Atelier Pssi

Atelier : PSSI
Politique de sécurité du système d’information PSSI

La Politique de Sécurité des Systèmes d’Information (PSSI) reflète la vision stratégique de l’entreprise en matière
de sécurité des systèmes d’information (SSI) et de gestion des risques SSI.
Elle contient entre autres les enjeux de sécurité de l’entreprise, ses besoins de sécurité, ainsi que les menaces
pouvant impacter l’entreprise.
C’est le document de référence de la stratégie de sécurité de l’entreprise.
Tout projet ou action relative à la sécurité des systèmes d’informations doivent donc être en adéquation avec ce
document fondateur.
La démarche d'élaboration de PSSI se déroule en 4 phases
successives :
Phase 0: préalables
Tâche 1 : organisation projet
Tâche 2 : constitution du référentiel
Phase 1: élaboration des éléments stratégiques
Tâche 1 : définition du périmètre de la PSSI
Tâche 2 : détermination des enjeux et orientations
stratégiques
Tâche 3 : prise en compte des aspects légaux et
réglementaire
Tâche 4 : élaboration d'une échelle de besoins
Tâche 5 : expression des besoins de sécurité
Tâche 6 : identification des origines des menaces
Phase 2: sélection des principes et rédaction des règles
Tâche 1 : choix des principes de sécurité
Tâche 2 : élaboration des règles de sécurité
Tâche 3 : élaboration des notes de synthèse
Phase 3: finalisation
Tâche 1 : finalisation et validation de la PSSI
Tâche 2 : élaboration et validation du plan d’action
La phase 2 « Sélection des principes

et rédaction des règles » comprend :
⮚ Tâche 1 : Sélection des principes

⮚ Tâche 2 : Construction des règles
⮚ Tâche 3 : Synthèse et validation
Cette phase a différents livrables, dont une note de

synthèse justificative des choix de règles et une note
de synthèse des impacts organisationnels et financiers,
validées par Comité de pilotage puis Direction générale.
2. Principes (source: ANSSI)
3 grandes familles de principes constituent la base du deuxième chapitre de la

méthode d’élaboration de politiques de sécurité des systèmes d'information
(PSSI) :
- Principes Organisationnels
- Principes de Mise en Œuvre
- Principes Techniques
Ces principes sont fondamentaux pour l’élaboration et la rédaction de la PSSI.

Chaque principe sera décliné en règle d’application.
On rappelle que les phases 0 et 1 permettent éventuellement de filtrer pour
ne retenir que les principes pertinents par rapport à la liste qui va suivre.
2. Principes : « Principes Organisationnels »
Les Principes organisationnels se traduisent par la rédaction de règles

d’application sur 5 grands domaines de la sécurité des SI:
1. Politique de sécurité
2. Organisation de la sécurité
3. Gestion des risques SSI
4. Sécurité et cycle de vie
5. Assurance et certification
2. Principes : Famille 1 – Domaine 1 « Principes Organisationnels – Politique

de Sécurité »
La politique de sécurité est une description stratégique de l’ensemble des

aspects sécurité. Elle introduit le document PSSI, en indiquant la nature de
cette politique, ainsi que ses évolutions, sa diffusion, son contrôle, … ainsi
qu’un ensemble de dispositions associés.
- Evolutions de la PSSI:
Une PSSI évolue au cours du temps, en termes de missions, de périmètre… Cet
article permet de fixer les règles d’évolution.
Une évolution est à prévoir dans différents cas, par exemple : évolution du
contexte SI, évolution du contexte de menaces, audit, incident de sécurité, sur
demande d’une autorité.
Politique de sécurité du système d’information

de Sécurité »
- Diffusion de la PSSI:
Tous les personnels d’un organisme doivent avoir un accès clair à la PSSI. Cette
PSSI doit être clairement documentée.
De même, l’ensemble des partenaires, sous-traitants, externes, doivent avoir
un accès à la PSSI.
Cela étant dit, une partie du contenu de la PSSI a un caractère confidentiel, et
la diffusion ne doit pas nécessairement être la même pour l’ensemble des
acteurs.
Il est donc nécessaire de prévoir des synthèses PSSI pour permettre à chacun
d’avoir les informations correspondantes à ses besoins.
de Sécurité »
- Contrôle d’application de la PSSI:

Description des dispositifs de contrôle de la bonne application de la PSSI.
- Protection des informations confiées à l’organisme:

Liste des références réglementaires concernées par le périmètre de
l’entreprise. Ou alors liste des contrats afférents le cas échéant.
- Adoption d’une échelle de besoin:

Classification objective des éléments de l’organisme par rapport aux 3 critères
de disponibilité, intégrité, confidentialité.

de Sécurité »
- Critères de détermination des besoins de sécurité:

Soit l’utilisation directe d’une échelle permet de déterminer les besoins, soit
utilisation d’une correspondance avec une échelle existante de classification
des informations (secret défense, sensibles, vitales, …). Exemple :
Informations sensibles: la divulgation ou l’altération peut porter atteinte à
l’organisme. 🡪 besoin de confidentialité et d’intégrité. La classification donnera
une juste appréciation.
Informations vitales: leur existence est nécessaire au bon fonctionnement de
l‘organisme. 🡪 besoin de disponibilité, et d’intégrité.
Autres: stratégiques, nominatives, couteuses.
- « Sur-classification » ou « dé-classification »: à prévoir également.
de Sécurité »
- Identification et portée de la classification:

Elle doit être claire et connue de tous.
- Définition et contrôle des habilitations:

Les règles de gestion et d’attribution des habilitations doivent être clairement
définies. Un organisme peut être dépositaire d’informations sans en être
propriétaire. Il n’a pas pouvoir de décision, mais doit appliquer les règles du
propriétaire.
- Critères de diffusion interne et externe des informations.

