 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Analyser tous les événements redoutés Quels sont les besoins de sécurité de chaque bien essentiel ? Quelles sources de menaces peuvent les affecter ? Quels seraient les impacts si l’événement se produisait ? Quelle serait la gravité d’un tel événement ? Évaluer chaque événement redouté Quelle est la hiérarchie des événements redoutés identifiés ? Quelles sont les craintes ?
  91. 91. EBIOS MODULE 2 : EVÈNEMENTS REDOUTÉS 91 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Evénement redouté : scénario avec un niveau de gravité donné, représentant une situation crainte par un organisme. Il combine un bien essentiel et un critère de sécurité, assorti d’impact(s) potentiel(s), du besoin de sécurité et de source(s) de menace(s). Exemple : un journaliste parvient à obtenir le budget prévisionnel de l’organisme, jugé confidentiel, et publie l’information dans les media, portant atteinte à l’image de l’organisme et faisant chuter le cours en bourse. Exemple : Un employé peu sérieux ou un concurrent atteint la confidentialité des informations liées au processus d’établissement des devis qui doit rester limitée aux personnels et partenaires. Cela provoquerait la perte d’un marché, une action en justice ou une perte de crédibilité. Cet événement redouté est jugé de gravité importante.
  92. 92. EBIOS MODULE 2 : APPRÉCIER LES ÉVÈNEMENTS REDOUTÉS 92 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  93. 93. EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE MENACES 93 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Analyser tous les scénarios de menaces Quelles menaces peuvent s’exercer sur chaque bien support ? Quelles sources de menaces peuvent en être à l’origine ? Quelles sont les vulnérabilités potentiellement utilisables ? Y a-t-il des prérequis pour que la menace se réalise ? Quelle est la vraisemblance des scénarios ? Évaluer chaque scénario de menace Quelle est la hiérarchie des scénarios de menaces identifiés ? Comment cela peut-il arriver ?
  94. 94. EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE MENACES Cette activité sélectionne les méthodes d'attaque pertinentes pour le système cible. Une méthodes d'attaque est caractérisée par les critères de sécurité qu'elle peut affecter ; est associée à des éléments menaçants caractérisés par : leur type (naturel, humain ou environnemental) leurs causes possibles (accidentelle, délibérée) ; a un potentiel d'attaque. 94 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  95. 95. EBIOS MODULE 3 : SCÉNARIOS DE MENACES Analyse des menaces 95 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés MAT : matériel, LOG : Logiciel, CAN : Canaux interpersonnels, PER : Personnes
  96. 96. EBIOS MODULE 3 : SCÉNARIOS DE MENACES Analyse des vulnérabilités 96 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  97. 97. EBIOS MODULE 3 : SCÉNARIOS DE MENACES 97 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Scénario de menace : scénario, avec un niveau donné, décrivant des modes opératoires. Il combine, un bien support, un critère de sécurité, des sources de menaces susceptibles d’en être à l’origine, assorti des menaces et des vulnérabilités exploitables pour qu’elles se réalisent.
  98. 98. EBIOS MODULE 4 : ÉTUDE DE RISQUES Apprécier les risques 98 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Analyser les risques Quels scénarios s’appliquent aux événements redoutés ? Y a-t-il des mesures existantes pour traiter ces risques ? Quelle est la gravité des risques ? Quelle est la vraisemblance des risques ? Évaluer les risques Quelle est la hiérarchie des risques identifiés ?
  99. 99. EBIOS MODULE 4 : ÉTUDE DE RISQUES 99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  100. 100. EBIOS MODULE 4 : ÉTUDE DE RISQUES 100 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Risque : scénario, avec un niveau donné, combinant un événement redouté et un ou plusieurs scénarios de menaces.
  101. 101. EBIOS MODULE 4 : ÉTUDE DE RISQUES 101 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Risque : scénario, avec un niveau donné, combinant un événement redouté et un ou plusieurs scénarios de menaces.
