Sécurité de l’information

ISO 27001
 Comprendre la mise en œuvre d’un Système de Management de la Sécurité de
l’Information conforme à l’ISO 27001

 Acquérir une compréhension globale des concepts, démarches, normes, méthodes et

techniques nécessaires pour gérer efficacement un Système de Management de la
Sécurité de l’Information

 Comprendre la relation entre un système de management de la sécurité de

l’information, incluant le management des risques et des contrôles, et la conformité aux
exigences des différentes parties prenantes d’une organisation

 Acquérir l’expertise nécessaire pour assister une organisation dans la mise en œuvre, la
gestion et le maintien d’un SMSI, tel que spécifié dans l’ISO 27001

 Améliorer la capacité d’analyse et de prise de décision dans le cadre de la gestion de la

sécurité de l’information
Rappel

News Sécurité

Termes & définition

Templates de base

Exercice (ANSI)
Bourse de Casablanca Certifiée ISO27001 le 21/11
Organisme certificateur : Bureau Veritas
 Information/catégorie Sécurité de
Actif(bien/asset)
de l’information l’information

Disponibilité Intégrité Confidentialité

Vulnérabilité Menace Impact

Analyse/évaluation/ri
Risque DdA/SOA
sque résiduel…
Actif: Tout élément représentant de la valeur pour l’entreprise
 Sites : La catégorie sites comprend les locaux informatiques et les locaux Bureaux.
 Personnel : La catégorie Personnel comprend le personnel internes & externes
intervenants sur les actifs informationnels.
 PC + Imprimante + autres : Moyens et matériels bureautiques à la disposition du
personnel de la DSI
 Application métiers : Toutes les applications métiers administrées et supervisées par
la DSI
 Application de suivi : Contenant toutes les applications en relation avec la
supervision et le suivi continu du parc
 Documents : La catégorie comprend les documents papiers et tous les documents
hébergés au niveau d'un support informatique. Exemple: Données techniques sur les
plates formes et systèmes des Réseaux, Indicateurs et statistique QoS,…
 Serveurs de production : Toutes les machines de production gérés et administrées
par la DSI.
 Serveurs de pré production ou et de développement : L’ensemble des serveurs de
pré production et de développement des systèmes d’information.
 Bases de Données de production des Système d’information : Comprend toutes les
bases de données de production SI
 Equipements Sécurité : Firewalls, Serveurs Antivirales, …
 Logiciel sécurité : Solution antivirale, mise à jour postes de travail, …
 Sauvegarde : Supports et médias de sauvegarde (Bandes, stockage XP, …)
 Logiciel : Médias des logiciels sous licences à la disposition de la DSI
 Services assurés par les tiers : TMA, Support, régie, contrats, …
Information C’est le résultat du traitement, de la manipulation et de
l'organisation des données de manière à s'ajouter à la
connaissance du récepteur. En d'autres termes, c'est le contexte
dans lequel des données sont acquises

Imprimée ou écrite
sur papier

Stockée sur un
support électronique

Transmise par
courrier

Catégorie Exposée sur des

vidéos…
Preuve Propriété d'une information de pouvoir être un élément
de preuve de traitements effectués ou d'occurrence
d'événements.

Propriétaire Responsable pour qui l’information représente un capital

Sécurité de Protection de la confidentialité, de l’intégrité et de la disponibilité de
l'information
l’information ; en outre, d’autres propriétés, telles que l’authenticité,
l’imputabilité, la non-répudiation (traçabilité ie avec preuve ) et la
fiabilité, peuvent également être concernées. Réf DICP
Evénement Occurrence identifiée d'un état d'un système, d'un service ou d'un
lié à la
réseau indiquant une faille possible dans la politique de sécurité de
sécurité de
l'information l'information ou un échec des moyens de protection, ou encore une
situation inconnue jusqu'alors et pouvant relever de la sécurité
Disponibilité Propriété d'être accessible et utilisable à la demande par une
entité autorisée
Intégrité Propriété qui assure que l'existence d'un objet et/ou son contenu
n'ont pas été détruits ni altérés par un sujet non autorisé ni
changés pour des valeurs non autorisées.
Confidentialité Propriété selon laquelle l'information n'est pas rendue accessible ou
divulguée à des personnes, entités ou processus non autorisés
Incident lié à la un ou plusieurs événements intéressant la sécurité de
sécurité de
l'information l'information indésirable(s) ou inattendu(s) présentant une

probabilité forte de compromettre les opérations liées à

l'activité de l'organisme et de menacer la sécurité de

l'information
Risque Combinaison de la probabilité d’un événement et de ses
conséquences(impacts)
 Les approches