2. Principes : Famille 1 – Domaine 2 « Principes Organisationnels –

Organisation de la Sécurité »
L’organisation de la sécurité définit de façon claire les responsabilités

organisationnelles, décisionnelles, de pilotage, opérationnelles, ainsi que les
entités concernées par la sécurité des SI.
- Responsabilités générales pour la SSI:

Nomination d’un Responsable de la Sécurité des SI (RSSI) pour l’élaboration et
la mise en œuvre de la SSI. Ce RSSI doit être rattaché à la direction de
l’organisme.

- Les responsabilités pour l’élaboration et la mise en œuvre de la SSI:

Cette règle doit clarifier les responsabilités, y compris pour les évolutions de la
PSSI, et doit notamment indiquer la nécessité de penser PSSI dès la phase de
conception de tout nouveau SI.
- Couverture des responsabilités:

Il est nécessaire pour chaque responsabilité d’expliciter clairement le périmètre
concerné, qu’il s’agisse de bureautique, de réseau, d’autres systèmes, …
- Responsabilités du niveau décisionnel:

Il s’agit du niveau d’un responsable de la sécurité, qui a délégation du comité
de direction pour prendre toute décision nécessaire à la sécurité des SI. Il veille
à l’application des règles de sécurité, et participe aux délibérations du comité
de direction en matière de sécurité: définition d’objectifs, allocation de
ressources, etc. Il préside le comité de sécurité.
Une équipe de sécurité peut être constituée en fonction des besoins. Elle :
▪ Prépare et coordonne les activités de sécurité,
▪ Évalue les vulnérabilités,
▪ Recherche les solutions techniques,
▪ Met en place les programmes de sensibilisation,
▪ Met en œuvre son expertise.
- Responsabilités du niveau de pilotage:

Les règles de ce domaines sont à rédiger si l’organisme est d’une taille qui le
justifie. Ce niveau de pilotage décrira l’organisation complète pour suivre
l’application de la PSSI, le traitement des crises et la veille technologique.
- Responsabilités du niveau de opérationnel:

Tout personnel est impliqué dans la SSI. Il est nécessaire de préciser leurs
responsabilités de façon très précise: respect des lois et règlements, respect de
la politique, accès aux réseaux des autres parties prenantes.
- Autres responsabilités: Responsables juridiques, auditeurs, …


- Autres responsabilités (suite) :

Nous pouvons préciser ici toute autre entité nécessaire dans le cadre des
problématiques précises de l’entreprise:
▪ Comité de sécurité,
▪ Cellule de crise,
▪ Équipe de veille technologique,
▪ Cellule d’audit,
▪ Gestion des tiers (partenaires, prestataires, …)
- Cadre contractuel pour les échanges de données sécurisées:

Responsabilités sur les flux d’échanges de données, procédures sécurité,
standards, responsabilités en cas de perte, mesures…
2. Principes : Famille 1 – Domaine 3 « Principes Organisationnels – Gestion

des risques SSI »
- Définition du cadre de gestion des risques SSI :

Il est bon de définir un cadre clair pour la gestion des risques SSI, en incluant:
appréciation du risque, traitement du risque, acceptation du risque,
communication relative au risque.
- Identification des objectifs de sécurité :

Pour définir les besoins réels en matière de sécurité: recueil des éléments
stratégiques, expression des besoins de sécurité, étude des menaces,
identification des risques réels.
2. Principes : Famille 1 – Domaine 3 « Principes Organisationnels – Gestion

des risques SSI »
- Etude prospective sur l’évolution de la SSI :

Pour anticiper les besoins futurs en matière de SSI. Cette étude est associée à
la stratégie de l’organisation. Il s’agit de mesurer l’impact sécurité des décisions
stratégiques.
- Maitrise des flux spécifiques :

Selon la nature des flux d’information concernés par l’organisation.
- Identification des services nécessitant de la cryptographie :

Selon les implications techniques et légales. Les choix cryptographiques
nécessitent des actions sécurité bien spécifiques.
2. Principes : Famille 1 – Domaine 4 « Principes Organisationnels – Sécurité
et Cycle de Vie »
- Intégration de la SSI dans les projets :

L’organisation doit prévoir une analyse SSI pour l’ensemble des projets SI.
- Conditions de mise en exploitation de nouveaux composants SI :

Critères et conditions pour la mise en service d’un nouveau SI. Il est nécessaire
de clarifier ici les conditions liées à la PSSI.
- Contrôle avant mise en exploitation.

- Circonstances retenues pour la mise en place des contrôles de sécurité.
- Modalités des contrôles.
- Continuité du contrôle.
2. Principes : Famille 1 – Domaine 4 « Principes Organisationnels – Sécurité

et Cycle de Vie »
- Contrôle permanent des moyens de protection :

Il est nécessaire de contrôler l’intégrité et la disponibilité des moyens de
protection. Les règles correspondantes en découleront.
- Contrôle de code et procédure de recette :

Contrôle mutuel de code, scellement de code, contrôle par échantillonnage…
de tels contrôles doivent être effectués avant toute mise en production.
- Perturbation des SI
Une attention particulière doit être apportée au fait que les contrôles ne
doivent pas perturber les SI eux-mêmes. Attention au côté invasif.
2. Principes : Famille 1 – Domaine 5 « Principes Organisationnels – Assurance

et Certification »
- Exigences minimales sur les applicatifs utilisés dans les SI :

Cet article doit énoncer clairement les exigences propres à tout
développement applicatif dans le contexte de l’organisation. Protection des
données, validation, filtrage, mécanismes de trace, etc.
- Elaboration d’une cible de sécurité :