  102. 102. EBIOS MODULE 4 : ÉTUDE DE RISQUES 102 Risque (module 4) Événement redouté (module 2) Scénarios de menaces (module 3) Bien essentiel (module 1) Critère de sécurité (module 1) Biens supports (module 1) Tableau de croisement (module 1) Sources de menaces (modules 1, 2 et 3) Risque : scénario, avec un niveau donné, combinant un événement redouté et un ou plusieurs scénarios de menaces. Gravité (module 2) Vraisemblance (module 3) PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  103. 103. EBIOS MODULE 4 : ÉTUDE DE RISQUES Éléments dimensionnant d’une étude de risques 103 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  104. 104. EBIOS MODULE 4 : ÉTUDE DE RISQUES 104 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Choisir les options de traitement de chaque risque Comment choisit-on de traiter chaque risque (réduire, transférer, éviter, prendre) ? Analyser les risques résiduels Quels risques resteraient si les objectifs étaient satisfaits ? Identifier les objectifs de sécurité
  105. 105. EBIOS MODULE 4 : ÉTUDE DE RISQUES Décisions Evitement Réduction Prise Transfert 105 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  106. 106. EBIOS MODULE 4 : ÉTUDE DE RISQUES 106 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  107. 107. EBIOS MODULE 5 : ÉTUDE DES MESURES 107 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Formaliser les mesures de sécurité à mettre en œuvre Déterminer les mesures de sécurité Quelles mesures doivent être mise en place ? Servent-elles à la prévention, la protection, ou la récupération ? Sur quels biens supports reposent-elles ? Analyser les risques résiduels Quelles sont les nouvelles valeurs de gravité et vraisemblance ? Quels sont les scénarios toujours possibles ? Établir une déclaration d'applicabilité Les paramètres à prendre en compte ont-ils bien été traités ?
  108. 108. EBIOS MODULE 5 : ÉTUDE DES MESURES 108 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Mettre en œuvre les mesures de sécurité Élaborer le plan d'action et suivre la réalisation des mesures de sécurité Comment planifie-t-on la mise en place des mesures ? Qui pilote chaque action ? Où en est la mise en place des mesures de sécurité ? Analyser les risques résiduels Quelles sont les nouvelles valeurs de gravité et vraisemblance ? Quels sont les scénarios toujours possibles ? Prononcer l'homologation de sécurité La manière dont les risques ont été gérés est-elle satisfaisante ? Les risques résiduels sont-ils acceptables ?
  109. 109. Bien essentiel Information ou processus jugé comme important pour l'organisme. On appréciera ses besoins de sécurité mais pas ses vulnérabilités. Exemples : le dossier patient et les données médicales, les informations personnelles des patients Besoin de sécurité Définition précise et non ambiguë du niveau d'exigences opérationnelles relatives à un bien essentiel pour un critère de sécurité donné (disponibilité, confidentialité, intégrité…). Exemples : les données médicales d’un patient ont un besoin de niveau de confidentialité élevé. Impact Conséquence directe ou indirecte de l'insatisfaction des besoins de sécurité sur l'organisme et/ou sur son environnement. Exemple : la divulgation externe de données patient peut nuire gravement à l’image de l’établissement. Evénement redouté Scénario générique présentant une situation crainte par un organisme. Il combine un bien essentiel et un critère de sécurité, assorti d’impact(s) potentiel(s), du besoin de sécurité et de source(s) de menace(s). Exemple Données médecine du travail: Modifica on non désirée des données : le statut d’ap tude des employés pourrait être faussé avec toutes les conséquences possibles sur leur carrière et leur intégrité́ physique (licenciement, mauvais suivi des risques de santé, voire invalidité́ ou décès...) Risque : scénario, avec un niveau donné, combinant un événement redouté et un ou plusieurs scénarios de menaces. Gravité Estimation de la hauteur des effets d’un événement redouté ou d’un risque. Elle représente les conséquences. Exemple : Négligeable : l’organisme surmontera les impacts sans difficultés. Limitée : l’organisme surmontera les impacts malgré quelques difficultés. Importante : l’organisme surmontera les impacts avec de sérieuses difficultés. Critique : l’organisme ne surmontera pas les impacts, sa survie est menacée. Vraisemblance Estimation de la possibilité qu’un scénario de menace ou un risque se produise. Elle représente la force d’occurrence. Exemple : Minime : cela ne devrait pas se (re)produire. Significative : cela devrait se (re)produire un jour ou l’autre. Forte : cela pourrait se reproduire. Maximale : cela va certainement se reproduire. Critère de sécurité Caractéristique d'un bien essentiel permettant d'apprécier ses différents besoins de sécurité (disponibilité, confidentialité, intégrité…). Source de menace Chose ou