Acceptation du risque Décision d'accepter un risque

Evitement du risque Suppression totale

Réduction du risque Se protéger

Transfert du risque Externaliser la responsabilité (Police d’assurance par ex

Risque résiduel risque subsistant après le traitement du risque
Analyse du utilisation systématique d'informations pour identifier les
risque* sources et pour estimer le risque

• EBIOS Expression des Besoins et Identification des Objectifs de Sécurité(club ebios) ,

• MEHARI Méthode Harmonisée d’analyse des risques(clusif)
Evaluation du processus de comparaison du risque estimé avec des critères de
risque risque donnés pour en déterminer l’importance
Appréciation du ensemble du processus d'analyse du risque et d'évaluation du
risque risque
» Partie du système de management global, basée sur
une approche du risque lié à l'activité, visant à établir,
mettre en œuvre, exploiter, surveiller, réexaminer,
tenir à jour et améliorer la sécurité de
l'information(PDCA)
» NB: Le système de management inclut l'organisation,
les politiques, les activités de planification, les
responsabilités(RACI), les pratiques, les procédures, les
processus et les ressources:
˃ documentations
˃ méthode d’analyse des risques
˃ processus de sécurité mis en œuvre
˃ responsabilités
˃ ressources
˃ monitoring des activités liées à la sécurité
˃ liste documentée des évolutions apportées
Déclaration
d'applicabilité C’est un document décrivant les objectifs de sécurité( ie les
(DdA)(voir un exemple)
contrôles), ainsi que les mesures appropriées et applicables

( ou non et on doit justifier pourquoi)au SMSI d'un

organisme

NB: Les objectifs de sécurité et les mesures de sécurité

proprement dites sont basés sur les résultats et les

conclusions des processus de l'appréciation du risque et de

traitement du risque, les exigences légales ou

réglementaires, les obligations contractuelles et les

exigences métier de l'organisme, relatives à la sécurité de

l'information.
Vulnérabilité Faiblesse d'un actif ou d'un groupe d'actifs susceptibles d'être
l'objet d'une menace
Menace Cause potentielle d'un incident indésirable pouvant affecter une
organisation
Impact Conséquence de l’utilisation d’une vulnérabilité par une menace
 Vulnérabilités Menaces
Absence de séparation de rôle. Fraude, utilisation non autorisée d’un
système.
Entrepôt non protégé et non Vol
surveillé.
Absence de procédures de Perte d’information
sauvegarde
Pas de revue des comptes d’accès. Accès non autorisé par des personnes
qui ont quitté l’organisation.
IHM compliquée Erreur de saisie
Pas de cryptage des données Vol d’information
Utilisation de logiciels piratés Poursuite juridique, attaque virus
Politique Intentions et dispositions générales formellement exprimées par
la direction
Mesure de sécurité (en l'anglais control dans la 27002) : moyens de gestion du
risque, comprenant les politiques, les procédures, les lignes directrices, les
pratiques ou l'organisation, qui peuvent être de nature administrative,
technique, managériale ou juridique
Tiers Personne ou organisme reconnu(e) comme indépendant(e) des
parties concernées
 QCM

Citer les 3 notions de base de la sécurité:

A:Authentification, Autorisation, Intégrité
B:Confidentialité,Intégrité, Disponibilité
C:Confidentialité,Intégrité, Authentification
D:Disponibilité, traçabilité,revue
 QCM

La biométrie est un dispositif

A:D’authentification,
B: D’autorisation
C:De confidentialité
D:D’intégrité
 QCM

La biométrie est un dispositif

A:D’authentification,
B: D’autorisation
C:De confidentialité
D:D’intégrité
 QCM

Le rôle de la sécurité en entreprise est( choisir la meilleure réponse)

A: Réduire les risques à un niveau acceptable
B: Prévenir tout risque
C:Empêcher les utilisateurs de travailler librement
D: Surveiller le bon fonctionnement des systèmes
 QCM

L’une des vulnérabilités principales sur les systèmes d’information d’entreprises:

A: L’inexpérience et le risque lié aux utilisateurs
B: la présence de port USB sur la plupart des machines
C: L’utilisation de mot de passe au lieu de méthodes plus sûres
D: Les connexions à internet
Commentaires, discussions, questions
& Annexes