Description des objectifs à atteindre et des moyens à mettre en œuvre. Qu’il
s’agisse de mesures techniques ou non techniques. Il faut s’assurer que ce qui
est décrit ici est réalisable et que l’on puisse accorder la confiance nécessaire
au résultat.

et Certification »
- Respect des exigences, et validation du respect :

Les exigences de sécurité doivent faire partie du processus d’achat logiciel /
prestations, du processus de développement. Une validation doit être en place
pour permettre de vérifier le respect de ces exigences.
- Evaluation et certification :
L’ensemble de la PSSI doit être évaluée de façon périodique. Cette évaluation
doit mener à une certification sécurité. Selon l’entreprise et son contexte, cette
certification sera officielle par le biais de règles ISO, ou « non officielle » mais
liée à des principes évoqués lors de la rédaction de la politique de sécurité.

et Certification »
- Autres aspects certifications :

▪ Critères d’acquisition de progiciels,
▪ Adoption de méthodes et outils de développement,
▪ Adoption d’un standard de programmation,
▪ Homologation du SI,
▪ Agrément du SI,
Ces aspects doivent être rédigés au regard de règles bien précises, et/ou d’un
référentiel de bonnes pratiques ou normes.
- Gestion de la documentation et standard de documentation :

Importance de la documentation sécurité, selon des standards reconnus.
Production et maintenance des documents sécurité.
2. Principes

(PSSI) :

2. Principes : « Principes de Mise en Œuvre »
Les Principes de mise en œuvre se traduisent par la rédaction de règles

d’application sur 6 grands domaines de la sécurité des SI:
6. Aspects Humains
7. Planification de la Continuité des Services
8. Gestion des Incidents
9. Sensibilisation et Formation
10. Exploitation
11. Aspects Physiques et Environnementaux
2. Principes : Famille 2 – Domaine 6 « Principes de Mise en Œuvre – Aspects

Humains »
- Notion de reconnaissance de responsabilité :

Il est nécessaire de clarifier, pour l’ensemble des personnels, quelle est leur
responsabilité en matière de sécurité des SI. Cette responsabilité doit être
reconnue par l’ensemble des personnels.
- Clause de sécurité dans les contrats de travail :

Les contrats de travail permettent de clarifier de manière juridique les
responsabilités afférentes à la sécurité des SI. Les clauses correspondantes
doivent être explicites.
- Critères de recrutement pour les SI sensibles.


Humains »
- Catégories et principes d’habilitation :

L’accessibilité logique et physique doit être régie par des critères bien précis
d’habilitation. Les droits afférents ne doivent pas être cessibles. Le principe
général doit être celui du moindre accès.
- Règles d’attribution et d’engagement. Postes sensibles :

Attribuer dès l’embauche les habilitations sécurité. Un focus particulier est
effectué sur les postes sensibles. Ces postes doivent être cloisonnés, et la
procédure associée clairement décrite.
2. Principes : Famille 2 – Domaine 7 « Principes de Mise en Œuvre –
Planification de la continuité des activités »
Le plan de continuité d’activité (BCP – Business Continuity Plan) doit être décrit
dans le document de PSSI à cette rubrique. Différents plans sont à décrire: plan
de reprise d’activités, plan de reprise après désastre, plan de contingence, …
- Définition du périmètre d’un Plan de Continuité d’Activité:

Définition claire du plan: ressources, responsabilités, périodicité des tests. Le
budget du plan est également à prendre en considération.
- Prise en compte des services externalisés:

Il est nécessaire de prendre en compte les services externalisés dès la phase de
contractualisation avec les partenaires.
Planification de la continuité des activités »
- Elaboration d’un plan de reprise:

Il s’agit de prévoir la protection des points critiques du SI pour faire face aux
défaillances, erreurs et attaques.
- Positionnement des applications dans le plan de continuité:

Classification des applications en termes de priorité des reprise.
- Mise en place des procédures de sauvegarde

Plan de sauvegarde tenant compte des délais de reconstruction.
- Tests réguliers des plans

2. Principes : Famille 2 – Domaine 8 « Principes de Mise en Œuvre – Gestion

des incidents »
- Définition des situations anormales envisageables:

Entre autre: pannes d’équipements, anomalies de fonctionnement, problèmes
de données, résultats manquants, incomplets ou anormaux,…
- Mise en place d’un réseau de détection et d’alertes d’incidents de

sécurité:
L’alerte doit permettre une intervention aussi rapide que possible, dès qu’un
incident est détecté, pour limiter les conséquences. Des procédures suite à
l’incident doivent également être décrites. Ce système d’alertes doit être
cohérent par rapport à la classification des SI correspondants.

des incidents »
- Maîtrise des incidents de sécurité:

Il s’agit de s’assurer de la maitrise de la sécurité pendant toute la durée de la
résolution des incidents. Des cas d’urgences peuvent être définis: accidents
physiques concernant l’infrastructure, actions hostiles visant à capturer des
informations.
- Contrôle des incidents de sécurité:

Il est nécessaire de définir les bonnes actions de contrôle, pour éviter les
incidents répétés, et les traiter de manière efficace.
Analyse post-incidents, conséquences, plan d’action, etc.

des incidents »
- Moyens de détection d’intrusion ou d’utilisation frauduleuse:

Moyens ad-hoc à mettre en place pour chaque composant ou applicatif
sensible.
- Mise en place d’un service d’alerte efficace
- Prévision des réactions réflexes face à des situations d’urgence:

Formaliser des scénarios type de sinistre et formaliser les meilleures réactions
à mettre en place pour limiter, voire éviter, la propagation des impacts de
l’incident ou de l’attaque.
Sensibilisation et Formation »
- Documentation des responsabilités:

L’ensemble des responsabilités de SSI doit être rédigé de façon claire et
compréhensible, et porté à la connaissance de tous. En précisant les limites
associées à chacun dans le temps et dans l’espace.
- Sensibilisation générale à la sécurité:

Il s’agit de faire prendre conscience. Le programme de sensibilisation est
régulier et porte sur un ensemble clair d’éléments: les enjeux de la sécurité, les
principales menaces, les lois, règlements, chartes, l’organisation de la sécurité,
les principes et les règles de la sécurité de l’organisme, les comportements à
adopter, les règles spécifiques.