personne à l'origine de menaces. Elle peut notamment être caractérisée par son type (humain ou environnemental), par sa cause (accidentelle ou délibérée) et selon le cas par les ressources dont elle dispose - son expertise, sa motivation… Bien support Bien sur lequel reposent des biens essentiels. On distingue notamment les systèmes informatiques, les organisations et les locaux. On appréciera ses vulnérabilités mais pas ses besoins de sécurité. Menace Moyen type utilisé par une source de menace. Exemples : écoute passive d’un canal informatique ou de téléphonie ; modification d’un logiciel. Vulnérabilité Caractéristique d'un bien support qui peut constituer une faiblesse ou une faille au regard de la sécurité des systèmes d'information. Scénario de menace Scénario, avec un niveau donné, décrivant des modes opératoires. Il combine, un bien support, un critère de sécurité, des sources de menaces susceptibles d’en être à l’origine, assorti des menaces et des vulnérabilités exploitables pour qu’elles se réalisent. Exemple : vol de supports ou de documents du fait de la facilité de pénétrer dans les locaux. 109
  110. 110. MODULE N°4 : POLITIQUES DE SÉCURITÉ 110 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés DÉFINITION D’UNE POLITIQUE CADRE ET DES POLITIQUES CIBLÉES DE SÉCURITÉ EXEMPLES DE POLITIQUES DE SÉCURITÉ NORMES DE SÉCURITÉ NORMES 27001, 27002
  111. 111. POLITIQUE DE SÉCURITÉ Politique de sécurité Définition formelle de la position d'une entreprise en matière de sécurité. « Ensemble des règles formelles auxquelles doivent se conformer les personnes autorisées à accéder à l’information et aux ressources d’une organisation » (RFC 2196) Finalité d’une politique de sécurité ? « Réduire les risques » « Qu'est-ce qui est autorisé ? Qu'est-ce qui ne l'est pas ? » « Définir les règles du jeu » « Communiquer , faire accepter et faire respecter les règles du jeu » 111 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  112. 112. POLITIQUE DE SÉCURITÉ Composantes d’une politique de sécurité Ensemble des principes juridiques, humains, organisationnels et techniques qu’il est recommandé de mettre en œuvre pour créer, gérer, protéger le système d’information Réussite de mise en œuvre d’une politique de sécurité Implication forte de la direction En accord avec les directions fonctionnelles et les équipes techniques Analyse des risques pleinement étudiée 112 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  113. 113. POLITIQUE DE SÉCURITÉ – CLUSIF 2014 113 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  114. 114. Les politiques de sécurité sont de trois types : – Communication – Informatique – Organisation POLITIQUE DE SÉCURITÉ 114 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés CLUSIF 2014
  115. 115. Les politiques de communication prennent les formes suivantes : – Sensibilisation (ex : guide de l’utilisateur, Page Intranet) – Responsabilisation (ex : élaboration de charte de sécurité) – Formations ciblées par métier POLITIQUE DE SÉCURITÉ 115 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés CLUSIF 2014
  116. 116. Les politiques touchant aux infrastructures informatiques s'articulent autour des thèmes suivants : – Systèmes et réseaux sécurisés : organisation de la sécurité opérationnelle, architectures de sécurité, études de solutions techniques, mise en œuvre (intégration, administration, exploitation, supervision) – Intégration de la sécurité dans la conduite de projets : définition méthode, actions menées sur tout le cycle conception – développement - intégration, clauses contractuelles avec les fournisseurs POLITIQUE DE SÉCURITÉ 116 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  117. 117. POLITIQUE DE SÉCURITÉ – CLUSIF 2014 117 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  118. 118. Les politiques touchant à l'organisation de la sécurité portent sur les aspects suivants : – Structures, organigramme, comités de sécurité – Responsabilités, fonctions, fiches de mission – Management du changement – Plan de continuité d'activités, Plan de secours, Gestion de crise POLITIQUE DE SÉCURITÉ 118 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  119. 119. EXEMPLES DE POLITIQUES DE SÉCURITÉ CIBLÉES Politique d’authentification (gestion des comptes) Politique d’autorisation (gestion des habilitations) Politique de gestion de la continuité des services informatique Politique d’exploitation des applications et de gestion du réseau Politique d’acquisition, développement et maintenance des applications Politique d’intervention par des tiers externes pour le personnel informatique Politique de sécurité des ressources humaines Politique de respect de la réglementation interne et externe 119 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  120. 120. EXEMPLE : POLITIQUE DE SÉCURITÉ GÉNÉRALE 120 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  121. 