Scribd Logo
Importer

Bienvenue sur Scribd !

  • Groupe 4 Systeme de Gestion de La Securite Informatique

    Transféré par

    Formation Comptabilite
    39 vues6 pages
    AUDIT

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    AUDIT

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    39 vues6 pages

    Groupe 4 Systeme de Gestion de La Securite Informatique

    Transféré par

    Formation Comptabilite
    AUDIT

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 6

    GROUPE 4 SYSTEME DE GESTION DE LA SECURITE DE

    L’INFORMATION(SMSI)

    MPACG 2 JOUR FEV-MAR 2017

    SOMMAIRE

    INTRODUCTION

    I/SYSTEME DE GESTION DE L’INFORMATION

    II/ LA GESTION DE LA SECURITE INFORMATIQUE

    III/ IMPACT DE LA GESTION DE LA SECURITE SUR LE SYSTEME


    INFORMATIQUE

    CONCLUSION

    INTRODUCTION

    Aujourd’hui la sécurité est un enjeu majeur pour les entreprises ainsi


    que pour l’ensemble des acteurs qui l’entourent. Elle n’est plus
    confinée uniquement au rôle de l’information. Sa finalité sur le long
    terme est de maintenir la confiance des utilisateurs et des clients. La
    finalité sur le moyen terme est la cohérence de l’ensemble du
    système d’information. Sur le court terme, l’objectif est que chacun
    ait accès aux informations dont il a besoin. La norme traitant des
    SMSI est l’ISO /CEI 27001 qui insiste sur la CONFIDENTIALITE,
    l’IINTEGRITE et la DISPONIBILITE( en anglais Confidentiality-Integrity-
    Availability).

    I/ SYSTEME DE GESTION DE L’INFORMATION

    La sécurité des systèmes d’information(SSI) est l’ensemble des


    moyens techniques, organisationnels, juridiques et humains
    nécessaires à la mise en place de moyen visant à empêcher
    l’utilisation non-autorisée, le mauvais usage, la modification ou le
    détournement du système d’information. Assurer la sécurité du
    système d’information est une activité du management du système
    d’information.

    Le système de gestion de la sécurité de l’information(en


    anglais :Information Security Management System, ou ISMS), est
    comme son nom le suggère, un système de gestion concernant la
    sécurité de l’information.

    L’expression système de management de la sécurité de


    l’Information(SMSI) est désormais utilisé en français, cette expression
    désigne un ensemble de politiques concernant la gestion de la
    sécurité de l’information.

    Le plus connu des SMSI est ISO/CEI 27 001, publié par ISO en
    complément de ISO/CEI 27 002(anciennement référé ISO/CEI 17 799).

    Un SMSI doit être efficace et efficient sur le long terme, c'est-à-dire


    pouvoir s’adapter aux changements qui ont lieu dans
    l’environnement interne et externe.

    L’ISO/IEC 27 001 : 2005 a adopté l’approche de la Roue de Deming


    décomposé de la manière suivante :

    1-Plan : Création du SMSI en évaluant les risques de la sécurité de


    l’information et en choisissant les méthodes de vérifications
    adaptées.

    2-Do : Mise en œuvre de vérification

    3-Check : Révision et évaluation de la performance(efficacité et


    efficience) du SMSI

    4-Act : (ou Adjust) : Modifications, si nécessaires afin que la


    performance du SMSI soit optimale
    L’ISO/CEI 27 001 : 2005 est une norme reposant sur les risques liés à
    la sécurité de l’information, ce qui signifie que les entreprises doivent
    mettre en place un processus de gestion des risques. Ce dernier
    s’insère dans le modèle PDCA décrit plus haut. Cependant la dernière
    norme ISO/CEI 27 001 : 2013 ne s’appuie plus sur l’approche de la
    roue de Deming. Les sociétés peuvent désormais choisir le processus
    de gestion des risques qui leur convient.