- Communication sur la SSI:

L’information concernant l’organisation et les exigences générales de la SSI doit
être diffusée le plus largement dans l’entreprise. Le moyen de diffusion doit
être connu de tous. De même, les PSSI spécifiques doivent être portées à la
connaissances des personnels concernés.
- Application pour la protection juridique des informations de l’organisme:

Sensibilisation sur le devoir de protection juridique des informations utilisées
par le personnel. Sensibilisation sur les conséquences en cas de détournement
ou d’appropriation par des tierces personnes.

- Adaptation de la sensibilisation aux différentes classes d’utilisateurs:

Catégoriser les personnels, afin ensuite de tenir compte des particularités
opérationnelles de chacun dans les exigences liées à la sécurité des SI.
- Sensibilisation régulière des personnels:

Obtenir un niveau de vigilance constant.
- Sensibilisation au traitement des incidents


- Préparation et entrainement à la gestion des situations de crise:

Ceci implique de préparer des plans ad-hoc (plan de secours, plan de
continuité, plan de reprise…), et d’entrainer les personnels au moyen de
simulations.
- Sensibilisation à l’usage des TIC, formation à l’usage des TIC:

Pour prévenir les risques de divulgation externe. En particulier sensibilisation
au contrôle des destinataires, aux écoutes clandestines, aux risques liés aux
personnes se trouvant à proximité. Formations pour présenter la responsabilité
de chacun et aux moyens de protection.
- Sensibilisation des utilisateurs aux moyens de supervision


Exploitation »
- Documentation des procédures et règles d’exploitation:

Toutes les activités d’exploitation doivent être identifiées et documentés.
- Intégration de la SSI dans les procédures et règles d’exploitation

Elle doivent toutes inclure un volet sécurité.
- Séparation du développement et des opérations ou de la production

Cette séparation réduit le risque de mauvaise utilisation, accidentelle ou
délibérée des ressources du système. Elle permet aussi une meilleure
délimitation des responsabilités en cas d’incident.

Exploitation »
- Conditions d’usage de l’infogérance:

Il s’agit de l’externalisation, les télé services, l’infogérance. Les conditions
doivent être claires, et sur la base d’une analyse de risque spécifique.
- Conditions de sécurité pour la maintenance des constituants du SI:

Toute intervention de maintenance doit être effectuée en respectant les règles
sécurité afférentes, en particulier lorsque des données sont en jeu.
- Conditions de sécurité pour la reprise après maintenance:

Après maintenance, le redémarrage doit respecter des règles de sécurité, afin
de démasquer toute tentative de détournement ou d’utilisation frauduleuse de
données.

Exploitation »
- Suivi des opérations de maintenance:

Vérifications sécurité. Aptitude après maintenance à conserver le niveau de
sécurité et de vigilance initial.
- Gestion des prestations de services externes:

L’ensemble des dispositions de sécurité doit être dûment contractualisé,
contrôlé et suivi au même titre que les activités internes. La décision
d’externaliser des aspects sensibles du SI doit être prise en connaissance de
cause.

Exploitation »
- Intégration de la SSI dans les contrats d’infogérance:

Un volet sécurité doit être explicite dans les contrats, et doit inclure: les
exigences de sécurité auxquelles le prestataire s’engage, les procédures de
contrôle, l’attribution de responsabilités spécifiques, la possibilité d’évolution
des exigences et procédures.
- Sécurité dans les services externalisés:

La décision d’externaliser doit être prise après analyse de risques et impact SSI.
- Contrôle antiviral des logiciels et données avant mise en exploitation:

Tous les supports sont soumis à contrôle. Les consignes doivent être claires, en
particulier lors de l’import de logiciels ou données sur les postes de travail..

Exploitation »
- Contrôles de sécurité en phase d’exploitation du SI:

Surveillance côté utilisateurs, et surveillance de la bonne application des règles
par les employés SI: respect du séquencement des opérations planifiées,
manipulation correcte des fichiers, utilisation de macro autorisées, respect des
intrusions pour récupération d’erreurs où événements exceptionnels.
- Réduction des vulnérabilités:

Politique de veille de sécurité pour suivre l’état de l’art: méthodes d’attaque,
vulnérabilités, et solutions de sécurité.

Exploitation »
- Procédures d’exploitation sécurisée des informations et des données:

Concerne par exemple la sauvegarde des données, la destruction des supports
classifiés, chiffrement selon les règles afférentes aux données.
- Mise en place d’une organisation pour la lutte contre le code malveillant:

Pour permettre de diminuer les risques de perte d’intégrité, de disponibilité et
de confidentialité de l’information: cellule anti-virus, cellule de support,
gestion de crise, organisation de la veille.
Organisation, rôles et responsabilités.

Exploitation »
- Consignes de sécurité concernant les actions à distance:

Concerne la sauvegarde, la prise en main à distance, l’installation à distance,
etc.
- Protection et utilisation de la messagerie:

Il s’agit d’émettre des règles claires pour assurer la confiance dans l’utilisation
de la messagerie – mesures aussi bien techniques que non techniques, pour
lutter contre les spams, les malwares, l’interception d’information – mais aussi
pour la conservation de preuves, l’utilisation de la messagerie depuis
l’extérieur, la surcharge du système de messagerie.

