SCURIT VS.

CONTINUIT
THE DEVIL IS IN THE DETAILS . soit en franais LE DIABLE SE CACHE DANS LES DTAILS .

SOMMAIRE
Introduction Normes ISO
Ecosystmes Champs daction Statistiques

Interactions
conceptuelles oprationnelles
Problmatiques Solutions

Conclusion Expriences & Questions

INTRODUCTION
Scurit & Continuit
non-gnratrices de revenus gestion des risques valeur quen cas dincident diffrentes et spares trop limites aux services TIC responsabilits des personnes critiques et transverses communs et complmentaires

donc ?

NORMES ISO : 2700X

Ecosystme

ISO 27031:2011 propose un cadre pour la continuit d'activit.

NORMES ISO : 27001 & 27002

Champ daction

LES CHIFFRES

NORMES ISO : 27002 & 27031

Champ daction de 27002, chapitre 14
Le Chapitre 14 dcrit des mesures pour la gestion dun plan de continuit de lactivit visant rduire le plus possible limpact sur lorganisme et rcuprer les actifs informationnels perdus notamment la suite de catastrophes naturelles, daccidents, de pannes de matriel et dactes dlibrs. Wikipdia

Champ daction de 27031

ISO/CEI 27031:2011 couvre tous les vnements et incidents (y compris ceux lis la scurit) qui peuvent porter atteinte linfrastructure et aux systmes TIC. Elle regroupe, en les compltant, les pratiques de gestion des incidents lis la scurit de linformation, et les pratiques de gestion de la planification de mise en tat des TIC et des services TIC. ISO

NORMES ISO : 22301

Champ daction

LES CHIFFRES

INTERACTIONS CONCEPTUELLES
Gestion de risque commune ?
Actif [ Propritaire, Valeur, Responsable ] Menace -> Actif Actif { Vulnrabilit } (Menace x Vulnrabilit) x Valeur = Impact Probabilit x Impact = Risque Cindynique, science du danger

Que trouve-t-on dans les politiques et plans ?

Analyse Recommandations Implantation

LES CHIFFRES

LA VRAIE PROBLMATIQUE OPRATIONNELLE

LA VRAIE PROBLMATIQUE OPRATIONNELLE

Constat de double, triple, quadruple, panne.
Les croyances Les probabilits simplistes Les probabilits relles in situ

Lincident gris ou irritant

Nouveau concept du jour hors du H-M-L Le faux-incident Lincident partiel impact significatif modr Intgration dans les BIAs

INTERACTIONS OPRATIONNELLES
La scurit obstacle la continuit
Excs de scurit Dsquilibre de scurit Processus de scurit tiers

La continuit obstacle la scurit

Le principe de pr-action Lurgence L anti-champion

INTERACTIONS OPRATIONNELLES

Etude de cas n 1 : la continuit menace la scurit Menace logique in situ via une vulnrabilit physique.

Etude de cas n 2 : la scurit menace la continuit Menace logique via intimidation publique et auto-sabotage.

SOLUTIONS OPRATIONNELLES POSSIBLES

Conformit du plan de continuit la politique de scurit.

Sensibilisation des champions

Equipe de DR incluant une dimension dautocontrle Tests de vulnrabilit intgrs aux tests de DR

Extriorisation des services de scurit

Inclusion par SLA des Tiers de scurit au processus de continuit Surveillance de scurit logique et physique dcentralise Elvation de droits automatise (ex. PowerBroker)

A INSRER DANS NOS POLITIQUES

Scurit Recommandations standards (CMMI 3)
En service normal, laccs aux ressources doit tre contrl (identification utilisateurs, double-authentification) et adapt au droit en connatre de lutilisateur (droits et privilges, profil utilisateur).

Recommandations durgence (CMMI 1)

Dans le cas dune urgence, laccs aux ressources peut tre facilit par des contrles exceptionnels (identification par machine, authentification unifie) et adapt au obligations de moyens de lutilisateur (droits et privilges exceptionnels documents, profil administrateur).

A INSRER DANS NOS POLITIQUES

Continuit Liste des contrle de scurit dgrads

Processus dautocontrle

CADILLAC ! Une analyse des risques rsiduels cumuls sur la base des SPoF

RETOURS DEXPRIENCES ?

BIBLIOGRAPHY
M53 tude de cas, suite ISO 2700x http://fr.wikipedia.org/wiki/ISO/CEI_27001 http://fr.wikipedia.org/wiki/ISO/CEI_27002 http://www.duquesnegroup.com/ISO-22301-la-future-norme-de-Continuite-d-activite_a187.html http://www.bcifiles.com/22301Transition_BSI20110321.pdf http://www.icm.co.uk/newsroom/events/downloads/sp4launch/Raising_the_Standard_John_Sharp.pdf http://www.itsc.org.sg/pdf/synthesis09/Four_ICT.pdf http://fr.wikipedia.org/wiki/Cindynique http://www.clusif.asso.fr/fr/production/sinistralite/docs/etude2005.pdf http://download.pwc.com/ie/pubs/pwc_goodbye_sas_70_isae_3402.pdf