121. NORMES DE SÉCURITÉ 121 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  122. 122. NORMES ET CERTIFICATIONS DE SÉCURITÉ Pourquoi s’inspirer des normes ou des recueils de meilleures pratiques en matière de sécurité ? Avoir une approche structurée face à la complexité de la tâche s’assurer d’une certaine exhaustivité, cohérence et homogénéité dans sa démarche, Avoir des éléments communs (vocabulaire, concepts, …) avec tous les intervenants dans le projet : décideurs, utilisateurs, personnels de l’informatique, sous-traitants, fournisseurs, partenaires, etc. Bénéficier de l’expérience des meilleures pratiques (succès et erreurs du passé) Se comparer aux meilleures pratiques du moment Référentiel de comparaison par rapport aux autres entreprises 122 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  123. 123. POLITIQUE DE SÉCURITÉ ET NORMES – CLUSIF 2014 123 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  124. 124. • ISO-27001 : SMSI – Cycle de gestion de la SI dit « PDCA » PLAN-DO,CHECK-ACT de la roue de Deming – Référentiel pouvant être utilisé pour auditer et certifier le système de management de la sécurité • ISO-27002 : « Code de pratiques pour la gestion de la sécurité de l'information » – propose des recommandations pour assurer la sécurité de l'information, sous la forme d'objectifs de contrôles ou de mesures de sécurité – 114 mesures de sécurité réparties en 14 chapitres Normes ISO 27001 et ISO 27002 124 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  125. 125. NORMES ISO 27001 ET ISO 27002 « ISO-27001 explique comment appliquer ISO-27002 » 125 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  126. 126. 126 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La norme ISO/IEC 27002:2013 constitue un code de bonnes pratiques. Elle est composée de 114 mesures de sécurité réparties en 14 chapitres couvrant les domaines organisationnels et techniques ci-contre. C’est en adressant l’ensemble de ces domaines que l’on peut avoir une approche globale de la sécurité des S.I. d. Code de bonnes pratiques pour le management de la sécurité de l’information (27002) Politique de sécurité de l’information Organisation de la sécurité de l’information Contrôle d'accès Sécurité liée aux ressources humaines Sécurité opérationnelle Acquisition, dévpt. et maint. des SI Sécurité physique et environnementale Gestion des actifs Conformité Organisationnel Opérationnel Gestion de incidents liés à la sécurité de l’information Gestion de la continuité de l’activité Cryptographie Sécurité des communications Relations avec les fournisseurs NORME ISO 27002
  127. 127. PAUSE-RÉFLEXION Avez-vous des questions ? 127 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  128. 128. RÉSUMÉ DU MODULE 128 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Définition d’une politique de sécurité 3 types de politique de sécurité - exemples Normes 27001, 27002 Normes de sécurité
  129. 129. MODULE N°6 : PLAN D’ACTION ET CONTRÔLES 129 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés PLAN D’ACTION SÉCURITÉ ET BUDGET AUDIT DE SÉCURITÉ FONCTIONNEL AUDIT DE SÉCURITÉ TECHNIQUE TABLEAU DE BORD SÉCURITÉ
  130. 130. PLAN D’ACTION SÉCURITÉ ET BUDGET Un plan d’actions peut découler : d’une analyse de risques d’un audit de sécurité organisationnel ou technique Les objectifs de sécurité se déclinent en plan d’actions et projets : Plan de continuité, protection des réseaux informatiques SSO (Single Sign On), VPN (Virtual Private Network), Messagerie sécurisée … 130 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  131. 131. PLAN D’ACTION SÉCURITÉ ET BUDGET 131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Politique, procédures Sécurité physique DMZ Réseau Interne Machin e Applicat ion Donn éeChiffrement, mots de passe, droit d’accès par fichier/répertoire Contrôle des entrées, test d’intrusion, communication (https, ssh…), traçabilité… Antivirus, Correctifs de sécurité, HIDS, Authentification Sous-réseau, NIDS, VLAN… Pare-feu, VPN, Zone démilitarisée… Gardiens, verrous, contrôle d’accès… Politique de sécurité, procédure de secours, sensibilisation…
  132. 132. EXEMPLES DE MESURES Mesures techniques Solution de secours informatique Cloisonnement des réseaux et sécurisation de la télémaintenance Développement sécurisé d’application Contrôle d’accès logique des utilisateurs et des administrateurs systèmes Intégration de produits de sécurité Mesures organisationnelles Intégration de la cyber sécurité dans le cycle de vie des projets industriels Spécification, Conception, développement, recette Plan de maintenance et opérations associées Sécurité physique et contrôle des accès aux locaux Plan de continuité (mode dégradé de fonctionnement) 132 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  133. 133. BUDGET SÉCURITÉ – SOURCE CLUSIF - 2014 133 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés RSSI : Responsable Sécurité