Exploitation »
- Règles spécifiques au filtrage des accès:

Règles de filtrage sur les routeurs, les pare-feu, les serveurs mail. Tout ce qui
n’est pas explicitement autorisé doit être interdit.
- Normes de conservation et de destruction des informations à protéger:

A rédiger en fonction des informations concernées (par exemple secret
défense, etc.). Contrôle des conditions de stockage physique et logique,
destruction d’urgence, etc.
- Contrôle des supports amovibles avant mise en exploitation:


Exploitation »
- Les supports, source d’infection et de risque de divulgation:

La sensibilisation est généralement déjà présente, mais il est nécessaire de
clarifier les règles afférentes à l’utilisation de tout support, y compris papier.
Ces règles sont à rédiger au regard de la classification des activités SI et des
données.
- Mise au rebut des supports ou sortie de matériel informatique:

L’entrée et la sortie des supports doit être maîtrisée.
- Photocopie de documents
A rédiger en fonction de la classification des documents.

Exploitation »
- Stockage d’informations par l’organisme:

Les règles concernant le stockage doivent également être rédigées, mises en
place et contrôlées, en fonction de la classifications des données concernées.
- Connection des postes nomades et PDA:

Il est nécessaire de règlementer les types d’informations pouvant être stockées
dans les postes nomades. Leur connexion au SI de l’organisme doit également
être autorisée et réglementée au regard de la PSSI.

Physique et Environnement »
- Continuité dans la gestion des biens physiques:

Cette continuité est basée sur une classification des biens physiques et porte
sur le suivi des biens depuis leur mise en service, leur évolution jusqu’à leur
remplacement. Recensement, marquage, protection.
- Prise en compte des contraintes opérationnelles de l’organisme:

Les moyens de sécurité physique doivent tenir compte des contraintes
opérationnelles de l’organisme.

- Complétude des mesures de sécurité physique:

Ces mesures doivent inclure: mesure de protection (réduire l’ampleur des
atteintes), de prévention (réduire la probabilité), de détection (alertes), de
réaction (réduire l’impact), de recouvrement (pour limiter les conséquences
d’un sinistre, par exemple par des moyens de secours)
- Isolement des systèmes sensible ou vitaux:

Pour minimiser l’exposition.
- Adéquation des mesures de sécurité physique aux types de biens:

Après classification des biens: infrastructures, matériels, équipements de
soutien.

- Protection contre les incidents et pannes:

Protection dans les locaux en tenant compte des menaces de l’environnement
proche. Par exemple détection et réaction pour les dégâts des eaux, détection
et extinction d’incendies, contrôle et secours de l’alimentation électrique,
secours des réseaux, climatisation, procédures formalisées et procédures
d’urgence.
- Protection physique du câblage et des réseaux télécom:

Protection contre les accès malveillants pouvant conduire à des écoutes.

- Découpage de l’infrastructure en zones de sécurité:

Cela permet de mettre les dispositifs adaptés, les droits, etc.
- Application des modalités d’accueil et de circulation des visiteurs
- Gestion spécifique des biens physiques nécessitant une protection:

Adoption d’une classification ou typologie, mesures de gestion de ces biens, et
mesures de protection.

- Procédures d’exploitation sécurisée des moyens décentralisés:

Dans certains cas, nécessité d’avoir des mesures spécifiques pour les moyens
décentralisés qui ne bénéficient pas de la protection centrale. En particulier les
matériels portables sont concernés.
- Protection de la documentation de sécurité:

La documentation de sécurité doit être protégée contre les accès non autorisés.
- Protection de l’équipement contre le vol:

En particulier pour les matériels pouvant sortir de l’organisme. Prévoir des
procédures spécifiques et actions en cas de vol.

- Protection des supports de sauvegarde:

Contre les risques de destruction, de divulgation et de vol.
- Protection de la documentation système:

La documentation des systèmes peut, associée à d’autres documents, donner
des information pouvant conduire à des attaques.
- Utilisation à l’extérieur du site:

La sortie et l’utilisation à l’extérieur du site de tout matériel doit avoir été
autorisée. Leur connexion au SI doit respecter la PSSI.
2. Principes

(PSSI) :

2. Principes : « Principes Techniques »
Les Principes techniques se traduisent par la rédaction de règles d’application

sur 5 grands domaines de la sécurité des SI:
12. Identification / Authentification

13. Contrôle d’accès logique
14. Journalisation
15. Infrastructures de gestion des clés cryptographiques
16. Signaux compromettants
2. Principes : Famille 3 – Domaine 12 « Principes Techniques – Identification /

Authentification »
- Utilisation d’un même secret pour accéder à plusieurs services:

Nécessité de n’utiliser un même secret que pour des services de niveaux
d’assurance équivalents.
- Combinaison des moyens d’authentification:

Les techniques d’authentification reposent sur trois moyens: ce que l’on sait, ce
que l’on détient, ce que l’on est. La combinaison des trois est efficace mais
couteuse. Il s’agit de prendre la combinaison adéquate en fonction des SI
concernés et de leur criticité.
2. Principes : Famille 3 – Domaine 12 « Principes Techniques – Identification /

Authentification »
- Unicité de l’identité des utilisateurs:

L’utilisation unique du propriétaire d’un accès est fondamentale pour assurer la
traçabilité des opérations et le diagnostic d’une anomalie de sécurité.
- Délivrance et recouvrement des moyens d’authentification:

Les technologies d’authentification ne sont pas suffisantes, il est également
nécessaire de cadrer la délivrance de ces moyens aux personnels: s’assurer de
l’engagement formel au respect des règles, s’assurer que seul le propriétaire de
l’accès connait les secrets, se protéger contre l’usurpation d’identité, gérer le
départ de personnel.
2. Principes : Famille 3 – Domaine 13 « Principes Techniques – Contrôle

d’accès logique aux biens »
- Dispositifs et procédures de protection contre les intrusions:

L’accès aux SI et à ses ressources doit être contrôlé. Les dispositifs varient en
fonction de la criticité: firewalls, systèmes d’authentification et contrôle
d’accès.
- Cloisonnement des réseaux et maîtrise des flux:

Pour faciliter le contrôle d’accès, mieux se protéger contre les intrusions, éviter
la fuite d’information.

