Académique Documents
Professionnel Documents
Culture Documents
PLEINIERE 03 M3 MarieDavid Iso 27001
PLEINIERE 03 M3 MarieDavid Iso 27001
l information
L’ardente
’ d nécessité de
d manager la
l
sécurité de l’Information
Objectifs de la présentation:
Appréhender les enjeux de la sécurité des systèmes d’information dans notre contexte
Découvrir la logique de la norme qui y est associée
Repositionner notre rôle dans ce contexte
Echanger autour de la question
La théorie …..et la p
pratique
q
Une présentation (ici et maintenant)
Une mise en pratique (l’atelier prévu demain matin)
lle portefeuille
t f ill dde
contrats de recherche
la réputation du La valorisation de la
(organismes publics,
laboratoire recherche
entreprises
privées…)
le potentiel technique
(infrastructures, les compétences les données
installations,, ((savoir,, savoir faire)) informationnelles
matériels…)
9/09/2010 – Marie DAVID – Présentation QuaRES Joseph Illand – FSD du CNRS – présentation réunion des CRSSI 2007 3
…soumis à des menaces ?
l’espionnage
p g visant
des secrets de l’espionnage
l’altération de
défense à des fins de scientifique et
données
prolifération ou de industriel
terrorisme
l ’atteinte à la
l ’utilisation
disponibilité , l ’atteinte à des
frauduleuse de
intégrité, personnes ou des
moyens
confidentialité de biens
informatiques
l’information
9/09/2010 – Marie DAVID – Présentation QuaRES Joseph Illand – FSD du CNRS – présentation réunion des CRSSI 2007 4
Les enjeux de la Sécurité des SI
Intégrité des
Disponibilité de
systèmes et des
l ’outil de travail
personnes
Protection de Protection
données sensibles juridique
• données du patrimoine • Risques administratifs
scientifique • Risques pénaux
• données de gestion • Protection de l’image de
• données individuelles marque
La norme aide à :
Piloter et organiser La procédure
la sécurité des SI
Sensibiliser les
utilisateurs
L’individu
Système de management
Ensemble de • Organisationnelles
mesures • Techniques
• D’atteindre un objectif
Permettant • Une fois atteint, d’y rester dans la durée
Objectifs
Mes res
Mesures
techniques
Situation Situation
actuelle Politique visée
Mesures
organisationnelles
9/09/2010 – Marie DAVID – Présentation QuaRES D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS 7
L’intérêt de l’approche par la norme
Définition des
Niveau
objectifs
P
direction
stratégique
D
Mise en place des
Niveau exploitation
p
C
protections
Pilotage de la sécurité
Contrôle du système Niveau surveillance du système
d'information d'information et maintenance
A
Niveau
Réaction sur
incident Niveau prise en charge des incidents et analyse
organisationnel
Normes, règles, plans, procédures,
recommandations, structures, …
Niveau opérationnel
Dispositifs techniques de protection et de contrôle, administration
système et réseau, outils d'audits et d'analyse des incidents, …
9/09/2010 – Marie DAVID – Présentation QuaRES D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS 8
La construction du SMSI
ISO27001 Formalisation
F li ti de d
la gouvernance
Documentation
Communication
Audit
Exigences
légales et
réglementaires
Exigences
Exigences métiers et
de sécurité référentiel SSI
ISO27005 de l’organisme
g ISO27004
Appréciation Exigences de Indicateurs
du risque sécurité liées
aux enjeux
A
Acceptation
i
Traitement Refus
du risque T
Transfert
f t
Mesures de Dispositifs de
Objectifs de sécurité sécurité
Réduction sécurité (techniques et (techniques et
organisationnelles
g organisationnelles)
g )
)
ISO27002
10
Stratégiques,
St té i indispensables
i di bl
les actifs primordiaux : à l'atteinte des objectifs
les processus et activités déterminés par les
métier, les informations orientations stratégiques
La norme ISO 27001
différentie
Onéreux, pour lesquelles la
Les actifs de soutien : collecte, le stockage et le
le cadre organisationnel,
g , les traitement demande
sites géographiques, les beaucoup de temps ou
personnels, le réseau, les implique un coût d'acquisition
logiciels, le matériel.. élevé
A l
Analyse d
du risque
i
Identification
des actifs +
responsables
Evaluation du risque
Menaces +
M
vulnérabilités Évaluer la
IImpactt d'une
d'
vraisemblance
Traitement du risque
perte de
Confidentialité
Intégrité Sélectionner les
Disponibilité Identifier le
mesures de Identifier les
traitement
t it t du
d
Évaluer le sécurité risques résiduels
risque
risque correspondantes
Impacts
business
15
16
Auditer par
les membres
du comité du
SMSI
Mettre en
place un
Réexaminer
programme
le périmètre
d' dit
d'audits
internes
Rechercher
Revoir la liste
et tester des
des actifs
indicateurs
Refaire
l'
l'appréciation
é i ti
des risques
Établissement
Responsabilité du SMSI Documentation
de la direction
5 4.3
Planifier
(plan) 4.2.4
4.2.2
Mise à jour et
Mise en œuvre et amélioration du SMSI
fonctionnement
du SMSI Déployer Roue de Agir
(Do) Deming (Act)
8
Amélioration du
SMSI
6 Vérifier
(Check)
Audits internes du 7
SMSI
Surveillance et
réexamen du SMSI Réexamen du SMSI
par la direction
4.2.3
9/09/2010 – Marie DAVID – Présentation QuaRES 18
En conclusion
Augmente la
fi bilité d
fiabilité de
l’organisation
Obli à
Oblige de façon Apporte la
adopter de pérenne confiance aux
bonnes parties
pratique prenantes
Manager
g la
sécurité de
l’information
par la mise
en place d’un
SMSI