    Les SMSI les plus répandus pour la certification de la sécurité


    informatique sont les critères communs (common criteria en anglais),
    normes internationales, et ses prédécesseurs Information Technology
    Sécurity Evaluation Critéria et Trusted Computer System Evaluation
    Critéria.

    Certains pays établissent et utilisent leurs propres normes SMSI. C’est


    notamment le cas du département de la défense aux Etats-Unis, en
    Allemagne, au Japon ou encore en Corée.

    D’autres dispositifs comme le COBIT et ITIL s’intéressent aux


    questions de sécurité mais se concentrent plus sur la création d’un
    cadre gouvernant.

    La gestion de la sécurité n’est pas seulement un problème technique

    II/ LA GESTION DE LA SECURITE INFORMATIQUE

    Les facteurs critiques d’un SMSI :

    -La confidentialité : protéger l’information des parties non


    concernées

    -L’Intégrité : empêcher la modification de l’information par la


    personne qui n’y ont pas l’accès.

    La Disponibilité : rendre l’information disponible aux personnes


    autorisées à y accéder.
    III/ IMPACT DE LA GESTION DE LA SECURITE SUR LE SYSTEME
    INFORMATIQUE

    Ces facteurs auront des implications par la suite pour :

    -la continuité de l’activité

    -minimiser la perte et dégâts

    -une meilleure compétitivité

    -une meilleure rentabilité et une rentrée des cash-flows

    -une image respectée par autrui

    -une conformité légale

    Le développement du SMSI basé sur l’ISO/CEI 27 001 : 2005 entraîne


    les6 étapes :

    1-Définition de la politique de sécurité

    2-Définition du périmètre du SMSI

    3-Evaluation des risques

    4-Gestion des risques

    5-Sélection des méthodes de vérifications appropriées

    6-Applications.

    FCR pour SMSI.

    Pour être efficace, un système de gestion de la sécurité informatique


    doit :

    -Avoir le soutien continu, ferme et visible ainsi que l’engagement de


    la direction générale de l’organisation.
    -être centralisé sur une stratégie et une politique connue à travers
    l’organisation entière

    _être une partie intégrante du management global de l’organisation


    et refléter l’approche de l’organisation en terme de gestion des
    risques, des objectifs de contrôle, des contrôles et du degré
    d’assurance exigé.

    -avoir des objectifs de sécurité et des activités qui reposent sur des
    objectifs et exigences de l’entreprise et qui sont menés par la gestion
    de l’entreprise.

    -entreprendre seulement les tâches nécessaires en évitant le sur


    contrôle et le gaspillage des ressources de valeurs.

    -être en totale conformité avec la philosophie et l’état d’esprit de


    l’organisation en fournissant un système qui, au lieu d’empêcher les
    employés de faire ce qu’ils ont à faire, leur permettrait d’exercer
    leurs activités dans le contrôle et de démontrer l’accomplissement de
    leurs responsabilités

    -être basé sur une formation continue et un savoir du personnel afin


    d’éviter l’utilisation de mesures disciplinaires ou encore de
    procédures militaires

    -être un processus continu.

    Problèmes récurrents :

    Il y a trois grands problèmes qui mènent à l’incertitude en gestion de


    la sécurité de l’information.

    Changements continus des besoins en matière de sécurité ;

    L’évolution rapide de la technologie entraîne de nouvelles


    inquiétudes en ce qui concerne la sécurité pour les entreprises. Les
    mesures de sécurité actuelles et les exigences deviennent obsolètes
    lorsque de nouvelles vulnérabilités apparaissent avec le
    perfectionnement de la technologie. Afin de surmonter ces
    difficultés, le SMSI doit organiser et gérer les changements et garder
    le système à jour.

    Externalités provoqués par un système de sécurité

    L’externalité caractérise le fait qu’un Agent économique créé par son


    activité un effet externe en procurant à autrui.

    Vous aimerez peut-être aussi