- Modalités d’utilisation sécurisée des réseaux de télécommunication de

l’organisme:
Afin d’éviter que la protection physique ne soit inutile face à des attaques
réseau. Accès utilisateurs, connexion au SI des ordinateurs isolés ou extérieurs,
séparation de réseaux dédiés à des domaines particuliers, routage des
communications sur les canaux autorisés.
- Organisation des accès au système d’information:

Règles et normes techniques pour assurer le contrôle et la gestion des accès au
système d’information. Accès internes, externes, partenaires, fournisseurs,
accès publics.

- Fichiers contenant des mots de passe:

Tout fichier contenant des mots de passe doit être banni ou crypté.
- Suppression des accès non maîtrisés au système d’information:

Par exemple un ordinateur accessible au public alors qu’il est connecté au
réseau d’entreprise.
- Attribution de privilèges d’accès aux services:

Ces accès sont parfois nécessaires, mais il convient d’en tenir un inventaire clair
et de s’assurer de la conformité avec la PSSI. S’assurer aussi d’éviter les
pouvoirs suscitant trop de privilèges.

- Protection des accès particuliers (accès de maintenance) au SI:

Généralement les accès de maintenance apportent des privilèges élevés. Il est
nécessaire de prévoir des moyens de protection renforcée et des moyens de
traçabilité.
- Vérification des listes d’accès au système d’information:

Contrôler ces listes de façon périodique.
- Contrôle des privilèges des utilisateurs du système d’information:

Prévoir des règles de vérification du droit de possession des privilèges.

- Application de la notion de profil utilisateur du système d’information:

De même que l’on catégorise les SI et les données, il est nécessaire de définir
des catégories de profils utilisateurs. En particulier pour gérer les droits en
lecture, modification, écriture.
- Administration des privilèges d’utilisation du système d’information:

Nécessité d’administrer l’ensemble des privilèges d’utilisation. Et de définir
clairement les profils des personnes en charge de cette administration ainsi
que de celles qui contrôlent cette administration.

- Verrouillage des postes de travail:

Sensibilisation des utilisateurs pour qu’ils rendent leur poste inaccessible en
leur absence.
- Protection de l’environnement de travail:

La liste des actions possibles de chaque profil utilisateur doit être établie et
protégée par des droits d’accès.
2. Principes : Famille 3 – Domaine 14 « Principes Techniques –

Journalisation »
- Moyens de journalisation des intrusions ou des utilisations frauduleuses:

Il est nécessaire de disposer de moyens de journalisation. En cas d’utilisation
frauduleuse, cette journalisation permettra d’avoir des éléments de trace tant
pour la résolution de l’incident que pour apporter des preuves de l’intrusion.
- Enregistrement des opérations:

A effectuer, mais en prêtant attention à la volumétrie engendrée par les traces
stockées, et à la réglementation en cas de données nominatives.

Journalisation »
- Constitution de preuves:
Cette constitution doit respecter la législation et les codes de pratiques en
vigueur pour être présentable si nécessaire devant un tribunal.
- Gestion des traces:

Télécollecte, archivage, effacement des traces obsolètes, filtrage, analyse,
protection, alerte en cas d’altération, contrôle d’intégrité, exploitation,
destruction au-delà du délai légal.

Journalisation »
- Alertes de sécurité:
Méthode de transmission, vitesse, destinataires, à définir en fonction de la
classification de l’incident.
- Analyse de l’enregistrement des données de contrôle de sécurité:

Il s’agit de protéger les mécanismes de gestion du journal d’audit des contrôles
de sécurité. Cela permet ensuite d’accorder la confiance adéquate au journal
lui-même.
2. Principes : Famille 3 – Domaine 15 « Principes Techniques – Infrastructure

de Gestion des Clés Cryptographiques »
- Politique de gestion des clés:

Généralement Politique de Certification et Déclaration des Procédures de
Certification. Par exemple au regard de la norme RFC 2527.
- Protection des clés secrètes ou clés privées:

S’assurer de l’intégrité de ces clés est fondamental pour la solidité de
l’ensemble du système de protection.
- Certification des clés publiques:

Rédiger une politique de certification afin d’éviter le risque d’usurpation de la
clé publique.
2. Principes : Famille 3 – Domaine 16 « Principes Techniques – Signaux

compromettants »
Il s’agit des signaux électromagnétiques, provoqués par le changement d’état

de matériels électriques. Certains sont représentatifs des informations traitées
et leur interception pourrait permettre de reconstituer ces informations.
- Zonage:
Zonage des locaux, zonage des équipements. Il existe des guides et directives
sur le sujet.
- Matériel TEMPEST:
Transient ElectroMagnetic Pulse Emanations Standard. Ce matériel permet de
se protéger contre les signaux parasites lorsque le zonage ne suffit pas.
2. Principes : Famille 3 – Domaine 16 « Principes Techniques – Signaux

compromettants »
- Cage de Faraday:
Plus onéreux mais efficace.
- Signaux compromettants intentionnels:

Ils concernent tous les systèmes de transmission sans fil: infrarouge, radio,
optique, etc. La protection se fait en appliquant les recommandations de la
DCSSI, par du chiffrement ou par du zonage. Nécessité également de
sensibiliser les personnels sur ces risques.
Lien entre analyse de risque et PSSI
Les normes
Les normes
Cette famille se décline en un ensemble de documents, que vous pouvez acheter :
ISO/CEI 27000 – Introduction, glossaire des termes communs, vue globale de la suite des normes
(mai 2009).
ISO/CEI 27001 – Norme d’exigences des systèmes de management de la sécurité de l’information.