  134. 134. BUDGET SÉCURITÉ – SOURCE CLUSIF 2014 134 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  135. 135. AUDIT DE SÉCURITÉ Un audit de sécurité permet d’évaluer le niveau de sécurité d’une entité à un moment donné. L’audit de sécurité positionne rapidement le niveau de sécurité de votre entreprise et identifie les chantiers prioritaires de sécurité du système d'information à mettre en œuvre. L’audit de sécurité se base sur des référentiels de sécurité telles que les normes ISO-27001 et ISO-27002. 135 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  136. 136. AUDIT DE SÉCURITÉ Audit organisationnel et technique pour garantir la cohérence Interviews des différents acteurs fonctionnels (DIRECTION, DRH, DAF, QUALITE, SERVICE JURIDIQUE…) et techniques du SI Audit du référentiel organisationnel (procédures, règles de sécurité, pratiques) Audit du référentiel technique (existence de systèmes de sécurité, redondance, sauvegarde, etc…) Basé sur une approche normative ISO 27002 – ISO 27001 Avantage - Positionnement rapide du niveau de sécurité par rapport à un référentiel 136 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  137. 137. 137 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés DIFFÉRENTS TYPES D’AUDIT TECHNIQUES
  138. 138. AUDIT TECHNIQUE : TESTS INTRUSIFS Objectifs des tests d’intrusions Stigmatiser les aspects techniques Matérialiser les vulnérabilités identifiées lors de l’audit. Référentiels : OWASP, OSSTMM Accord entre un prestataire et une société sur : Un périmètre d’action : les serveurs, les sous-réseaux, équipements et/ou applications concernées Une période de temps : durée de l’autorisation des tests d’intrusion. Une limite de tests : pas de perturbation de la production ni de corruption de données. Focus sur les aspects juridiques Objet du contrat d’audit : entre obligations et responsabilités La licéité de l’exécution de la prestation d’audit Les risques inhérents à l’audit La confidentialité 138 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  139. 139. TABLEAU DE BORD SÉCURITÉ Indicateurs stratégiques : Exposition aux risques (identifiés lors de l’analyse de risque), Pour le niveau stratégique, la mise en place d'un tableau de bord SSI permet : de suivre l'application de la politique de sécurité, d'établir des comparaisons avec d'autres organismes, de préparer les choix de mise en place des ressources (définition de priorités, réévaluation de la menace et du risque). Indicateurs de pilotage : Respect de la politique de sécurité et de la charte utilisateur, Pour le niveau de pilotage, la mise en place d'un tableau de bord SSI permet : de contrôler la réalisation des objectifs par le niveau opérationnel, d'améliorer la qualité de service. Indicateurs opérationnels : Mesure du niveau « réel » de sécurité. Pour le niveau opérationnel, la mise en place d'un tableau de bord SSI permet : de préciser les besoins opérationnels à mettre en œuvre, de mesurer la production et les efforts entrepris pour atteindre les objectifs visés en matière de production, de motiver et dynamiser les équipes. 139 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  140. 140. TABLEAU DE BORD SÉCURITÉ 140 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  141. 141. TABLEAU DE BORD SÉCURITÉ 141 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  142. 142. TABLEAU DE BORD SÉCURITÉ 142 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  143. 143. TABLEAU DE BORD SÉCURITÉ 143 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  144. 144. TABLEAU DE BORD SÉCURITÉ 144 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  145. 145. PAUSE-RÉFLEXION Avez-vous des questions ? 145 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  146. 146. RÉSUMÉ DU MODULE 146 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Plan d’action sécurité Budget Tests intrusifsAudits de sécurité Tableau de bord Sécurité
  147. 147. POUR ALLER PLUS LOIN Livres Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti (Auteur) édition DUNOD Management de la sécurité de l'information. Implémentation ISO 27001 Broché – 1 mars 2012 d’Alexandre Fernandez-Toro (Auteur), Hervé Schauer (Préface) La fonction RSSI - Guide des pratiques et retours d'expérience - 2 e éditions Brochées – 9 février 2011 de Bernard Foray (Auteur) La sécurité du système d'information des établissements de santé Broché – 31 mai 2012 de Cédric Cartau (Auteur) Magazine http://boutique.ed-diamond.com/ (revue MISC) Web www.ssi.gouv.fr – Sécurité des systèmes industriels Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr www.clusif.fr 147 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés147 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  148. 148. FIN DU VOLET MERCI POUR VOTRE ATTENTION 148 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

×