C’est sur la base de cette norme que sont certifiées les organisations.(Publiée en 2005, révisée en
2013.)
ISO/CEI 27002 – Guide des bonnes pratiques en SMSI. Autant la 27001 dit quoi faire, autant la
27002 apporte des réponses sur le comment faire. (Précédemment connue sous le nom de ISO/CEI
17799, renumérotée en ISO/CEI 27002:2005 en juillet 2007, dernière révision en 2013.)
ISO/CEI 27003 – Guide d’implémentation d’un SMSI : lignes directrices pour la mise en œuvre du
système de management de la sécurité de l’information. (Publiée en février 2010.)
Les normes
ISO/CEI 27004 – Norme de mesures de management de la sécurité de l’information
ISO/CEI 27005 – Norme de gestion de risques liés à la sécurité de l’information.
Il existe ensuite de nombreuses autres normes complémentaires au sein de la série ISO 27000. Par
exemple, la norme ISO/CEI 27010 – Gestion de la sécurité de l’information des communications
intersectorielles et inter organisationnelles.
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)

Cette méthode permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes
d’information conformément à la norme ISO 27005.
Elle permet également de construire une politique de sécurité en fonction d’une analyse des
risques qui repose sur le contexte de l’organisme et des vulnérabilités liées à son SI.
MEHARI (Méthode Harmonisée d’Analyse de Risques) :
C’est une méthode d’évaluation et de management des risques liés aux systèmes d’information.
Elle est conforme aux exigences de la norme ISO 27005.
Management du risque
L’ISO 31000 est dans ce domaine la norme aujourd’hui la
plus globale qui, bien que récente, se généralise peu à
peu. Elle définit les grands principes de gestion des risques
en entreprise, en s’appuyant sur des processus et un
modèle d’amélioration continue.
COSO Référentiel de contrôle interne défini par le
Committee Of Sponsoring Organizations of the Treadway
Commission
COBIT Control Objectives for Information and related
Technology, en français Objectifs de contrôle de
l’Information et des Technologies Associées) est un outil
fédérateur qui permet d'instaurer un langage commun
pour parler de la gouvernance des systèmes d'information
tout en tentant d'intégrer d'autres référentiels tels que
ISO 9000, ITIL, etc.
Le management du risque regroupe les activités coordonnées

visant à diriger et piloter un organisme vis-à-vis du risque. Il
inclut généralement l’appréciation du risque, le traitement du
risque, l’acceptation du risque et la communication relative
au risque.
Le processus global de l’analyse de risque
Le processus global en mode PDCA
Gestion du risque
Gestion du risque
Gestion du risque
Gestion du risque
Gestion du risque
Gestion du risque
Gestion du risque
Gestion du risque
Gestion du risque
Gestion du risque
Gestion du risque
Gestion du risque
Gestion du risque
Gestion du risque
Gestion du risque
MEHARI
MEHARI : méthode harmonisée d'analyse des risques
Développée par le CLUSIF depuis 1996.
Conforme ISO 31000 et ISO 27005
Correspondance avec les contrôles de l’ISO 27002
MEHARI : méthode harmonisée d'analyse des risques
Différentes versions, avec ou sans base de connaissances :
MEHARI Manager (sans utilisation de la base de connaissance)
MEHARI EXPERT, destinée aux grandes ou très grandes entreprises 🡪 MEHARI STANDARD,
destinée aux entreprises moyennes ou grandes 🡪 MEHARI PRO, destinée aux petites, voire
très petites entreprises.
se différencient par le niveau de détail concernant :
Les actifs primaires, répartis entre actifs de service (fonctionnels), actifs de
données(nécessaires aux services fonctionnels) et processus de management (les règles et
comportements qu’il convient de respecter)
les types d’incidents que peuvent subir ces actifs ;
Les menaces pouvant être à l’origine des incidents que peuvent subir ces actifs ;
Les services de sécurité pouvant venir réduire ces risques
MEHARI
LES BASES DE CONNAISSANCE DE MEHARI
Base Méhari – Expert (français) : DB-Mehari_Expert_Fr-4-2
Base Méhari – Expert (english) : DB-Mehari_Expert_En-4-2
Base Méhari – Pro (français) : DB-Mehari-Pro_Fr-1-3
Base Méhari – Standard (français) : DB-Mehari_Standard_Fr-1-3
Méhari – Manager Fiche de risque (français) : MEHARI-Manager Fiche de risque Ed-3
https://clusif.fr/services/management-des-risques/les-fondamentaux-de-mehari/
MEHARI
L’ANALYSE DES ENJEUX ET LA CLASSIFICATION DES ACTIFS, avec deux résultats :
L’échelle de valeurs des dysfonctionnements ;
La classification des actifs du système d’information, et, en particulier, le tableau d’impact
Cf. « Guide de l’analyse des enjeux et de la classification »
LE DIAGNOSTIC DE L’ÉTAT DES SERVICES DE SÉCURITÉ
Mesurer la qualité et l’efficacité des mesures de sécurité « services de sécurité » = réponse à un
besoin de sécurité
une série de questionnaires, + ou - détaillés selon les versions
Cf. « Guide du diagnostic de l’état des services de sécurité »
L’ANALYSE DES RISQUES
Les risques peuvent être identifiés et décrits par des scénarios
Chaque scénario de risque peut être évalué, selon :
L’impact intrinsèque maximal
le niveau de probabilité de survenance du scénario
Des facteurs de réduction de risque
Cf. « Guide de l’analyse et du traitement des risques »
MEHARI
LE TRAITEMENT DES RISQUES
En analysant chaque scénario de risque et à prendre des décisions :
pour réduire le risque
pour l’éviter par des mesures structurelles ou organisationnelles
pour le transférer, en particulier par l’assurance
voire d’accepter le risque tel quel.
Travaux pratiques
Méthodologies
L’entreprise chaussure.com souhaite faire une gestion de risque base sur une des deux EBIOS , MEHARI.
TRAVAIL à faire :
Par groupe de trois apprenants :
Faire une étude comparative des deux EBIOS , MEHARI
Format attendu : document en .ppt
Mise en œuvre : Gestion de risque de l’entreprise chaussure.com
Métier :
Spécialise dans la vente de chaussure en ligne
Quelques chiffres :
1 millions de chiffre d’affaires
30 collaborateurs
Projet : Virtualisation de l’ensemble de l’infrastructure
Problématique : Passage d’une infrastructure physique à une infrastructure virtuel
Evolutions grâce à la virtualisation
Travaux pratiques
Evolutions grâce à la virtualisation
Consolidation des serveurs
Réduction des coûts
Augmentation de la flexibilité
Disponibilité accrue
Amélioration de la gestion et de la sécurité
Paramètres pris en compte
Contraintes fonctionnelles
Service continu 24h/24, 7j/7
Gestion des accès informatiques
Gestion des accès aux matériels
Gestion des processus (PCA, PRA, maintenance, …)
Supervision fonctionnelle
Audit
Travaux pratiques
Appréciation des risques: identification actifs
Actif Primordial
Virtualisation des serveurs, gain en logistique, gain de coûts. Clusters d’ESX
Actif Supports
ESX
Briques applicatives
Base de données
Matériel
Serveurs :
Stockage SAN
Machines virtuelles primaires
Serveur d’authentification
Réseau
Réseaux LAN
Equipement réseaux (routeurs, switch)
TRAVAIL à faire :
Par groupe de trois apprenants
Faire la gestion de risque à partir de la méthode iso 27005

Langue

Atelier Pssi

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Atelier Pssi

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

Atelier : PSSI

Politique de sécurité du système d’information PSSI

C’est le document de référence de la stratégie de sécurité de l’entreprise.

La phase 2 « Sélection des principes

⮚ Tâche 1 : Sélection des principes

Cette phase a différents livrables, dont une note de

3 grandes familles de principes constituent la base du deuxième chapitre de la

Ces principes sont fondamentaux pour l’élaboration et la rédaction de la PSSI.

2. Principes : « Principes Organisationnels »

Les Principes organisationnels se traduisent par la rédaction de règles

2. Principes : Famille 1 – Domaine 1 « Principes Organisationnels – Politique

La politique de sécurité est une description stratégique de l’ensemble des

2. Principes : Famille 1 – Domaine 1 « Principes Organisationnels – Politique

- Contrôle d’application de la PSSI:

- Protection des informations confiées à l’organisme:

- Adoption d’une échelle de besoin:

2. Principes : Famille 1 – Domaine 1 « Principes Organisationnels – Politique

- Critères de détermination des besoins de sécurité:

- Identification et portée de la classification:

- Définition et contrôle des habilitations:

- Critères de diffusion interne et externe des informations.

2. Principes : Famille 1 – Domaine 2 « Principes Organisationnels –

L’organisation de la sécurité définit de façon claire les responsabilités

- Responsabilités générales pour la SSI:

2. Principes : Famille 1 – Domaine 2 « Principes Organisationnels –

- Les responsabilités pour l’élaboration et la mise en œuvre de la SSI:

- Couverture des responsabilités:

- Responsabilités du niveau décisionnel:

- Responsabilités du niveau de pilotage:

- Responsabilités du niveau de opérationnel:

- Autres responsabilités: Responsables juridiques, auditeurs, …

2. Principes : Famille 1 – Domaine 2 « Principes Organisationnels –

- Autres responsabilités (suite) :

- Cadre contractuel pour les échanges de données sécurisées:

2. Principes : Famille 1 – Domaine 3 « Principes Organisationnels – Gestion

- Définition du cadre de gestion des risques SSI :

- Identification des objectifs de sécurité :

2. Principes : Famille 1 – Domaine 3 « Principes Organisationnels – Gestion

- Etude prospective sur l’évolution de la SSI :

- Maitrise des flux spécifiques :

- Identification des services nécessitant de la cryptographie :

- Intégration de la SSI dans les projets :

- Conditions de mise en exploitation de nouveaux composants SI :

- Contrôle avant mise en exploitation.

2. Principes : Famille 1 – Domaine 4 « Principes Organisationnels – Sécurité

- Contrôle permanent des moyens de protection :

- Contrôle de code et procédure de recette :

2. Principes : Famille 1 – Domaine 5 « Principes Organisationnels – Assurance

- Exigences minimales sur les applicatifs utilisés dans les SI :

- Elaboration d’une cible de sécurité :

2. Principes : Famille 1 – Domaine 5 « Principes Organisationnels – Assurance

- Respect des exigences, et validation du respect :

2. Principes : Famille 1 – Domaine 5 « Principes Organisationnels – Assurance

- Autres aspects certifications :

- Gestion de la documentation et standard de documentation :

3 grandes familles de principes constituent la base du deuxième chapitre de la

Ces principes sont fondamentaux pour l’élaboration et la rédaction de la PSSI.

2. Principes : « Principes de Mise en Œuvre »

Les Principes de mise en œuvre se traduisent par la rédaction de règles

2. Principes : Famille 2 – Domaine 6 « Principes de Mise en Œuvre – Aspects

- Notion de reconnaissance de responsabilité :